城堡网 >> 安全产品 >> 方案与服务 

北京圣博润高新技术股份有限公司安全服务项目介绍
1. 概述
    北京圣博润高新技术股份有限公司(简称:圣博润公司,新三板代码:430046)在信息安全领域深具造诣,一直致力于提供业界领先的安全专家服务,能够协助用户实现正确、快速的业务增长,圣博润公司的能力与声望是用户信心的保证。圣博润公司的安全服务是一项综合服务,由圣博润公司安全服务事业部经验丰富的安全技术专家,基于用户网络结构的特性和其个性化的需求来提供有针对性的安全解决方案,将来自一线的经验变成用户所需要的安全服务,从而保障大型和重要网络环境的信息安全,有效地减少客户由于安全问题引起的不可估量的损失。
圣博润公司的安全服务特点如下:
1. 专职部门负责
    圣博润公司安全服务事业部专职于安全服务业务的跟踪实施和开拓扩展,致力于安全服务内容的标准规范和特色创新,切实提升安全服务水平和技术人员的专业服务能力。
2. 安全服务经验丰富
    圣博润公司拥有一批经验丰富的安全服务工程师,这些一流的安全专家拥有CISP、CIW、CCNP、MCSE、MCDBA等多项专业资质的认证和多年的安全服务经验,具有专业的技术能力和丰富的安全服务经验,曾经给很多用户提供过安全服务,为客户解决过各种安全问题。
3. 规范清晰的服务流程
    圣博润公司遵循国际和国内的标准要求,建立服务工作的相关规范,使安全服务工程化和体系化,保证安全服务整个项目过程和结果的可控性。
4. 完善细致的文档提供
   圣博润公司安全服务不仅具有规范的服务流程,还为客户提供与流程相对应的完善细致的服务文档,使客户清楚安全服务所做的工作内容,为客户网络的运行维护提供依据。
5. 明确量化的服务承诺
    圣博润公司的安全服务“产品化”,根据每个服务的特点,制定明确量化的安全服务承诺和指标,使安全服务有据可循。
2. 等保咨询
    信息系统等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和组织对其信息系统实施分等级安全保护,就是按照信息系统及所承载内容的重要程度进行分级防护。根据国家相关部门和监管机构对信息系统实行等级保护的要求:
    1. 完成信息系统安全等级定级和顺利通过等级测评工作:
    2. 发现和解决信息系统安全面临的威胁和存在的主要问题,找出与等级保护要求等级上的差距,并及时进行改进;
    3. 提高信息系统整体安全保护水平,保障信息系统安全正常运行;
    4. 根据信息系统划分情况、信息系统定级情况、信息系统承载业务情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施规划等,有针对性地指导后续的信息系统安全建设工程实施;
    5. 提升信息系统整体安全层次,使信息系统为业务提供更好的支撑平台,保证业务系统的正常运行。
    等级保护是根据信息系统应用业务重要程度及其实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,突出重点,保障重要信息资源和重要信息系统的安全。
    圣博润公司根据国家相关部门的要求,并结合定级指南、基本要求、测评指南、等级保护实施指南等标准内容,按照信息及信息系统分级、等级保护要求、等级安全评估,实施等级保护措施、安全认证、安全认可这几个方面进行等级保护工作的专项研究,为企业有效地开展等级保护工作提供全面的咨询服务。根据等级保护的实施步骤,圣博润公司提供的等级保护咨询服务主要包括:信息系统定级咨询服务、等级化评估服务、等级保护体系设计服务、等级保护体系建设、安全运维支持服务、等级保护培训、协助等级保护测评服务等咨询服务。
3. 风险评估
   信息安全风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性进行评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。在风险评估过程中的主要任务包括:识别评估对象面临的各种风险、评估风险概率和可能带来的负面影响、确定组织承受风险的能力、确定风险消减和控制的优先等级、推荐风险消减对策等。
    圣博润公司将根据《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)的内容,帮助企业完成其信息系统风险管理过程中的鉴定、分析、评价和处理等任务,有利于企业对信息系统实施风险管理。经过精细的风险评估,企业可以在提升安全、降低风险、承受风险、转移风险等方面做出正确的选择,目的在于指出信息系统的风险所在、防范风险的代价、风险可能造成的损失,并最终依据后两者的比较制定信息安全保障体系。
