安全加固是指參考國內國際權威的系統安全配置標準,并結合用戶信息系統實際情況,在用戶允許的前提下,對信息系統涉及的主機、網絡設備、應用及數據庫進行安全配置加固、漏洞修復和安全設備調優。

服務內容

基線加固

主機加固:針對目前使用的操作系統如windows、Linux、Solaris、Unix等進行加固。加固服務的內容包括:身 份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制等安全項加固。

數據庫加固:針對不同類型的數據庫如Oracle、SQlServer、Access、Mysql等進行加固。加固服務的內容包括: 身份鑒別、訪問控制、安全審計、資源控制等安全項加固。

中間件加固:針對不同類型的中間件如IIS、tomcat、weblogic等進行加固,加固內容包括中間件程序安全策略、 服務等。

網絡設備加固:對二層交換設備、三層交換設備、路由器、防火墻等網絡設備進行加固,加固服務的內容包括: 訪問控制、安全審計、網絡設備防護等安全項加固。

漏洞修復

漏洞是指在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,攻擊者利用這些缺陷可以在未授權的情況 下訪問或破壞系統。漏洞修復主要包括主機漏洞修復、第三方產品漏洞修復和應用漏洞修復。主機漏洞修復主要通 過補丁升級、版本升級來修復。第三方產品漏洞需廠商配合,應用漏洞需開發商對軟件源碼進行修復,瑞新股份主 要負責漏洞修復工作的跟蹤和指導。

安全設備調優

根據信息系統的安全情況逐步調整防火墻、IPS、WAF、堡壘機等安全設備的策略,以達到最佳的安全防護效果。

服務價值

為用戶建立起一道安全保障基線,構筑起信息系統安全堤壩,增強用戶信息系統抵抗攻擊的能力,降低系統總體安全風險,提升信息系統安全防護水平,減少安全事件發生。

江蘇省常州市煙草公司-信息安全加固服務

瑞新培訓系統以虛擬化技術為基礎,以課程內容為核心,集知識培訓、技能訓練、仿真演練、科研測試、攻防對抗、競賽比武、管理考核于一體,可持續培養網絡安全人才,滿足各行業對網絡安全人才的需求。

瑞新實驗室現包括培訓系統、仿真演練系統和競賽系統三部分。培訓系統主要用于對網絡安全人才進行系統化的培訓,大量培養網絡安全人才;仿真演練系統可復現特定區域的網絡環境,并在此環境上進行科研測試,可顯著提高網絡安全人才的攻防科研水平;競賽系統通過真實地網絡安全對抗,達到以賽促學、以賽促練的目的,發現和培育網絡安全人才。

培訓價值

完備的課程體系且持續更新:課件分為視頻課件、CTF靶機課件和高級實驗課件三種,涉及安全理論、主機安全、網站安全、通信安全、移動安全、智能硬件安全、工控安全、企業安全等方面。教員可以根據不同學員的培訓目標及學習能力,制定具有針對性的培訓方案。

多維度的人才培訓方案:為達到對不同類型的學員進行培訓的目的,系統提供多維度的人才培訓方案,包括課程培訓方案、職位培訓方案和CTF培訓方案。教員可按照自身安全人才培訓要求快速選擇相應培訓方案進行下發。

可視化仿真環境自定義:系統內置常見的網站、郵件、OA等服務器的虛擬機模板,教員只需在場景制作界面上選擇相應虛擬機模板進行添加,既可快速搭建網絡仿真環境。通過此功能可以創建與學員真實學習、工作相同的網絡攻防環境。在該環境中,學員一方面可以進行真實的網絡攻防實訓,提高學員的實際工作能力;另一方面也可以在這些環境上進行新技術的科研、測試,提高本單位的網絡攻防科研水平。

智能化的培訓效果評估:培訓效果評估是人才培訓過程中的重要環節,也是檢驗培訓質量的重要手段。系統為課程內容配套相應的隨堂測試題,教員可根據考核要求設置不同題目的分值,系統會根據評分標準對學員的操作行為進行評分。課程一結束,學員就可以知道自己的學習成績。通過此功能教員可以全面掌握不同學員的培訓效果,進而提高培訓質量。

精確的成長軌跡分析:網絡安全知識涉及面廣,學員在學習過程中需要清晰的認識到自己的不足和技能的薄弱點,才能更全面地掌握網絡安全知識。培訓平臺會將學員的學習情況以路徑圖的形式展現出來,使學員能夠查看已往學習情況。同時,系統還會為學員提供形象技能和崗位學習狀況雷達圖。通過此圖學員可以根據個人的學習目標調整學習重點,有針對性的進行學習。

