首頁 > 業務 > 等級保護測評服務  > 安全檢測
等級保護測評服務 商用密碼應用安全評估 ICP | EDI評測 融合型風險評估 安全管理體系咨詢 DevSecOps咨詢 網絡安全法律合規咨詢 安全服務 鑒定所資質 司法鑒定服務 第三方證據保全
等級保護介紹
服務特色
通過對網絡系統的安全測評來評判目前網絡系統安全保護的程度或水平與國家網 絡安全等級保護測評要求之間的差距,以便指導對網絡系統進行安全方面的調整 和改進,確保信息系統的安全防護水平達到國家網絡安全等級保護測評的要求。 網絡安全等級保護是國家信息安全保障工作的基本制度、基本國策,是國家對基 礎信息網絡和重要信息系統實施重點保護的關鍵措施。
網絡安全等級保護政策法律要求
1、《網絡安全法》第二十一條明確要求:國家實行網絡安全等級保護制度。
2、中央關于加強社會治安防控體系建設的意見、公安改革若干重大問題的框架意見要求“健全完善信息安全等級保護制度”。
3、習近平總書記等中央領導批示要求:健全完善以保護國家關鍵信息基礎設施安全為重點的網絡安全等級保護制度。
網絡安全等級保護落實收益
1、政策法律合規。滿足行業監管要求和法律合規要求,開展等級保護測評工作可以有效規避組織所面臨的信息安全法律及合規風險。
2、提升網絡系統的安全防護能力,保證業務的連續性。以等級保護為標準開展安全建設運營,讓安全建設更加體系化、標準化。
政策法規進展
技術標準發展
工作環節
經營使用單位
行業主管單位
經營使用單位
公安機關
經營使用單位
經營使用單位
測評機構
國家監管部門
公安機關
行業主管單位
測評流程

準備階段

  • 項目啟動
  • 成立測評項目組
  • 信息收集
  • 信息分析
  • 表單準備

方案編制階段

  • 確定對象
  • 確定指標
  • 開發作用指導書
  • 編制方案

現場測評階段

  • 現場測評準備
  • 各層面現場測評
  • 結果確認
  • 文檔歸還

報告編制階段

  • 單項結果判定
  • 單元結果判定
  • 整體測評
  • 風險分析
  • 形成初步結論
  • 提出整改建議

初步整改和復核階段

  • 實施立即整改項
  • 制定整改方案和計劃
  • 復核整改情況
  • 形成最終結論
核心優勢
  • 網安檢測公司是最早參與等級保護評測的機構之一;
  • 網安檢測公司是迄今為止全國等保測評機構中測評量最高的機構;
  • 網安檢測公司在等保測評方面經驗極其豐富;
  • 網安檢測公司和等保政策和標準制定單位有良好的溝通;
  • 網安檢測公司可提供等保系列和信息系統安全運維的全面服務。
  • 商用密碼應用安全評估
    什么是商用密碼應用安全性評估?
    商用密碼定位于“對不涉及國家秘密內容的信息進行加密保護或者安全認證”所使用的密碼技術和密碼產品
    哪些系統需要做密評?
    《密碼法》(征求意見稿)
    第十八條 國家對關鍵信息基礎設施的密碼應用安全性進行分類分級評估,按照國家安全審查的要求對影響或者可能影響國家安群的密碼產品、密碼相關服務和密碼保障系統進行安全審查
    商用密碼應用安全性評估管理辦法
    第十八條 第三條 涉及國家安全和社會公共利益的重要領域網絡和信息系統的建設、使用、管理單位(即責任單位)應當健全密碼保障體系,實施商用密碼應用安全性評估
    重要領域網絡和信息系統包括:基礎信息網絡、涉及國計民生和基礎信息資源的重要信息系統、重要工業控制系統、面向社會服務的政務信息系統,以及關鍵信息基礎設施、網絡安全等級保護第三級及以上信息系統

    評估程序及相關規定

    密評工作由國家密碼管理部門認定的密碼測評機構承擔,國家密碼管理部門定期發布測評機構目錄


    責任單位應當制定商用密碼應用建設方案,組織專家或者委托測評機構進行評估,評估結果作為項目規劃立項的重要依據和申報使用財政性資金項目的必備材料


    責任單位應當委托測評機構進行商用密碼應用安全性評估,評估結果作為項目建設驗收的必備材料


    責任單位應當委托測評機構定期開展商用密碼應用安全性評估,評估未通過,責任單位應當先期調整并重新組織評估;關鍵信息基礎設施,網絡安全等級保護第三級及以上信息系統,每年至少評估一次


    密評實施流程
    密碼應用方案評估:被測單位提供密碼應用建設方案(新建系統);梳理和完善應用方案(已建系統);基于評估過的密碼應用建設方案,建立測評實施的依據。
    評估準備活動:了解和掌握被測系統的業務流程、架構、范圍邊界、管理組織等詳細情況;準備評估項目涉及聯系人清單;熟悉被測系統實際情況;了解被測系統等保定級情況。
    方案編制活動:確定與被測系統相適應的覆蓋對象、評估指標及評估內容、評估側重點等,形成現場評估實施方案;提交評估實施方案至被評估單位確認;工具測試方法確定。
    現場評估活動:召開項目啟動會,明確雙方工作職責和配合內容;分步實施所有測評項。實施工具測試,了解系統的真實防護情況發掘系統存在的密碼應用安全性問題;將現場調閱資料歸還并恢復現場。
    分析與編制報告:分析單項評估記錄,找出信息系統的密碼應用情況與相應安全等級對應的密碼應用要求之間的差距;分析單項風險、關聯合成風險和整體風險;編撰完成密評報告,并附整改意見。
    網安優勢
    試點工作
    作為密評制度和密評體系的試驗者、開拓者、參與者和創建者,積極參與國家商業密碼應用安全性評估標準、規范的制度,近期已參與完成密評國家標準(征求意見稿)的起草工作
    標準制定
    在各級密碼管理部門的指導下,順利完成招商銀行、平安集團等密評試點工作,在全國范圍內相關測評方案第一批通過專家評審的六家測評機構之一
    測評實施能力
    作為首批獲公安部授權的七家信息安全等級保護測評機構之一,網安公司迄今為止服務的政府、金融、醫療、教育、企業單位已超1000家,具備將等保、密評等多項第三方安全服務整合實施的條件和能力深圳本地300+人測評實施團隊,響應速度快


