安全服务
1 安全咨询服务产品速查手册
1.1 安全咨询服务产品概述
安全咨询服务产品是安全服务产品中最重要的一环,其技术含量非常高,涉及的技术较广,从宏观到微观,如安全体系建设,具体技术如网络、系统、数据库的安全。
依赖我们丰富的经验和业界成熟的安全标准,提出一套安全方案和相应的交付物,确保用户信息系统实现相应的安全目标。
1.2 产品说明
快威科技安全咨询服务产品分为六个部分
|
服务名称
|
服务产品
|
|
安全咨询服务
|
资产登记
|
|
现状调研
|
|
|
渗透压力测试
|
|
|
风险评估
|
|
|
方案设计
|
|
|
安全审计
|
1.3 资产登记
1.3.1 产品概述
资产登记是确定用户需要进行安全服务的范围,对登记造册的资产进行重要级别的评估,以便服务过程中,不影响其他部分的正常运营,同时资产登记的结果是用户进行资产管理的依据。
1.3.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
数据资产登记
|
以物理或电子的方式记录的数据,包括文件资料、电子数据
|
|
2
|
软件资产登记
|
组织安装使用的各种软件,包括系统软件、应用软件、工具软件等
|
|
3
|
实物资产登记
|
业务相关的IT物理设备或使用的硬件设施,包括主机、存储、网络、安全设备、终端、可移动设备及移动存储介质等
|
|
4
|
人员资产登记
|
使用、操作和支持数据资产、软件资产和实物资产的人员
|
|
5
|
服务资产登记
|
购买方式获取或者需要支持部门特别提供的、能够对其他已识别资产的操作起支持作用的服务。包括产品技术支持、运行维护服务等
|
|
6
|
其他资产登记
|
除已识别的信息资产以外,为业务提供支持的其他无形资产。如标准合规、安全体系
|
1.4 现状调研
1.4.1 产品概述
现状调研是通过问卷调查、现场访谈等方式,其本质是了解熟悉用户信息系统状况。
1.4.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
问卷调研
|
问卷调研是安全专家利用事先设计的调查问卷,组织用户信息主管、维护人员一起,对信息系统的现状进行了解
|
|
2
|
工具调研
|
工具调研是利用工具软件,调查用户信息系统现状
|
|
3
|
现场访谈
|
现场访谈是安全专家组织用户信息主管和维护人员等相关人员,按照访谈的流程,了解用户信息系统现状
|
1.5 渗透压力测试
1.5.1 产品概述
渗透压力测试是经过用户授权的高级安全检测行为,是在实际信息系统环境中,由测试人员模拟黑客攻击的手法和技巧,在可控的范围内,对用户信息系统发动攻击,用以检测信息系统是否存在安全漏洞。
渗透压力测试可以精确反映出用户信息系统所面临的安全风险,充分暴露和发掘潜在的漏洞,找出安全缺陷。
1.5.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
网络渗透压力测试
|
利用工具和人工的方式对网络设备进行渗透压力测试,有别于传统安全厂商,融合各厂商优势产品,快威科技可以提供网络线路的压力测试等服务
|
|
2
|
系统渗透压力测试
|
利用工具和人工的方式对服务器进行渗透压力测试
|
|
3
|
数据库渗透压力测试
|
利用工具和人工的方式对数据库系统进行渗透压力测试
|
|
4
|
社会工程学渗透测试
|
模拟黑客利用社会工程学方法进行的渗透测试
|
1.6 风险评估
1.6.1 产品概述
风险评估是确定信息系统资产的安全威胁和脆弱性、估计可能由此造成的损失或影响的过程,进行风险评估和提出安全需求是制定安全策略的依据。
1.6.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
物理风险评估
|
对用户机房安全设施、制度,如防火、防盗等情况进行风险评估
|
|
2
|
网络风险评估
|
对信息系统网络部分进行风险评估,包括路由器、交换机、安全设备等
|
|
3
|
系统风险评估
|
对信息系统主机和系统部分进行风险评估
|
|
4
|
安全流程风险评估
|
对用户的安全流程进行风险评估,是否符合相应安全标准,是否存在安全风险
|
|
5
|
数据库风险评估
|
对数据库进行风险评估,该部分是信息系统最重要的部分,评估是否存在安全威胁
|
|
6
|
社会工程学风险评估
|
评估用户社会工程学方面是否存在安全风险
|
1.7 方案设计
1.7.1 产品概述
安全咨询服务方案设计有别于售后的实施方案设计,是根据用户信息系统现状,从用户的安全体系建设一直到具体的安全技术,提出整体的、宏观的安全设计方案。
