服务内容
专注于信息安全服务领域,主要包括但不限于:信息安全规划、风险评估、ISO27001、CMMI、ISO20000及定制化IT服务,如IT账号审计、管理制度设计、企业信息安全内训等方面。
IT服务
IT服务管理(ITEL)
IT梳理服务、ISO20000建设
信息安全
风险评估、ISO27001建设
信息安全规划、CMMI、安全培训
认证辅导
信息安全风险评估资质、信息
安全服务资质、系统集成
CMMI、ISO27001、ISO20000
运维测试
安全检测、压力测试、安全基线
建设和自动化配置
安全基线加固持续优化
解决方案
Application Scenarios
智慧城市安全解决方案
方案涵盖了智慧城市建设过程当中的物联感知层、网络通信层、计算与存储层、数据及服务融合层、智慧应用层等各个层面。
政府机构信息建设解决方案
随着移动互联网的发展,政府信息化建设已经从传统的PC端转移到移动端,移动信息化已成为政府部门履行自身职能的必备工具。
集团企业信息建设方案
集团对内部的精细化、规范化、信息化管理的需求日趋强烈,实现事前预警、事中控制、事后分析评价,由结果控制转变为过程监控。
教育解决方案
以信息化支撑教育科研的现实需求,通过网络协同会大大提高业务的效率、效果,提升时效性和体感度。
医疗机构信息安全解决方案
从机房配置、内外网隔离、容灾、安全防护、网站维护、应急预案等情况进行详细了解,针对问题,及时进行反馈和技术指导。
金融行业信息建设解决方案
银行业随着信息化工作的不断深入,信息系统的开发、维护与运行均面临较大的挑战,信息科技风险的管理就显得迫在眉睫。
中小企业信息建设方案
通过计算机技术的部署来提高企业的生产运营效率,降低运营风险和成本,从而提高企业整体管理水平和持续经营的能力。
云安全解决方案
方案以云监测、云防御、云审计、云服务为闭环解决思路,全面覆盖云平台网络、主机、计算、存储、业务和管理多个层次。
运营商解决方案
推出大数据智能复杂安全事件关联分析系统,支持智能安全建模和自动化编排。从而实现精准告警以及追踪溯源。
物联网安全解决方案
实现物联终端设备快速识别、漏洞检测及非法接入监测,从而实现物联网终端 安全状态实时监测。
IT服务咨询
ITIL、ISO20000建设、IT梳理服务

  ITIL & IT战略和架构咨询

IT战略和架构咨询是ITIL/ITSM咨询的边缘部分,IT战略和架构咨询应结合ITIL与COBIT去设计和应用,IT战略和架构帮助连接并结合企业业务与IT目标,相对其他ITSM流程而言具有更高层次的意义。

ITIL©是Information Technology Infrastructure Library的缩写,为了应对行业不断增长地对IT服务的要求,提供IT管理实践,由英国商务部开发。 ITIL®融合全球实践,是IT部门用于计划、研发、实施和运维的高质量的服务准则,是目前全球IT服务领域受认可的系统而实用的结构化方法。

ITIL旨在解决并纠正可能出现的IT流程弊端,它提供了一个指导性框架,这个框架可以保留组织现有IT管理方法中的合理部分,同时增加必要的技术,并且方便了各种IT职能间的沟通和协调。但它并不是一套理论模式,而是以全球最佳实际经验为依据,基于高质量、合理定义、可重复流程等运作为基础,确立的可持续改进的计划。

对于企业实施ITIL,可以有助于最终进行完善的服务管理。在ITIL的各个流程管理中,可以直接与各个业务部门相互作用,实现对业务功能及流程进行重新设计,降低成本、缩短周转时间、提高质量和增进客户满意度。

IT战略和架构规划流程用来规划IT财务和组织结构,以及技术革新。基于对业务的需求,IT战略计划书提供的信息需要包括关键原则,策略,标准和内部IT的发展方向(roadmaps)。典型的架构是包括有流程架构,应用架构,技术架构,服务架构和安全架构。

