NERCIS安全咨询服务服务由六个模块组成,主要包括需求分析、安全方针与策略设计、技术体系方案设计、管理体系方案设计、安全运维方案设计和安全方案验证修订。该服务针对用户的安全现状、安全需求和合规性要求,为用户提供全面的安全建议,从而对安全风险进行适当处置,对后续安全工作有所规划,并协助用户构建完整的信息安全体系和安全解决方案,提升安全水平,推动安全建设。
定级服务
通过系统识别分析进行子系统划分,分析系统所属类型、所属信息类别、服务范围以及业务对系统的依赖程度,制定细化定级规则,确定系统安全保护等级。
信息系统等级符合性检验是等级测评工作中的核心环节,通过检测、评估信息系统安全状况,识别用户信息系统的安全保护能力与国家等级保护要求之间的安全等级差距,为信息系统的建设、整改、检查与监督工作提供依据。
风险评估是指由于信息系统存在的脆弱性,人为或自然威胁导致安全事件发生的可能性及其造成的影响。风险评估是依据相关的信息技术标准,对信息系统及其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程,要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性有可能被利用的影响。
商用密码应用安全性评估是对采用商用密码技术、产品和服务集成建设的网络与信息系统密码应用的合规性、正确性、有效性进行评估。根据商用密码应用安全性评估管理要求,在网络与信息系统规划阶段,应组织专家或委托测评机构系统的密码应用安全方案进行评估或评审;在系统建设完成后以及运行阶段,由测评机构对系统进行密码应用安全性评估。
检测评估
包含应用评估、主机评估、网络评估、渗透测试和安全管理评估五部分内容。通过依据标准定期对客户信息系统内的资产、威胁、脆弱性、安全措施、风险等进行分析与评价。
渗透性测试是对安全况最客观、直接的评估方式,主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高。
应急响应主要的对象是指针对计算机或网络所存储、传输、处理的信息的安全事件,事件的主体可能来自自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。按照计算机信息系统安全的三个目标,可以把安全事件定义为破坏信息或信息处理系统CIA的行为。
代码安全审计服务以发现应用程序在编码过程中造成的安全漏洞为目的,通过代码静态分析工具,对已有的代码进行扫描、分析,并对导致安全漏洞的错误代码进行定位和验证,然后提供补救建议。
面向IT企业、高等院校、科研院所、拥有信息化软件产品的相关企业,对其承担研发的软件产品提供第三方测试服务,同时出具第三方测试报告,测试报告可作为最终项目、产品验收的重要客观依据。测试依据前期设计要求、技术考核指标等开展工作,同步参照软件产品质量要求与国家相关标准。