安全评估服务——安全评估流程

主要分为线上评估实施、数据分析整理、风险评估报告撰写三个阶段：

线上评估：本阶段主要完成线上评估工作的实施，即通过资产调查、安全基线扫描、漏洞扫描、人员访谈等方式，了解业务系统的安全现状，为风险分析提供资料。现状评估阶段主要的工作任务包括人员访谈、安全基线扫描、漏洞扫描等。

数据分析：本阶段主要对现场评估阶段采集的数据进行分析、整理，为风险评估报告的撰写提供依据。

报告撰写：本阶段主要完成风险评估报告的撰写、修订。根据数据分析的结果撰写评估报告，并针对业务系统存在的安全风险、安全隐患提供修复建议。与负责人进行沟通，对评估报告进行修订。

输出结果：《安全评估报告》

安全评估服务——服务场景

基础服务架构&方案评估：项目方案担心有安全设计缺陷，安全策略担心配置不合理，可申请安全评估服务，做一次多方位安全体验。

设备入网&第三方SDK评估：在第三方外采设备、系统计划部署IDC或产品嵌入了第三方SDK，可通过安全评估服务协助评估第三方SDK安全性。

智能硬件&AI私有化评估：***关注主打百度品牌的相关智能硬件和AI私有化类项目，根据业务实际场景，提供整体安全解决方案。

重保服务：在重大活动、会议召开之前可针对应用系统提前进行一次“安全体检”，确保万无一失。

风险评估中脆弱性有哪些分类

一、技术脆弱性

1、物理环境

从机房场地、机房防火、机房供配电、机房房防静电、机房接地与防雷、电磁防、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。

2、网络结构 

从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。

3、系统软件

从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别。

4、应用中间件

从协议安全、交易完整性、数据完整性等方面进行识别。

5、应用系统

从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密保保护等方面进行识别。

二、管理脆弱性

1、技术管理

从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。

2、***管理

从安全策略、***安全、资产分类与控制、人员安全、符合性等方面进行识别。