 

  ISO20000服务管理

ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。

ISO20000标准着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务水准协议进行计划、推行和监控,并强调与客户的沟通。该标准同时关注体系的能力,体系变更时所要求的管理水平、财务预算、软件控制和分配。

应用ISO20000能够使组织建立起一套IT服务管理的最佳流程,从而系统地、有序地提供管理服务,为组织带来以下益处:

  ● 有效地管理服务以满足客户和业务需求

  ● 获得权威认证机构颁发的证书,能够提升市场竞争优势

  ● 建立透明、优化的组织架构,降低IT运营成本

  ● 将服务管理与整体业务流程相结合

  ● 对服务管理进行测评及控制

  ● 建立清晰的、集中的关于服务流程和常规实践的文件系统

  ● 使员工提高对服务管理责任的理解

  ● 定期评估服务管理流程,维护和改进其有效性

  ● 有效的业务持续性管理

  ● 广泛认可的IT服务管理实践

  ● 易于和其他管理体系整合,如ISO 9001、ISO 27001等

 

  IT梳理服务

通过对IT资产(基础设施、网络设备、安全设备、主机系统、应用系统、数据库系统等)的安全相关属性、信息系统业务流程和运维管理进行规范化的梳理;并建立资产、流程和管理的安全关联数据库,综合资产特性、重要性、运行状态、安全漏洞、存在威胁和控制措施等因素进行风险分析和趋势跟踪,并进一步对业务安全提供预警和通报。

信息安全咨询
风险评估、ISO27001建设、信息安全规划、CMMI建设、安全培训、IT内审服务

  风险评估

信息系统的安全风险,是指由于人为或自然的威胁利用系统存在的弱点,导致安全事件发生所造成的影响。风险评估就是对信息和信息处理设施面临的威胁、受到的影响、存在的弱点以及威胁发生的可能性的评估。联成科技是国内较早的信息安全解决方案公司,针对企业业务导向,结合国内外有关信息安全技术标准(ISO27001/ISO13335/ISO30000/GBT20984等),帮助客户及时准确的发现业务运作中可能存在的信息安全和IT风险,提供全面有效的风险评估咨询服务。

依据相关合规性要求(法律法规、标准规范和客户既定策略),基于对客户信息安全风险的评价,帮助客户制定整体的信息安全战略,确定信息安全目标,制定信息安全方针,建立信息安全组织,规划信息安全策略体系,编写、实施并确定有效的策略文件,从而为客户信息安全工作提供强有力的规范依托,让信息安全各项工作都能有法可依。

 

  IT内审服务

IT内控合规性审计

依据相关合规性要求(法律法规、标准规范和客户既定策略),特别是针对SOX、SAS70、PCI、中国银行业风险管理相关规定等,为客户提供IT内控合规性审计。在审计过程中,甫崎咨询始终保持公正、客观、独立的姿态,通过访谈调查、问卷解答、现场审查、策略检查等方式,对受审计方特定控制领域现状给予评价,寻找合规性差距,提供审计报告。

应用系统运维审计

针对客户与业务紧密相关的应用系统,依据已经制定的管理策略和运维规范,实施符合性和有效性审计。甫崎咨询通过访谈调查、角色分析、流程梳理、策略评估等方式,对客户应用系统运维管理现状进行评价,提供相关审计报告。

信息安全内部审计

针对已经建立了完整的信息安全管理体系的企业,实施公正、客户和独立的审计活动,目的在于检验ISMS建立的完备性、符合性和有效性,验证其PDCA的持续改进能力。

 

  ISO27001建设

为了对信息安全管理体系的内部审核活动进行控制和管理,以提供信息安全管理体系符合要求并有效运作的证据,确保体系实施的有效性,消除实施漏洞与隐患。

我国采用GB/T 22080-2008《信息技术 安全技术 信息安全 管理体系 要求(等同采用 ISO/IEC 27001:2005 );第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。ISO/IEC27001:2013 包含了114个安全控制措施和14个控制域来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。