    客戶案例
    目前網安公司已完成招商銀行、平安集團、國資委航天科工等十幾家信息系統的密評工作,在全國測評機構范圍內客戶數量及被測系統重要程度均位于領先水平,行業包括銀行、保險、政務等多個領域,積累了相對較豐富的測評實施經驗。
    增值電信業務系統安全防護定級和評測服務
    服務簡介
    根據《電信網和互聯網安全等級保護實施指南》 、《增值電信業務系統安全防護定級和評測實施規范-網絡交易系統》等相關規范的要求,針對物理環境安全、基礎網絡安全、設備與系統安全、業務與應用安全、安全管理等領域16個層面進行標準符合性評測,查找差距,提出整改建議,促進信息系統符合通信行業標準要求。

    服務價值
    通過本次安全等級評測,不僅可以檢驗被測系統是否符合標準中對信息系統采取安全保護措施的要求,還可以全面、完整地了解基本安全控制在信息系統中的實施配置情況以及系統的整體安全性,出具安全等級評測的結論;指出該系統存在的安全問題并提出相應的整改建議,為委托方進一步完善被評測系統安全管理策略、采取適當的安全保障措施提供依據。

    服務內容
    符合性
    評測
    按照有關等級評測標準,落實通信網絡單元級別相適應的安全防護措施。檢驗系統平臺防護措施是否符合標準規定,屬于達標驗證。
    安全風
    險評估
    在達標的基礎上,結合信息系統面臨的威脅變化和形勢要求,進一步深入分析威脅和安全隱患,評價信息系統的影響程度。

    服務優勢
  • 全面的、專業化的安全服務團隊:包括風險評估人員服務人員共68人,是本地最大的安全服務咨詢隊伍;
  • 豐富的滲透測試、安全運維、應急保障經驗:從事信息安全服務12年,服務對象超過200個單位,硬件設備超過50萬臺次;
  • 豐富的信息安全標準合規輔導經驗;
  • 深刻理解信息安全領域的技術、政策和業務需求;
  • 和信息安全監管部門有良好的合作關系;
  • 和電信運營商有緊密的合作關系;
  • 對金融、企業、政府、互聯網等行業有豐富的案例和實踐經驗;
  • 本地化的安全服務優勢
  • 融合型風險評估
    服務簡介
    以信息安全等級保護規范為基礎,融合國際信息安全相關系列標準、行業及監管合規要求以及業務特點的專項控制流程形成多維安全風險評估體系,對信息系統進行等級保護融合評估,從不同角度、不同層面、不同領域測評系統整體的安全能力和風險水平。

    服務特色
    1、滿足多方監管需求
    通過融合不同安全標準和監管規范,實現一次評估實施,產生多種項目成果能夠同時滿足來自行業、公安以及內部審計、風控要求。

    2、多維度測評
    使用多維安全風險評估體系對信息系統及業務進行融合測評能夠從不同維度形成立體的了解。

    3、基于等級測評平臺
    采用系統平臺化作業的方式實施,能夠快速形成滿足客戶需求的評估體系,并展示可視化測評結果。

    4、豐富測評實踐案例庫
    通過對積累的行業豐富測評實踐案例分析參考,能夠更加全面、迅速、有效地識別潛在的安全風險及違規問題。


    服務價值

    通過融合多種安全標準規范,從不同角度、層面和領域開展等級保護測評,能夠獲得信息系統整體的安全風險控制水平。


    實現一次實施多項安全成果,可同時滿足來自行業、上級和外部的不同方面、不同內容、不同目的的安全監管要求。


    融合測評的實施避免了組織多次對不同安全、合規標準的重復評估,減少投入的成本。


    融合測評實施為組織獲得多項安全合規的認可和較高業務安全的信譽度,有助于促進組織業務的發展。


    服務依據
    等級保護融合評估服務將根據客戶需求充分融合國內、外信息安全相關標準、行業規范以及組織業務特點的風險控制流程要求,以獲得最佳的評估標準依據。
    國際安全標準
    國際安全標準主要為ISO27001系列、Cobit5等信息安全管理體系和風險治理框架等。
    國內安全標準
    國內安全標準主要為全國信息安全標準委員會制定和發布的各類信息安全相關管理規范、標準和指南。
    行業規范
    行業規范主要為組織或其業務所在行業中監管所制定的或需遵循的相關安全、合規要求。
    業務專項控制
    業務專項控制主要從組織的業務特點出發,對業務風險和數據安全提出具體的控制要求。
    安全管理體系咨詢
    服務簡介
    融合國內、外有關信息安全管理標準、行業規范以及風險管理最佳實踐,結合組織業務安全保障的需求,通過明確目標、整體評估、藍圖規劃、體系建立、聚焦建設、試點運行以及推廣運營過程,幫助組織構建一套適當的、可落地、全局性和可視化的風險控制與監測指標體系。

    服務特色
    多標融合評估: 基于ISO7001信息安全管理體系核心融合等級保護標準和行業安全技術指引多維度、多方面立體評估組織當前與管理體系的差距、安全狀況以及關鍵業務風險。

