常见安全服务(基线加固、风险评估、应急响应、渗透测试、代码审计、重保)介绍

前言

据CCIA统计，2021年上半年我国共有4525家公司开展网络安全业务，相比上一年增长了27.0%。其中，生产销售网络安全产品的企业有1275家，同比增加了7.6%；提供网络安全服务的企业有3557家，同比增加了33.2%；提供网络安全产品和服务的综合型网络安全公司有307家，同比增加了15.0%。产品型企业数量小幅增加，而服务型企业数量显著增加，说明了近两年网络安全服务需求增长，国内网络安全市场过去“重产品，轻服务”的情况得到改善，产品型企业更多地转型成为了综合型网络安全公司。¹

通过对网络安全市场客户的需求调研分析，2020年安全服务收获了最高热度。¹

以下介绍常见的安全服务类型，以下介绍内容大多为标准化服务，但在真实需求中往往根据用户的具体需求进行安全服务。

---

一、安全服务的意义

尽管目前很多单位已完成等级保护建设，部署了相关安全硬件产品，但由于缺少相应的安全运维体系、专业网络安全人员，无法完全利用相关专业设备，依然无法及时发现网络入侵、病毒、网络访问异常、网络拥塞等问题，不能发现隐藏的问题，威胁潜伏越久，累积的潜在损失就越大。由此，安全服务的需求便诞生。

---

二、常见安全服务

1、基线加固

众所周知，CIA三要素中，机密性、完整性与可用性具备一定的程度的互斥。过于高可用性注定带来机密性、完整性的缺失，而大多设备在出厂之时总在强调方便快捷使用。为平衡其中关系，便出台基线，也即基本标准。

目前最常见的基线标准即为工信部标准： 下载链接.
YD/T 2701-2014 电信网和互联网安全防护基线配置要求及检测要求-操作系统
YD/T 2698-2014 电信网和互联网安全防护基线配置要求及检测要求-网络设备
YD/T 2699-2014 电信网和互联网安全防护基线配置要求及检测要求-安全设备
YD/T 2702-2014 电信网和互联网安全防护基线配置要求及检测要求-中间件
YD/T 2700-2014 电信网和互联网安全防护基线配置要求及检测要求-数据库
YD/T 2703-2014 电信网和互联网安全防护-基线配置要求及检测要求-web应用系统

工信部标准除去要求之外，还有相对应的操作指南、检测方法、判定条件。

---

2、风险评估

信息安全风险评估是指依据国际国内信息安全技术与管理标准，评估信息系统脆弱性、所面临威胁、以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，以此识别信息安全风险的过程，并提出有针对性的抵御威胁的防护对策和整改措施，将风险控制在可接受的水平，从而最大限度地保障信息安全。

风险评估也有相应的标准：GB/T系列的标准可直接前往国标库查询
GB/T 20984-2007《信息安全技术 信息安全风险评估规范》
GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》

其中GB/T 20984具备相当详细的风险评估流程以及具体的计算方法

---

3、渗透测试

主要依据安全专家已经掌握的安全漏洞和安全检测工具，模拟黑客的攻击方法在中国经济网系统负责人的授权和监督下对相关网络进行非破坏性的攻击测试。
直观地表现网络安全漏洞的危害；
定量、具体地报告网络系统中存在的可能被利用的网络安全漏洞；
详细呈现渗透方法与过程，为设计安全解决方案提供事实依据。

---

4、应急演练/应急响应

应急响应分为三大内容：应急预案、应急演练、应急响应。

通常可提供安全服务如此：
①帮助客户制度安全应急预案
②组织客户开展应急演练
③7×24小时的安全应急响应，对安全事件进行分析、抑制、溯源，到用户现场进行应急处理。最大程度降低安全事件对客户带来的损失。

标准：
GB/T 24363-2009 《信息安全技术 信息安全应急响应计划规范》
GB/T 38645-2020 《信息安全技术 网络安全事件应急演练指南》

---

5、代码审计

检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过人工或机器审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

---

6、重保服务

提供重要时期安全保障服务，例如HW、两会等

---

1. 数据及图片来源于《中国网络安全产业分析报告（2021年）》 ↩︎ ↩︎