面對Internet帶來的威脅,許多網絡安全服務提供商采取的措施是廣泛的利用安全產品-------包括運用殺毒軟件、防火墻、安全管理、認證授權、加密等手段,并提供相應的產品來進行安全防護,以確保網絡的安全。但單一的安全產品,已經難以有效地保證用戶的網絡安全維護,在技術日新月異的趨勢下,用戶盼望更為專業的安全服務,尤其是企業、媒體和各類網站等專業用戶,他們更加需要一套從系統分析到產品與服務的專業化整體解決方案。
中和威公司的目標是幫助用戶建設完整、堅固的信息安全體系,因此我們從用戶對安全的需求出發,依托我們在安全領域強大的實力,為用戶提供全面的安全解決方案。
安全是一個動態的過程,企業對安全系統的建設,是一個呈生命周期的循環過程,中和威的安全解決方案將企業自身業務與這一生命周期過程的每個環節緊密地結合起來:以策略為中心,對用戶的網絡體系和資產進行評估,針對評估結果進行方案總體設計,并保證安全策略有效地貫徹執行,對于緊急突發事件能夠快速響應,最后對組織的人員進行安全管理培訓。針對用戶的信息安全需求,我們推出了以下專業安全服務:
2、安全集成服務
3、安全管理服務
4、安全支持服務
5、安全培訓服務
?
?
?
專業的安全人員提供全面的咨詢服務,跟蹤最新的安全技術及最新安全問題,與相關政府部門合作向客戶提供全面的相關信息。
????1、從安全角度生成一份當前信息安全環境的風險分析報告
????2、由公司高級顧問組成的咨詢專家提供專業安全咨詢
????3、為用戶制定安全計劃、設計IT安全框架
????4、根據不同行業的需求,提供適合各個行業的整體解決方案
????? ?通過對信息資產鑒別、分類、賦值,讓用戶了解自己的信息資產價值、風險和威脅的分布狀況。通過提供完整的風險分析報告,為用戶制定安全策略、設計IT安全框架和進行系統加固提供詳盡的依據和參考資料。
安全咨詢服務 | 咨詢服務項目 | 服務代碼 |
風險分析 | 從安全角度生成一份當前信息安全環境的風險分析報告 | IV-SCS-RA |
方案設計 | 采用國際標準來定制更先進和更安全的網絡體系環境 | IV-SCS-SD |
產品研究 | 依據國際認同的測試方法,客觀地對各種安全產品做出評測報告和選型建議 | IV-SCS-PD |
?
IV:代表中和威(Intervision)
SCS:代表安全咨詢服務(security? consultation??? service)
RA:代表風險分析(risk? analyse)
SD:代表方案設計(scheme? design)
PD:代表產品研究 (product disquisition)
?
安全需求分析
??????確定信息系統安全需求的目的是清楚地鑒定與安全相關的需求,以便在包括客戶在內的所有參與方之間對安全形成共識,滿足法規、策略和組織的安全需求而定義的信息系統基本安全要求。根據特定環境信息系統可以進行合適的增減,建立一套滿足客戶安全目標與需求的安全基礎框架。
安全方案設計
??????安全方案設計是根據安全需求分析提供安全信息系統的安全結構設計、執行和安全指南等,保證系統所有安全問題都得到審查,并根據安全目標進行解決;保證工程隊伍的所有成員都有統一的理解和認識,以便有效地執行任務。
安全方案實施
??????根據安全方案進行技術實現。保證系統安全設計的方案在將要運行的系統中得到有效實施,并保證安全控制得到正確的配置和使用。
安全管理和控制
??????管理安全控制主要用于開發環境和正在運行的系統安全控制機制,并定義其所要求的管理和維護活動,保證系統的安全等級不隨時間的推移而降低。
安全驗證和監控
??????安全驗證是對信息系統的實施進行有效的監督,判定項目實施過程中是否滿足安全需求和預期目標,同時對系統安全可能造成影響的內外因素進行監控、檢測和跟蹤,并根據安全策略進行及時響應,對系統運行狀況進行改變和調整,以保證與系統安全目標相一致。
?
?
?
?
?
?
?
?
?
?
?
?
?