1.7.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
建立安全体系架构
|
从宏观角度设计用户安全体系框架,提出解决方案
|
|
2
|
物理安全方案设计
|
对用户机房防火、防盗、准入制度等进行设计
|
|
3
|
网络安全方案设计
|
针对路由器、交换机、安全设备的安全策略等进行设计
|
|
4
|
系统安全方案设计
|
对操作系统的安全策略等进行设计
|
|
5
|
数据库安全方案设计
|
对数据库的调用关系,安全防护措施等进行设计
|
|
6
|
安全流程方案设计
|
对用户的安全流程进行设计
|
1.8 安全审计
1.8.1 产品概述
安全审计是审计用户的IT资产,如网络、数据库、系统、流程,检查安全策略与风险控制措施的有效性,识别用户的风险控制能力,综合评定合规性,确认安全风险是否得到有效控制,最终形成安全审计报告和安全建议。
1.8.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
物理安全审计
|
采用人工和工具的方式,进行安全审计,确保物理资产经过安全审计后,明确是否还存在安全风险,是否有效控制了安全风险,减少发生安全事件的概率
|
|
2
|
网络安全审计
|
利用人工和工具方式,对网络设备进行安全审计的过程,包括路由器、交换机等设备,确保网络设备有效控制风险,不发生重大安全事件
|
|
3
|
系统安全审计
|
针对不同的操作系统,结合丰富的安全项目经验,对操作系统的隐患和风险进行审计,确保用户的操作系统业务连续性。
|
|
4
|
数据库安全审计
|
针对用户业务数据库系统进行的审计,检查数据库系统是否有效控制了安全风险。
|
|
5
|
安全策略流程审计
|
根据ISO17799等多个标准的相关要求对安全策略、安全制度、安全流程进行审计,提供改进建议,建立信息安全的“统一”策略管理机制,实现真正意义上的安全“统一”管理。
|
|
6
|
社会工程学审计
|
审计社会工程学部分是否有效控制了安全风险
|
2 安全实施服务产品速查手册
2.1 安全实施服务产品概述
安全实施服务是为用户提供的专业售后服务,该服务包括信息系统新建、扩容、改造的工程项目。对于承接的工程实施项目,快威科技将派遣项目经理,并由资深安全工程师负责一线的工程实施,快速为用户完成安全设备的部署。在项目实施阶段,秉承高效的项目管理机制,为用户项目实施提供有效的保障。
2.2 产品说明
安全实施服务包括以下三个部分:
|
服务名称
|
服务产品
|
|
安全实施服务
|
实施方案设计
|
|
安全项目实施
|
|
|
安全项目监理
|
2.3 实施方案设计
2.3.1 产品概述
实施方案设计是为用户提供专业的售后实施方案,从项目实施管理流程、制度入手,作为整个项目实施的指导手册,并细化项目涉及到的安全设备实施方法。
2.3.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
物理安全方案设计
|
用户的物理资产部分的实施方案设计
|
|
2
|
网络安全方案设计
|
根据项目情况,对用户网络部分进行实施方案的设计,怎样融合、部署不同厂家的网络安全设备
|
|
3
|
系统安全方案设计
|
操作系统的安全实施方案设计,怎样部署安全策略等
|
|
4
|
数据库安全方案设计
|
数据库系统安全实施方案设计
|
|
5
|
安全流程方案设计
|
对部署安全流程进行方案设计
|
|
6
|
社会工程学方案设计
|
社会工程学部分的实施方案设计
|
2.4 安全项目实施服务
2.4.1 产品概述
安全项目实施服务是根据项目实施方案对用户信息系统进行具体的设备安装调试实施。快威科技在具体的项目实施中,派遣有丰富项目经验的安全项目经理对项目进行整体把控,安全实施专家熟悉不同厂商的安全设备,这两者是安全项目成功的关键。
2.4.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
物理安全实施
|
依照安全实施方案,对用户信息系统物理部分进行施工。
|
|
2
|
网络安全实施
|
针对不同网络安全设备,派遣精通该厂商设备的安全实施工程师,进行实施。
|
|
3
|
系统安全实施
|
主机和操作系统部分安全部署和实施。
|
|
4
|
数据库安全实施
|
数据库系统的安全部署和实施
|
2.5 安全项目监理
2.5.1 产品概述