2015年4月,對常州市國家電網的現場培訓,培訓內容為常見安全漏洞的原理和利用方法。在培訓結束后,常州市代表隊獲得了江蘇省小組賽第一名的優異成績。

2015年5月,對常州信息職業技術學院的教學,教學內容為常見安全漏洞原理、利用方法和方法措施。

2015年7月,對來自全國技師學院的部分教師的培訓,培訓內容為信息安全意識、常見安全漏洞利用方法和metasploit安全漏洞檢測工具的基礎操作。

2015年9月,對江蘇省國家電網藍隊培訓,培訓內容為主機安全加固、中間件安全加固、數據庫安全加固、應急響應等。

2015年11月,對常州市經信委和江蘇省國檢局培訓,培訓內容為應急響應和常見安全漏洞的原理、利用、修復等,隨后常州市代表隊獲得了初賽第一、省國檢局代表隊獲得了初賽第三名的優異成績。

2016年2月,對武漢港華科技培訓,培訓內容為信息安全意識、常見安全漏洞原理和利用方法、常見漏洞安全漏洞的規避。

2016年3月,對常州市產權交易所培訓,培訓內容為Linux操作系統的基礎操作。

2016年3月,對常州市統計局培訓,培訓內容為信息安全意識和常見安全漏洞原理。

2016年6月,對淮安市經信委培訓,培訓內容為操作系統安全、常見信息安全漏洞原理、利用以及修復、數據庫和中間件加固、Linux基礎操作、風險評估基礎

2016年6月,對16屆全體常州市信息安全員培訓,培訓內容為常見網站攻擊與防御、WEB安全解決方案。

2017年5月,對常州市教育局培訓,培訓內容為常見網站攻擊與防范、信息安全應急響應、信息安全意識。

2017年5月,對17屆全體常州市信息安全員培訓,培訓內容為郵件安全+OFFICE安全、無線安全+手機安全、物理安全(BADUSB)。

2017年10月,對江蘇省煙草公司培訓,培訓內容為網絡安全法解讀、信息安全應急響應、常見漏洞原理和修復、Linux基礎操作、風險評估基礎,江蘇省煙草代表隊隨后在天翼杯中取得三等獎。

2017年10月,對常州市黨政機關參賽人員培訓,培訓內容為網絡安全法解讀、信息安全應急響應、常見漏洞原理和修復、操作系統安全,常州市代表隊隨后在天翼杯中取得二等獎。

2017年10月,對常州市工控組參賽人員培訓,培訓內容為工控基礎知識、常見安全加固、信息安全應急響應、安全防護指南解讀和一系列習題,常州市個人取得一等獎的優異成績。

2018年2月,對武進區教育局多個學校信息管理人員開展信息安全培訓,培訓內容為通過滲透看安全。

2018年6月,對常州市水利局開展信息安全培訓,培訓內容為信息安全意識、無線安全、應急響應、常見安全漏洞原理。

安全運維服務是以建設用戶單位的信息安全總體框架為基礎,以安全策略為指導,結合先進的技術平臺、經驗豐富的安全運維團隊、成熟的服務管理體系,旨在協助用戶單位規劃其信息系統的安全體系,分析用戶單位信息系統的安全狀況和面臨的信息安全威脅和風險,協助用戶單位健全制度,明確責任,建立常態化安全運維機制,提高用戶單位的信息安全水平,減少安全事件的發生,保障用戶單位的信息系統的正常安全運行和持續優化。

了解態勢:客戶可以及時了解安全態勢,保障自身業務的可持續性;

明了任務:直觀體現信息業務系統安全現狀,了解當前降低安全風險的初始任務;

降低成本:最大限度的降低安全運維成本,提高企業信息業務發展的競爭力;

檢測隱患:檢驗信息安全基礎設施的有效性,針對發現的安全隱患獲得有效的處理方案;

有據可查:對各類安全事件和日志信息進行存儲和備份,使安全事件有據可查,可作為安全評測的原始依據;

