信息安全服务_网络安全服务_等保评估

并擎科技网络安全服务部

并擎科技信息安全服务部，是并擎科技新设的面向并擎所有客户提供专业的信息安全咨询、技术、培训的服务部门。 2019年开年之初，经中国信息安全测评中心的测评，上海并擎软件科技有限公司荣获两项国家级信息安全服务资质证书，包括《信息安全服务资质证书（风险评估一级）》和《信息安全服务资质证书（安全工程类一级）》。这是并擎科技在信息安全服务领域再一次质的飞跃。

服务实施组

星云安全服务团队主要由具有多年安全经验的业界专家、咨询顾问及攻防安全研究员组成，多名成员获得 CISSP/CISP/COBIT/ITIL 等安全相关认证。服务团队现有数十人并在持续壮大中，凭借专业的素养、高超的技术和丰富的经验，为众多客户提供安全咨询、安全评估、安全培训、安全审计、安全检查、安全保障等服务，赢得高度赞誉和广泛认可。

W12实验室

W12信息安全实验室由内部成员及外部知名技术专家团队组成。其职责除开展传统的安全技术研究外，还跟踪业内安全趋势并进行相关技术研究。现已协助国家互联网应急中心(CNcert)发现并修复数百个安全漏洞，获得数十张高危原创漏洞证明证书。

业务范围

安全咨询服务
安全评估服务
安全检查服务
安全保障服务
安全培训服务

1定级咨询
2差距评估
3方案设计
4整改加固
5协助测评

根据国家信息安全等级保护政策要求，对信息系统进行整体等级保护整改工作，并通过国家权威测评机构测评，通过公安部的备案认可。

通过本次项目实现提升我单位信息安全水平和符合国家政策两项目标

要提升信息安全管理水平，从组织、人员、制度和技术各个方面解决信息安全问题，形成符合我单位特点的整体信息安全保障体系。

符合等级保护政策要求，通过相关权威测评机构等保测评。

两个目标是一致的，符合等级保护政策是外在动力，提升信息安全管理水平是内在需求。

信息安全是体系化的，涉及到信息化的方方面面。在信息安全建设中，需要全面参照信息安全标准进行，同时应当进行分析预判，并在规划设计中落实。

信息安全与信息化是一体两翼，信息化的不断建设，必将要求信息安全的不断提升，阶段性建设和投资也是信息安全规划设计的重要内容。信息安全建设是一个动态的长期的过程，为有效组织信息安全建设，需要制定高瞻远瞩、切实可行的规划。

• 当前信息系统的安全状况怎么样?

• 当前信息系统的安全威胁是什么?

• 在发展过程中，可能遇到的安全问题有哪些?

• 未来信息系统的残余风险有哪些，如何控制?

• 安全投资如何抓住主要矛盾，如何根据安全需求划拨资金?

以上，是绝大多数企业都会面临的困扰。信息安全事件不可能完全避免，所以保障企业信息安全必须从风险管理的角度出发，学会控制、化解和规避风险，在信息安全和业务发展间找到平衡点。

风险评估是对网络与信息系统相关方面风险进行辨识和分析的过程，是依据国际/国家/地方有关信息安全技术标准，评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响，并以此识别信息系统的安全风险的过程。

风险评估目的是分析信息系统及其所依托的网络信息系统的安全状况，全面了解和掌握该系统面临的信息安全威胁和风险，明确采取何种有效措施，降低威胁事件发生的可能性或者其所造成的影响，减少信息系统的脆弱性，从而将风险降低到可接受的水平；同时，可以定期了解信息系统的安全防护水平并为后期安全规划建设的提出提供原始依据，并作为今后其他工作的参考。

• 渗透测试

由具备多年从业经验的安全技术人员，通过模拟黑客攻击的方式对指定的信息系统和网络进行非破坏性质的攻击性测试，目的是侵入目标系统，获取目标系统控制权并将入侵的过程和细节产生报告给用户。

• 源代码审计

对定制开发的应用程序源代码，在代码审计前期利用工具对源代码进行静态扫描，后期通过人工审查并分析扫描结果，确认源代码存在的安全隐患，并形成的源代码审计报告。

• APP安全检测

移动APP安全测试是通过各种方法全面发现APP程序自身的安全漏洞，以人工检测为主，各类扫描工具为辅，在保证整个安全检测过程在可以控制和调整的范围之内尽可能地获取程序的安全隐患。

• 安全巡检

定期对用户的重要服务器、应用系统、网络设备、安全设备等信息资产进行安全巡检，及时发现各类系统存在的安全漏洞，并提供安全漏洞的详细描述和修复方案，协助客户提高对其信息资产的安全防护能力。

• 安全加固

针对客户信息系统中存在的安全问题，采用打补丁、停止不必要的服务、升级或更换程序、修改配置及权限以及针对复杂问题的专门解决方案等多种形式，为客户解决各类安全缺陷和漏洞，提升客户信息系统的安全能力和保障其安全运行。

• 应急响应

并擎科技安全服务中心应急服务团队，对突发重大网路安全事件提供应急响应服务，包括但不仅限于清楚木马后门消除入侵影响、分析入侵原因、提供安全建议等。

并擎科技组织的标准培训，如针对特定行业的培训、安全管理培训、安全技术培训。

安全技术的认证培训，如CISP/CISSP。

针对客户的不同需求和实际情况组织的专题交流研讨以及定制化培训，如安全意识培训、行业政策解读、行业新技术研究、攻防实践演练等。

典型案例

某银行信息科技风险咨询服务

项目内容：

信息科技风险管理体系评估

包括：科技治理、科技风险管理、信息安全管理、系统开发/测试呾维护管理、科技运行、业务连续性管理、外包管理、审计管理等方面的评估并给出制度建设建议。

信息系统技术评估

包括：资产收集、漏洞扫描、人工检查、渗透测试、威胁识别、脆弱性识别、风险分析等。

项目成果：

客户获得了现有信息系统安全现状

识别出现有信息科技风险管理体系存在的风险点

完善了银行的组织架构，建立了信息科技管理委员会

增强了银行员巟信息科技风险意识，帮助客户达到了银监会的合规性要求
某政府网站安全服务项目

项目内容：

7*24安全监控服务

包括：对网站系统内的主机、网络设备、中间件、应用程序进行7*24实时监控。

渗透测试服务

包括：利用测试工具测试和人工经验判断。

安全加固服务

包括：网络设备配置策略加固、操作系统加固、应用程序加固等。

项目成果：

实时监控网站的当前状态访问流量

找出攻击者可能利用的安全漏洞

将已绊发现的安全隐患进行规避，将风险降低到可接受程度
某银行信息科技风险咨询服务

项目内容：

应急响应服务

包括：受到客户应急要求后赶赴现场，对安全事件进行分析和判断，进行应急处理以终止威胁，记录事件，更新策略。

渗透测试服务

包括：利用测试工具测试和人工经验判断。

安全值守服务

包括：现场安全监控、日志分析、事件处理、应急配合。

项目成果：

对盗用无线事件进行现场排查和分析，确定原因后进行紧急处理

无线系统进行模拟攻击测试，寻找其它安全漏洞

帮助客户现场监控系统运行情况，保障客户系统在敂感时期的安全运行

并擎科技网络安全服务部

业务范围

• 渗透测试

• 源代码审计

• APP安全检测

• 安全巡检

• 安全加固

• 应急响应

项目实施流程

典型案例

专业的团队服务

丰富的解决方案

众多的行业案例

广泛的服务区域

深入的厂商合作