|
|
| 安全审计与咨询 |
上海彦为信息科技服务中心的IT安全审计服务评估企业所面临的安全风险,检验企业的风险控制能力。该团队由精通技术与业务的资深顾问组成,广泛访谈企业内部各部门相关人员,进行安全性评估,记录现有的安全策略与风险控制措施,检查审计范围内的IT资产。在绝大多数情况下,我们要使用大量技术工具来开展审计。
上海彦为信息科技服务中心的IT安全审计服务不仅检查合规性,同时也检查安全策略与风险控制措施的质量。由于新技术更新换代的速度加快,公司业务流程经常改动,现有安全策略极易失效。因此必须定期开展安全审计,保持安全策略的有效性。
一般而言,企业在物理安全防护方面做得比较好,审计人员对物理位置(例如数据中心)或实物资产类别(例如所有存储设备)的审计也相对容易。但是安全流程的审计难度更高,也更有价值,因此企业有必要根据潜在危害的大小,分门别类处理各种安全流程。例如,业务连续性流程的潜在安全危害很小,无需纳入审计范围,身份管理流程的潜在危害很大,必须纳入审计范围。
安全威胁基本上来自以下四个方面:
网络接入。
网络接入控制流程检查新接入网络用户或系统的安全性,严格监控已接入网络用户与系统,是网络安全的第一道门槛。在某些情况下,该流程会根据已检测到的威胁和用户或系统的身份档案,修正错误,消除安全风险。
网络入侵。
入侵防护流程不限于传统的入侵侦测,而是与网络接入控制紧密配合,在最外层阻断具有潜在危害的用户与系统。此外,该流程还可强制执行安全策略与相应的安全措施,尽量减小外界攻击对网络的影响范围。此类工具包括入侵侦测系统、防火墙等。
身份与接入管理。
该流程大多采用认证与授权方式,限定何人在何时可接触到何种资源。此外,完善的安全策略也不可或缺。
漏洞管理。
该流程管理各类资产的基本安全配置,分析潜在风险的根源,采取相应措施消除风险。
|
|
|
|