整體防護:幫助客戶建立一體化信息安全防護體系,服務成果作為信息安全建設參考依據。

常州市電子政務中心-常州市電子政務外網運行維護項目

中共常州市委機要局-常州市電子政務內網運行維護項目

常州市財政局-常州市財政網運行維護項目

江蘇省常州技師學院-校園網運行維護項目

信息系統安全風險評估是從風險管理角度,評估系統面臨的威脅以及脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對系統造成的影響,提出有針對性的抵御威脅的方法措施,將風險控制在可接受的范圍內,達到系統穩定運行的目的。為保證信息系統的安全建設、穩定運行提供技術參考。

信息系統安全風險評估從技術和管理兩方面進行,主要內容包括系統調查、資產分析、威脅分析、技術及管理脆弱性分析、安全功能測試、風險分析等,出具風險評估報告,提出安全建議。

在信息系統規劃設計階段,信息系統安全風險評估為信息系統的安全建設提供依據;在信息系統運行維護階段,定期的風險評估是保證信息系統安全的動態措施,可以在信息系統動態變化過程中及時了解、掌握安全狀態,將安全風險控制在可接受范圍內。

測評依據

《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發[2003]27號)

《信息安全技術  信息安全風險評估規范》(GB/T 20984-2007)

《信息系統安全等級保護基本要求》(GB/T 22239-2008)

《黨政機關信息系統安全測評規范》(DB11/T 171-2002)

《信息系統安全風險評估實施指南》

《信息安全風險評估實施規范》(DB32/T1439-2009)

《計算機場地通用規范》(GB/T 2887-2011)

《計算機場地安全要求》(GB/T 9361-2011)

風險評估內容

了解態勢:客戶可以及時了解安全態勢,保障自身業務的可持續性;

網絡安全評估:包括對網絡交換設備、安全設備、網絡結構、安全防護措施等安全性的全面評估。

系統安全評估:包括對操作系統安全性的全面評估。

應用安全評估:包括對數據庫管理系統、WEB服務器、中間件和應用軟件的安全性進行全面評估。

管理安全評估:對安全組織機構、安全管理制度、安全運行維護、安全人員培訓等方面進行全面評估。

滲透性測試:對網絡、數據庫和應用系統中存在的安全漏洞和隱患實施本地或遠程的滲透性檢測和驗證,識別系統中存在的各種威脅途徑,并且提出規避措施。

信息系統安全風險評估過程

煙草物流工控安全遵循標準

《工業控制系統信息安全防護指南》(工信軟函〔2016〕338號)

《GB/T 22239-2008 信息系統安全等級保護基本要求》

《關于加強工業控制系統信息安全管理的通知》(工信部協[2010]451號文)

《煙草行業工業控制系統網絡安全技術規范》

電力行業工控安全遵循標準

《工業控制系統信息安全防護指南》(工信軟函〔2016〕338號)

《電力監控系統安全防護總體方案》(國家能源局36號文)

《電力監控系統安全防護規定》(國家發改委【2014】14號令)

《GB/T 22239-2008信息安全等級保護基本要求》

煙草物流工控安全解決方案

對各系統邊界采取訪問控制、病毒防護措施,保護操作指令免遭非法訪問、竊取或篡改,保障工控網絡的安全運行;

對煙草物流系統工控網絡中重要服務器、操作員站、工程師站進行安全防護,杜絕軟件肆意安裝、U盤濫用等行為;

對煙草工控網絡信息流進行實時監測,記錄各類異常操作和違規行為,做到事前部署,事中監控,事后追溯;

對工控網絡中的安全設備進行集中統一管理,實現全局配置、集中監控、統一管理,提高管理人員的工作效率,降低人員投入成本。

部署方案

方案收益

提升自身安全水平:本方案按照“積極預防、整體保護、分級分域、動態管理”的指導方針,創新工作觀念和工作方式,通過策劃、執行、控制和改進,不僅僅技術上加強防護,管理手段更上一個層級,提高信息安全縱深防御能力,符合新時期煙草行業信息化發展特點和總體策略。

建立物流行業規范:本方案積極落實《工業控制系統信息安全防護指南》、《煙草行業工業控制系統網絡安全技術規范》等行業文件精神要求,結合煙草的典型行業現狀,分析行業需求點和可行可靠的整改措施,探索煙草公司物流工控安全建設標準。

電力行業工控安全解決方案

邊界隔離(生產控制區和管理信息大區之間):部署具備隔離保護功能的安全設備實現網絡分層分區,邊界訪問控制,避免無授權設備對區域的訪問,實現基于通信“白環境”邊界攻擊防御;