???? ?網絡安全是一個動態安全的概念,也就是,在特定的時間空間內,在一定的安全策略下,網絡可以是安全的。但是隨著時間和環境的改變,網絡的安全程度也會隨之發生變化。動態網絡安全解決方案可以依據網絡環境的變化,攻防技術發展不斷地自我調整、完善,確保系統的先進性和安全性。
???? ?中和威公司網絡安全服務部憑借自身的技術力量、以及合作廠商的支持,參與了多個項目的投標工作,在這個過程中我們積累了豐富的實踐經驗,可以獨立承擔大中型安全集成服務。網絡安全服務中心覆蓋的集成產品涉及防火墻、防病毒、IDS、網絡監控、身份認證、物理隔離、數據備份和加密等諸多安全領域。
???? 中和威公司針對不同行業,不同的客戶提供了多種安全解決方案。
解決方案 | 集成服務項目 | 服務代碼 |
整體安全解決方案 | 一站式安全服務 | IV-SIS-ISRS |
漏洞掃描解決方案 | 主機漏洞掃描系統 | IV-SIS-HS |
網絡漏洞掃描系統 | ||
數據庫漏洞掃描系統 | ||
訪問控制解決方案 | 防火墻系統 | IV-SIS-AC |
內核安全增強系統 | ||
安全隔離解決方案 | 物理隔離 | ?IV-SIS-SI? |
網絡隔離 | ||
身份認證解決方案 | 身份認證系統 | IV-SIS-IA |
CA證書系統 | ||
數據保密解決方案 | 虛擬私有網 | IV-SIS-DE |
數據加密系統 | ||
安全審計解決方案 | 反病毒系統 | IV-SIS-SA |
入侵檢測系統 | ||
內容過濾系統 | ||
備份存儲解決方案 | 數據備份系統 | IV-SIS-BS |
IV:代表中和威(Intervision)
SIS:代表系統集成服務(System integration? service)
ISRS: 代表整體安全解決方案(Integer security resolve scheme)
HS:代表漏洞掃描 (Hole Scan)
AC: 代表訪問控制( Acess? Cortrol )
SI:代表安全隔離(Security Insulation)
IA:代表身份認證(Identity Attestation)
DE:代表數據加密(Data encrypt )
SA:代表安全審計 (Security Audit)
BS: 代表備份存儲 (Back? Storage)
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
1、安全評估
??????☆ 網絡拓撲結構的安全性分析及防范對策
??????☆ 網絡設備的安全性分析及防范對策
??????☆ 操作系統和數據庫安全性分析及防范對策
??????☆ 安全設備的安全性分析和評估
??????☆ 網絡應用的安全性分析和評估
2、系統加固
?☆ 對操作系統、網絡平臺、基礎網絡服務和通用應用程序的安全隱患和脆弱性進行加固
??????☆ 對數據的完整性、機密性、可靠性和可用性等安全隱患和脆弱性進行修復
??????☆ 對系統之間通信的數據安全隱患和脆弱性進行修復
??????☆ 對業務系統程序安全性、業務系統的防抵賴、訪問控制、備份與恢復和可靠性等提出安全解決措施并進行協調、修復和改造等工作
評估安全風險的是對特定環境中的信息系統進行安全風險分析,找出潛在的致命缺陷和易被忽略的問題,為信息系統的安全設計,選擇合理的安全產品和安全管理提供可靠的依據。信息系統安全評估的內容包括信息系統的資產評估、威脅評估、脆弱性評估和安全管理控制評估和安全影響評估五個部分。
資產評估(Valuation of Assets)就是明確客戶資產、配置和分布、業務運行模式、網絡拓撲結構、技術基礎結構、資產環境(周邊控制、安全措施)、信息安全策略和制度。
安全威脅是構成信息系統安全風險的重要因素之一。借助先進的評估工具和科學的工程方法,對客戶信息系統進行測試、掃描,發現已經存在或可能存在的信息系統安全威脅,并形成客戶信息系統安全威脅評估報告。
?????? 脆弱性(弱點)是指可能為許多目的而利用的系統某些方面,包括系統弱點、安全漏洞和實現的缺陷等。從技術類別分類包括主機系統、網絡系統、數據庫和應用軟件等系統的脆弱性分析。安全脆弱性評估就是鑒別和理解系統安全的脆弱性,包括分析系統資產,定義脆弱性,并提供整個系統的脆弱性評估報告。評估脆弱性可以在系統整個生命周期中的任何時間進行,為系統的發展、維護或運行提供決策支持。
現有系統的安全管理控制分析是從管理制度和安全控制措施等方面對客戶信息系統的安全問題進行分析評估。
??????? 評估影響的目的是為了識別對系統的影響,并評估這些影響發生的可能性。影響是不希望發生的事件對資產影響的結果。事件結果可能對資產造成一定的破壞作用,如對信息系統的機密性、完整性、可用性、可說明性、驗證性或可靠性的破壞,也可能引起間接的結果,如經濟損失、市場占有率損失和公司形象損失等。安全事件發生的頻率也是需要考慮的,因為單個事件的危害是很小的,但是大量安全事件的綜合影響可能是非常有害的。在風險評估和安全保護的選擇中影響的評估是非常重要的。
?????? 在安全風險評估過程中產生的資產信息、影響信息、威脅信息、弱點信息和管理控制信息等共同構成了信息系統的安全風險信息。風險信息是動態變化的,因此對它們必須進行周期性的監控,并進行長期的維護。
安全管理服務 | 管理服務項目 | 服務代碼 |
安全評估 | 從安全角度生成一份當前信息安全環境的評估報告 | IV-SMS-SE |
系統加固 | 采用當今最成熟的技術來構筑更先進和更安全的IT體系環境 | IV-SMS-S |
產品配置 | 根據安全評估報告,對產品進行專業的安裝和配置 | IV-SMS-PC |
安全計劃 | 根據安全評估報告,對產品進行專業的安裝和配置 | IV-SMS-SP |
IV:代表中和威(Intervision)
SMS:代表安全管理服務(Security Manage Service)
SE:代表安全評估 ( Security? Evaluation)
SR: 代表系統加固 (System? reinforce )
PC: 代表產品配置 (Product? Configure)
SP:代表安全計劃 (Security Plan)
? ??☆ 7×24快速響應服務,4小時響應
??????☆ 數據恢復服務,對信息數據提供可靠的災難恢復
??????☆ 安全通告服務,定期為用戶提供安全通告服務
?
