一,安全咨询服务
(一),“安全咨询服务”说明
中国电信安全咨询服务包含了由为客户提供的系统安全建设规划、安全运行和管理体系咨询、系统安全风险评估、安全集成等服务,从而帮助用户构建安全基础设施和安全管理体系,应对国家安全法规和政策的要求,提供系统安全整体解决方案。
| 名称 |
服务项目 |
主要内容描述 |
| 安全咨询服务 |
安全风险
评估服务 |
参照ISO17799/ISO13335等国际标准,提供了全面的信息安全风险评估服务,采用半定量的分析方法,依照信息资产价值、弱点的严重性、威胁的可能性、风险值四个要素对组织的信息系统进行风险评估。安全风险评估服务可帮助组织完成其信息系统风险管理过程中的鉴定、分析、评价和处理等任务,有利于组织对信息系统实施风险管控。经过精细的风险评估,企业可以在投资提升安全、降低风险、承受风险、转移风险等方面做出正确的选择。 |
信息安全
管理体系
咨询服务 |
依据相关标准,提供信息安全管理体系ISMS(information security management system)咨询和实施服务,从管理、技术、人员、过程的角度来定义、建立、实施信息安全管理体系,保障组织的信息安全“滴水不漏”,保证业务的持续运营,维护企业的竞争优势。联合BSI、DNV等国际知名标准制定机构和认证公司,为企业提供ISO17799/ ISO27001 的认证实施服务;以多年电信安全管理体系建设经验和专业的服务帮助企业建立符合标准要求的信息安全管理体系。 |
IT内部控制
体系咨询 |
当前上市公司为满足SOX(Sarbanes-Oxley Act)《萨班斯法案》的要求,需要对法案第404条款相关的内部控制进行记录并编制内部控制手册,作为评价内部控制有效性的依据。IT控制体系咨询内容是参照COSO(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)内部控制框架和目前国际上通用的信息系统审计的标准CoBIT(Control Objectives for Information and related Technology),帮助客户实现信息系统的整体控制,主要包括公司层面的信息系统控制、IT一般性控制、业务流程中的应用系统控制、IT相关的手工控制等,从而帮助客户建立完整的内部控制体系,满足萨班斯法案及国内上市公司的要求。 |
等级化
安全体系
咨询服务 |
参照国家等级保护相关文件《安全等级保护办法》和《信息系统安全等级保护实施指南》等,将等级化方法和安全体系方法有效结合,帮助客户合理划分IT系统安全等级提供一套等级化的安全体系设计方法和保障服务,合理保护各类应用。 |
业务连续性
咨询服务 |
业务范围涵盖了业务连续计划中的各个方面,内容包括日常运作流程设计、危机管理、大型灾害的应对计划和策略、业务持续性管理团队建设和咨询等内容,可以帮助客户从技术、流程、人员三方面提高业务持续能力,保证企业的正常运作和发展;建立企业业务连续性管理体系不仅包括灾难恢复、危机管理、风险管理,也不仅是一个IT问题,而是企业整体运营战略的一部分;它的建立包括重新审视企业的组织结构操作流程,发现其中不能适应意外风险和灾难的弱点,通过改进和提高这些结构和流程来避免业务运行的中断和丢失,保证持续正常运转。 |
信息系统
审计服务 |
协助客户确保已设计并顺利运行有效的控制措施,以管理企业的组织架构风险和策略风险。通过内部审计的合作或外包服务,协助企业掌握先进的运作模式,寻找节省成本和提高利润的机会。专业人员具备丰富的专业与行业知识能够全面支持客户的内部审计工作。通过完善的工作方法、领先的技术和适当的专职队伍,为客户执行内部审计工作。 |
(二),为客户创造价值
中国电信安全咨询服务,依托中国电信安全基础设施建设和安全运行管理体系形成的经验和规范体系,基于多年来为用户提供专业化服务积累的对用户安全需求的技术设施和安全体系需求的深刻理解,为用户提供量身打造的专业化安全咨询服务。
定位于:
1, 对安全咨询有明确要求的政府机关、金融机构、中央直属的大中型企业。
2, 对安全体系建设、安全管理制度有要求的上市公司
二,等级服务
(一),中国电信“等级保护服务”
2007年,公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室颁布《信息安全等级保护管理办法》(四部委 公通字[2007] 43号),明确实施等级保护政策依据。中国电信根据国家《信息系统安全等级保护实施指南》、《信息系统安全等级保护评估指南》等相关要求,在自身实践的基础上,为客户提供专业化等级保护咨询服务。
