《圣博润服务介绍》由会员分享,可在线阅读,更多相关《圣博润服务介绍(23页珍藏版)》请在金锄头文库上搜索。
1、 123北京圣博润高新技术股份有限公司(简称圣博润,OTC股票代码:430046)2000年成立于北京中关村科技园,多年来专注于以自主知识产权为 核心的产品、服务的研究、发展和推广。作为领先的信息安全产品和服务提供商,圣博润通过先进的技术、卓越的产品、完善的服务帮助合作伙伴优化IT应用环境,提高IT应用效率,降低IT应用及管理成本。圣博润公司总部设在北京,在中国29个重要城市设有办事机构,在华东、华南、东北地区设有分公司,拥有以北京和南京地区为支点的研发体系,完善的公司组织架构和服务体系为客户提供最先进的产品、服务和安全服务理念。作为占据局域网信息安全理念和技术前沿的领军企业,拥有占员工人数近
2、40%的 研发和技术团队 ,突出的研发实力和持续的研发投入保障了公司自主创新能力的不 断 提升。面对局域网络信息安全的诸多问题,圣博润从评估网络安全、规划网络资源 、 规范网络行为、防止信息泄露等多方面入手,为用户提供自动防御的内网安全管理 平 台,构建真正安全易用的内网和桌面操作环境,帮助用户防患于未然。注重产品的合规性是圣博润产品研究和企业发展的重要特点,结合用户真实网 络 安全需求和对于相关政策的深刻理解,圣博润公司以信息安全服务为依据,以 LanSecS(莱恩赛克)内网安全管理系统作为技术手段,与其它安全产品一起最大 限度地满足了涉密网用户对安全保密管理的需求,为信息系统安全等级保护的
3、定级 、 实施和测评提供必要的安全防护能力。目前,圣博润的客户群体涉及政府、能源、企业、金融、教育、医疗、烟草、 军 队、传媒等众多领域,在全国范围内超过2000家的客户通过圣博润的产品和解决方 案 合理部署和管理内部网络以降低IT运营成本,提升。部门成立以来,凭借领先的风险管理技术、丰富的信息咨询经验 、专业化的人才优势及庞大的资源库,为客户提供量身定做并与国际接轨的专业咨询服务,赢得了客户的高度赞誉和广泛的认可。具有丰富的国内外IT及信息安全服务与咨询经验 的信息风险评 估和审计咨询顾问组成的团队,我们的顾问主要由业界专家、国际咨询顾问 公司及国内大型系统集成公司等人员组成。专注为各行业提
4、供全面的IT咨询服务。已经完成了一些客户,为客户提供了全国范围内安全体系建设及规划的咨询服务。公司参与了多项国家标准的撰写和审核工作。目前公司为公安部第一研究所等级保护技术支撑单位之一。123服务务体系工作对对象评评估/测试测试设计设计 /规规划实实施辅导辅导外包服务务等级级保护护咨询询服务务等级级保护护体系信息系统风险评统风险评 估企业业信息系统统 渗透测试测试企业业信息系统统 代码审码审 核企业业信息系统统 信息安全体系建设设企业业信息化 IT服务务管理体系建设设运营营管理体系 IT治理咨询询企业业信息化 IT内控体系建设设IT内控体系 安全加固服务务企业业信息化 安全运行维护维护 服务务
5、运营营管理体系 多名专业专业 安全顾问顾问圣博润具有30人左右的顾问团队 ,以来满足各单位、企业的机构庞大与广泛服务需求。公司多名顾问取得CISSP、CCIE、COBIT、ITIL等业界相关认证。良好的从业业背景公司多名顾问参与多项国家信息安全标准的撰写和审核。其中包括等级保护、风险评 估等。并大多具有在大型机构从事IT咨询、IT运维、IT稽核的工作背景。杰出的服务经验务经验公司具备了多年来从事安全服务、IT风险评 估、IT治理咨询、IT审计(稽核)外包等服务方面的经验;公司根据多年的安全服务经验 ,已制定出一套国际先进的项目管理方法,及风险控制策略。等级级保护实护实 施能力;公司顾问 曾参加