信息安全工程的监理是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,保质保量地完成,实现项目预期的信息安全目标。
2.5.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
安全项目监理服务
|
代替业主,监督项目建设方按时保质完成项目
|
3 安全维护服务产品速查手册
3.1 产品概述
随着信息系统的不断发展,安全事件也层出不穷,单一组织掌握全部安全知识和维护复杂的信息系统,变得越来越吃力,这时必须引入第三方公司,来代替用户对信息系统进行运维操作。
安全维护服务是快威科技利用自己的专业知识和丰富的经验,对用户的信息系统进行维护,帮助用户从繁琐的运维工作中解脱出来,专注于信息系统的管理工作。
3.2 产品说明
安全维护服务包括以下四个组件:
|
服务名称
|
服务产品
|
|
安全维护服务
|
安全运维服务
|
|
紧急响应服务
|
|
|
安全培训服务
|
|
|
安全加固服务
|
3.3 安全运维服务
3.3.1 产品概述
安全运维工作是根据用户的需要,分为不同的安全服务方式,如在用户现场进行长期的安全运维工作,或者在重大节日和活动期间,如春节、两会,在用户现场进行安全运维工作。
同时,灵活的安全服务等级,让用户有了更多选择的余地,主要分为5×8小时安全运维等级和7×24小时安全运维等级,用户可以根据自身的情况,灵活选择服务。
3.3.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
安全专家驻场服务
|
快威科技派遣安全专家长期在用户现场驻场提供安全运维服务
|
|
2
|
重大活动现场安全保障
|
在节日和重大活动期间,如春节、两会期间,根据用户要求,在用户现场驻场提供安全运维服务
|
3.4 紧急响应服务
3.4.1 产品概述
安全事件正以每日数十件至数百件的规模迅速递增,包括地震、火灾等不可预料的意外事件,无时无刻不在威胁着信息系统的安全。同时,许多组织并没有建立系统、可靠的应急响应预案,没有资源去应对这些紧急事件。
快威科技提供对组织紧急事件的响应服务,从建立应急预案,按照应急预案演习,到用户信息系统发生黑客入侵事件,进行现场数字取证,推出一整套服务方案。
3.4.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
安全事件紧急响应
|
用户信息系统发生紧急安全事件后,通过热线电话等多种方式通知快威科技,由快威科技派遣安全专家到达用户现场进行处理
|
|
2
|
现场数字取证
|
发生紧急安全事件后,安全专家在信息系统内进行数字取证,为事后的分析和用户通过法律途径提供证据
|
3.5 安全培训服务
3.5.1 产品概述
信息系统安全问题,并不能通过简单的购买信息安全产品和安全方案得到真正解决,还需要提高维护、使用和管理这个信息系统的人员素质;工作人员对信息安全知识和技能的欠缺,已经成为大部分用户信息安全保障工作面临的风险。 快威科技凭借分布于全国的分支机构,综合强大的技术能力,推出灵活的安全培训方案。用户可以就近参加培训,免去旅途劳顿之苦。同时,快威科技推出认证安全培训和定制安全培训,根据用户的需要灵活选择。
3.5.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
认证安全培训
|
针对取得CISSP或者CISA等安全认证为目的的学员进行培训,依据具体认证的大纲,安排培训时间和课程
|
|
2
|
定制安全培训
|
根据用户的需求,灵活安排课程和培训时间,全面提高学员的综合安全素质
|
3.6 安全加固服务
3.6.1 产品概述
随着安全技术的不断发展和信息系统应用的不断拓宽,要应对随之而来的风险也变得更为重要。伴随着软件和硬件开发商对产品的不断更新,黑客也不断的在寻找新的漏洞,探求破解信息系统的新方法。
安全加固是对信息系统中的主机系统与网络设备的脆弱性进行分析并修补,达到消除目标系统已知的高风险和中风险安全漏洞。
3.6.2 产品说明
|
序号
|
产品组件
|
内容描述
|
|
1
|
需求调研
|
在安全加固之前对信息系统的状况进行调查和分析
|
|
2
|
网络安全加固
|
对信息系统的网络部分进行安全加固,消除网络设备已知的高风险和中风险安全漏洞
|
|
3
|
系统安全加固
|
对操作系统进行安全加固,安装安全补丁等,消除已知的高风险和中风险安全漏洞
|
|
4
|
数据库安全加固
|
对数据库系统进行安全加固,消除数据库系统已知的高风险和中风险安全漏洞
|