    圣博润公司风险评估服务,按照信息资产价值、弱点被利用的难易程度、威胁的可能性、影响的严重性、风险值五个要素对组织的信息系统进行风险评估。同时从技术层面对客户的信息系统存在的风险和漏洞进行分析,确定被评估单位所拥有的关键信息资产;通过文档审阅、脆弱性扫描、本地审计、人员访谈、现场观测等方式,获得评估范围内主机、网络、应用、管理等方面与信息安全相关的信息;对所获得的信息进行综合分析,鉴别被评估单位关键信息资产存在的安全问题,以及相应的风险;根据不同风险的优先级,分析、确定管理相应风险的控制措施基于以上分析的结果,形成相应的信息安全风险评估报告等。
4. 信息安全体系建设
   参照信息安全管理模型,按照先进的信息安全管理标准ISO 27001标准建立组织完整的信息安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式,用最低的成本,使信息风险的发生概率和结果降低到可接受水平,并采取措施保证业务不会因风险的发生而中断。通过建立信息安全管理体系可以强化员工的信息安全意识,规范组织信息安全行为,对组织的关键信息资产进行全面系统的保护,维持竞争优势;在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度等。
    圣博润公司依据ISO 27001等国际标准,将信息安全管理方法、理念、意识、技术和解决方案通过项目传递给客户,帮助客户解决切实的信息安全问题,并且掌握解决问题的机制和方法。从管理、技术、人员、过程等多角度定义、建立、实施信息安全管理体系,从多个层面保障组织的信息安全,进而解决大型企业和机构内不同部门信息安全建设不一致的问题。
    圣博润公司将根据评估结果,规范所有与信息安全相关的管理活动,以及其它与信息系统相关活动的安全控制要点。并从组织和人员安全、信息分类及保护、第三方与外包的安全管理、物理及环境的安全管理、网络安全、通信安全、主机及系统的安全、软件安全管理、操作与维护、项目与工程安全控制、应用系统开发及支持、密码技术及管理、业务持续性管理、符合性管理等方面,为企业制定具体安全方案、管理制度、工作流程和操作指引的基础和依据。避免企业各部门在信息安全建设中的盲目性,帮助企业建立符合国际规范的有效的信息安全体系。
5. 渗透测试
    渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析。通过这个分析,可以准确确定攻击者可能存在的位置来进行的攻击,并且从这个位置有条件主动利用安全漏洞。通过渗透测试能够直观的让信息主管对信息系统的安全性有较深的感性认知,在进行了安全项目之后进行渗透测试,则可以用于验证经过安全保护后的网络是否真的达到了安全目标。
    圣博润公司渗透测试工程师通过从不同角度对用户信息系统的各个应用服务进行全方位的模拟环境下的远程渗透测试,目的在于,通过对目标网络/系统/主机/应用的安全性作深入的探测,检测其真实防护能力,增强对系统入侵的防护及检测能力和攻击发生时期的处理能力,注重安全漏洞的严重性,发现系统中最脆弱的环节。渗透测试的内容主要包括:口令猜解、网站探测、已知漏洞分析、参数操控、跨站脚本、指令注入、应用层DOS、HTTP方法利用、异常处理、审核及日志记录、缓冲区溢出等内容。
6. 代码审核
    圣博润公司的工程师将采用人工与工具结合的方式,根据客户需要为其提供应用程序源代码安全性检查与审核服务,及时发现不符合规范的源代码与不安全的调用,让用户放心使用应用程序。根据分析与扫描结果进行总结,针对源代码的编码规则、系统结构、语句逻辑、多行结构数据流与控制流进行分析审核。按优先级发现及区分安全漏洞,从而为客户信息系统的代码组织结构提供强有力的安全支持,为系统的管理人员带来了需要的技术和一致性并且允许安全专家通过更多的项目来扩展他们的知识。代码审核主要分为人工审核和静态分析工具审核源代码等方式进行,具体介绍如下:
    人工审核采用人工审计方式,是有效解决代码安全问题的方案之一。代码审核顾问从安全性的角度对代码进行审核,关注系统可能出现安全漏洞的部分,分析漏洞原因以及可能被利用进行非法破坏的方式,在系统正式上线后运行过程中对其安全漏洞进行管理,将安全性风险降到最低。
