页面升级中敬请期待
优炫安全服务体系
我们按照 ITIL和 ISO27001标准的要求搭建的专业团队,按照标准化的流程,根据客户对信息安全的实际需求,从客户的信息安全规划和建设入手,设计并实施各类安全解决方案,同时提供周期性或不定期的信息安全风险评估,最终帮助客户提高和优化运营机制,使信息安全建设和发展形成健康、良性的循环,逐步提升企业和政府的信息安全保障能力。
云计算安全服务体系
当前云计算成为各行各业信息系统建设的热点,云计算引入了虚拟化技术,改变了服务方式,但并没有颠覆传统的安全模式。在云计算环境下,由于虚拟化技术的引入,需要纳入虚拟化安全的防护措施。而在基础层面上,仍然可以依靠成熟的传统安全技术来提供安全防护。云计算安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的,而云计算又有其特有的安全问题,主要包括虚拟化安全问题和与云计算分租服务模式相关的一些安全问题。大体上,我们可以把云安全看做传统安全的一个超集,或者换句话说,云安全是传统安全在云计算环境下的继承和发展。云计算的模式是革命性的:虚拟化安全、数据安全和隐私保护是云安全的重点和难点。云安全将基于传统安全技术获得发展。
优炫安全服务体系
我们按照 ITIL和 ISO27001标准的要求搭建的专业团队,按照标准化的流程,根据客户对信息安全的实际需求,从客户的信息安全规划和建设入手,设计并实施各类安全解决方案,同时提供周期性或不定期的信息安全风险评估,最终帮助客户提高和优化运营机制,使信息安全建设和发展形成健康、良性的循环,逐步提升企业和政府的信息安全保障能力。
云计算安全服务体系
当前云计算成为各行各业信息系统建设的热点,云计算引入了虚拟化技术,改变了服务方式,但并没有颠覆传统的安全模式。在云计算环境下,由于虚拟化技术的引入,需要纳入虚拟化安全的防护措施。而在基础层面上,仍然可以依靠成熟的传统安全技术来提供安全防护。云计算安全和传统安全在安全目标、系统资源类型、基础安全技术方面是相同的,而云计算又有其特有的安全问题,主要包括虚拟化安全问题和与云计算分租服务模式相关的一些安全问题。大体上,我们可以把云安全看做传统安全的一个超集,或者换句话说,云安全是传统安全在云计算环境下的继承和发展。云计算的模式是革命性的:虚拟化安全、数据安全和隐私保护是云安全的重点和难点。云安全将基于传统安全技术获得发展。
服务类别 | 服务代码 | 服务产品 |
---|---|---|
安全咨询服务 | UX-SC-Ⅰ | 信息安全等级保护咨询 |
UX-SC-Ⅱ | 信息安全管理体系咨询 | |
UX-SC-Ⅲ | 信息安全规划建设咨询 | |
UX-SC-IV | 信息安全考核解读咨询 | |
安全培训服务 | UX-ST-Ⅰ | 信息安全基础培训 |
UX-ST-Ⅱ | 信息安全攻防培训 |
服务类别 | 服务代码 | 服务产品 |
---|---|---|
安全运维服务 | UX-SO-Ⅰ | 安全监控 |
UX-SO-Ⅱ | 安全巡检 | |
UX-SO-Ⅲ | 安全值守 | |
UX-SO- IV | 驻场安全保障 | |
安全通告服务 | UX -SN-Ⅰ | 安全通告 |
安全管理服务 | UX-SM-Ⅰ | 安全规划管理 |
UX- SM-Ⅱ | 安全建设管理 | |
UX- SM-Ⅲ | 安全运维管理 | |
UX -SM- IV | 安全退网管理 | |
应急响应服务 | UX -ER-Ⅰ | 安全应急响应 |
服务类别 | 服务代码 | 服务产品 |
---|---|---|
安全评估服务 | UX -SA-Ⅰ | 管理层面风险评估 |
UX -SA-Ⅱ | 技术层面风险评估 | |
UX -SA-Ⅲ | 网络架构风险评估 | |
弱口令检查服务 | UX -PC-Ⅰ | 应用服务器弱口令检查 |
UX -PC-Ⅱ | Web应用弱口令检查 | |
UX -PC-Ⅲ | 数据库弱口令检查 | |
UX -PC- IV | 网络设备弱口令检查 | |
漏洞扫描服务 | UX -VS-Ⅰ | 服务器漏洞扫描 |
UX -VS-Ⅱ | Web应用漏洞扫描 | |
UX -VS-Ⅲ | 数据库漏洞扫描 | |
UX -VS- IV | 网络设备漏洞扫描 | |
渗透测试服务 | UX -PT-Ⅰ | 应用服务器渗透测试 |
UX -PT-Ⅱ | Web应用渗透测试 | |
UX -PT-Ⅲ | 数据库渗透测试 | |
UX -PT- IV | 网络设备渗透测试 | |