安全支持服務 | 支持服務項目 | 服務代碼 |
緊急響應 | 7×24快速響應服務,4小時響應,按小時付費 | IV-SSS-IR |
數據恢復 | 對信息數據提供可靠的災難恢復 | IV-SSS-DR |
安全通告 | 中和威公司定期為用戶提供安全通告服務 | IV-SSS-SA |
IV:代表中和威(Intervision)
SSS:代表安全支持服務 (Security Sustain Service)
IR:代表緊急響應 (instancy? response)
DR:代表數據恢復 (Data? resume)
SA:代表安全通告? (Security? announce)
?
?
?
?
?
?
?
?
?
?
?
?
?
?
???從信息系統的黑客入侵事件分析和安全專家案例來看,信息系統安全就是安全管理員同黑客在智慧和計算機知識等方面的斗爭。因為人員的安全觀念、系統安全管理員的實際安全知識直接影響到整個信息系統安全方案的實施。而一個信息系統的安全保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每位員工的安全操作等都有關系。因此我們將不同類型的工作人員分為四類:高層管理人員、技術部門管理人員、系統安全管理員和普通工作人員的培訓。
????? 信息系統安全問題分析、企業決策者對信息系統安全的認識,增強企業主管的信息系統安全意識、安全策略與管理制度在企業信息系統安全建設中的作用。
?????? 企業管理者對信息系統安全的認識,增強企業主管的信息系統安全意識、安全策略與管理制度在企業信息系統安全建設中的作用、如何執行安全策略與管理制度、介紹信息系統安全結構、常用的安全技術措施以及如何實現信息系統安全。
普通用戶使用信息系統的守則,口令和帳號的安全管理,桌面計算機的信息安全保護,防范特洛伊木馬和病毒等。遵守并執行信息系統安全規范的重要性,明確職責,增強普通用戶的安全意識。
☆ 安全基礎知識培訓,介紹信息安全基礎知識
??????☆ 系統安全管理培訓,介紹NT系統安全管理、Unix系統安全管理數據庫安全管理
??????☆ 安全攻防技術培訓,介紹黑客攻擊分析和防范技術
??????☆ 安全產品方案培訓,介紹防火墻、入侵檢測、漏洞掃描和CA等主流產品技術和方案
??????☆ 企業安全教育培訓,為員工提供安全意識培訓
安全培訓服務 | 培訓服務項目 | 服務代碼 |
安全基礎知識 | 介紹信息安全基礎知識 | IV-STS-SI |
系統安全管理 | NT系統安全管理 | IV-STS-SM |
Linux系統安全管理 | ||
數據庫安全管理 | ||
安全攻防技術 | 黑客攻擊分析和防范技術 | ?IV-SSS-AD |
安全產品方案 | 介紹防火墻、入侵檢測、漏洞掃描和CA等主流 產品技術和方案 | IV-SSS-PS |
企業安全教育 | 為員工提供安全意識培訓 | IV-SSS-EE |
IV:代表中和威(Intervision)
STS:代表安全培訓服務 (Security train Service)
SI:代表安全基礎(Security information)
SM:代表系統管理(System? Manage)
AD:代表攻防(Atack Dfend)
PS:代表產品方案( product? scheme)
EE:代表企業教育(enterprise? education)
冬季安全生產,7大事項一定要注意!企業秋季安全生產提示卡歲末年初,安全生產“九防”攻略請收…安全生產預防預控報告安全預測預警指數系統防中毒監控措施防物體打擊監控措施防坍塌墜落監控措施
落實企業安全生產主體責任應注意的六…圖文詳解雙重預防機制企業經營的風險分析及應對措施當前安全管理存在的問題及改進措施安全工作思路及重點淺談對安全生產的認識和幾點建議淺談如何落實安全生產責任制安全生產“四不傷害”的內容及保證措施
