依據網(wǎng)絡(luò )安全法和國家網(wǎng)絡(luò )安全等級保護制度的相關(guān)規定,按照有關(guān)管理規范和技術(shù)標準,全面評估機構內部現有的安全措施和存在的安全風(fēng)險,提高安全配置基線(xiàn)水平和安全防范意識,為安全建設規劃提供技術(shù)支撐,提供專(zhuān)業(yè)的信息系統安全等級保護測評服務(wù)。
安全測試服務(wù)聚焦新一代信息技術(shù)的研發(fā)和應用,對服務(wù)器操作系統、數據庫、Web應用系統等進(jìn)行配置檢查和掃描,評估應用系統本身和所在環(huán)境的安全防護能力,發(fā)現系統存在的安全隱患,評估可能的風(fēng)險,并提出針對性的安全改進(jìn)建議,提高系統的安全水平。
以攻擊者思維,模擬惡意黑客對系統進(jìn)行深入全面的安全測試,幫助企業(yè)挖掘出正常業(yè)務(wù)流程中的安全缺陷和漏洞。通過(guò)對網(wǎng)站及相關(guān)服務(wù)器等設備,進(jìn)行非破壞性質(zhì)的模擬入侵者攻擊,模擬侵入系統并獲取系統權限,并將入侵過(guò)程和細節總結編寫(xiě)成測試報告,由此確定存在的安全威脅,助力企業(yè)先于黑客發(fā)現安全風(fēng)險,防患于未然。
源代碼審計以發(fā)現應用程序在編碼過(guò)程中造成的程序錯誤、安全漏洞為目的,通過(guò)代碼靜態(tài)分析工具,對.Net、Java、PHP、C/C++等腳本源代碼代碼進(jìn)行掃描、分析。對導致安全漏洞的錯誤代碼進(jìn)行定位和驗證,全面深入地挖掘出所有可能存在的漏洞,并從代碼層進(jìn)行修復,提供安全問(wèn)題的修復建議。
面向行業(yè)監管單位、APP應用市場(chǎng)和App開(kāi)發(fā)商/運營(yíng)商。檢測內容包含收集、存儲、使用、共享、轉讓、公開(kāi)披露、刪除等個(gè)人信息處理活動(dòng)的全周期,以及隱私政策、用戶(hù)權利保障、組織管理、安全事件處置等方面。采用人工審核、靜態(tài)檢測、動(dòng)態(tài)檢測和人工訪(fǎng)談相結合的檢測方式,對App業(yè)務(wù)進(jìn)行全面了解分析,最終給出檢測報告及解決措施。
發(fā)現系統在規劃、設計、建設、運行等過(guò)程中的安全技術(shù)和安全管理問(wèn)題, 對信息資產(chǎn)所面臨的威脅、存在的弱點(diǎn)、造成的影響,以及三者綜合作用所帶來(lái)風(fēng)險的可能性進(jìn)行評估。在風(fēng)險事件發(fā)生之前或之后(但還沒(méi)有結束),該事件給人們的生活、生命、財產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評估。
從信息系統出發(fā),結合銀行行業(yè)的特點(diǎn),以風(fēng)險和策略為出發(fā)點(diǎn)和核心,通過(guò)在信息系統生命周期中對技術(shù)、過(guò)程、管理和人員進(jìn)行評估,確保信息的機密性、完整性和可用性,從而進(jìn)一步保障實(shí)現安全可靠的電子銀行交易。
根據國家等級保護相關(guān)標準、風(fēng)險評估相關(guān)規定,結合電力行業(yè)的安全標準,對電力監控系統進(jìn)行資產(chǎn)評估、威脅評估、脆弱性評估、安全防護措施確認、風(fēng)險分析等,加強對電力監控系統的安全管理,防范黑客及惡意代碼等對電力監控系統的攻擊侵害,保障電力系統的安全穩定運行。
通過(guò)現場(chǎng)查看和實(shí)地檢測,對相關(guān)單位網(wǎng)絡(luò )安全管理制度、防護設備配置、機房整體環(huán)境等進(jìn)行專(zhuān)項檢查,及時(shí)發(fā)現各單位存在的網(wǎng)絡(luò )安全漏洞和潛在風(fēng)險隱患,進(jìn)一步提高各單位網(wǎng)絡(luò )安全責任意識,堅決筑牢網(wǎng)絡(luò )安全防線(xiàn)。
