因業(yè)務(wù)調(diào)整����,部分個(gè)人測(cè)試暫不接受委托,望見諒���。
檢測(cè)項(xiàng)目
ISO27001安全檢測(cè)包含14個(gè)控制域共114項(xiàng)具體檢測(cè)指標(biāo):
1. 信息安全策略的完整性與執(zhí)行效力評(píng)估
2. 物理環(huán)境安全檢測(cè)涵蓋門禁系統(tǒng)����、監(jiān)控設(shè)備、機(jī)房溫濕度控制及電磁防護(hù)設(shè)施
3. 網(wǎng)絡(luò)架構(gòu)安全性驗(yàn)證包括邊界防護(hù)強(qiáng)度測(cè)試�、VLAN劃分合理性分析及無(wú)線網(wǎng)絡(luò)加密協(xié)議合規(guī)性審查
4. 訪問(wèn)控制機(jī)制檢測(cè)涉及身份認(rèn)證強(qiáng)度測(cè)試(含多因素認(rèn)證)、權(quán)限分配最小化原則執(zhí)行度驗(yàn)證
5. 密碼管理系統(tǒng)評(píng)估包含密鑰生命周期管理規(guī)范性與加密算法強(qiáng)度測(cè)試(AES-256/RSA-2048)
6. 操作安全審查覆蓋日志審計(jì)完整性���、變更管理流程規(guī)范性及數(shù)據(jù)備份恢復(fù)有效性驗(yàn)證
7. 供應(yīng)商安全管理體系審查涉及第三方訪問(wèn)權(quán)限審計(jì)與服務(wù)連續(xù)性保障能力評(píng)估
8. 事件管理能力測(cè)試包含安全事件響應(yīng)時(shí)效性驗(yàn)證與應(yīng)急預(yù)案實(shí)戰(zhàn)演練評(píng)估
檢測(cè)范圍
本檢測(cè)適用于山西省內(nèi)實(shí)施ISO27001標(biāo)準(zhǔn)的各類組織:
1. 政府機(jī)構(gòu):省級(jí)政務(wù)云平臺(tái)���、市級(jí)數(shù)據(jù)中心及電子政務(wù)外網(wǎng)接入節(jié)點(diǎn)
2. 金融機(jī)構(gòu):商業(yè)銀行核心業(yè)務(wù)系統(tǒng)、證券交易平臺(tái)及保險(xiǎn)數(shù)據(jù)管理中心
3. 醫(yī)療單位:三級(jí)醫(yī)院HIS系統(tǒng)��、區(qū)域醫(yī)療信息平臺(tái)及個(gè)人健康檔案數(shù)據(jù)庫(kù)
4. 工業(yè)企業(yè):智能制造控制系統(tǒng)(ICS)�����、工業(yè)物聯(lián)網(wǎng)平臺(tái)及研發(fā)數(shù)據(jù)管理系統(tǒng)
5. 教育機(jī)構(gòu):高校教務(wù)管理系統(tǒng)��、科研數(shù)據(jù)存儲(chǔ)平臺(tái)及在線教育基礎(chǔ)設(shè)施
6. 關(guān)鍵基礎(chǔ)設(shè)施:電力調(diào)度系統(tǒng)�、軌道交通信號(hào)控制系統(tǒng)及城市供水SCADA系統(tǒng)
檢測(cè)方法
采用分層遞進(jìn)式檢測(cè)技術(shù)體系:
1. 文檔審查法:核查信息安全方針、風(fēng)險(xiǎn)評(píng)估報(bào)告等78類體系文件與標(biāo)準(zhǔn)條款的符合性
2. 現(xiàn)場(chǎng)觀察法:通過(guò)熱成像儀定位機(jī)房設(shè)備過(guò)熱風(fēng)險(xiǎn)點(diǎn)�,使用聲波探測(cè)器識(shí)別物理隔離有效性
3. 滲透測(cè)試法:模擬APT攻擊鏈進(jìn)行網(wǎng)絡(luò)層滲透(含0day漏洞利用測(cè)試),開展社會(huì)工程學(xué)攻擊模擬
4. 配置核查法:采用自動(dòng)化腳本驗(yàn)證防火墻規(guī)則集合規(guī)性(符合NIST SP 800-41 Rev.1標(biāo)準(zhǔn))
5. 流量分析法:通過(guò)全流量鏡像捕獲技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)行為基線建模(采樣率≥99.99%)
6. 壓力測(cè)試法:對(duì)身份認(rèn)證系統(tǒng)實(shí)施每秒萬(wàn)次并發(fā)請(qǐng)求測(cè)試(持續(xù)時(shí)長(zhǎng)≥72小時(shí))
7. 逆向工程法:對(duì)關(guān)鍵應(yīng)用程序進(jìn)行二進(jìn)制代碼審計(jì)(覆蓋率≥95%)
檢測(cè)儀器
采用國(guó)際認(rèn)證的專用檢測(cè)設(shè)備:
1. 網(wǎng)絡(luò)協(xié)議分析儀(Fluke OptiView XG)支持40Gbps線速抓包與深度報(bào)文解析
2. 電磁輻射測(cè)試系統(tǒng)(Rohde & Schwarz ESRP)滿足EN55022 Class B輻射限值測(cè)量要求
3. 光纖鏈路診斷儀(EXFO FTB-880)具備OTDR三維事件定位功能(精度±0.5m)
4. 密碼算法驗(yàn)證平臺(tái)(Cryptotronix SCE-M8)支持國(guó)密SM2/SM4算法合規(guī)性測(cè)試
5. 工業(yè)協(xié)議模糊測(cè)試工具(Codenomicon Defensics)覆蓋Modbus TCP/DNP3等18種工控協(xié)議
6. 數(shù)據(jù)完整性校驗(yàn)系統(tǒng)(Tripwire Enterprise)實(shí)現(xiàn)百萬(wàn)級(jí)文件基準(zhǔn)比對(duì)(MD6/SHA3-512)
7. 生物識(shí)別破解裝置(BackTrack Biometric Toolkit)具備指紋模具生成與虹膜仿真攻擊能力
檢測(cè)流程
1����、咨詢:提品資料(說(shuō)明書、規(guī)格書等)
2����、確認(rèn)檢測(cè)用途及項(xiàng)目要求
3、填寫檢測(cè)申請(qǐng)表(含公司信息及產(chǎn)品必要信息)
4����、按要求寄送樣品(部分可上門取樣/檢測(cè))
5、收到樣品����,安排費(fèi)用后進(jìn)行樣品檢測(cè)
6、檢測(cè)出相關(guān)數(shù)據(jù)���,編寫報(bào)告草件�����,確認(rèn)信息是否無(wú)誤
7��、確認(rèn)完畢后出具報(bào)告正式件
8��、寄送報(bào)告原件