    雙流程聚焦: 信息安全管理體系將根據組織業務安全方針策略,聚焦于信息系統全生命周期流程和業務數據全生命周期流程的風險管理規范。

    最后一公里落地: 通過構建可落地、量化的信息安全基線指標體系,實現全局性信息安全管理體系最后一公里的落地,確保安全管理體系真正運行。

    安全情報運營: 將融入基于威脅情報的下一代安全攻防體系,實現情報聯動和高效協同的運營,強化信息安全管理體系防御能力,應對未知安全威脅。



    服務價值

    幫助組織的信息安全管理工作實現體系化、規范化、流程化和標準化的運營,完善控制措施,提高管理效率,規范管理行為。


    將信息安全管理流程融入組織的生產業務流程中,提升業務安全控制水平,確保業務安全穩定,預防生產安全事故。


    通過體系化的安全管理建設,運營,促進組織對行為監管法律法規的嚴格遵循,對內全面提升IT服務管理能力,對外滿足監管機構的審計要求。


    建立一整套行之有效的信息系統與信息安全管理持續改善機構,增強IT支撐能力和服務水平,取得體系認證機構認可,提升在行業中的競爭優勢。


    服務依據
    業務特點管理制度
    • 結合業務及系統特點的安全風險控制要求和遵循相關法規
    • 結合組織自身文化,實際情況以及信息安全管理有關制度
    國內安全標準
    • GBT20984《信息安全風險評估規范》
    • GB/T22239《網絡安全等級保護基本要求及擴展》
    • PCI-DSS《支付行業數據安全標準》
    • 銀行業《商業銀行信息科技風險管理指引》
    國內安全標準
    • ISO27001-2013《信息安全管理體系》
    • Cobit 20984《信息安全治理與管理框架》
    • NIST《提升關鍵基礎設施網絡安全的框架》
    • IATF《信息保障技術框架》
    DevSecOps咨詢
    服務簡介
    2012年,Gartner介紹了DevSecOps的概念(最初使用“DevOpsSec”),2017年RSA年度會議上DevSecOps成為了熱門詞匯。DevSecOps是一種全新的安全理念與模式,從DecOps的概念延伸和演變而來,其核心理念安全是整個IT團隊(包括開發、運維及安全團隊)每個人的責任,需要貫穿從開發和運營整個業務生命周期每一個環節才能提供有效保障。我司經過兩年的研究和實踐對DevSecOps整個體系的建設和咨詢具有了一定的經驗。

    服務特色
    1. 問題后置:
    往往系統上線之后發現安全漏洞,而損失已經發生。

    2. 漏洞重復出現:
    同樣的漏洞會在不同團隊多次出現,無法分析漏洞影響范圍,缺少統一監管以及漏洞數據的積累。

    3. 大量第三方漏洞,易攻擊,排查困難:
    往往安全漏洞出現在外部,如第三方依賴,中間件,基礎操作系統等等,而該類漏洞一經出現,最易攻擊。

    4. 二次故障:
    發現漏洞后回滾或更新系統,進而影響到被依賴的系統,造成二次損失。

    5. 開發人員安全意識弱:
    SQL 注入等漏洞導致數據泄漏。



    服務模型
    工具鏈的集成
    服務成果
    • 持續掃描,持續反饋,即時告警;
    • 確保開源代碼的安全性;
    • 內容驅動,避免二次故障風險;
    • 提高開發人員安全意識。
    網絡安全法律合規咨詢
    服務簡介
    為協助企業解決網絡安全法合規難題,深圳網安安全咨詢服務團隊結合豐富的網絡安全及隱私保護合規咨詢經驗、與監管部門的深入探討成果、以及多年的系統開發實踐經驗,推出網絡安全法律合規咨詢服務。服務內容包括但不限于:網絡安全制度建設、個人信息保護制度建設、安全人員考核與培訓、企業涉互聯網業務合規性審核、具有輿論屬性或社會動員能力的互聯網信息服務安全評估等。

    服務特色
    協助企業采取適當的管控措施,建立全面、合規、有效的信息安全管理體系;
    提升整體信息安全管理成熟度,保障業務持續運營,達成戰略目標;
    提供事前、事中、事后的法律服務,從公安機關調查開始,協調企業配合調查、作出解釋,對于公安機關作出行政處罰的依據、后果、程序是否合法進行審查、抗辯、行政復議、行政訴訟


    服務內容
    網絡安全制度建設:
    立足于客戶信息處理設施和信息安全管理現狀,依據信息安全相關法律法規和監管要求,協助企業建立信息安全保障體系,全面提升信息安全風險管控能力,保障信息系統安全運營的目標。

    個人信息保護制度建設:
    建立企業對用戶個人信息保護制度,遵循合法、正當、必要的原則,收集必要相關的個人信息,并確立個人信息的保密機制。規范企業對用戶發布的信息的管理,建立網絡信息安全投訴、舉報制度,及時受理并處理有關網絡信息安全的投訴和舉報。

    安全人員考核與培訓:
    根據企業情況與需求,定制個性化的信息安全培訓課程計劃,滿足企業人員獲取安全知識和經驗的需求,提升企業人員的安全意識、安全管理知識水平、安全管理操作能力。

    企業涉互聯網業務合規性審核:
    針對互聯網企業遇到的實務問題,涵蓋平臺合規、網絡協議及其配套、互聯網監管及牌照問題、網絡安全合規,互聯網公司營銷合規,以及跨境電商和平臺支付體系等方面提供咨詢服務。根據市場發展趨勢、信息通信新技術與新業務的跟蹤分析,為互聯網企業提供政策解讀、以及安全措施等材料。

    具有輿論屬性或社會動員能力的互聯網信息服務安全評估:
    針對具有輿論屬性或社會動員能力的互聯網信息服務提供者開展安全評估,對信息服務和新技術新應用的合法性,落實法律、行政法規、部門規章和標準規定的安全措施的有效性,防控安全風險的有效性等情況進行全面評估,并將安全評估報告通過全國互聯網安全管理服務平臺,提交所在地地市級以上網信部門和公安機關。


    服務優勢
    • 全面的、專業化的安全服務團隊:包括風險評估人員服務人員共68人,是本地最大的安全服務咨詢隊伍;
    • 豐富的滲透測試、安全運維、應急保障經驗:從事信息安全服務12年,服務對象超過200個單位,硬件設備超過50萬臺次;
    • 豐富的信息安全標準合規輔導經驗;
    • 深刻理解信息安全領域的技術、政策和業務需求;
    • 和信息安全監管部門有良好的合作關系;
    • 和電信運營商有緊密的合作關系;
    • 對金融、企業、政府、互聯網等行業有豐富的案例和實踐經驗;
    • 本地化的安全服務優勢
    安全漏洞檢測服務
    服務簡介
    安全漏洞檢測服務是一項從信息安全風險管理的角度出發,通過漏洞掃描工具檢測、漏洞知識庫搜集和人工分析的技術手段,全面評估重要服務器、應用系統、中間件、數據庫、網絡設備和安全系統等資產存在的安全漏洞及其關聯性和影響程度,并形成基礎網絡與信息系統的整體跪弱性的專業性安全服務。
    服務特色