6、国家信息系统等级保护标 准的制定与修改;目前被 列为公安部机构的技术支持单位。积累了丰富的等级保护相关项目的经 验,并协助多家单位对信息系统进 行定级备 案及评估整改,并顺利通过 等级保护测评 。安全技术术控制能力;公司研究和制定了包括网络、安全功能设备 、操作系统、数据库在 内的9种安全实施质量保证标 准;对安全管理技术标 准进行多年的研究 和实践(如:ISO27001、ITIL等);实施了多个安全体系建设咨询的服 务项 目,并帮助客户顺 利通过IS027001认证 。专业专业 的IT治理能力公司多年从事IT治理方面的研究,并熟悉相关IT治理方面的标准(如ISO38500、Cobit、ITI
7、L等),具备了丰富的运行维护保障经验及流程再造能力。专业专业 的入侵检查检查 技术术公司根据多年的服务经验 ,总结出数种先进的入侵检查方法,并拥有国际公认的专业入侵检查工具,及最新的安全漏洞库;专业专业 的IT审计审计 能力公司拥有专业的IT审计知识及丰富的IT审计经验 ,具备 IT内部控制体系建设能力。熟悉目前大型信息系统的结构、技术、应用、运行维护管理的现状,对IT内控过程中的关键控制环节熟悉了解,并具备实现 COSO目标要求的资源和能力。123圣博润将根据关于信 息安全等级保护工作的实施 意见、信息安全等级保 护管理办法的内容,内容 定义了信息安全等级保护的 定级和保护的原则,以及对 等
8、级保护五个级别进 行了详 细描述。为了迎合国家出台的一 系列关于信息安全等级保护 的措施,圣博润将根据等级 保护的每个阶段分别设计 出 相应的咨询服务,针对客户 信息系统开展信息安全等级 保护工作。圣博润将根据信息安全技术 信息安全 风险评 估规范(GB/T 20984-2007)的内容 ,对企业信息系统的资产、威胁、脆弱性进 行分析,发现企业存在的风险。信息安全风险评 估是一个识别、控制、 降低或消除可能影响信息系统的安全风险的 过程。风险评 估将帮助客户评估网络上存在 的安全技术风险 ,分析业务运作和管理方面 存在的安全缺陷,评价业务安全风险承担能 力,并给出风险的等级,利用风险评 估管理
9、 系统扩展评估过程和评估结果,为客户提出 建立风险控制建议。风险评 估设计的方面1.身份鉴别; 2.会话管理; 3.授权与访问控制; 4.数据保护; 5.数据合法性检查; 6.缓冲区溢出; 7.日志及其管理; 8.隐秘; 9.错误处 理; 10. 密码支持; 11. 配置与管理;渗透测试(Penetration Test)是完全模拟黑客可能使用的攻击技术 和漏洞发现技术,对目标系统的安全作深入的探测,发现系统最脆弱 的环节。渗透测试能够直观的让管理人员知道自己系统所面临的问 题。检测当前应用层应对 黑客攻击的 防护能力; 提升相关技术人员应对类 似安全 事件的处理能力及信心; 评估当前应用系统
10、的安全缺陷, 给出修补优化建议;渗透测试测试 的目标标服务务的表现现形式圣博润在代码审核方面采用人工与工具结合的方式对信息系统 进行人工审核与代码扫描,根据分析与扫描结果进行总结,针对源 代码的编码规则 、系统结构、语句逻辑、多行结构数据流与控制流 进行分析审核。按优先级发现 及区分安全漏洞。从而为客户信息系 统的代码组织结 构提供强有力的安全支持。 编码规则 ; 系统结构编码; 多行结构数据流; 控制流; 编码语 句逻辑;分析代码码分类产 品信息安全体系建设圣博润将对企业信息安全体系的 设计有效性及执行有效性进行全面评 估,帮助企业建立符合国际规范的有效 的信息安全体系。圣博润将根据评估结果
