风险评估服务

东方电科安全咨询服务团队以强大的技术实力、丰富的行业经验和饱满的服务热情,依据国际/国内相关标准和行业监管规范,

按照各行业客户实际的安全需求,协助客户建立和维护全面、有效、合规的系统信息安全体系,保障系统的正常、合规、安全运作。

我们提供以下风险评估相关服务:2

东方电科拥有成熟完整的风险评估体系和解决方案,可协助客户全面了解其系统安全状况,并通过针对客户工业控制系统的具体

配置、网络拓扑、信息流模型和业务实际,全面评估系统安全风险,并提交其系统信息安全脆弱性评估报告和相应的安全防护解

决方案,协助客户采取针对性的改进措施,保障系统安全稳定运行。


                  概述                                  评估对象                     评估工具                        发现目标                       流程        



    不做全面体检。岂能对症下药

    风险评估是实施安全控制的必要前提

   全面评估系统风险

   全面挖掘设备漏洞

   提出安全控制解决方案



  工控系统服务器

  工程师工作站

  PLC,RTU,DCS等工控设备

  防火墙

  路由器

  交换机

  远程访问

  网络分区

  用户授权



  工控系统漏洞扫描工具

  工控设备漏洞挖掘工具

  工控风险评估理论测试工具

  工控安全漏洞库


  网络后门

  无安全设置的设备

  易受攻击的现场设备

  易受攻击的数据库/服务器

  可能存在的中间人攻击漏洞

  未及时补丁的电脑与设备

  可能存在的Dos攻击漏洞

  内部或外部人员的不正确安全流程



  计划阶段

  评估阶段

  报告阶段

  漏洞减轻建议

  建议验证阶段

  

                                                                                             东方电科系统风险评估概要

image.png

政策要求:

《中华人民共和国计算机信息系统安全保护条例》(国务院147号令,1994)

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《信息安全等级保护管理办法》(公通字[2007]43号)

 

依据标准:

《信息系统安全等级保护实施指南》

《信息系统安全等级保护测评规范》

《计算机信息系统安全保护等级划分准则》(GB 17859-1999)

《信息系统安全等级保护基本要求》(GB/T 22239-2008)

《信息系统安全等级保护定级指南》(GB/T 22240-2008)