配置核查服务 | UX -CV-Ⅰ | 操作系统安全策略核查 |
UX -CV-Ⅱ | 数据库安全配置核查 | |
UX -CV-Ⅲ | 中间件安全配置核查 | |
UX -CV- IV | 网络设备安全配置核查 | |
UX –CV-V | 安全设备安全配置核查 | |
UX –CV-VI | Web应用安全配置核查 |
服务类别 | 服务代码 | 服务产品 |
---|---|---|
安全加固服务 | UX -SR-Ⅰ | 操作系统配置加固 |
UX -SR-Ⅱ | 数据库配置加固 | |
UX -SR-Ⅲ | Web应用配置加固 | |
UX -SR- IV | 网络设备配置加固 | |
UX -SR- V | 安全设备配置加固 | |
UX -SR- VI | 系统补丁更新 | |
UX -SR-VII | 其他加固措施 | |
安全措施有效性核查 | UX -SV-Ⅰ | 安全产品措施有效性稽核 |
安全策略优化服务 | UX -SP-Ⅰ | 安全设备策略调优 |
UX -SP-Ⅱ | 业务端口服务稽核 | |
日志审计服务 | UX -LA-Ⅰ | 日志审计 |
应急演练服务 | UX -ED-Ⅰ | 安全事件应急演练 |
信息安全迎检保障服务 | UX -IS-Ⅰ | 信息安全迎检保障 |
信息安全等级保护咨询
服务内容
依据客户所在行业等级保护的要求,进行差距分析,在定级、评估、整改、运维方面提供支持。参照等级保护要求,制定信息系统安全建设目标与安全规划方案,建立信息安全保障体系框架。服务收益
了解差距,进行针对性整改,以达到相应的等级保护建设要求。信息安全管理体系咨询
服务内容
依据等级保护、ISO27001等国内外领先的标准协助客户建设信息安全管理体系,以提高客户的信息安全管理水平。服务收益
建立完善的信息安全管理体系,达到国际、国内信息安全管理标准规范的要求。信息安全规划建设咨询
服务内容
立足客户的信息安全策略、 IT 安全框架等, 在对客户的现有信息系统或者信息化环境的进行针对性的评估后, 结合行业特点进行需求分析、 方案设计和产品选型。服务收益
有序开展安全建设,实现安全体系各个环节的需求。信息安全考核解读咨询
服务内容
立足客户所在行业的信息安全考核指标,对其进行有目的、有重点的解读分析,梳理重点信息安全工作,甄别相关考核扣分风险,并为客户提供高效、科学、合规的迎检安全工作计划与标准。服务收益
建立符合考核要求的安全工作计划,降低安全工作难度。信息安全基础培训
服务内容
为客户提供覆盖信息安全意识、技术、管理等内容的信息安全培训服务,以提升客户信息安全认知、技术与管理能力。服务收益
提供信息安全意识,获取信息安全技术与管理能力。信息安全攻防培训
服务内容
为客户提供安全漏洞攻防、流量分析、工具部署等实验培训,通过实战模拟的方式提供客户的动手能力与实操能力。服务收益
加强安全技术的理解,提高安全技术的动手能力。安全监控
服务内容
为客户提供7X24小时的实时安全监控,对网络边界的安全进行系统的监控。通过监控来达到安全事件检测、安全事件跟踪、病毒检测、流量检测等等任务,进而通过检测的结果可以动态的调整各个安全设备的安全策略,提高系统的安全防范能力。服务收益
洞察安全态势,降低安全运营成本。安全巡检
服务内容
对客户的机房环境、网络设备状态、安全设备状态、应用系统状态进行检查与分析,了解客户当前系统与设备的运行情况,并对发现的安全隐患提供改善建议。服务收益
洞察设备运行状态,降低安全运营成本。安全值守
服务内容
在节假日、特殊时期对客户的业务系统进行定期巡检、安全监测,保障客户业务系统安全、平稳地运行,并在值守过程中解决客户的技术问题。服务收益
强化安全保障工作,降低安全运营成本。驻场安全保障
服务内容
驻场安全保障服务针对重要信息系统,提供不同级别的安全运维人员,加强日常信息安全监测,及时发现安全攻击事件,对安全隐患较高的网站和信息系统的客户发出预警通报和整改指导。服务内容包括日常监测、人工巡检、故障排除等。安全运维服务主要针对网络设备、服务器、数据库、中间件、办公设备等运行保障工作。服务收益
被动防御变主动防御。安全规划管理
服务内容
对处于规划阶段的业务系统进行安全管理与,确认系统保护级别、安全防护需求,并指导系统设计方案中的安全内容。服务收益
实现系统规划阶段的安全管理。安全建设管理
服务内容
对处于建设阶段的业务系统进行安全管理,确认业务系统同步落实相关安全防护手段的建设,并做好系统上线前的风险评估工作,确保系统安全入网。服务收益
实现系统建设阶段的安全管理。安全运维管理
