本文档介绍阿里云安全评估服务。

背景

您的网络安全状况如何?存在那些安全问题?哪里是高安全风险的地带?面对这些安全问题,应该如何去解决?为了充分了解系统存在的安全风险,以及面临的网络安全威胁,就需要使用多种安全检查方法收集准确的基础数据信息,从而客观的从技术脆弱性角度分析出客户业务中存在的安全问题。

阿里云安全务团队将根据客户公司的安全需求,然后实施最有效的诊断服务来评估客户业务安全现状,找出当前客户业务与安全最佳实践存在的差距,为客户制定相应的安全解决方案。

评估对象

阿里云云上资产安全评估服务,通过对当前用户云上运行的信息系统进行资产识别、威胁识别与分析以及脆弱性识别与分析,从云基础设施、云上安全设施、云上数据、监控审计措施、应用等方面的进行整体安全性评估。

服务内容

安全评估的主要对象分为以下几个层次,各部分相对独立,而又相互关联相互作用着,通过对每一层次各方面详细深入的分析、评估,才能提供一个完整的结果,对整体的信息系统体系进行说明。

安全风险评估服务主要包括以下内容:

服务类别 描述 方式
网络安全评估

检查网络访问控制策略合理性

探测高危端口

对以上发现的问题进行安全分析,并制定修复方案,指导客户修复安全漏洞

人工检查和工具扫描
主机安全评估

探测主机操作系统和应用软件的安全漏洞

发现操作系统和应用软件的配置弱项

对以上发现的问题进行安全分析,并制定修复方案,指导客户修复安全漏洞

人工检查和工具扫描
应用安全评

发现业务应用代码层的安全漏洞

对以上发现的问题进行安全分析,并制定修复方案,指导客户修复安全漏洞

人工发现和工具扫描

为确保在安全评估过程中业务的可靠性和安全性,安全管家将根据客户网络系统评估业务情况,与客户一起确定检查计划、风险规避措施、应急预算措施和授权说明,防止并能够及时应对在检查过程中发生的意外事件。

安全评估流程

主要分为线上评估实施、数据分析整理、风险评估报告撰写三个阶段:

  1. 线上评估:本阶段主要完成线上评估工作的实施,即通过资产调查、安全基线扫描、漏洞扫描、人员访谈等方式,了解业务系统的安全现状,为风险分析提供资料。现状评估阶段主要的工作任务包括人员访谈、安全基线扫描、漏洞扫描等。
  2. 数据分析:本阶段主要对现场评估阶段采集的数据进行分析、整理,为风险评估报告的撰写提供依据。
  3. 报告撰写:本阶段主要完成风险评估报告的撰写、修订。根据数据分析的结果撰写评估报告,并针对业务系统存在的安全风险、安全隐患提供修复建议。与负责人进行沟通,对评估报告进行修订。
  4. 输出结果:《安全评估报告》
安全评估流程