區域隔離(生產控制大區內部):采取接入控制措施實現基于區域和功能的網絡劃分及隔離,對工業專有協議進行深度解析,建立通訊“白環境”,阻止區域間的越權訪問,病毒、蠕蟲擴散和入侵,將危險源控制在有限范圍內;

重要系統隔離:采取安全隔離措施,對PLC、DCS等工控設備或系統安全漏洞利用等行為進行阻斷,同時阻止操作員或工程師有意無意的非法操作;

工控網絡監測與審計:采用安全審計功能,對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行集中收集、自動分析,及時發現各種違規行為和病毒、黑客的攻擊行為;

主機安全防護: 對主機進行安全防護,阻止非授權及惡意軟件運行,同時對操作系統進行加固,如注冊表、配置文件等;

入侵檢測系統: 檢測網絡通訊流量中的入侵行為,分析潛在威脅并進行安全審計;

統一安全管理:集中管理安全設備,如工業防火墻、工控主機衛士、監測審計平臺等,實現工控網絡的拓撲管理、安全配置及安全策略管理、設備狀態監控、告警日志等。

部署方案

信息安全發展至今,人們越來越認識到安全管理在整個信息安全建設過程中的重要性,而作為信息安全管理方面最著名的國際標準——ISO/IEC 27001(即之前所稱的 BS7799 標準),則成為可以指導我們現實工作的最好的參照,它也是認證審核的標準。

信息安全管理實用規則 ISO/IEC27001 的前身為英國的 BS7799 標準,該標準由英國標準協會(BSI)于 1995 年 2 月提出,并于 1995 年 5 月修訂而成的。2000 年,國際標準化組織(ISO)在 BS7799-1 的基礎上制定通過了 ISO 17799 標準。BS7799-2 在 2002 年也由 BSI 進行了重新的修訂。ISO 組織在 2005 年對 ISO 17799 再次修訂,BS7799-2 也于 2005 年被采用為 ISO/IEC 27001:2005。ISO 組織在2013 年再次進行改版,發布了 ISO/IEC 27001:2013 版。

ISO/IEC 27001 標準,旨在規范、引導信息安全管理體系的發展過程和實施情況。ISO/IEC 27001 標準被外界認為是一個不偏向任何技術、任何企業和產品供應商的價值中立的管理體系。只要實施得當,ISO/IEC 27001 標準將幫助企業檢查并確認其信息安全管理手段和實施方案的有效性。從企業外部來看,ISO/IEC 27001 關注信息的可用性、機密性和完整性,至今這仍然是這項標準致力達到的目標。

什么是信息安全管理

ISO/IEC 27001 標準,為建立、實施、運行、監視、評審、保持和改進信息安全管理體系提出了模型,其中詳細說明了建立、實施和維護信息安全管理系統的要求,指出實施機構應該遵循的風險評估標準。作為一套管理標準,ISO/IEC 27001 指導相關人員怎樣去應用 ISO/IEC 27001,其最終目的,還在于建立適合企業需要的信息安全管理系統。

ISO/IEC 27001 標準,定義了 14 個安全域和 114 個安全控制措施項。如下:

ISO/IEC 27001 標準要求的建立 ISO/IEC 27001 框架的過程:制定信息安全策略,確定體系范圍,明確管理職責,通過風險評估確定控制目標和控制方式。體系一旦建立,組織應該實施、維護和持續改進 ISO/IEC 27001,保持體系的有效性。

如何實施基于 ISO27001 標準的信息服務管理體系

ISO27001 管理體系咨詢方法論

分析階段

通過前期的項目準備,使企業領導能充分的支持與授權相應人員進行信息安全的建 設,并且通過安全意識的培訓,使企業項目人員逐步了解信息安全管理相關的知識并樹立信息安全管理的理念 。

瑞新股份將于企業主要人員一起,對企業業務目標進行分析。同時客觀準確地評估信息安全管理現狀、進行差距分析、評價安全管理成熟度,為后續風險評估和建立管理體系打下基礎。

風險評估工作是風險管理的基礎,同時也是建立企業信息安全管理體系的重要工作,風險評估工作主要是瑞新股份對企業信息安全現狀從技術與管理方面進行評估,同時與ISO27001 的標準及結合各類內外部監管要求進行差距對比,并確定企業今后風險評估方法。

