I-SOON
>> 数字安全防护溯源 > 安全服务
运用科学的方法和手段,梳理网络与信息系统资产,分析面临的威胁和脆弱性,评估存在的安全风险及严重程度,并对安全风险提出针对性的防护建议和规划方案。
·了解网络安全现状,准确识别存在的安全风险。
·梳理网络安全需求,提出针对性的安全规划方案, 构建纵深安全防御体系。
·GB/T 20984-2007信息安全评估规范
·GB/T 31509-2015信息安全风险评估实施指南
·GB/T 22239-2008信息系统安全等级保护基本要求
·安全风险评估报告
·网络安全规划报告
在用户的授权和监督下,模拟黑客攻击手法,对目标系统进行非破坏性的安全测试,查找存在的漏洞并进行利用,完成后给出详细的漏洞修复建议。
·主动发现、验证业务系统中的安全漏洞和隐患, 并提出针对性的修复建议。
·变被动为主动,降低系统被攻击的可能性。
·人工渗透占比80%以上,所有漏洞均手工验证。
·渗透测试报告人工编写,非工具导出,无误报。
·渗透测试报告(含漏洞修复建议)。
·渗透测试复测报告(漏洞修复后)。
通过人工和工具结合的方式,运用动态分析和静态检测技术,对APP应用(客户端、服务端)进行安全评估,查找存在的安全漏洞和安全风险,并提供针对性的修复建议,确保APP应用的安全。
·Android 客户端安全评估报告、IOS 客户端安全评估报告、服务端渗透测试报告
全程参与用户等级保护工作的所有阶段,确保用户通过等级保护测评。既满足国家监管机构的要求,又有效提升系统的安全防护能力,保障网络的安全稳定运行。
·结合等保2.0安全保护要求、ISO27001体系、行业标准等,为客户提供定制化的等级建设方案。
·评估系统安全现状与对应保护级别之间的差距,通过安全整改,有效提升系统的安全防护能力。
·一站式服务,用户参与度低,有效降低用户工作负担。
·全流程参与,不局限于某个阶段,利于责任界定和整体质量把控。
检查源代码中的安全漏洞、安全隐患、安全缺点、错误信息,分析并验证这些问题可能导致的安全风险,并提供对应的代码修复建议,从而确保系统代码层面的安全。
·充分挖掘代码中存在的安全缺陷以及规范性缺陷。
·让开发人员了解应用系统面临的安全威胁,指导 其对程序缺陷进行修复,提升系统的安全性。
·预审计使用业界领先的Fortify SCA,误报率相对较低。
·人工分析、验证、确认,人工审计超过70%,确保准确。
·源代码审计报告(含修复建议)。
·回归测试报告(漏洞修复后)。
为用户建立一套基于ISO27001的ISMS信息安全管理体系,并协助用户将安全管理体系文件在日常安全工作中落地执行。
·建立并执行以ISO27001为标准的安全管理体系,确保安全工作有法可依。
·建立以风险管理为核心的防御体系,强化员工安全意识,规范安全行为。
·全面:14个控制域、35个控制目标、114个控制措施、300+调研问题。
·标准:现状调研、风险评估、差距分析、体系建立、体系运行。
·信息安全管理体系框架。
·信息安全管理体系文件(一、二、三、四级)。
红蓝对抗是一项非破坏性质的攻防实战演练,针对指定的业务系统进行,红队模拟黑客进行攻击、蓝队模拟运维人员负责防守,最终目的是提升业务系统的安全。
·红队:竭尽所能查找系统的安全漏洞,对漏洞进行 利用,获得系统及服务器的管理权限。
·蓝队:对抗前对系统进行安全检测和加固,尽力确 保系统的安全,避免在对抗中被找出漏洞并攻破。
·有效发现系统中存在的各类安全漏洞。
·提升系统安全防御能力,确保系统的安全稳定运行。
在重大活动或重大节假日(如建国70周年)期间,为用户提供全程的网络安全保障工作,确保用户业务系统的安全稳定运行。