服务内容
对处于运行阶段的业务系统进行安全管理,确认业务系统同步落实日常安全工作,包括安全预警、安全评估、安全加固、安全监控、安全维护、安全演练、应急响应、安全审计等内容。服务收益
实现系统运行阶段的安全管理。安全退网管理
服务内容
对处于退网阶段的业务系统进行安全管理,确认同步清除其他系统中授权该系统使用的帐号、网络访问权限,更新防火墙配置信息,防止由于相关帐号权限清除。服务收益
实现系统退网阶段的安全管理。安全应急响应
服务内容
客户业务系统在发生安全事件后,第一时间进行应急响应,快速化解安全危机,确保业务持续开展并将损失降到最低程度。服务收益
快速发现问题、化解安全危机、降低安全损失。安全通告
服务内容
为客户提供专业信息通告服务,并通过邮件或电话等方式,提供及时的、针对性的各类安全信息,帮助客户及时的了解最新安全动态与安全预警。服务收益
了解最新安全形势与安全动态。管理层面风险评估
服务内容
对客户的安全管理机构、安全管理制度、人员安全管理、系统安全建设管理、系统安全运维管理等维度的管理层内容进行风险评估,输出安全管理建议。服务收益
全面掌握管理层面的风险,为后续管理层面的安全整改提供依据。技术层面风险评估
服务内容
对客户的物理安全、网络安全、主机安全、应用安全、数据备份与恢复安全等维度的技术层内容进行风险评估,输出安全技术建议。服务收益
全面掌握技术层面的风险,为后续技术层面的安全整改提供依据。网络架构风险评估
服务内容
对客户的网络架构、安全域划分等网络层内容进行风险评估,输出安全技术建议。服务收益
全面掌握安全域、网络架构的风险,为后续网络架构方面的安全整改提供依据。应用服务器弱口令检查
服务内容
通过恶意人员常用弱口令字典库+客户习性字典库对服务器进行验证与暴力破解,纠察出相关脆弱账号,防范因弱口令带来的安全威胁。服务收益
全面掌握应用服务器的弱口令风险,为后续弱口令整改提供依据。Web应用弱口令检查
服务内容
通过恶意人员常用弱口令字典库+客户习性字典库对Web应用进行验证与暴力破解,纠察出相关脆弱账号,防范因弱口令带来的安全威胁。服务收益
全面掌握Web应用的弱口令风险,为后续弱口令整改提供依据。数据库弱口令检查
服务内容
通过恶意人员常用弱口令字典库+客户习性字典库对数据库进行验证与暴力破解,纠察出相关脆弱账号,防范因弱口令带来的安全威胁。服务收益
全面掌握数据库的弱口令风险,为后续弱口令整改提供依据。网络设备弱口令检查
服务内容
通过恶意人员常用弱口令字典库+客户习性字典库对网络设备进行验证与暴力破解,纠察出相关脆弱账号,防范因弱口令带来的安全威胁。服务收益
全面掌握网络设备的弱口令风险,为后续弱口令整改提供依据。服务器漏洞扫描
服务内容
对客户的服务器进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。服务收益
全面掌握服务器安全漏洞态势,为后续漏洞整改提供依据。应用漏洞扫描
服务内容
对客户的应用系统进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。服务收益
全面掌握应用系统安全漏洞态势,为后续漏洞整改提供依据。数据库漏洞扫描
服务内容
对客户的数据库进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。服务收益
全面掌握数据库安全漏洞态势,为后续漏洞整改提供依据。网络设备漏洞扫描
服务内容
对客户的网络设备进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。服务收益
全面掌握网络设备安全漏洞态势,为后续漏洞整改提供依据。应用服务器渗透测试
服务内容
针对客户的应用服务器进行渗透测试,通过渗透测试快速有效的发现应用服务器存在的安全风险,避免安全事件的发生。服务收益
验证安全防护措施,了解服务器被入侵的可能性,为后续隐患整改提供依据。Web应用渗透测试
服务内容
针对客户的应用系统进行非破坏性质的模拟入侵者攻击,及时发现其存在安全漏洞,避免应用系统被攻击、控制。服务收益
验证安全防护措施,了解Web应用被入侵的可能性,为后续隐患整改提供依据。数据库渗透测试
服务内容
针对客户的数据库的安全性进行测试,及时发现其存在安全漏洞避免数据被黑客篡改、删除、盗取、等安全事件的发生。服务收益
验证安全防护措施,了解数据库被入侵的可能性,为后续隐患整改提供依据。网络设备渗透测试
服务内容
针对客户的网络设备进行渗透测试,及时发现其网络设备存在的安全漏洞,避免因设备被攻击而导致网络中断等安全事件的发生。服务收益