    静态分析工具审核源代采用静态代码分析工具同时对信息系统进行代码扫描。静态代码分析工具是一种类似于代码编译器的方式处理代码,可提供的高可伸缩性算法使用扩展的安全编码规范包来执行一个深度的、彻底的、对应用程式的分析,可以应用在甚至是由上百万行代码组成的应用系统。
7. 安全加固服务
    系统安全加固是指通过一定的技术手段,对信息系统中的主机系统、网络系统、数据库系统、应用程序的脆弱性,进行分析和修补,提高操作系统的主机安全性和抗攻击能力。另外,安全加固同时包括了对主机系统的密码系统安全增强、提供访问控制策略和工具、增强远程维护的安全性、文件系统完整性审计、增强的系统日志分析。安全加固实施完毕后,出具网络安全实施报告提供给客户,实施报告包含每个实施步骤的分析过程与实施前后系统的安全状态。
    圣博润公司在基于实施风险削减建议的优先度、风险削减与实施费用的平衡控制、适度安全、覆盖所有评估内容、测评有效性等原则,采用优化配置、调整安全策略、安装补丁、安装安全软件等方法分别对信息管理、网络设备、安全设备、系统主机和数据库系统提出削减风险的技术与管理的安全建议与措施,并根据提供安全建议措施实施安全加固服务。
    圣博润公司提供的安全加固服务主要针对安全管理和安全技术两个方面存在的漏洞和弱点进行安全加固,在安全管理加固方面,从基础域的组织、制度、资产管理、物理环境、法律法规符合性;核心域的信息安全策略管理和风险管理;过程域的事故响应管理情况、业务持续性情况和灾难恢复管理情况;生命周期域的信息安全规划和信息系统运行管理现状等方面完成对用户信息系统的安全管理基础域、核心域、重要过程域以及生命周期域的全面加固;在安全技术加固服务方面,主要从服务器操作系统配置、网络架构及配置、应用系统安全配置、数据库安全配置等方面进行安全加固。
8. 安全运维服务
    圣博润公司参照ISO 27001、ISO 20000等国际标准和ITIL服务管理标准的要求协助客户建立完善的、可持续改善的IT运营管理体系,提供更加有效、更加敏捷、更加安全的IT运维服务,包括IT基础运维、网络运维及安全运维服务,使企业以较低的成本换来稳定的系统性能,以最好的性能价格比保证企业计算机和网络系统正常使用,使企业专注于自己的业务发展,在自己的专业领域不断前进。圣博润公司为客户提供的主要服务有:
1. IT基础运维
   圣博润公司派遣专业服务工程师到设备现场进行预防性维护服务,对终端主机设备及系统进行全面测试和分析。确认设备运行状态,检查系统错误记录,排除隐患故障并进行设备保养工作。IT基础服务根据计算机性质分为用户终端维护和服务器硬件维护服务。
2. IT网络运维
    圣博润公司派遣资深网络工程师对客户网络提供网络运维服务,内容包括主要网络设备的维护、网络结构配置变更等内容。借助网络运维服务可以及时发现故障的先期征兆,使得我们可以提前将故障排除,减少客户网络停机次数,并定期对客户中心机房内的网络设备进行检测、维护。
3. IT安全运维
    圣博润公司派遣专业服务工程师到现场进行安全维护服务,对客户网络及重要服务器进行分析,运维内容包括安全漏洞补丁通告、安全设备管理、服务器性能巡检、数据恢复等内容,并能够提供实时的技术支持服务。安全设备是网络安全的基石,通过在网络中安装特定的安全设备,能够使得网络的结构更加清晰,使安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性,最大限度发挥安全设备的作用。
9. 项目案例
    中国长城工业总公司信息系统安全评估项目;
    湖北烟草专卖局安全风险评估项目;
    国家烟草局、中国烟草总公司安全评估项目;
    天津烟草系统信息系统网络及安全检测评估及等级保护咨询服务项目;
    安徽中烟工业公司信息系统安全风险评估项目;
    中国人民健康保险股份有限公司信息安全咨询规划项目;
    国家发展改革委员会信息系统风险评估项目;
    国家外汇管理局信息安全运行维护服务项目;
    北京可口可乐IT治理项目(一期IT管理控制体系);
    光大银行信用卡中心ISO 27001认证咨询、体系整合项目(通过BSI双体系审核);
    北京市信访综合办公系统风险评估项目;
    北京市档案馆信息系统安全运维项目;
    北京市西城区政府网网络优化项目;
    奥运会网店信息安全风险评估项目;
    人保财险信息系统等级保护评估项目;
    北京燃气信息系统等级保护评估;
    中美互利SOX404内控体系评估与渗透测试;
    北京广播电台信息系统风险评估。

分享到:
责任编辑:jr
我有话说 已有 0 条评论
最新评论 刷新
暂无评论