    縱橫向檢測

    縱向上從每個階段時間點檢測的結果進行比對,獲取漏洞信息變化趨勢;橫向上從整個網絡的不同接入點對關鍵生產設施進行漏洞檢測。

    人工風險分析

    針對工具檢測獲得的結果,結合實際業務環境和防御體系進行人工風險分析,更加準確地評價系統安全漏洞產生的影響。

    漏洞情報資源

    結合自主研發的安全情報平臺的漏洞信息資源,進一步補充和優化檢測的結果。

    漏洞監測預警

    依據生產系統的基礎信息,通過安全情報平臺實現最新漏洞的監測預警,降低受到攻擊威脅的可能性。

    服務價值
    快速識別漏洞:全面、快速地發現、識別和驗證系統及應用軟件上存在的安全漏洞。
    建立漏洞管理庫:收集組織基礎設施和系統的安全漏洞信息,形成可管理的知識庫。
    提高系統安全性:定期檢測系統安全漏洞,持續優化,不斷提高基礎設施安全水平
    跟蹤變化趨勢:統計、關聯、比對和量化,形成展示組織全局的安全變化趨勢。
    服務內容
    安全漏洞檢測服務主要是針對支撐業務的基礎設施組件進行安全漏洞與缺陷的檢查測試,涉及網絡設備、安全系統、生產服務器系統、應用軟件系統、數據庫管理系統等。
    具體的檢測服務內容包括以上設施操作系統自身漏洞、Web業務應用系統漏洞洞、各類系統設備用戶弱口令以及暴露于外網的服務IP和端口。
    在完成各個組件和單元的漏洞檢測后,結合業務運營特點、基礎網絡架構、安全防御策略,綜合分析安全漏洞所形成的整體安全風險,提出改善解決方案和建議。
    系統漏洞檢測
    針對網絡、主機和應用服務系統漏洞的安全檢測。
    Web漏洞檢測
    針對內、外部Web應用系統漏洞的安全檢測。
    弱口令檢測
    針對無意、未知暴露于互聯網的端口服務或IP。
    暴露檢測
    針對網絡設備、服務器、應用系統、數據庫默認或弱口令。
    本地安全檢測服務
    服務簡介
    本地安全檢測服務是在客戶的授權下,依據相關信息安全技術與管理標準、規范的要求對網絡設備、各類操作系統、應用系統、中間件和數據庫系統等基礎設施進行本地化安全核查、差距分析,評估對象的整體安全狀態、各項安全防護措施、災難恢復能力和系統風險控制水平等方面狀況的一項專業性安全服務。

    服務特色

    登錄至系統設施本地,能夠更加直接、準確對系統的安全風險狀況進行檢測,獲得更加可信的檢測結果。


    本地安全檢測服務涉及的評估對象主要為構建起整個業務系統支撐運行的多種類型基礎設施、設備、系統等。


    針對系統的安全策略、系統服務、權限設置、惡意代碼防護、安全措施、端口開放、病毒木馬、安全漏洞、安全日志、備份措施等多樣化檢測。


    深入地檢測隱蔽性較強惡意代碼(間諜軟件、病毒、木馬、黑客工具和后門)感染以及黑客惡意入侵行為痕跡。


    服務價值
    深入識別風險:
    深入檢測發現系統存在的惡意代碼感染、安全策略缺失、權限設置缺陷和本地安全漏洞等隱患。

    促進安全合規:
    通過本地安全檢測,評估信息系統與相關安全標準規范之間的差距,持續促進系統安全合規。

    多場景應用:
    可應用于信息系統設上線、產品準入、事件分析與取證、監管檢查、工程驗收等不同運營場景。

    支撐優化加固:
    為組織的網絡設備、服務器系統、應用系統和數據庫等安全加固和信息安全風險管控提供重要依據。


    服務內容
    本地安全檢測服務包含了對不同類型系統的安全基準檢查、專項入侵檢測、安全日志分析和安全漏洞核查等四大不同功能的服務模塊,全面、細致檢測系統的安全狀況。
    安全基準檢查通過人工檢查分析涉及賬號、口令安全配置策略、最小化服務、合理權限設置、敏感信息防泄漏配置、惡意代碼防護、安全檢測措施、安全選項設定、端口開放情況、可能存在漏洞的應用軟件以及重要數據備份情況等安全基準內容。

    專項入侵檢測通過人工分析和安全工具檢測相結合的技術手段,對業務服務器上可能潛伏、隱藏的計算機病毒、木馬、后門、黑客工具和間諜軟件等惡意程序執行細致的專項檢測。

    安全日志分析通過對業務服務器、應用系統、數據庫系統和防病毒系統的運行日志的定期檢測分析,能夠提前發現黑客探測行為、正在發生或已經發生過的惡意攻擊事件,甚至來自內部人員非授權訪問動作。

    安全漏洞核查通過登錄服務器、網絡設備、應用和數據庫等系統,從本地上識別、分析和驗證使用漏洞掃描工具從網絡進行漏洞檢測出現設備誤報和漏報結果,更加客觀、準確地反映系統的安全狀況。

    滲透測試服務
    服務簡介
    滲透測試服務是依據國際和業界一致認可的OSSTMM和OWASP安全滲透性測試標準、方法為依據,在客戶的授權下,模擬入侵者的攻擊手段運用多種測試技術,在網絡邊界,業務邊界,邏輯邊界等滲透點對網絡系統、主機、業務應用系統和數據庫系統進行滲透性測試,充分挖掘,驗證客戶信息系統,基礎網絡以及安全防御體系存在安全漏洞和隱患的一項專業性安全服務。