評估對象為已實(shí)施以電子病歷為核心醫院信息化建設的各級各類(lèi)醫療機構,對其醫療信息系統的功能實(shí)現程度、功能應用程度、數據質(zhì)量水平進(jìn)行評價(jià)打分,全面評估各醫療機構現階段電子病歷系統應用所達到的水平。病歷系統應用水平劃分為9個(gè)等級。每一等級的標準包括電子病歷各個(gè)局部系統的要求和對醫療機構整體電子病歷系統的要求。
主要通過(guò)對電子病歷與醫院信息平臺標準符合性測試以及互聯(lián)互通實(shí)際應用效果的評價(jià),從數據資源標準化建設、互聯(lián)互通標準化建設、基礎設施建設和互聯(lián)互通應用效果等四個(gè)方面對區域衛生信息平臺和醫院信息平臺進(jìn)行綜合測試和評估,構建醫院信息互聯(lián)互通成熟度分級評價(jià)體系。以測促用、以測促改、以測促建,促進(jìn)跨機構跨地域互聯(lián)互通和信息共享。
通過(guò)監控平臺對在線(xiàn)運行的網(wǎng)站提供7*24小時(shí)實(shí)時(shí)安全監測,對網(wǎng)站的掛馬、暗鏈、內容異常變更等情況進(jìn)行檢測,及時(shí)發(fā)現網(wǎng)站內容異常變更、被掛馬等問(wèn)題。同時(shí)能夠對網(wǎng)站的域名解析、請求時(shí)間等性能進(jìn)行監控,及時(shí)發(fā)現拒絕服務(wù)等攻擊行為。
依據定級要求、結合行業(yè)特點(diǎn)對業(yè)務(wù)信息系統提供定級咨詢(xún)建議,幫助客戶(hù)掌握信息系統狀況,協(xié)助客戶(hù)填寫(xiě)定級資料,協(xié)助客戶(hù)對定級合理性進(jìn)行專(zhuān)家評審,并協(xié)助客戶(hù)完成定級備案工作。
進(jìn)行系統梳理與調研,通過(guò)對照檢查、人工分析等方法,分析目前已有安全保護措施與等級保護標準要求之間的差距。
對系統開(kāi)發(fā)過(guò)程中所涉及到的安全操作進(jìn)行概括、補充和完善,并融入安全設計、安全編碼、安全測試以及安全事件響應的傳統安全技術(shù),系統地識別和消除各個(gè)階段可能出現的來(lái)自于人員知識和技能、開(kāi)發(fā)環(huán)境、業(yè)務(wù)邏輯所帶來(lái)的信息安全風(fēng)險,全面評估組織在軟件開(kāi)發(fā)過(guò)程中的潛在風(fēng)險。
提供安全檢查、積極防御、實(shí)時(shí)檢測、響應處置等安全服務(wù),發(fā)現重要保障時(shí)期被保障單位信息系統可能存在的安全風(fēng)險,安全防御體系可能存在的薄弱環(huán)節,提升安全防御能力,保障重要活動(dòng)、會(huì )議從籌備到執行期間的關(guān)鍵信息系統和數據資產(chǎn)安全,確保重大活動(dòng)、會(huì )議順利圓滿(mǎn)完成。
序號 |
培訓類(lèi)型 |
培訓內容 |
1 |
NSATP注冊網(wǎng)絡(luò )安全測評專(zhuān)業(yè)人員培訓 |
NSATP是針對網(wǎng)絡(luò )安全測評專(zhuān)業(yè)人員開(kāi)發(fā)的人員認證培訓課程。課程內容覆蓋9大知識域,培訓學(xué)員可從理論到實(shí)踐,從靜態(tài)到動(dòng)態(tài)多層次、全方位提升網(wǎng)絡(luò )安全測評專(zhuān)業(yè)人員應具備的專(zhuān)業(yè)技能。 |
2 |
NSATP-A注冊網(wǎng)絡(luò )安全滲透評估專(zhuān)業(yè)人員培訓
|
