安全外包服务

“全程无忧”安全服务外包（MSS）

    “全程无忧”安全服务业务，是以远程为主，现场为辅，从“事前、事中、到事后”为客户提供的一种全过程、主动式安全服务。

    我们推出“全程无忧”安全服务产品，主要包括以下五个子服务：定期安全漏洞检测、实时安全监控、安全设备运维、安全事件紧急响应和专家特色服务。实现“事前预警、事中处理、事后弥补”，最大限度的保护客户的业务系统，特别是电子商务系统安全，具体框架如下：

服务列表

    服务类 编号 服务项 计费单位 
    定期安全漏洞诊断服务 ANALYSIS-VUL1 IT设备漏洞扫描检测 台/次 
    ANALYSIS-VUL2 IT设备专家检测（人工检查） 台/次 
    ANALYSIS-VUL3 Web应用漏洞扫描检测 套/次 
    ANALYSIS-VUL4 渗透测试 套/次 
    ANALYSIS-VUL5 代码审计 3000行 
    ANALYSIS-VUL6 安全设备有效性检测 台/次 
    实时安全监控服务 MONET-Web2 IT设备性能监控 台/月 
    MONET-Events1 安全事件监控（安全设备） 台/月 
    MONET-Events2 安全事件监控（主机系统） 台/月 
    MONET-Web1 Web页面平稳度监控 套/月 
    MONET-Web2 Web网页篡改监控 套/月 
    MONET-Web3 Web系统挂马监控 套/月 
    MONET-Web4 Web系统恶意链接监控 套/月 
    安全设备运维服务 MANAGE-FW 防火墙安全管理 台/月 
    MANAGE-IPS/IDS/WAF IPS/IDS/WAF安全管理 台/月 
    MANAGE-DDOS 抗DOS产品安全管理 台/月 
    MANAGE-ANTIVIRUS 防病毒产品安全管理 套/月 
    安全事件紧急响应服务 SUPPORT-ONSITE1 安全事件响应 次 
    SUPPORT-ONSITE2 安全事故应急 次 
    专家特色服务 EXPERT-Harden IT设备安全加固 台/次 
    EXPERT-Assess 网络安全架构评估 次 
    EXPERT-Coach 网站代码加固指导 套/次 
    EXPERT-Support 安全产品咨询支持 台/次 
    EXPERT-Announce 安全通告 周 
    EXPERT-Training 安全技能培训 小时 
    EXPERT-Consult 安全策略制度编写 人天 
    注： 统一提供中文报告，如需英文报告，在原服务费用基础上增加30%
    金牌服务价格在银牌服务费基础上增加200%
    金牌服务提供7*24小时服务 
    银牌服务提供5*9小时服务

MSS “全程无忧”安全服务产品的独特优势：

    目前，MSS已经是被欧美发达国家纷纷采用的一种先进服务模式，且市场增长速度明显高于其他IT领域，它与自建模式相比有着无可争议的独特优势，主要体现在： 
    ★ 7×24小时全天候服务： 
    对客户提供7×24小时全天候安全值守，实时监控客户安全状况，主动发现并及时通知客户网络中的安全事故和潜在的安全隐患，，最大限度的帮助客户预警安全事件，缩短事件响应时间，降低影响范围。 
    ★ 菜单式组合服务 
    客户可以通过简单的菜单式进行选购，可单独也可组合选购；同时产品部署及实施简单，周期短，可以及时做到交付。 
    ★ 标准操作手册，量化交付报告： 
    服务产品有完整、标准的操作手册、实施流程和质量控制，客户可获得可量化的交付成果，实现风险可控的前提下达到安全。 
    ★ 安全风险全面防御： 
    提供的安全服务菜单涵盖了IT各个层面的安全风险，从程序代码、网络结构、主机漏洞到黑客入侵、网站被黑、恶意木马，都在ISCA产品覆盖范围内。 
    ★ 运营商级专家支持： 
    由专业的经验丰富的安全服务工程师和安全专家值守，提供运营商级的高品质服务，并通过分析和优化建议，帮助客户持续提高信息安全防护水平。 
    ★ 完整安保措施 
    服务产品有完整的安全技术保护措施，同时有严格的人员保密控制程序，不会对客户的信息带来额外的安全风险。 
    ★ 业内最经济投入： 
    通过我们提供的“全程无忧”安全外包服务，并结合已有的安全运维方面的优势，能够最大限度的减少客户自建模式下的高额初期投资和长期的运维成本。 
    ★ 最新技术同步更踪: 
    玄乎科技公司作为专业的安全公司，在安全领域有多年的丰富经验，建立了研发小组，保证对最新安全技术、新安全动态、最新安全漏洞的跟踪，建立的强大的知识系统和技术模型保证了安全服务产品能够提供业界最领先的安全知识管理和支持。

综合安全咨询

    综合安全咨询服务是建立在国际安全标准、行业最佳实践、国家安全法规及标准基础上的专业安全管理咨询服务，这些安全标准和法规包括：ISO27001、PCI-DSS、COBIT、国家等级保护以及SOX404。能够为客户建立完整的ISMS信息安全管理体系和管理制度、帮助客户顺利通过年度安全审计，更能够帮助客户获得ISO27001证书。 
    
    合规性检查和评估： 
    ISO27001/ISO15408/ISO13335等 
    商业银行合规风险管理指引/PCI-DSS
    SOX 404 /Cobit 4.0
    信息系统安全等级保护实施指南 
    
    IT系统技术层面的评估： 
    操作系统——Windows、IBM AIX、HP-UX、Sun Solaris、LINUX等
    网络系统——CISCO、Juniper、华为等主流网络设备及安全设备 
    数据库系统——Oracle、SQL Server、Sybase等数据库系统 
    应用系统——ERP、CRM、OA、邮件系统、中间件、其他WEB应用系统等 
    
    安全制度建立和完善： 
    信息安全风险管理和控制 
    安全制度的评估和完善 
    安全制度的推广和维护 
    个人/ 桌面安全管理和控制 
    员工信息安全意识的培养 
    
    网络安全架构的开发与设计（网络安全域）： 
    通过对现有网络架构的分析检查，进行更为全面、彻底的风险评估 
    包括了对网络架构、技术体系、安全设备部署的检查和分析 
    网络数据流分析——包括数据输入、数据输出及流量分析 
    检查防火墙（FW）配置、ACL策略、IDS配置，提高防范网络攻击的能力 
    提供优化的、更加安全的网络架构设计方案 
    与MSS更好的融合，以方便安全管理的外包服务 
    在银行、移动营运商等大型企业的实施经验 
    
    安全事件的应急响应： 
    制定有效的的应急响应计划 
    提供迅速现场响应服务 
    快速评估攻击的影响 
    阻止攻击对系统进一步的负面影响 
    尽可能减少客户的商业损失 
    快速恢复系统 
    
    安全规划及安全解决方案： 
    根据用户的商业目标及信息安全预算，提供量身定制的安全解决方案 
    符合国际、国内的主流安全标准和法规 
    提供独立于设备厂商的个性化安全解决方案

技术安全咨询

    安全不仅仅是产品，而是基于行业安全标准、安全方法论和最佳实践的安全解决方案，对风险的清晰的理解和有效管理是制定企业安全策略的关键因素。在此基础上，ISCA信息安全技术咨询服务提供了业界最完整的信息安全领域的各项咨询业务。通过这些信息安全技术咨询服务，企业可以更有效地进行风险管理，降低企业在信息安全领域投入的总体成本，包括通过安全年度审计、合规审计的费用。