    服務特色

    集成多種測試工具和大量時間測試用例庫,對目標信息系統進行全方位的測試性測試。


    通過內部雙團隊對同一對象進行滲透性測試,增加挖掘能力,避免誤報。


    遠程與現場測試結合的服務方式以及黑、灰盒相互配合的技術手段對目標系統進行測試。


    從平臺搜集目標的有關威脅信息資源,可更快加速、有效地發現和挖掘存在的安全隱患。


    利用國家安全通報中心平臺資源支撐,增強滲透測試的效果。


    服務價值
    挖掘系統漏洞
    模擬黑客入侵手段,充分挖掘、查找和暴露業務應用系統潛在的安全漏洞和隱患。
    檢驗安防體系
    通過滲透測試,檢驗網絡安全防御體系的有效性和韌性,保障防御能力水平。
    強化業務安全
    通過滲透測試的安全評估,為業務應用系統的安全保障和加固提供重要依據。
    提升用戶體驗
    構建安全可靠的業務系統,有助于提升用戶安全體驗,減少業務市場安全事故。

    服務內容
    WEB應用系統:
    web應用系統SQL注入、XXS、繞過驗證、上傳、CSRF等漏洞。

    移動客戶端APP
    移動客戶端APP數據注入、不安全加密、數據泄露、文件下載等漏洞。

    基礎網絡系統
    基礎網絡系統權限、暴露端口、訪問控制。安全策略等存在的問題。

    生產服務器系統
    生產服務器系統提權、系統漏洞、破解、弱口令、脆弱服務等問題。

    核心業務與數據
    核心業務數據泄露、篡改權限控制、破解、繞過驗證等安全隱患。

    服務優勢
    • 優秀安全攻防團隊:擁有30多名安全滲透測試工程師的專業技術團隊和多名資深信息安全專家、顧問。
    • 行業最佳實踐經驗:長期為金融、央企、互聯網、政府、醫療和教育等500多家行業客戶實施,擁有豐富實戰經驗。
    • 平臺化作業實施:基于自主研發的威脅情報分析平臺和國家安全通報中心安全信息,利用自主研發安全測試平臺實施。
    • 攻防實驗室支持:擁有網絡安全攻防實驗室,模擬各種網絡攻擊行為和場景以及測試驗證安全防護措施有效性。
    網站安全監控服務
    服務簡介
    網站安全監控服務是為客戶開放在互聯網上的業務應用系統提供7*24小時不間斷安全監控服務包括網站運行監控(可用性)、掛馬及內容監控(安全性、非法篡改、合規性)、假冒站點監控以及周期性的網站漏洞掃描等,持續跟蹤站點安全運行狀況,在發現相關異常問題,及時聯系客戶并協助處理,將安全事件消除在萌芽狀態。

    服務特色

    服務價值

    通過持續、實時外部站點檢測,及時發現站點被掛馬、釣魚、頁面篡改、服務中斷或異常等安全事件,并迅速進行處置,保障業務運行安全。


    通過長期對外部門戶或業務站點的安全監測和優化,逐步減少可直接被用戶訪問到的站點發生的安全事件,有助于提升組織的外部安全形象。


    外部被掛馬、釣魚、頁面篡改、服務中斷或異常等安全事件,可能嚴重影響客戶或用戶的服務使用體驗,通過網站安全檢測服務,可提升服務體驗水平。



    服務內容
    站點安全監控:
    網站掛馬、頁面篡改、敏感信息泄露監測、外部鏈接審核、業務內容變動監測

    業務運行監控:
    站點可用性實時監控、性能實時監控、DNS實時監控

    可疑站點監控:
    仿冒網站、釣魚網站、釣魚信息、非官方銷售站點等可疑站點監測

    站點漏洞監測:
    周期性對外部站點進行漏洞掃描、分析、及時發現安全隱患


    服務優勢
    • 優秀安全攻防團隊:安全運營中心擁有12名工程師和資深專家,為客戶提供全天候的互聯網站點安全保障服務。
    • 15年站點托管服務:15年專業的安全監控服務經驗,為行業客戶監控500多個站點,每年平均發現和處理350多起站點安全事件。
    • 公安網監應急中心:作為網監技術支持和本地安全應急服務中心,積累了大量應急經驗,并具備高效處理安全事件的能力和資源。
    • 司法取證支持:發生重大的安全事件時,可提供計算機司法鑒定服務,幫助固定證據,協調有關部門迅速處置,防止事件擴大。
    安全運維服務
    服務簡介
    面對當前的信息安全形勢,網安公司總結多年的安全服務經驗,面向客戶提供基于PPDRR安全運維模型的一站式安全運維服務。整個安全運維服務以定制化信息安全策略為核心,采取有效的手段對網絡狀態進行實時檢測,將安全防護從單純的被動防護提升到積極的主動防御,同時在信息系統遭受攻擊和緊急事件發生時及時采取措施,降低信息安全事件造成的影響和損失,最后快速恢復系統功能與數據,保障業務的連續性。

    安全運維服務包括:安全漏洞加固服務、安全設備日志分析、漏洞通報預警服務、安全巡檢服務、駐場服務。


    通過漏洞掃描、本地檢測以及滲透測試等方式對網絡系統中的關鍵軟/硬件設備,如操作系統、服務器、客戶機、路由器、交換機和防火墻的安全性進行了分析,并針對這些設備由于設計缺陷造成的漏洞提出安全加固的方法并開展安全加固工作,其目的是從整體上提高網絡的安全防御能力。


    通過針對客戶的入侵檢測系統、入侵防御系統、防火墻、堡壘機等安全設備的日志進行收集,定期分析、篩選各類告警信息,結合實際網絡系統環境診斷當前的安全態勢,及時通知客戶,并調整和優化設備安全策略。


    定期給用戶提供漏洞通報,重大安全事件實時通報。


    定期對信息系統中的關鍵軟/硬件設備,提供安全檢查并提供分析報表。


    重大節假日駐場值守和全年的駐場值守








    服務優勢
    • 為深圳市70個政府機關和企業用戶提供常年的安全維護工作,經驗豐富。
    • 專業穩定的安全服務團隊,擁有CISSP、CISP等高級資質。
    • 成熟完善的服務體系,給用戶更好的服務體驗。
    • 成熟的方法論和完善的實施規范,檢查過程高效可靠。
    應急響應服務
    服務簡介
    應急響應服務是為滿足企業發生安全事件,需要緊急解決問題的情況而提供的一項安全服務。當企業發生黑客入侵、系統崩潰或其它影響業務正常運行的安全事件時,網安檢測公司專家會在第一時間對安全事件進行應急響應處理,使企業的網絡應用系統在最短時間內恢復正常運行,幫助企業查找入侵來源,為企業挽回或減少經濟損失。

    對安全事件進行應急響應處理后,我們將提供詳細的應急響應報告,報告中將還原入侵過程,同時給出對應的解決方案。



    服務特色
    事先應急響應機制:
    在日常安全運維工作中,我們將協助用戶建立安全應急響應機制,包括應急預案制定、安全應急演練、應急預案更新。

    事中快速響應機制:
    在得到用戶的通知后,深圳網安在深圳地區承諾在30分鐘內進行響應。

    事后報告改進機制:
    應急響應處理完畢后,我們將提供詳細的安全應急響應報告,并給出網絡或系統存在的風險點以及對應的改進措施,防止再次遭受相同的攻擊。

    應急類型涵蓋常見安全事件:
    應急類型包括網絡攻擊、入侵、病毒、木馬、后門、數據泄密、異常情況。


    服務價值
    提升安全事件處理效率,及時解決安全故障,恢復系統正常運行,盡可能挽回或減少安全事件帶來的損失;
    對安全故障發生的系統作安全檢查和清理,保證信息系統安全;
    彌補安全故障發生系統上的安全漏洞,加強安全保護措施,防止類似事件的再次發生;
    還原攻擊事件,收集由于安全故障造成的入侵記錄、破壞情況、直接損失情況等證據。

    服務優勢
    • 深圳市授權的應急響應服務中心;
    • 每年為深圳地區提供應急響應服務達40次以上;
    • 優秀的本地服務團隊,全面流程化的工作方式;
    移動應用安全檢測評估服務
    服務簡介
    依據移動互聯網信息安全有關規范標準,結合組織一點業務的安全需求,針對移動互聯網應用系統的終端側、網絡側和后臺業務系統提供移動APP安全檢測、移動應用業務風險評估、移動安全合規測評以及移動業務安全咨詢等專業服務。

    服務特色
    多樣化評估系統:
    參照移動安全標準、等級保護移動擴展要求、安全審計規范以及風險作為評估的基線體系。

    基于等級保護移動實踐:
    基于等級保護移動互聯網安全測評的豐富行業案例最佳實踐經驗,確保組織移動應用業務符合國家安全規范要求。

    基于安全情報資源:
    基于移動安全威脅、漏洞和暴露等安全情報資源開展移動安全評估與咨詢。


    服務價值

    全方位評估移動應用業務潛在的安全風險為移動應用提供安全保障,避免業務生產事故。


    能夠進一步檢驗組織的整體安全防御體系的有效性和韌性,保障防御能力水平。


    由專業安全咨詢顧問對移動應用進行安全威脅分析,提供詳盡的測試結果和整改建議方案。


    通過移動應用的風險評估、檢測、測試和咨詢,確保組織移動業務符合相關安全規范和風控要求。



    服務內容
    移動應用風險評估:根據業務應用的特點和安全需求,參考評估流程,運用風險評估技術進行全面的風險評估。
    移動APP安全檢測:根據移動APP安全測試用例,并結合移動安全威脅情報對APP安全漏洞和缺陷進行深入檢測。
    移動安全合規測評:依據等級保護移動互聯網擴展標準及其他移動安全規范,對移動業務應用系統進行合規性測評。
    移動安全安全咨詢:移動安全專家 團隊提供移動業務應用系統安全合規、風險控制和應急響應等咨詢服務。

    服務優勢
    • 移動安全標準倡導者與制定者:作為移動互聯安全的標準倡導者與制定者,參與制定了國家移動互聯安全標準、主編《深圳法人銀行業金融機構個人手機銀行安全評估規范》。
    • 移動安全專家和服務團隊:擁有多名移動應用安全工程師和資深信息安全專家構成的專業服務團隊,能夠為客戶提供有效的安全解決方案和服務。
    • 豐富的移動安全服務案例經驗:幫助過金融、政府國企、互聯網等行業客戶實施過移動應用業務安全風險評估、移動應用檢測和移動安全體系建設咨詢,擁有豐富的實踐經驗。
    • 移動應用安全檢測平臺:擁有自主研發的移動APP安全自動化檢測平臺,可快速對APP存在的安全隱患進行全面、精準的檢查。
    • APP知識產權保護:擁有知識產權鑒定資質,能夠為組織的移動App提供知識產權相關的鑒定、咨詢和保護服務。
    • 自主研發威脅情報平臺:基于自主研發的威脅情報分析平臺和國家阿奴請安通報中心安全信息對移動應用進行多維度、多技術手段的安全威脅情報收集及威脅防御內容咨詢。
    安全基線體系咨詢服務
    服務簡介
    依據國內、外有關信息安全標準、行業規范以及風險控制最佳實踐并結合組織安全保障的需求,幫助組織構建一套適當的、可落地、全局性和可視化的風險控制與監測指標體系;信息安全基線體系將業務、IT、策略和人有機地連接,并深入地運用到信息系統規劃設計、開發、測試、驗收、上線、運營、變更和退出整個生命周期的每一個重要環節。

    服務特色
    新理念:信息安全基線被構建成為組織整體安全風險控制與監測的指標體系。
    可落地:構建可落地的管理規范、執行流程、應用模板、評價指標和工具。
    自動化:實現對系統安全基線的自動化檢查,結果的自動化分析、統計和趨勢展示。
    平臺化:安全基線指標體系運營結果可通過平臺導入,實現安全水平的平臺化管理。
    體系化:安全基線體系通過管理辦法、基線規范、評價細則的三層結構以及PDCA流程實現體系化運營


    服務價值
    提升整體風控能力:
    可為業務、應用、架構、系統、網絡、物理、設備和終端等對象構建安全一致性標準,提升整體風險控制能力。

    安全生命周期覆蓋:
    可運用到信息系統規劃設計、開發、測試、驗收、上線、運營、變更和退出等整個生命周期中。

    安全合規常態化:
    將國內、外以及行業的安全標準和規范融入到安全基線指標體系中,實現合規的常態化。

    可持續安全量化:
    通過安全基線管理辦法、考評細則,不斷評估安全基線落地效果以便于持續量化組織信息系統的安全水平。


    體系內容
    信息安全基線體系由策略、規范、細則和操作流程等不同層次標準構建而成,并通過培訓、平臺和配套自動化工具等實現基于PDCA循環模型的過程進行有效運營,持續改善業務及運行環境的風險管理水平。

