因業(yè)務(wù)調(diào)整,部分個(gè)人測試暫不接受委托��,望見諒��。
檢測項(xiàng)目
ISO27001安全檢測包含14個(gè)控制域共114項(xiàng)具體檢測指標(biāo):
1. 信息安全策略的完整性與執(zhí)行效力評估
2. 物理環(huán)境安全檢測涵蓋門禁系統(tǒng)����、監(jiān)控設(shè)備�、機(jī)房溫濕度控制及電磁防護(hù)設(shè)施
3. 網(wǎng)絡(luò)架構(gòu)安全性驗(yàn)證包括邊界防護(hù)強(qiáng)度測試���、VLAN劃分合理性分析及無線網(wǎng)絡(luò)加密協(xié)議合規(guī)性審查
4. 訪問控制機(jī)制檢測涉及身份認(rèn)證強(qiáng)度測試(含多因素認(rèn)證)��、權(quán)限分配最小化原則執(zhí)行度驗(yàn)證
5. 密碼管理系統(tǒng)評估包含密鑰生命周期管理規(guī)范性與加密算法強(qiáng)度測試(AES-256/RSA-2048)
6. 操作安全審查覆蓋日志審計(jì)完整性���、變更管理流程規(guī)范性及數(shù)據(jù)備份恢復(fù)有效性驗(yàn)證
7. 供應(yīng)商安全管理體系審查涉及第三方訪問權(quán)限審計(jì)與服務(wù)連續(xù)性保障能力評估
8. 事件管理能力測試包含安全事件響應(yīng)時(shí)效性驗(yàn)證與應(yīng)急預(yù)案實(shí)戰(zhàn)演練評估
檢測范圍
本檢測適用于山西省內(nèi)實(shí)施ISO27001標(biāo)準(zhǔn)的各類組織:
1. 政府機(jī)構(gòu):省級政務(wù)云平臺(tái)、市級數(shù)據(jù)中心及電子政務(wù)外網(wǎng)接入節(jié)點(diǎn)
2. 金融機(jī)構(gòu):商業(yè)銀行核心業(yè)務(wù)系統(tǒng)����、證券交易平臺(tái)及保險(xiǎn)數(shù)據(jù)管理中心
3. 醫(yī)療單位:三級醫(yī)院HIS系統(tǒng)�����、區(qū)域醫(yī)療信息平臺(tái)及個(gè)人健康檔案數(shù)據(jù)庫
4. 工業(yè)企業(yè):智能制造控制系統(tǒng)(ICS)��、工業(yè)物聯(lián)網(wǎng)平臺(tái)及研發(fā)數(shù)據(jù)管理系統(tǒng)
5. 教育機(jī)構(gòu):高校教務(wù)管理系統(tǒng)��、科研數(shù)據(jù)存儲(chǔ)平臺(tái)及在線教育基礎(chǔ)設(shè)施
6. 關(guān)鍵基礎(chǔ)設(shè)施:電力調(diào)度系統(tǒng)��、軌道交通信號控制系統(tǒng)及城市供水SCADA系統(tǒng)
檢測方法
采用分層遞進(jìn)式檢測技術(shù)體系:
1. 文檔審查法:核查信息安全方針���、風(fēng)險(xiǎn)評估報(bào)告等78類體系文件與標(biāo)準(zhǔn)條款的符合性
2. 現(xiàn)場觀察法:通過熱成像儀定位機(jī)房設(shè)備過熱風(fēng)險(xiǎn)點(diǎn)�����,使用聲波探測器識(shí)別物理隔離有效性
3. 滲透測試法:模擬APT攻擊鏈進(jìn)行網(wǎng)絡(luò)層滲透(含0day漏洞利用測試)��,開展社會(huì)工程學(xué)攻擊模擬
4. 配置核查法:采用自動(dòng)化腳本驗(yàn)證防火墻規(guī)則集合規(guī)性(符合NIST SP 800-41 Rev.1標(biāo)準(zhǔn))
5. 流量分析法:通過全流量鏡像捕獲技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)行為基線建模(采樣率≥99.99%)
6. 壓力測試法:對身份認(rèn)證系統(tǒng)實(shí)施每秒萬次并發(fā)請求測試(持續(xù)時(shí)長≥72小時(shí))
7. 逆向工程法:對關(guān)鍵應(yīng)用程序進(jìn)行二進(jìn)制代碼審計(jì)(覆蓋率≥95%)
檢測儀器
采用國際認(rèn)證的專用檢測設(shè)備:
1. 網(wǎng)絡(luò)協(xié)議分析儀(Fluke OptiView XG)支持40Gbps線速抓包與深度報(bào)文解析
2. 電磁輻射測試系統(tǒng)(Rohde & Schwarz ESRP)滿足EN55022 Class B輻射限值測量要求
3. 光纖鏈路診斷儀(EXFO FTB-880)具備OTDR三維事件定位功能(精度±0.5m)
4. 密碼算法驗(yàn)證平臺(tái)(Cryptotronix SCE-M8)支持國密SM2/SM4算法合規(guī)性測試
5. 工業(yè)協(xié)議模糊測試工具(Codenomicon Defensics)覆蓋Modbus TCP/DNP3等18種工控協(xié)議
6. 數(shù)據(jù)完整性校驗(yàn)系統(tǒng)(Tripwire Enterprise)實(shí)現(xiàn)百萬級文件基準(zhǔn)比對(MD6/SHA3-512)
7. 生物識(shí)別破解裝置(BackTrack Biometric Toolkit)具備指紋模具生成與虹膜仿真攻擊能力
檢測流程
1�、咨詢:提品資料(說明書、規(guī)格書等)
2��、確認(rèn)檢測用途及項(xiàng)目要求
3�、填寫檢測申請表(含公司信息及產(chǎn)品必要信息)
4、按要求寄送樣品(部分可上門取樣/檢測)
5�、收到樣品,安排費(fèi)用后進(jìn)行樣品檢測
6�����、檢測出相關(guān)數(shù)據(jù)���,編寫報(bào)告草件���,確認(rèn)信息是否無誤
7、確認(rèn)完畢后出具報(bào)告正式件
8�����、寄送報(bào)告原件