NSATP-A是針對網(wǎng)絡(luò )安全滲透評估專(zhuān)業(yè)人員開(kāi)發(fā)的人員認證培訓課程。該認證培訓依托網(wǎng)絡(luò )安全攻防技術(shù)實(shí)訓攻防靶場(chǎng)仿真平臺,通過(guò)實(shí)操訓練教學(xué),使參訓學(xué)員熟悉常見(jiàn)滲透攻擊思路及手法,掌握常見(jiàn)漏洞的測試驗證方法,提高參訓學(xué)員采用逆向滲透測試驗證正向合規有效性的能力。 |
3 |
NSATP-D注冊網(wǎng)絡(luò )安全專(zhuān)業(yè)防御人員培訓
|
NSATP-D是針對網(wǎng)絡(luò )安全專(zhuān)業(yè)防御人員開(kāi)展的認證培訓。該認證培訓依托網(wǎng)絡(luò )安全攻防技術(shù)實(shí)訓平臺,結合攻防實(shí)戰案例,通過(guò)實(shí)操訓練教學(xué),使重點(diǎn)單位/部門(mén)中網(wǎng)絡(luò )安全運維和防護人員,熟悉常見(jiàn)滲透攻擊思路及手法,掌握防御方法。提高重點(diǎn)單位/部門(mén)中網(wǎng)絡(luò )安全攻防人員層層阻擊、反制溯源、恢復加固的能力。 |
4 |
網(wǎng)絡(luò )安全政策解讀培訓 |
(1) 網(wǎng)絡(luò )安全法背景、一般信息系統和關(guān)鍵信息基礎設施的不同要求,對個(gè)人信息保護、數據出境的要求等; (2) 等級保護2.0標準體系介紹、等級保護關(guān)鍵測評指標解析、系統定級要求、等級保護測評流程講解,系統常見(jiàn)問(wèn)題及整改建議分析等; (3) 個(gè)人信息保護相關(guān)的政策法規、個(gè)人信息收集與處理的要求、APP安全和個(gè)人信息處理的要求、個(gè)人信息處理的常用方法介紹等; (4) 金融行業(yè)相關(guān)標準解讀、金融行業(yè)等級保護2.0測評實(shí)踐、金融行業(yè)等級保護2.0測評要點(diǎn)、金融行業(yè)合規應對及建議。 |
5 |
網(wǎng)絡(luò )安全專(zhuān)項檢查培訓 |
關(guān)基檢查背景與發(fā)展歷程、檢查內容解析、檢查問(wèn)題與重點(diǎn)行業(yè)風(fēng)險分析、網(wǎng)絡(luò )安全保護要點(diǎn)解析等。 |
6 |
商用密碼安全性評估培訓 |
商用密碼應用與安全性評估相關(guān)的政策法規、標準體系介紹、商用密碼應用與安全性評估關(guān)鍵指標解析、測評過(guò)程,測評中常見(jiàn)問(wèn)題及整改建議分析等。 |
7 |
網(wǎng)絡(luò )安全意識培訓 |
(1) 網(wǎng)絡(luò )安全政策淺析、網(wǎng)絡(luò )安全事件回顧、信息安全風(fēng)險及防范措施、如何保護自己等; (2) 科技革命帶來(lái)的啟示、科技發(fā)展引領(lǐng)網(wǎng)絡(luò )安全行業(yè)、網(wǎng)絡(luò )安全行業(yè)風(fēng)向標、未來(lái)發(fā)展的展望等。 |
8 |
網(wǎng)絡(luò )安全攻防培訓 |
安全漏洞介紹、安全攻防實(shí)踐、滲透攻擊之旅、其他常見(jiàn)攻擊與防范等。 |
9 |
移動(dòng)App個(gè)人信息安全解析培訓 |
隱私政策合規性、App最小必要性、權限申請指南、個(gè)人信息規范、個(gè)人信息防護措施等。 |
電話(huà):86-21-54325166
傳真:86-21-54325591
地址:中國上海聯(lián)航路1588號技術(shù)中心大樓3樓
版權所有 ?2021. 上海計算機軟件技術(shù)開(kāi)發(fā)中心 All Rights Reserved 滬公網(wǎng)安備 31011202012393號,滬ICP備14033306號-25