安全服務(wù)內(nèi)容

目前，國(guó)內(nèi)政府和企業(yè)中信息安全建設(shè)多處在較初級(jí)的階段，缺乏信息安全的合理規(guī)劃，也普遍缺乏相應(yīng)的安全管理機(jī)制，這些問(wèn)題受到整體管理水平和信息化水平的限制，在短期內(nèi)很難根本改變。

產(chǎn)品描述

參數(shù)

當(dāng)前國(guó)內(nèi)的信息安全服務(wù)商紛紛提出了自己的安全服務(wù)體系，一般都包括信息安全評(píng)估、加固、運(yùn)維、教育、風(fēng)險(xiǎn)管理等。這些西方背景的先進(jìn)的理念在吸引用戶的同時(shí)，給用戶造成了很大的迷茫，很多用戶購(gòu)買安全服務(wù)的直接動(dòng)機(jī)是應(yīng)付當(dāng)前的安全事件、滿足管理層的意志或減輕來(lái)自內(nèi)外的輿論壓力，服務(wù)形式內(nèi)容和現(xiàn)實(shí)需求之間存在較大落差。

安全服務(wù)內(nèi)容

等級(jí)保護(hù)實(shí)施能力

公司顧問(wèn)曾參加國(guó)家信息系統(tǒng)等級(jí)保護(hù)標(biāo)準(zhǔn)的制定與修改；目前正與公安部展開(kāi)更深入的合作。積累了豐富的等級(jí)保護(hù)相關(guān)項(xiàng)目的經(jīng)驗(yàn)，并協(xié)助多家單位對(duì)信息系統(tǒng)進(jìn)行定級(jí)備案及評(píng)估整改，并順利通過(guò)等級(jí)保護(hù)測(cè)評(píng)。

安全技術(shù)控制能力

公司研究和制定了包括網(wǎng)絡(luò)、安全功能設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)在內(nèi)的9種安全實(shí)施質(zhì)量保證標(biāo)準(zhǔn)；對(duì)安全管理技術(shù)標(biāo)準(zhǔn)進(jìn)行多年的研究和實(shí)踐（如：ISO27001、ITIL等）；實(shí)施了多個(gè)安全體系建設(shè)咨詢的服務(wù)項(xiàng)目，并幫助客戶順利通過(guò)IS027001認(rèn)證。

專業(yè)的IT治理能力

公司多年從事IT治理方面的研究，并熟悉相關(guān)IT治理方面的標(biāo)準(zhǔn)（如ISO38500、Cobit、ITIL等），具備了豐富的運(yùn)行維護(hù)保障經(jīng)驗(yàn)及流程再造能力。

專業(yè)的滲透測(cè)試技術(shù)

公司的滲透測(cè)試團(tuán)隊(duì)具有豐富的服務(wù)經(jīng)驗(yàn)，結(jié)合安全行業(yè)的發(fā)展不斷創(chuàng)新，在利用國(guó)際公認(rèn)的新工具和新漏洞方面的滲透服務(wù)工作，具有很強(qiáng)的能力。

專業(yè)的IT審計(jì)能力

公司擁有專業(yè)的IT審計(jì)知識(shí)及豐富的IT審計(jì)經(jīng)驗(yàn)，具備 IT內(nèi)部控制體系建設(shè)能力。熟悉目前大型信息系統(tǒng)的結(jié)構(gòu)、技術(shù)、應(yīng)用、運(yùn)行維護(hù)管理的現(xiàn)狀，對(duì)IT內(nèi)控過(guò)程中的關(guān)鍵控制環(huán)節(jié)熟悉了解，并具備實(shí)現(xiàn)COSO目標(biāo)要求的資源和能力。

安全服務(wù)產(chǎn)品介紹

服務(wù)名稱	服務(wù)內(nèi)容	服務(wù)方式
風(fēng)險(xiǎn)評(píng)估服務(wù)	現(xiàn)場(chǎng)對(duì)系統(tǒng)進(jìn)行全方位的評(píng)估服務(wù)，一般通過(guò)現(xiàn)場(chǎng)訪談、工具掃描、滲透測(cè)試和手工檢查等手段進(jìn)行評(píng)估，根據(jù)評(píng)估結(jié)果制定風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理規(guī)劃。	現(xiàn)場(chǎng)和遠(yuǎn)程
安全掃描服務(wù)	采用掃描工具對(duì)客戶信息系統(tǒng)進(jìn)行安全掃描，發(fā)現(xiàn)漏洞，提供掃描報(bào)告，并根據(jù)掃描報(bào)告給出整改建議。包括：服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和應(yīng)用系統(tǒng)。	現(xiàn)場(chǎng)和遠(yuǎn)程
滲透測(cè)試服務(wù)	主要是模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試，目的是侵入系統(tǒng)，獲取系統(tǒng)控制權(quán)并將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶，由此證實(shí)用戶系統(tǒng)所存在的安全威脅和風(fēng)險(xiǎn)，并能及時(shí)提醒安全管理員完善安全策略。	現(xiàn)場(chǎng)和遠(yuǎn)程
安全加固	根據(jù)系統(tǒng)情況制定相應(yīng)測(cè)試方案、加固方案與回退方案，通過(guò)安裝補(bǔ)丁、修改安全配置、增加安全機(jī)制等方法，增強(qiáng)信息系統(tǒng)抵抗風(fēng)險(xiǎn)的能力，從而提高整個(gè)系統(tǒng)的安全性	現(xiàn)場(chǎng)
應(yīng)急響應(yīng)服務(wù)	當(dāng)用戶信息系統(tǒng)發(fā)生安全事件時(shí)，我們提供的一種快速的解決問(wèn)題的服務(wù)，包括遠(yuǎn)程的和現(xiàn)場(chǎng)的服務(wù)，比如入侵取證、災(zāi)難恢復(fù)、疑難木馬查殺等；	現(xiàn)場(chǎng)和遠(yuǎn)程
等級(jí)保護(hù)咨詢服務(wù)	遵循國(guó)家等級(jí)保護(hù)要求，協(xié)助客戶進(jìn)行定級(jí)、差距評(píng)估、整改方案設(shè)計(jì)、安全加固、整理測(cè)評(píng)資料和協(xié)助通過(guò)測(cè)評(píng)，最終幫助客戶完成信息系統(tǒng)達(dá)標(biāo)建設(shè)，通過(guò)測(cè)評(píng)中心的測(cè)評(píng)。	現(xiàn)場(chǎng)和遠(yuǎn)程
安全體系咨詢服務(wù)	綜合國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)、政策要求和實(shí)踐優(yōu)化經(jīng)驗(yàn)，為高端客戶搭建全面的、無(wú)縫整合的動(dòng)態(tài)信息安全保障體系，保障客戶的持續(xù)安全，并為客戶提供未來(lái)3-5年的安全建設(shè)規(guī)劃。	現(xiàn)場(chǎng)和遠(yuǎn)程
安全培訓(xùn)	按照客戶要求，提供相應(yīng)的安全培訓(xùn)，比如黑客技術(shù)培訓(xùn)、安全加固培訓(xùn)、安全體系政策培訓(xùn)、安全風(fēng)險(xiǎn)意識(shí)培訓(xùn)等；	現(xiàn)場(chǎng)