验证安全防护措施,了解网络设备被入侵的可能性,为后续隐患整改提供依据。操作系统安全策略核查
服务内容
结合等级保护要求与客户的个性化安全要求,对操作系统进行配置核查,纠察不符合等级保护要求与客户基线要求的配置策略。服务收益
了解操作系统不符合安全配置要求的指标,为后基线加固提供依据。数据库安全配置核查
服务内容
结合等级保护要求与客户的个性化安全要求,对数据库进行配置核查,纠察不符合等级保护要求与客户基线要求的配置策略。服务收益
了解数据库不符合安全配置要求的指标,为后基线加固提供依据。中间件安全配置核查
服务内容
结合等级保护要求与客户的个性化安全要求,对中间件统进行配置核查,纠察不符合等级保护要求与客户基线要求的配置策略。服务收益
了解中间件不符合安全配置要求的指标,为后基线加固提供依据。网络设备安全配置核查
服务内容
结合等级保护要求与客户的个性化安全要求,对网络设备进行配置核查,纠察不符合等级保护要求与客户基线要求的配置策略。服务收益
了解网络设备不符合安全配置要求的指标,为后基线加固提供依据。安全设备安全配置核查
服务内容
结合等级保护要求与客户的个性化安全要求,对安全设备进行配置核查,纠察不符合等级保护要求与客户基线要求的配置策略。服务收益
了解安全设备不符合安全配置要求的指标,为后基线加固提供依据。Web应用安全配置核查
服务内容
结合等级保护要求与客户的个性化安全要求,对Web应用进行配置核查,纠察不符合等级保护要求与客户基线要求的配置策略。服务收益
了解Web应用不符合安全配置要求的指标,为后基线加固提供依据。操作系统配置加固
服务内容
根据配置核查成果、专业安全评估结果,对操作系统进行安全配置的修正、增加安全机制。服务收益
实现操作系统的配置加固,提高操作系统的健壮性。数据库配置加固
服务内容
根据配置核查成果、专业安全评估结果,对数据库进行安全配置的修正、增加安全机制。服务收益
实现数据库的配置加固,提高操作系统的健壮性。Web应用配置加固
服务内容
根据配置核查成果、专业安全评估结果,对Web应用进行安全配置的修正、增加安全机制。服务收益
实现Web应用的配置加固,提高操作系统的健壮性。网络设备配置加固
服务内容
根据配置核查成果、专业安全评估结果,对网络设备进行安全配置的修正、增加安全机制。服务收益
实现网络设备的配置加固,提高操作系统的健壮性。安全设备配置加固
服务内容
根据配置核查成果、专业安全评估结果,对安全设备进行安全配置的修正、增加安全机制。服务收益
实现安全设备的配置加固,提高操作系统的健壮性。系统补丁更新
服务内容
根据漏洞扫描结果、专业安全评估结果,对系统、应用、数据库进行补丁装载、增加安全机制。服务收益
实现安全漏洞相关补丁的装载,提高目标的健壮性。其他加固措施
服务内容
针对客户业务系统相关的服务器,停止不必要的服务,查杀病毒文件,修改配置与权限,优化系统性能。服务收益
实现相关策略的优化、完成相关事件的处理,提供系统的安全性。安全产品措施有效性稽核
服务内容
针对客户的防火墙、入侵检测设备、防病毒网关、web应用防火墙等安全设备,进行安全策略稽核,确认安全设备的部署位置及配置的安全策略已发挥安全作用。服务收益
洞察已有安全设备的措施,为措施的优化提供指导性建议。安全设备策略调优
服务内容
针对客户的安全设备、服务器等设备的策略进行策略优化,增加整体网络的安全性,减少网络安全隐患。服务收益
优化安全设备的防护策略,增强网络的健壮性。业务端口服务稽核
服务内容
以最小化端口开放原则,梳理出客户的业务服务器开放的端口,并与客户进行对标分析,追查出漏报业务和违规端口。服务收益
清理无关端口服务,纠察违规业务端口。日志审计
服务内容
依据法律规范要求,结合自研工具平台对系统日志、数据库日志、网络设备日志、应用日志进行全维度、细粒度的安全审计分析服务,发现异常行为事件,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据。服务收益
预警和发现安全事件,改善安全工作流程,降低安全隐患。安全事件应急演练
服务内容
针对客户提供各类安全事件的应急演练,以完善信息安全应急响应机制,规范信息安全应急响应工作内容和流程,并提升应急处置能力。服务收益
规范应急处置流程,提升客户的实际操作能力。信息安全迎检保障
服务内容
协助客户做好信息自查和准备工作,满足上级单位对信息安全要求各类指标,圆满协助客户完成上级单位检查。服务收益
降低安全工作难度,顺利通过安全检查。