信息是组织的血液,存在的方式各异。可以是打印,手写,也可以是电子,演示和口述的。当今商业竞争日趋激烈,来源于不同渠道的信息,威胁到信息的一致性。它们来自内部,外部,意外的,还可能是恶意的。随着信息储存,发送新技术的广泛使用,我们面临的各种风险也在增高。信息安全越来越重要!信息安全不是有一个终端防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,使管理更为有效。信息安全管理体系是系统的对组织敏感信息及信息资产进行管理,涉及到人,程序和信息科技(IT)系统。需要建立广泛的信息安全方针。保证安全性,公正性。适用组织内部和客户。信息安全管理体系ISMS正成为世界上管理体系标准销售增长量最大的产品。

信息安全管理体系(Information security management systems,简称ISMS)(即ISO/IEC 27000系列)是目前国际信息安全管理标准研究的重点。

ISO27000 系列标准

ISO27000 系列共包括10个标准,当前已经发布和在研究的有6个,分别为:

1、ISO/IEC 27000《信息安全管理体系 基础和词汇》;

2、ISO/IEC 27001:2005《信息安全管理体系 要求》;

3、ISO/IEC 17799:2005《信息安全管理实用规则》(2007年4月后,编号将改为27002);

4、ISO/IEC 27003《信息安全管理体系实施指南》;

5、ISO/IEC 27004《信息安全管理测量》;

6、ISO/IEC 27005《信息安全风险管理》。

体系建设思路

构建信息安全管理体系(ISMS)不是一蹴而就的,也不是每个企业都使用一个统一的模板,不同的组织在建立与完善信息安全管理体系时,可根据组织信息安全管理现状和具体的业务开展特点,采取不同的步骤和方法。但总体来说,建立信息安全管理体系一般要经过以下几个主要步骤:

 

  CMMI建设

CMMI全称是Capability Maturity Model Integration,即能力成熟度模型集成(也有称为:软件能力成熟度集成模型),其目的是帮助软件企业对软件工程过程进行管理和改进,增强开发与改进能力,从而能按时地、不超预算地开发出高质量的软件。其所依据的想法是:只要集中精力持续努力去建立有效的软件工程过程的基础结构,不断进行管理的实践和过程的改进,就可以克服软件开发中的困难。

我国采用GB/T 22080-2008《信息技术 安全技术 信息安全 管理体系 要求(等同采用 ISO/IEC 27001:2005 );第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。ISO/IEC27001:2013 包含了114个安全控制措施和14个控制域来帮助组织识别在运做过程中对信息安全有影响的元素,组织可以根据适用的法律法规和章程加以选择和使用,或者增加其他附加控制。

实施CMMI的收益

  ● 获得全球性软件与系统工程行业的唯一权威认证,是对企业软件研发与服务能力的权威认可。

  ● 提升公司品牌形象与市场竞争力,帮助企业在竞争中脱颖而出。

  ● 获得“中国梦”发展计划中,政府对软件与系统集成企业自主创新与发展的支持。

  ● 让公司持续、可控的向客户交付符合要求的产品与服务。

  ● CMMI通过降低研发、生产和交付的成本,帮助公司提升经营业绩。

  ● 灵活运用CMMI的三种不同模型,用以帮助提升不同的商业需求。

 

  信息系统安全等级保护

信息系统安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统,分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。

基本要求

信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统要求具有不同的安全保护能力。

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术 类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外, 还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。关于信息系统整体安全保护能力的说明见附录文件