11、,规范规 定所有与信息安全相关的管理活动,以 及其它与信息系统相关活动的安全控制 要点。为企业制定具体安全方案、管理 制度、工作流程和操作指引的基础和依 据。解决大型企业和机构内不同部门信 息安全建设不一致的问题。避免企业 各部门在信息安全建设中的盲目性。 组织和人员安全; 信息分类及保护; 第三方与外包的安全管理; 物理及环境的安全管理; 网络安全 通信安全; 主机及系统的安全; 软件安全管理; 操作与维护; 项目与工程安全控制; 应用系统开发及支持; 密码技术及管理; 业务持续性管理; 符合性管理;安全设计设计 的方面:圣博润将帮助企业实 施ITIL建立IT服务管理体系 能够使IT服务提供
12、组织建 立一套标准的运营管理过 程,确保服务的提供在管 理的状态下、并且稳定、 系统化。IT治理咨询实询实 施战战略整合价值值交付资资源管理风险风险 管理IT治理用于描述企业或政府是否采用有效的机制(就是为鼓励IT 应用的期望行为而明确决策权归属和责任承担的框架),使得IT的 应用能够完成组织赋 予它的使命,同时平衡信息技术与过程的风险 、确保实现组织 的战略目标。IT内控管理风险评 估;IT内控管理现状调研及差距分析;IT内控策略,流程,制度,模版的设计;自动控制(application control)的识别,和有 效性测试;IT内控体系实施辅导;IT内控体系有效性测试及管理层评估辅导 ;
13、圣博润根据COSO的基本框架和COBIT的具体控制,来帮助客户设计 符合COSO的目标要求的内部控制体系。协助客户通过最低成本完善企业 的 IT 内控体系, 达到IT内部控制的审计要求。Description of the contents Description of the contents Description of the contents 主机系统统网络络系统统数据库库系统统应应用系统统安全加固是对信息 系统中的主机系统、网 络系统、数据库系统、 应用系统的脆弱性进行 分析和修补。另外,安 全加固同时包括了对主 机系统的身份鉴别与认 证、访问控制和审计跟 踪策略的增强圣博润参照 I
14、SO27001、ISO20000等 国际标准和ITIL最佳实 践的要求在协助客户建 立完善的,可持续改善的 数据中心运营管理体系, 并将为客户提供安全运 维服务。国家发展改革委员会信息系统风险评 估项目;国家外汇管理局信息安全运行维护服务项目;北京可口可乐IT治理项目(一期IT管理控制体系);光大银行信用卡中心ISO27001认证咨询、体系整合项目(通过BSI双体系审核) ; 北京市信访综合办公系统风险评 估项目;北京市档案馆信息系统安全运维项目;北京市西城区政府网网络优化项目;奥运会网店信息安全风险评 估项目;人保财险信息系统等级保护评估项目;北京燃气信息系统等级保护评估;中美互利SOX40
15、4内控体系评估与渗透测试;北京广播电台信息系统风险评 估;参与网易SOX404咨询项目; 参与北京中金数据系统ISO20000体系前期设计;天津某日资电机企业ISO27001 信息安全管理体系认证咨询项目;深圳某技术有限公司ISMS 建设项目(已通过DNV 认证);为某银行研究、编制了中国某银行信息安全保障总体规划、中国某银行信 息安全总体技术框架;参与国家信息中心电子政务网络规划与设计阶 段的风险评 估方案的撰写;参与国家信息系统等级保护前期的标准的编写与修改;参与信息安全风险评 估指南草案的编写;完成国家信息安全战略研究与标准制定工作专项课题 信息安全风险自评估理 论研究;国家烟草局、中国烟草总公司安全评估项目;天津烟草系统信息系统网络及安全检测评 估及等级保护咨询服务项目;安徽中烟工业公司信息系统安全风险评 估项目;中国人民健康保险股份有限公司信息安全咨询规划项目;
