安全咨询服务介绍

什么是信息安全咨询服务?信息安全咨询服务就是帮助组织建立和巩固完善的信息安全体系的一系列活动;同时,安全咨询服务也是整个IT 环境的成熟度的一个衡量指标。

目前,人们在信息安全建设时,广泛采用基于安全产品的系统集成方案,这样的方案着眼点和核心都放在安全技术和产品上,往往目的性非常强,但通常仅仅局限在某一点上,不能把握建设安全体系的全局,也不能很好地在组织内部贯彻安全管理思想,在规避安全风险、控制安全成本方面更缺乏可控性。现在更为有效也更切合实际的,就是基于服务的工程化方法来进行信息安全建设。

与传统的集成方案不同,基于服务的信息安全解决方案着眼点不再是安全产品,而是组织不断发展变化的安全需求(通过风险评估等途径进行充分发掘),在此基础上,设计适用的解决方案,包括安全策略的制定、技术和管理体系的构建。以服务为主导的信息安全建设过程,技术产品仅仅是实现安全体系的一种手段,是否选择产品?选择怎样的产品?这些都要依据具体需求来定,除了产品,安全策略、操作流程、人员组织、安全管理等项事务是需要更多去考虑的;另外,安全咨询服务过程是有周期性并且不断发展的,这和信息安全本身持续改进的特点完全一致,因而更适合建立完善的信息安全体系。

安全咨询服务依照信息系统安全工程(ISSE)方法论首先通过安全风险评估识别当前的主要安全威胁、脆弱性、已有的安全措施计算安全风险值,获得安全风险评估结果;根据风险评估结果获得信息安全建设有针对性的安全需求,从而得到安全防护的设计方案及建设计划。

成功的组织信息系统安全建设应满足以下条件:

  • 能够前瞻性地做出组织信息安全战略、战术规划;
  • 对组织的信息资产情况了如指掌;
  • 充分了解组织信息与网络系统面临的威胁、脆弱性,并得出其风险级别;
  • 根据风险分析结果能够提出针对性的解决方案和建议;
  • 能够确切的提炼出组织信息与网络系统的安全需求;
  • 建立合理的与组织安全策略一致的动态安全体系框架;
  • 制定切实可行的安全策略指导文档;
  • 建立正确的安全体系运行和管理机制,保证安全体系的正常运行;
  • 从业务需求出发规划和设计应用系统的安全性指标;
  • 从平台、程序、用户等角度实施应用系统运维制度、规范和流程;
  • 选取合适的,有效的能够满足组织安全策略需要的安全技术和产品。

迪普科技安全服务体系

信息安全风险永远存在,静态的安全产品不能解决所有的问题,动态的安全服务已经成为信息安全工作的核心要素。为满足不同行业对信息安全的不同需求,迪普科技提供包含从高端的全面安全体系到细节的技术解决措施,依照信息系统安全工程(ISSE)方法论推出了A 安全风险评估类服务;B 安全规划设计类服务;C 安全运维类服务;D 安全培训类服务;涵盖了信息系统生命周期整个阶段。

迪普科技以创新的安全服务运营模式,通过全方位的安全解决方案,实现咨询服务、解决方案、产品集成三位一体的信息安全价值链。

在关注业务安全的大背景下,把信息安全管理评估、基础设施技术风险评估、应用系统安全性评估三者结合起来,结合行业化的安全要求,从立体层面针对客户业务 系统进行管理、技术、应用系统三方面的评估、咨询,可以帮助客户全面认知自身风险,为客户提供更完善更有针对性的安全解决方案。

安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面:事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险,因此,为了降低安全风险,应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。

通常安防措施只是降低了安全风险而并未完全杜绝风险,而且风险降低得越多,所需的成本就越高。因此,在系统中就总是有残余风险的存在,这样,系统安全需求的确定实际上也是对余留风险及其接受程度的确定。

迪普科技安全服务能力

  • 具有国家信息安全测评中心颁发信息安全服务二级资质;
  • 信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力,以及其稳定性、可靠性进行评估,并依据公开的标准和程序,对其安全服务保障能力进行认定的过程。

经验丰富的团队成员构成

  • 拥有丰富的运营商、电力、政府、金融等行业的服务背景,持有包括CISSP、ISO27001实施专家、ISO20000、CISP 、CCIE等在内的管理或技术领域资质认证。

独立的安全漏洞挖掘能力,并获得国家机关认证

  • 安全漏洞挖掘能力代表公司在安全漏洞研究领域、安全攻防领域的突出能力,具备自主挖掘能力代表了公司在安全基础研究的扎实程度,在安全服务过程中代表了公司的核心实力;
  • 国家漏洞库技术支撑单位;
  • 很多现场服务的实施人员即为提交安全漏洞的研究人员。

迪普科技攻防实验室

主要职责:

  • 跟踪最新的安全攻防技术,复现攻击情景,研究防御方法,提出解决方案;
  • 公司开发的产品进行自身安全、安全功能的测试,提升公司安全产品质量;
  • 输出对内对外安全攻防演练方案;
  • 进行漏洞挖掘、协议逆向、漏洞利用、WEB渗透、僵尸网络等课题研究及验证。

部分成果:

  • 发现国内某办公套件文件格式缓冲区溢出高危漏洞影响所有版本,已提交国家漏洞库并获得证书;
  • 发现电信某些交互系统核心控件6个安全漏洞,其中2个可用于网页挂马,提交国家漏洞库并获得证书;
  • 为上海电信、江苏联通、浙江电信、广东联通等客户结合用户业务安全需求定制攻防演练与培训方案。