    基線內容
    信息安全基線規范標準是通過為策略層、業務系統層、應用架構層和基礎架構層的組織在線業務平臺四層結構開發符合安全需求的一套風險控制、監測以及持續改進的指標體系。


    	策略層
    業務系統層:業務系統
    應用架構層:應用中間件、數據庫系統、應用架構、應用開發安全
    基礎架構層:網絡架構、主機架構、數據架構、交換機、防火墻、安 全設備、路由器、類Unix系統、Windows系統
    IT審計服務
    服務簡介
    依據國內、外和行業有關的法律法規、標準和最佳實踐,以風險為導向,結合業務流程,在IT治理與管理框架下,客觀獨立地審查和評價信息系統規劃設計、開發、運營等生命周期關鍵環節涉及的設施、流程、技術、管理和資源存在的信息安全、風險、控制和價值實現,為高級管理層實施治理決策提供重要依據,及時預防企業經營風險。

    服務特色

    融合外部、行業和內部有關審計規范;融合多種不同審計技術手段;融合多種不同的審計工具。


    善于結合新技術、架構和新應用(如:云計算、移動三大互聯網等)的業務安全風險審計。


    精于融合行業特色、業務特點,從治理、技術、運營、架構、策略和意識等開展審計。


    服務價值
    預防業務風險:
    全面揭示關鍵業務系統安全隱患與控制缺失,為管理層實施風險治理決策提供重要依據,及時預防企業經營風險。。

    滿足多維合規:
    滿足來自行業、上級和外部的不同方面、不同內容、不同目的的監管遵循要求,為業務的迅速發展提供重要合規支撐。

    促進業務提升治理:
    持續優化業務環境,為客戶帶來信發展譽度高的業務服務、提升業務使用信心;為管理層企業經營發展帶來良好保障。

    提升治理水平:
    基通過改善規劃、設計、采購、開發、建設、運維等信息系統生命周期關鍵環節中的安全風險,提升企業安全風險治理水平。


    體系內容
    移動應用風險評估
    根據業務應用的特點和安全需求,參考評估流程,運用風險評估技術進行全面的風險評估。
    移動APP安全檢測
    根據移動APP安全測試用例,并結合移動安全威脅情報對APP安全漏洞和缺陷進行深入檢測。
    移動安全合規測評
    依據等級保護移動互聯網擴展標準及其他移動安全規范,對移動業務應用系統進行合規性測評。
    移動安全安全咨詢
    移動安全專家 團隊提供移動業務應用系統安全合規、風險控制和應急響應等咨詢服務。
    服務優勢
    信息技術運營合規:主要涉及支撐組織業務運行的信息技術日常運維管理遵循國家、行業有關規范標準。
    信息科技風險管理:從信息科技規劃、設計、開發、上線、運行、下線等「全生命周期的安全風險展開審計。
    業務連續性管理:依據BS25999、ANSI和NFPA1600等有關業務連續性管理規苑以及業務特點要求審計。
    業務流程應用控制:涉及業務流程關鍵環節的安全控制和數據流轉的風險控制。
    系統開發變更管理:主要信息系統開發生命周期流程風險控制和信息系統變更管理流程的風險控制。
    服務措施
    IT審計服務的三大服務措施,包括常規審計、技術審計和持續審計,通過運用不同的審計手段和技術,全面、深入地挖掘業務、信息系統和運營流程上存在的控制狀況。

    常規審計:人員訪談談調查問卷、觀察查閱抽樣檢查、控制驗證風險評價。
    輔助審計:穿行測試滲透測試、數據測試控制測試安全測試。
    持續審計:連續審計、風險跟蹤
    信息安全風險評估服務
    服務簡介
    依據 Cobit框架,從組織的IT治理與管理高度以及整體風險管理的角度,結合行業最佳安全實踐和業務系統的特點形成評估側重點,并融合多種信息安全標準、運用多項技術手段評估業務系統過程、管理流程、關鍵數據、IT基礎設施等的安全風險以及與組織IT戰略和業務安全的關系。

    服務特色

    服務價值
    網站安全監控:

    1、站點安全監控
    有效識別業務、管理和基礎設施等安全風險,建立風險治理框架,提升風險管理水平。

    2、業務運行監控
    避免業務系統風險造成生產安全事故,造成組織聲譽、品牌、經濟損失以及客戶的信任。

    3、站點漏洞監測
    為組織的用戶提供更加安全可靠業務環境和更加卓越的服務體驗。

    4、可疑站點監控
    通過持續風險評估和優化治理,逐步建立組織的業務、服務和知名度在客戶心中的安全形象。


    體系內容
    信息安全風險評估內容包括:業務系統過程、安全管理流程、關鍵數據安全控制、IT基礎設施等方面,實現對業務流程、管理流程、數據控制流程和基礎設施運營流程的全面測試和評估,幫助組織構建一個立體的安全風險狀態和變化趨勢。

