<code id="1m1c0"><option id="1m1c0"></option></code>

        028-85241226
        安全咨詢
        1)服務概述
          面向客戶提供的高端戰略服務。遵循國家及行業法規、政策及要求,參照國內外最佳實踐,結合企業安全需求、業務特點及信息化發展戰略,制定網絡安全戰略目標、方針,構建網絡安全架構及藍圖,確立未來安全發展路徑,規劃建設實施項目庫,指導網絡安全能力建設。
        2)服務內容
          安全需求分析
        調研網絡安全管理、技術、運營現狀,找準問題和差距,確定安全需求。
          安全目標確定
        基于需求分析結果,結合信息化發展戰略,確定未來網絡安全發展目標、方針及原則。
          安全藍圖設計
        基于安全需求、目標、方針及原則,全方位梳理所需安全能力,構建網絡安全總體架構及藍圖,包括管理、技術、運營三個層面,保障網絡安全能力完整性及體系化落地。
          安全項目規劃
        制定網絡安全發展計劃,確定關鍵里程碑,規劃安全建設項目庫,指導未來網絡安全能力建設和落地,達成網絡安全戰略目標。
        風險評估
        1)服務概述
          遵循國家及行業風評標準,全方位評估網絡及信息系統可能面臨的安全威脅和隱患,進行風險計算和評價,提出專業風險處置方案,進行二次復評,提升網絡及信息系統安全防護能力同時,滿足網絡安全法、關鍵信息基礎設施保護條例、等保2.0等法律法規及標準對信息系統定期風評要求。
        2)服務內容
          資產識別
        依托自動化資產識別工具,全方位識別評估對象各類型(硬件、軟件、數據、人員等)資產,進行機密性、完整性、可用性賦值,確定資產等級和價值。
          威脅識別
        根據以往安全事件、工具檢測及日志分析結果、近年來國內外權威機構發布威脅,識別安全威脅,確定威脅發生頻率,包括人為威脅、自然威脅等。
          脆弱性識別
        依托專業評估工具,通過人工和工具結合方式,發現資產安全弱點,進行脆弱性賦值,確定脆弱性等級。
          安全措施有效性分析
        調研評估對象已有安全措施現狀,進行措施有效性分析,包括管理措施、技術措施等。如:防火墻、入侵檢測、態勢感知等。
          風險分析及評價
        采取科學、合理的計算方法,計算風險可能性和損失,確定風險安全等級和影響,進行綜合風險評價,形成風險清單和視圖。
          風險處置
        確定不可接受風險,制定風險處置計劃,提供技術指導,協助開展風險處置,進行處置后復評。

        滲透測試
        1)服務概述
          由專業的滲透測試人員,通過模擬黑客攻擊的方式針對客戶單位目標信息系統,從外部或內部網絡收集系統的相關信息,探查出邏輯性更強、更深層次的漏洞,并對系統及網絡的安全性進行深入分析,及時發現系統存在的脆弱性,配合進行處置,確保重要業務系統安全穩定運行。
        2)服務內容
          由安全工程師模擬黑客的行為模式,采用黑客的漏洞發現和利用技術,以及盡可能多的攻擊方法,發現黑客入侵信息系統的潛在可能途徑,分析各類業務系統的存在的重大安全隱患,提供對漏洞進行詳細的描述和驗證過程記錄,指導重大漏洞的安全修復與應用系統加固整改工作。 滲透測試主要采用內部測試和外部測試結合的方式: 內部測試是指經過用戶授權后,測試人員達到用戶工作現場,根據用戶的期望測試的目標直接接入到用戶的辦公網絡甚至業務網絡中。這種測試的好處就在于免去了測試人員從外部繞過防火墻、入侵保護等安全設備的工作。一般用于檢測內部威脅源和路徑。 外部測試與內部測試相反測試人員直接從互聯網訪問用戶的某個接入到互聯網的系統并進行測試。這種測試往往是應用于那些關注門戶站點的用戶,主要用于檢測外部威脅源和路徑。
        3)服務流程
        應急響應
        1)服務概述
          協助建立健全應急響應機制,對突發安全事件(網絡攻擊、病毒木馬等)進行及時響應和處置,防止事態升級和擴散,保證業務可持續運行。
        2)服務內容
          應急預案
        協助制定應急預案,明確人員職責、分工,應急流程,常見安全事件(如:網頁篡改、拒絕服務攻擊等)應急處置方法等。
          應急演練
        協助制定應急演練方案,定期組織開展應急演練,提升人員應急處置能力。
          應急響應
        7x24小時應急響應,及時響應和處置突發安全事件,確保業務快速恢復。
        專項重保
        1)服務概述
          國家重大會議、重大節慶日期間派遣具備豐富經驗服務工程師進行專項網絡安全保障,降低組織風險,防止安全事件發生,保障網絡及系統安全穩定運行。
        2)服務內容
          包含事前、事中、事后三個階段。