相关法律

《中华人民共和国网络安全法》【第二十一条】国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。

《中华人民共和国网络安全法》【第三十一条】 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

发展历程

  ● 1994年《中华人民共和国计算机信息系统安全保护条例》(国务院147号令):第一次提出“计算机信息系统实行安全等级保护”概念。

  ● 1999年《计算机信息系统 安全等级保护划分准则》(GB17859):国家发布关于计算机信息系统安全保护等级划分准则强制性标准。

  ● 2007年《信息安全等级保护管理办法》(公通字[2007]43号):公安部发布管理办法,旨在加快推进、规范管理等级保护建设工作。

 

认证辅导
信息安全风险评估资质、信息安全服务资质、系统集成、CMMI、ISO27001、ISO20000等

汉华自树立品牌和口碑以来,凭借着其专业的培训水平、科学实用的课程设置、高质量的讲师课堂、周到的客户服务,得到了社会上各行业客户的高度评价。迄今为止先后为金融、制造、政府等企事业单位提供定制专场服务,受到客户的一致好评。 我们以企业IT咨询与企业内部定制培训课程为主,定期开设公开专场课堂,为不同需求的企业提供专题化课堂,以确保您在培训投资中取得最大价值化的回报和收益。

 

运维测试
安全加固、安全基线建设和自动化配置、远程扫描、本地安全检测、压力测试、渗透测试

  本地安全检测

登录到被检测对象,通过运行系统命令、安全检测工具和检测脚本等方式对网络设备、服务器系统、应用服务平台、数据库系统等进行人工或者工具安全核查。网络设备检测内容主要包括安全配置、启用的功能、开放的服务等;服务器系统检测内容主要包括系统恶意代码、系统安全防护措施、补丁和安全设置、系统安全策略检查等;应用服务平台检测主要包括安全策略、权限设置、版本和补丁等;数据库系统检测主要包括账户策略、资源权限、审核功能、版本和补丁等。

  远程安全检测

对被检测对象的操作系统、应用服务、数据库系统等进行远程漏洞扫描和人工诊断评估,评估内容包括主机系统开放的端口和开启服务的合理性、存在的各类漏洞和安全配置缺陷,为目标系统安全加固修补工作提供详细的参考信息。同时通过设置不同检测点,对网络安全策略有效性进行验证,为目标系统安全策略制定提供参考依据。

  安全基线加固持续优化

针对本地安全检测、远程安全检测和渗透测试过程中发现的各种安全漏洞、隐患和缺陷,通过修补漏洞、增强安全配置、调整系统架构和安全策略等方式及时进行加固和安全优化,提高系统的安全性和抗攻击能力,将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性,损失降到最低。

  安全基线建设和自动化配置

帮助客户在物理、网络、主机、应用和数据库等方面建立符合行业安全标准和适合自身安全需求的基准配置文档,并为客户提供各项定制的安全基准自动化配置软件和脚本,以实现信息安全规范化和自动化。

  压力测试

通过测试软件模拟用户请求,在不断增加请求量的情况下,根据系统的性能指标的变化情况判断被测系统可能存在的瓶颈,系统复杂能力和运行效率的一种测试手段。

  白盒渗透测试

白盒测试是一种测试用例设计方法,盒子指的是被测试的软件,白盒指的是盒子是可视的,你清楚盒子内部的东西以及里面是如何运作的。"白盒"法全面了解程序内部逻辑结构、对所有逻辑路径进行测试。"白盒"法是穷举路径测试。在使用这一方案时,测试者必须检查程序的内部结构,从检查程序的逻辑着手,得出测试数据。

  黑盒渗透测试

黑盒测试也称功能测试,它是通过测试来检测每个功能是否都能正常使用。在测试中,把程序看作一个不能打开的黑盒子,在完全不考虑程序内部结构和内部特性的情况下,在程序接口进行测试,它只检查程序功能是否按照需求规格说明书的规定正常使用,程序是否能适当地接收输入数据而产生正确的输出信息。黑盒测试着眼于程序外部结构,不考虑内部逻辑结构,主要针对软件界面和软件功能进行测试。