實現階段

ISO/IEC 27001 把 信息安全管控的工作內容劃分為 14 個安全控制域。這就要求項目組在項目實施階段將 ISO/IEC 27001 的組織架構進行優化從而更有效、合理分配人員職責。人員職責分配是項目和后續運行成功的基礎。因此瑞新股份首先協助建立合理的項目組織及職責分配,這是成功的基礎和組織保證。

瑞新股份咨詢配合企業根據國際信息安全管理標準 ISO27001 標準,在體系范圍內建立完整的信息安全管理體系,達到動態的、系統的、全員參與的、制度化的、以預防為主的信息安全管理方式。主要是制定風險處置計劃、ISMS 一、二級文件體系修訂設計、體系文件編制輔導、內審與管理評審工作的指導。

運行階段

為了確保體系試運行的效果,瑞新股份采取“先培訓、后指導再推”工作思路使相關人員全面參與到體系的試運行過程中,同時建立暢通反饋渠道不斷收集意見和建議,然后根據這些意對體系進行優化調整使有效運落實。

認證階段

瑞新股份為企業培訓迎審技巧及注意事項,然后由瑞新股份項目經理和咨詢顧問,和客戶方項目組配合第三方認證機構進行第一階段的認證審核,咨詢機構協助通過并整改不符合項。完成后安排第三方認證機構的第二階段注冊審核,全面協助企業通過現場認證。

實施基于 ISO27001 標準的信息安全管理體系的必要性

ISO27001 不僅是目前國際上最權威的信息安全管理體系標準,更重要的是它為企業的信息安全管理體系實施和落地提供了非常優秀的管理控制方法和風險評估理念。因此,企業需要在不斷滿足和更新相關安全技術產品的同時,不斷反思和持續改進內部的安全管理科學性、有效性和適宜性,同時掌握正確的信息安全風險評估技能保持風險的可控和穩定。

江蘇易交易信息科技有限公司-信息安全管理咨詢服務

瑞新智慧云安全監測平臺是一套軟硬件一體化平臺,采用遠程監測技術對WEB應用提供7*24小時實時安全監測服務。通過對網站的不間斷監測服務從而提升網站的安全防護能力和網站服務質量,并通過安全監測平臺的事件跟蹤功能建立起一種長效的安全保障機制。

產品特性

功能合規性:本平臺提供的監測功能充分考慮了各行業對網站監測的要求,如政府行業《國務院辦公廳關于進一步加強政府網站管理工作的通知》所要求的監測類型、等級保護對電子政務及金融的要求,如銀監會、證監會等金融監管機構對門戶網站、網上業務系統的監測要求,從而確保監測平臺的服務能滿足各行業政策及監管的要求。

監測范圍全面:瑞新科技智慧云安全監測平臺提供的監測功能覆蓋安全時間軸的事前漏洞監測;事中實時網馬監測、關鍵字監測、可用性監測;事后篡改監測。協助用戶實現網站安全可用的安全保障目標。

取證式監測:監測平臺采用業界最先進的監測與取證技術,確保監測到的每一個安全問題都能進行取證式確認,極大地降低了誤報率:如SQL注入漏洞取證數據庫內容、跨站腳本取證跨站效果代碼、篡改監測取證篡改截圖等。一方面減少運維人員對WEB安全知識的嚴重依賴,提高安全監管的效率;另一方面為用戶確認和修復問題提供更為直接的幫助。

安全態勢跟蹤:監測平臺提供網站歷史安全勢態的跟蹤功能,提供橫向安全對比報告便于監管人員對網站進行考評、跟蹤網站的安全處理情況。如:網站風險值評定與排名、漏洞修復狀態跟蹤、篡改事件匯總與修復跟蹤等。

性能可擴展性:監測平臺采用先進的技術架構實現性能無極擴展,依據不同的業務需求可配置相應規模的監測引擎,從而實現不需用戶端的任何修改即可實現對數千網站的遠程安全監測。

產品特性

江蘇瑞新信息技術股份有限公司

  • 地址:常州太湖東路9-1號808室
  • 郵編:213000
  • 電話:0519-81236533
  • 傳真:0519-85157327
  • 蘇ICP備09036926號

南京分公司

  • 地址:南京市秦淮區中山東路532-2號H1棟110室
  • 郵編:210000
  • 電話:025-85330327
  • Copyright @ 2008-2019 瑞新股份. All Rights Reserved .
  • 蘇公網安備 32041102000092號

瑞新股份微信公眾號

体彩内蒙古十一选五