信息安全风险评估咨询 
    
    信息安全风险评估是信息安全管理的基础和关键环节。信息安全风险评估咨询以国际安全标准、行业最佳实践、国家安全法规及标准为依据，对客户网络与信息系统的资产价值、潜在的安全威胁、薄弱环节、现有安全防护措施等进行综合分析，以发现信息系统中存在的主要安全问题，并找到解决这些问题的方法，有针对性地提出管理和改进规划。 
    
    安全架构规划服务 
    
    安全架构规划服务通过分析客户整体信息系统环境，包括数据中心、网络环境、业务系统、应用程序、组织结构、IT管理等，为客户提供完善的网络安全体系结构设计，优化IT安全投资，减少IT总体成本，提高网络安全防护水平，推动企业业务发展，帮助客户建立统一、集中、高效的信息安全运行环境。 
    信息安全等级保护咨询 
    
    信息安全等级保护咨询建立在国家信息系统安全等级保护相关标准的基础上，通过对客户信息系统的分析：系统识别和调研以及信息系统划分，最终确定信息系统的安全保护等级，形成定级报告，为客户提供整体安全建议和规划。也可根据客户已定义的安全级别，进行信息系统安全等级测评，形成信息系统安全等级保护符合性报告。ISCA信息安全等级保护咨询服务帮助客户落实国家等级保护相关要求，促进客户业务应用安全，构筑可信安全运营环境。 
    安全审计与咨询 
    
    安全审计与咨询将依据客户所遵循的安全标准，例如：萨班斯法案、《企业内部控制基本规范》、《银行业金融机构信息系统风险管理指引》、《银行业金融机构内部审计指引》等，进行安全性评估，检查审计范围内的IT资产，检查安全策略与风险控制措施的有效性，识别客户的风险控制能力，综合评定合规性，最终形成安全审计报告和安全建议。通过ISCA安全审计与咨询服务的实施帮助客户顺利通过专项安全审计。 
    商密保护咨询服务 
    
    商密保护咨询服务根据客户自身对商业机密的保护要求以及所需遵循安全标准或要求，分析客户信息安全现状，梳理安全现状与安全要求之间的差距，通过产品选型和测试，提供客户切实可行的安全解决建议，为客户实现商密保护的目标提供有力保障。

应用安全咨询

    Internet发展到今天，基于WEB和数据库架构的应用系统已经逐渐成为主流，广泛应用于企业内部和外部的业务系统中。在网络高速公路不断拓展、电子政务、电子商务和各种基于WEB应用的业务模式不断成熟的今天，却有报道称全球电子商务的发展正在下滑。究其原因，根源在于近两年关于网络钓鱼、SQL注入和跨站脚本等带来严重后果的攻击事件的频频报道，严重影响了人们对WEB应用的信心。根据Gartner的报告，目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击，其中最常见的攻击技术就是针对WEB应用的SQL注入和钓鱼攻击。 

    基于WEB应用的攻击，可以给提供或接受WEB应用服务者造成如下伤害： 
    
    泄漏客户敏感数据，例如：网银帐号等； 
    篡改数据，发布虚假信息或者进行交易欺诈； 
    使WEB网站成为钓鱼攻击的平台，将攻击扩大到所有访问WEB应用的用户。 
    拒绝服务，利用应用的弱点，造成拒绝服务，影响业务的正常运作 
    根据Gattner的数据分析，只有 10％花在了如何防护应用安全漏洞，然而有75％的攻击都是针对应用。WEB应用系统的安全性已经成为安全中最为薄弱的环节。     
    
    应用安全评估服务将针对关键应用的安全性进行的评估，分析应用程序体系结构、设计思想和功能模块，从中发现可能的安全隐患。通过评估和加固服务实现以下目标： 
    
    全面评估应用系统安全现状，发现可能的安全隐患和漏洞 
    根据风险评估的结果，为应用系统确定具体的解决方案 
    根据解决方案，依据现有实施条件，部署和实施解决方案，保障应用系统安全、稳定运行 
    通过本项目为客户培养一批有专业技能的应用系统开发、运维和安全评估审查人员。