深圳市大成天下信息技术有限公司

风险评估是风险管理的重要组成部分，要想更好地理解风险评估，首先要了解风险管理。
风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。
本白皮书描述了大成天下安全服务体系中的一个重要部分——风险评估服务。本文主要面向企业的技术决策者、安全维护人员和基础结构工程人员。

点击下载《大成天下风险评估服务技术白皮书 v1.0》

安全加固是对信息系统中的主机系统（包含运行在主机上的各种软件系统）与网络设备的脆弱性进行分析并修补。另外，安全加固同时包括了对主机系统的身份鉴别与认证、访问控制和审计跟踪策略的增强。
加固的主要目标包括以下两点：

解决目标系统在安全评估中发现的技术性安全问题；
对系统性能进行优化配置，杜绝系统配置不当而出现的弱点。

修补加固内容不能影响目标系统所承载的业务运行；
修补加固不能严重影响目标系统的自身性能；
修补加固操作不能影响与目标系统以及与之相连的其它系统的安全性，也不能造成性能的明显下降。

大成天下信息技术有限公司的技术研究人员对网络基础设施、系统与网络应用安全具有深入研究，研究范围包括网络设备及安全设备（交换机、路由器、防火墙、入侵检测系统等）、操作系统平台（Windows、AIX、HP-UX、Solaris、IRIX、Linux等）。有能力并且多次完成下列各项工作：

- 渗透测试（Penetration testing）
- 网络架构评估与设计（Architecture review and design）
- 应用审计（Application audit）
- 源代码审计（Source code review）
- 黑箱测试（Online or Binary Black box testing）
- 审计、追踪与数据恢复（Forensics）
- 协议分析（Protocol analysis）

- 授课人员安全实战经验丰富，课件带有大量案例；
- 寓教于乐，具备充分的实验和游戏机会；

深圳市大成天下信息技术有限公司是一家专业从事网络安全产品与服务的高科技公司。凭借多年的从业经验，大成科技聚集了一批优秀的专业人才，在华南信息安全领域中具有独到的地位。
目前，大成科技的研究人员通过多年的专业安全服务经验，开发出包括游刃基线安全系统、铁卷信息监控平台等多款产品，涉及的研究领域涵盖安全评估、内容安全、接入安全等多方面，并取得多项科研技术成果。
作为专业信息安全技术与产品提供商，大成天下致力于利用自身的信息安全专业知识和经验，以帮助客户成功保障他们的资产安全。
本白皮书描述了大成天下安全评估服务体系中的一个重要部分——渗透测试服务。本文主要面向企业的技术决策者、安全维护人员和基础结构工程人员。

点击下载《大成天下渗透测试服务技术白皮书》

安全评估中数据库评估是很重要的一个环节，但国内在 sybase 安全方面的资料极为匮乏，希望这篇文档能够对初学者起到基本指引的作用。
全文请参见《Sybase数据库评估指南 v1.0》（471.1 KB）

渗透测试（Penetration Test）是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环节的过程。渗透测试能够直观的让管理人员知道自己网络所面临的问题。
本文用尽量简洁的方式说明网络安全评估中最困难的环节—渗透测试的操作过程，希望读者能够揭开其神秘面纱。能够组织甚至操作一次企业内部的Penetration Testing。
详细内容请参考《渗透测试操作实务 v1.0》

网络安全风险评估已经从几年前阳春白雪的状态，演化为当前企业/组织信息与网络安全建设前期通常会考虑进行的一项工作。但评估的方法、效果比起以往，是否有所提升？
就我所见，当前安全市场上主流的评估厂商提供的服务，大多存在以下几方面问题：

1、妄谈管理（用户选中安全公司，是因为他们懂安全，而不是因为他们懂管理）；
2、盲目量化（以为数字能说明一切，自己“定义”了量化标准和算法）；
3、千人一面（评估与业务脱节，一个评估方案放之四海皆准，甚至一个评估报告也是放之四海皆准）；

1、以业务流为核心，是简单资产盘点的深化；
2、以事件评估与沙盘推演替代威胁评估，操作起来不再那么虚无飘渺；
3、简化的顾问咨询过程，结论中以“制度”来推进管理，更具可操作性；