·确保在活动期间,保障目标的安全稳定运行,防止 出现网页被篡改、被挂反动信息的情况。
·有效满足国家监管机构的要求,防止出现因遭受安 全攻击,而被追责的情况。
·丰富的重大活动安全保障经验,如HW行动、G20、 APEC、金砖会议、互联网大会、十九大。
·在项目中总结出标准的保障流程,确保网络安全保 障工作的成效。
通过专用的互联网网站安全监控平台,对指定的网站进行7*24小时安全监测,在网站出现异常时自动进行告警,并根据需要导出监测日报、周报、月报。
·第一时间发现网站异常,维护组织的公众形象与声誉。
·通过长期的不间断监测、定期漏洞检测,提升网站的安 全防护能力和网站服务质量,建立长效的安全保障机制。
·网站安全监测周报、月报。
·网站安全检测报告。
周期性对目标进行安全漏洞扫描、基线配置核查、安全日志审计,完成后提供全面的安全巡检报告,给出存在的安全漏洞及潜在的安全风险,并给出对应的整改建议。
·主动发现目标的安全漏洞、配置隐患,及潜在的安全风险。
·周期性检查,确保目标的安全、持续、稳定运行,促进 PDCA模型在组织的落地执行。
·巡检对象:业务系统、安全设备、网络设备、重要终端。
·巡检周期:每季度一次、每半年一次。
·安全巡检服务报告。
·安全漏洞扫描报告、基线配置核查 报告、安全日志审计报告。
在业务系统遭受黑客入侵攻击时,第一时间对入侵事件进行分析、抑制、还原、处理,查找入侵来源并恢复系统正常运行,完成后给出对应的应急响应报告。
·提升面对入侵攻击事件的处理效率,降低因入侵事件带 来的损失。
·还原入侵攻击路径,溯源取证,为安全防护提供指导。
·既治标又治本,分析入侵事件的同时,还对系统进行 安全检测,防止系统再次因相同原因遭受攻击。
·应急人员全部来自总部专家团,具备丰富的安全攻防 实战经验。
·安全应急响应报告。
每月为用户提供行业网络安全研究报告,内容包括当月安全漏洞、安全预警、安全建议。同时,在出现重大安全漏洞和突发事件时,提供对应的安全事件分析报告。
·及时了解、掌握最新的网络安全态势和威胁数据,精准发现内部失陷主机。
·对高风险漏洞或重大安全事件,第一时间在单位内部进行安全预警和防护,降低可能带来的安全损失。
·网络安全研究报告:每月一期。
·安全事件分析报告:根据实际情况,不定期发送。
·网络安全研究报告。
·安全事件分析报告。
面向技术人员,如安全运维人员、系统开发人员等。目的是通过培训让其在网络、主机及应用层面上了解合规通用的安全配置基线、安全开发等;同时通过实验了解常见的网络攻击技术思路、手段,掌握常见的攻击入侵防护方法。
·让受训人员有效掌握黑客攻防原理、技术、基本操作。
·加深对安全攻防的理解,切实提升受训人员的安全攻 防能力。
·全面涵盖网络安全、系统安全、中间件安全、应用安全 、数据安全。
·既有攻防技术讲解,也有攻防操作实战。
·安全攻防培训课件、仿真攻防实验 环境、课程大纲。
面向非技术人员,如安全管理人员、非安全部门人员等。通过案例介绍的方式对日常工作中可能产生的安全威胁进行分析,内容包括安全管理、法律法规、勒索病毒防护、社工防范、办公安全等。并阐明具体的防范措施,最终协助建立起适合个人、企业的用户行为基准。
·让员工理解在网络和信息安全中的责任和义务,减少 因无意识引发的安全事件。
·提升员工的安全意识,间接促进网络的整体安全。
·1-2天培训。
·安全意识培训课件、课程大纲。
安洵信息技术有限公司 蜀ICP15015125-1号 版权所有 Copyright 2016 All Rights Reserved 安洵信息
川公网安备51019002005467号