中国电信等级保护服务流程和模型图
(二) 等级保护业务内容
根据客户信息系统的现状和要求,中国电信能够提供全方位、多层次的等级保护服务。针对等级保护实施的不同阶段,我们提供的相关服务如下:
• 信息系统定级:信息系统定级咨询服务。
• 总体安全规划:信息安全风险评估服务、体系设计服务、规划设计服务。
• 安全设计与实施:信息安全方案设计服务、信息安全方案实施服务。
• 安全运行与维护:安全运维支持服务、驻地安全运维外包服务、安全应急响应技术支持服务、信息安全风险评估服务、等级保护测评服务、安全岗位培训。
(三) 为客户创造价值
中国电信等级保护咨询服务为用户提供等级保护预评估、定级、合规,改造实施等流程咨询,最终成果是形成一套按照等级保护标准建立起来的适合组织自身的信息安全体系,在这样一个体系下,组织机构能够从整体安全的视角来实现对所有信息系统进行保护。
定位于:
• 需要等级保护实施单位的政府机关、中央直属大型企业
• 对等级保护有明确要求的证券、保险、银行
(四) 业务特点
中国电信作为综合信息服务提供商,提供专业的安全产品和服务,中国电信安全服务团队积极跟踪国家等级保护政策并参与其中,同时我们还具备强大的全国三级技术服务支撑体系,能够为用户提供最专业化的技术服务。
我们在等级保护工作中具有以下的优势:
• 与国家主管部门建立长期联系渠道
• 参与过等级保护标准撰写和试点工作(案例)
• 多年的客户服务提炼出成熟的方法论
• 自主等级保护实施支持平台
三,“网站安全检测与评估”服务
(一) “网站(WEB)安全检测与评估”服务业务描述
根据国家计算机网络应急处理中心统计数据,针对WEB网站的攻击成为增长速度最快的安全攻击行为,目前已经成为困扰互联网用户的主要安全问题,需要专业化的措施来解决此类问题。
“网站(WEB)安全检测与评估服务”是中国电信面向大客户提供的一项专业安全服务,服务主要针对传统防火墙无法解决的WEB网站攻击行为。通过专业化的检测分析手段对用户的网站进行远程漏洞检测与分析,发现用户WEB系统现在的安全漏洞和威胁,最后根据检测和评估的结果向用户提交检测评估报告,指出WEB系统潜在的安全风险并提供安全漏洞修复建议,以避免WEB系统遭受黑客的恶意攻击。
中国电信强大的安全支撑团队和支撑体系能够为用户提高快捷、方便、及时、专业的安全服务,保障用户WEB系统安全稳定的运行,帮助用户提升用户价值。
(二) 网站(WEB)安全检测的主要内容
网页漏洞扫描:通过远程扫描的方式,检测WEB系统潜在的漏洞,主要包括远程CGI扫描,弱口令扫描,补丁漏洞扫描,溢出漏洞扫描。
深度检测和渗透测试:通过模拟攻击的方式,对WEB系统漏洞进行深入分析,主要包括跨站脚本分析、注入分析、弱口令检测分析、恶意编码检测、钓鱼软件检测、应用层DDOS攻击检测。
提供评估报告和加固建议:提供整体WEB评估报告,提供漏洞补丁修复建议,提供WEB系统加固建议以及WEB系统防御体系方案建议。
(三) 网站(WEB)安全检测的流程
我们承诺将对用户的一切信息严格保密。
(四) 服务内容和服务方式
|
网站单次
弱点扫描 |
评估范围:对网站进行全方位的弱点扫描.木马检测的深度安全评估。评估方法:通过专业化的扫描工具,采用远程扫描的方式对漏洞进行分析检测 |
|
网站包年
弱点扫描 |
每月一次自动安全扫描,每月一次网页木马自动检测,不定期的安全知识、安全公告。 |
|
网站单次
安全评估 |
评估范围:对网站主机、操作系统、WEB应用进行深度弱点扫描,对后台数据库进行配置审计。 |
|
网站包年
安全评估 |
评估范围:每月一次对网站主机、操作系统、WEB应用进行深度弱点扫描,对后台数据库进行配置审计.不定期的安全知识、安全公告。 |
|
网站单次
应急响应 |
对攻击行为引起的异常安全事件进行入侵分析、应急修复等。 |
四,中国电信专业的服务团队
a) 全国范围内已建立三级专业安全服务支撑体系,强大的安全服务保障体系。
b) 中国电信专业的安全专家队伍,拥有多名专业CISSP、CISP、CCIE SE高级工程师和安全咨询专家,拥有丰富的安全专业案例库。
c) 规范的服务流程和服务标准,服务全过程进行管理和监控,反馈机制。
d) 为用户提供5×8、7×24专业化安全服务。
真: