一、概述
体系化的信息安全服务覆盖系统安全生命周期的各阶段,包括规划设计(安全咨询)、建设实施(安全测评、风险评估、安全建设、安全培训)、运维(安全监测、安全运维)、响应(应急处置、攻防演练)等,帮助客户系统的识别和消除来自人员知识、开发环境、业务逻辑的信息安全风险。
二、解决方案
1.安全咨询
为用户提供全面、细致的安全咨询服务,包括信息系统安全顶层优化设计、分级保护建设咨询、网络安全风险管理咨询、安全解决方案和事件应急处理咨询服务,同时可根据客户特定需求,针对具体的信息化建设项目就安全性方面提供建设咨询。
2.安全测评
根据涉密信息系统分级保护相关标准,向用户提供分级保护建设测评服务。服务涵盖了分保测评的全过程,包括风险评估、资料审核、安全建设方案设计、模拟测评、现场检测、专家评估、现场汇报等方面。
3.安全培训
为用户提供安全管理制度体系、应用系统安全配置、安全设备部署调试、系统日常运营维护、保密知识讲座等一系列信息安全培训课程,提高用户的信息系统安全管理和技术能力。
4.风险评估
依据国家、行业相关标准规范,通过对信息系统的物理环境、管理制度、网络架构、安全设备、服务器终端、应用系统中存在的威胁、脆弱性和已有的安全措施进行识别,结合专业化的渗透测试(覆盖OWASP联盟的TOP10安全威胁和网络层的综合评价TOP10漏洞),对系统中存在的安全风险进行评估,提供风险评估报告。
5.安全运维
安全运维包含安全巡检和安全监测两部分服务。安全巡检是周期性对客户的信息系统中网络设备、安全设备、服务器系统、应用系统的安全状态进行巡检,同时对各类日志进行分析;安全监测是对信息系统中的设备各项运行指标进行实时监测,对异常事件实时告警。
6.应急响应
提供全年7*24小时应急响应服务,在信息系统发生网络故障、病毒爆发、网络入侵、主机故障、软件故障等安全事件时,及时进行应急处理,准确定位安全事件并对安全事件进行处置和溯源,降低用户损失,处置完成后提交应急响应报告。
三、优势特点
1.体系化的安全服务
服务体系覆盖信息系统安全建设的全生命周期。
2.专业化的安全团队
汇集CISP、信息安全风险评估与管理人员等省部级权威认证专家。
3.规范化的测试过程
依据国际SP800和PTES等框架,按照操作手册,遵循安全工程质量管理规范确保安全服务质量。
4.丰富的行业实践经验
l 风险评估
为各地方业务单位常年开展风险自评估并提供整体解决方案。
为业务单位每年提供检查评估服务。
l 安全测评
为涉密信息系统提供绝密级/机密级分保测评服务。
l 安全建设咨询与渗透服务
为金融行业、电力系统、政府部门和大型企业等提供专业的安全建设咨询与渗透服务。