    涉及核心業務的關鍵流程、環節的安全風險控制設計評估、有效性測試、業業務運營過程程的安全分析等。


    涉及安全風險治理、數據安全、系統建設安全、運維安全、開發安全、組織人員安全、外包、制度等。


    涉及業務關鍵數據、敏感數據,依據分類、分級和分布的治理理念,分析數據全生命周期的安全控制。


    涉及支撐業務系統的物理、網絡、服務器、應用、中間件、數據庫安全設備等基礎設施的安全性。



    服務優勢
    • 業務系統過程
    • 15年服務口碑
    • 威脅情報資源
    • 行業經驗積累
    鑒定所資質附件


    司法許可證


    華南培訓中心


    網警電子數據取證


    制度創新實驗室


    2011惡意代碼鑒定證


    2011圖像真實性鑒定證


    2012電子郵件真實性


    2011惡意代碼鑒定證


    2012人像鑒定


    2013年電子數據搜索與恢復


    2013年錄像過程分析


    2013年錄像過程分析


    2015電子數據搜索與恢復


    2015圖像處理


    2016電子數據提取分析


    2016圖像同一性


    2017電子數據提取分析


    2017圖像處理及分析


    2018電子數據提取分析


    2018錄音處理及分析


    2018圖像真實性完整性鑒定


    11111.CNAS中文
    司法鑒定業務流程
    廣東安證計算機司法鑒定所
    鑒定機構業務咨詢
    鑒定所介紹
    廣東安證計算機司法鑒定所于2005年經廣東省司法廳批準成立,是面向社會服務的首批入駐前海自貿區具有聲像資料(含電子數據鑒定)司法鑒定、知識產權司法鑒定、痕跡司法鑒定、文書司法鑒定等專業的第三方全物證鑒定司法鑒定機構(統一社會信用代碼:34440000775075032C)
    。 我所已獲中國合格評定國家認可委員會(CNAS)的持續認可并獲頒相關證書(CNAS-L4987)。還是國家授時中心授時的第三方專業鑒定機構;擁有以CNAS標準建立的專業鑒定實驗室和滿足鑒定業務需要的鑒定檢測設備和軟件工具。
    廣東安證計算機司法鑒定所質量方針三原則:獨立法律責任原則;獨立工作原則;實事求是原則。
    廣東安證計算機司法鑒定所自成立以來,承接包括公、檢、法等司法機關、仲裁委員會、律師事務所、企事業單位和社會團體及個人的司法鑒定委托,為經濟合同、知識產權、民事糾紛、刑事案件中的數字介質取證提供計算機技術司法鑒定,已向社會提供12000余宗電子證據司法鑒定服務,采信率100%,零投訴。
    廣東安證計算機司法鑒定所所有司法鑒定業務范圍均入選廣東省高級人民法院及深圳中級人民法院司法委托機構名冊。標志著鑒定所在全省的司法鑒定活動具有一定的司法公信力,也是審判機關對我所司法鑒定能力的認可。


    實驗室介紹
    廣東安證計算機司法鑒定所管理機制完善,軟硬件設備齊全,擁有穩定且實力強大的司法鑒定隊伍。按照ISO/IEC 17025國際標準的要求,建立了質量管理體系,確保以公正客觀的行為、嚴格規范的程序、科學的方法、正確的結論,為司法實踐服務。匹配國內外先進儀器設備,匹備齊全、技術先進。
    我所實驗室主要分為計算機司法鑒定、聲像資料司法鑒定、知識產權司法鑒定、痕跡司法鑒定和文書司法鑒定五大實驗室。



    授時服務
    廣東安證計算機司法鑒定所是具有國家授時中心授時的第三方專業鑒定機構。
    鑒定項目
    業務范圍:聲像資料司法鑒定、計算機司法鑒定、知識產權司法鑒定、痕跡司法鑒定、文書司法鑒定
    主要鑒定項目:聲像資料真實性、程序功能分析、電子數據恢復固定、聲像資料同一性、程序、代碼同一性、電子郵件真實性、數碼照片真實性、商業秘密、非公知、黑客入侵行為分析、手印、足跡鑒定、交通事故痕跡鑒定、惡意代碼分析、筆記、印刷文件檢驗、污損文件鑒定、寶、玉、石材質鑒定、聲紋鑒定。
    文書鑒定 痕跡鑒定 電子數據司法鑒定 聲像資料司法鑒定 知識產權鑒定
    第三方數據保全
    廣東安證計算機司法鑒定所于2016年在前海管理局的支持下,籌建“安證前海深港第三方電子數據保全服務平臺”,該平臺作為前海十大法制創新項目平臺,依托于中國電信天翼云網絡安全等級保護“四級”機房,具有大流量Ddos防護、應用防護、主機安全、加密、安全趨勢檢測、數據災備、存證和取證等高級防護能力以及良好的國家信譽擔保。
    面向司法服務、行政管理(公、檢、法、司)、合規監管(金融辦)以及金融行業等領域的電子數據證據保管、取證、鑒定、產權保護、合規和高級安全防護的一站式服務解決方案。加強重點行業的監管與數據的屬地化管理。
    平臺于2018年獲得前海管理局頒發的“法制創新實驗室”稱號,為入駐前海的外資企業提供基于電子數據保全的公平、公正的良好營商環境和司法證據保全機制。
    安證云優勢分析
    • “安證云”是基于“互聯網+”思想構建的,能為個人與政企用戶提供第三方電子數據保全和司法鑒定服務的“平臺+多端”電子數據保全;
    • “安證云” 既支持被動存證,也支持主動收證;支持對電子數據存在性和真實性的司法鑒定,也支持對電子數據一致性的司法鑒定。綜合采用多種技術,包括證據爬蟲、數字認證、數據校驗和區塊鏈技術,解決不同應用場景和部署環境下的第三方電子數據保全需求。
    • “安證云”依據國家信息安全等級保護相關要求和技術標準進行建設和運營,在數據安全和專屬方面參照了分級保護相關要求做了重點加強,有效保障了“安證云”業務系統;
    • 前海深港第三方電子數據司法保全中心建設項目是”安證云”的重點應用示范項目,具備良好的社會效益和配套措施,將更好的保障“安證云”業務信息安全和業務服務連續;
    業務

    等級保護測評服務

    商用密碼應用安全評估

    ICP\EDI評測

    融合型風險評估

    安全管理體系咨詢

    DevSecOps咨詢

    網絡安全法律合規咨詢

    安全服務

    鑒定所資質

    司法鑒定服務

    第三方證據保全

    關于我們

    企業介紹

    企業文化

    資深專家

    榮譽資質

    集團大事記


    培訓學院

    培訓學院簡介

    培訓課程

    培訓風采

    聯系培訓

    解決方案

    網絡安全合規類

    信息安全一體化服務

    安全培訓類

    無線安審溯源類

    第三方證據保全


    新聞資訊

    企業動態

    行業資訊

    安全動態

    聯系我們

    人才招聘

    公司地址


    關注我們

    深訓市南山區桃源街道學苑大道1001號南山智園C1棟13樓

    電話:(0755) 83764999 83763789 83762615

    傳真:(0755) 83768403

    網址:http://www.hdacetate.com/

    色老板影音先锋-伊人综合大香蕉视频-富二代自拍零零柒-av夜趣福利