CN

安全运维

        我公司已组建了安全服务部,现共有5人左右,其中包括3人的咨询顾问团队和2人的安全攻防团队;且我公司与业界多家安全厂商达成战略合作,其中顾问团队大多由主要由业界专家、 国际咨询顾问公司及国内大型系统集成公司等人员组成,安全攻防团队由具有多年攻防安全研究的资深白帽子组成。公司多名顾问取得CISP、CCIE、 COBIT、ITIL等业界相关认证, 并大多具有在大型机构从事IT咨询、IT运维、IT稽核的工作背景。公司多名顾问参与多项国家信息安全标准的撰写和审核,其中包括等级保护、风险评估等。

 

        安全服务部已经具备了丰富的从事等级保护实施、安全技术控制、IT风险评估、渗透测试、应急响应、IT治理咨询、IT审计(稽核)外包等服务方面的经验。

 

等级保护实施能力

        其中安全厂商顾问曾参加国家信息系统等级保护标准的制定与修改;目前正与公安部展开更深入的合作。积累了丰富的等级保护相关项目的经验,并协助多家单位对信息系统进行定级备案及评估整改,并顺利通过等级保护测评。

 

安全技术控制能力

        公司研究和制定了包括网络、安全功能设备、操作系统、数据库在内的9种安全实施质量保证标准;对安全管理技术标准进行多年的研究和实践(如:ISO27001、ITIL等);实施了多个安全体系建设咨询的服务项目,并帮助客户顺利通过IS027001认证。

 

专业的IT治理能力

       公司多年从事IT治理方面的研究,并熟悉相关IT治理方面的标准(如ISO38500、Cobit、ITIL等),具备了丰富的运行维护保障经验及流程再造能力。

 

专业的渗透测试技术

公司的渗透测试团队具有丰富的服务经验,结合安全行业的发展不断创新,在利用国际公认的最新工具和最新漏洞方面的渗透服务工作,具有很强的能力。

 

专业的IT审计能力

        公司拥有专业的IT审计知识及丰富的IT审计经验,具备 IT内部控制体系建设能力。熟悉目前大型信息系统的结构、技术、应用、运行维护管理的现状,对IT内控过程中的关键控制环节熟悉了解,并具备实现COSO目标要求的资源和能力。

 

安全服务产品介绍

 

服务名称

服务内容

服务方式

风险评估服务

现场对系统进行全方位的评估服务,一般通过现场访谈、工具扫描、渗透测试和手工检查等手段进行评估,根据评估结果制定风险分析和风险管理规划。

现场和远程

安全扫描服务

采用扫描工具对客户信息系统进行安全扫描,发现漏洞,提供扫描报告,并根据扫描报告给出整改建议。包括:服务器、网络设备、安全设备和应用系统。

现场和远程

渗透测试服务

主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。

现场和远程

安全

加固

根据系统情况制定相应测试方案、加固方案与回退方案,通过安装补丁、修改安全配置、增加安全机制等方法,增强信息系统抵抗风险的能力,从而提高整个系统的安全性

现场

应急响应服务

当用户信息系统发生安全事件时,我们提供的一种快速的解决问题的服务,包括远程的和现场的服务,比如入侵取证、灾难恢复、疑难木马查杀等;

现场和远程

等级保护咨询服务

遵循国家等级保护要求,协助客户进行定级、差距评估、整改方案设计、安全加固、整理测评资料和协助通过测评,最终帮助客户完成信息系统达标建设,通过测评中心的测评。

现场和远程

安全体系咨询服务

综合国际国内标准、政策要求和实践优化经验,为高端客户搭建全面的、无缝整合的动态信息安全保障体系,保障客户的持续安全,并为客户提供未来3-5年的安全建设规划。

现场和远程

安全培训

按照客户要求,提供相应的安全培训,比如黑客技术培训、安全加固培训、安全体系政策培训、安全风险意识培训等;

现场