        事前(重大活動前):
          編制重保方案、開展安全自查與整改,降低安全風險,提升安全防護能力。

          重保方案制定
          協助制定重保方案,明確目標、職責、分工、流程,以及重保任務安排,確保重保工作有效、高效執行。
          安全自查與整改
          通過漏洞掃描、滲透測試、基線檢查等多種方式,對終端、主機、網絡、應用等可能存在的安全威脅和隱患進行深度排查,提出安全整改建議,協助整改和復測,減少安全風險,提升安全防護能力。

        事中(重大活動期間):
          派遣具備豐富經驗服務工程師,按要求對網絡攻擊、病毒木馬等安全威脅監測、分析研判、處置、溯源,保障網絡及系統安全、穩定運行,確保業務連續性。

        事后(重大活動后):
          進行復盤總結,提出改進和優化建議。
        攻防演練
        1)服務概述
          基于實戰的紅藍對抗演習,全方位檢驗組織網絡安全防護能力,提升組織敏捷應對網絡攻擊能力。
        2)服務內容
          覆蓋準備、演練、總結三個階段。
        準備階段:
        制定網絡安全實戰攻防演習方案,明確演練目標、范圍、內容、流程、要求及安排,搭建演練平臺和環境等。

        演練階段:
        按要求組織紅藍對抗團隊,進行網絡安全實戰攻防演練。
        紅隊:以非破壞性為原則,在可控、可監督的前提下,以盡可能深入地獲取目標權限為目的,對即定目標進行入侵攻擊。
        藍隊:依托有效的安全監測和防護手段,對紅隊攻擊進行監測、分析研判、攔截和溯源。

        總結階段:
        進行復盤總結,針對演練過程中發現問題,提出改進和優化建議。
        安全培訓
        1)服務概述
          安全培訓服務旨在通過對企業等開展的全方面的專業培訓,從根本上有效提高企業人員的各項網絡安全意識水平和技術能力。
        2)服務內容
          奧誠科技將派遣網絡安全技術專家對客戶單位相關管理人員、技術人員、運維人員開展技術和管理的綜合安全培訓,深入講解包括安全形勢講解、安全意識、安全技術知識(包含但不限于安全基礎知識、安全設備、安全制度、物理安全、數據安全、行為安全的講解)等內容。 可根據客戶單位實際情況和需求有選擇深度的講解,確保提升全體參培人員的信息安全意識,增強動手能力,主要內容如下:
        第一類:信息安全初級培訓
        提供面向計算機用戶和系統管理者的信息安全培訓。
        1、信息安全知識普及、有針對性的提高安全意識(安全管理員、技術人員等不同角度進行審視);
        1)信息安全概述(闡述信息安全的重要性、舉案例說明,包括圖片,指出成都市勘察測繪研究院的薄弱處);
        2)最新的信息安全規范要求;
        3)主流信息安全技術簡介;
        4)信息安全技術的發展趨勢;
        5)病毒、木馬的運行原理及其特點(重點木馬、arp病毒防御);
        6)蠕蟲病毒的簡介。
        2、終端安全基礎
        1)常用系統備份辦法(ghost軟件的使用等);
        2)簡單的電腦病毒分析;
        3)操作系統的常用系統恢復和啟動方法;
        4)系統常用服務;
        5)組策略(密碼、帳戶、審核);
        6)系統日志。
        第二類:信息安全中級培訓
        對安全管理人員、技術人員進行日常網絡安全使用培訓及基本安全常識培訓,使用戶了解安全設備、相關系統使用的安全常識。
        1、網絡安全技術(為以后的網絡安全建設做理論上的鋪墊)
        1)身份識別技術;
        2)加密技術;
        3)主流信息安全技術;
        4)防火墻技術;
        5)NIDS;
        6)審核技術;
        7)常用網絡命令(舉例說明)。
        2、網絡安全檢測工具的使用
        1)抓包工具的使用;
        2)漏洞掃描軟件的使用。
        3、安全檢查問題分析以及其他
        1)安全檢查的問題及其分析;
        2)路由器等網絡設備的安全設置;
        3)推薦安全和網絡學習網站(簡要介紹幾個)。
        第三類:信息安全高級培訓
        針對具備基本系統管理知識和能力的系統管理員和技術人員設立網絡及系統安全高級的培訓課程。
        1、黑客常用攻擊手段原理介紹(包含工具簡介)
        1)網絡掃描;
        2)網絡嗅探;
        3)拒絕服務;
        4)欺騙用戶攻擊;
        5)特洛伊木馬;
        6)后門;
        7)惡意小程序;
        8)漏洞利用、緩沖區溢出;
        9)口令破解;
        10)社會工程學。
        2、安全防范方法介紹
        1)手工查殺病毒、木馬的方法(附常用多個的工具軟件和軟件使用演示);
        2)遠程控制類木馬的原理和防范;
        3)系統安全加固;
        4)安全檢測工具的使用。
        黄色毛片