依据网络安全法和国家网络安全等级保护制度的相关规定,按照有关管理规范和技术标准,全面评估机构内部现有的安全措施和存在的安全风险,提高安全配置基线水平和安全防范意识,为安全建设规划提供技术支撑,提供专业的信息系统安全等级保护测评服务。
安全测试服务聚焦新一代信息技术的研发和应用,对服务器操作系统、数据库、Web应用系统等进行配置检查和扫描,评估应用系统本身和所在环境的安全防护能力,发现系统存在的安全隐患,评估可能的风险,并提出针对性的安全改进建议,提高系统的安全水平。
以攻击者思维,模拟恶意黑客对系统进行深入全面的安全测试,帮助企业挖掘出正常业务流程中的安全缺陷和漏洞。通过对网站及相关服务器等设备,进行非破坏性质的模拟入侵者攻击,模拟侵入系统并获取系统权限,并将入侵过程和细节总结编写成测试报告,由此确定存在的安全威胁,助力企业先于黑客发现安全风险,防患于未然。
源代码审计以发现应用程序在编码过程中造成的程序错误、安全漏洞为目的,通过代码静态分析工具,对.Net、Java、PHP、C/C++等脚本源代码代码进行扫描、分析。对导致安全漏洞的错误代码进行定位和验证,全面深入地挖掘出所有可能存在的漏洞,并从代码层进行修复,提供安全问题的修复建议。
面向行业监管单位、APP应用市场和App开发商/运营商。检测内容包含收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动的全周期,以及隐私政策、用户权利保障、组织管理、安全事件处置等方面。采用人工审核、静态检测、动态检测和人工访谈相结合的检测方式,对App业务进行全面了解分析,最终给出检测报告及解决措施。
发现系统在规划、设计、建设、运行等过程中的安全技术和安全管理问题, 对信息资产所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性进行评估。在风险事件发生之前或之后(但还没有结束),该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估。
从信息系统出发,结合银行行业的特点,以风险和策略为出发点和核心,通过在信息系统生命周期中对技术、过程、管理和人员进行评估,确保信息的机密性、完整性和可用性,从而进一步保障实现安全可靠的电子银行交易。
根据国家等级保护相关标准、风险评估相关规定,结合电力行业的安全标准,对电力监控系统进行资产评估、威胁评估、脆弱性评估、安全防护措施确认、风险分析等,加强对电力监控系统的安全管理,防范黑客及恶意代码等对电力监控系统的攻击侵害,保障电力系统的安全稳定运行。
通过现场查看和实地检测,对相关单位网络安全管理制度、防护设备配置、机房整体环境等进行专项检查,及时发现各单位存在的网络安全漏洞和潜在风险隐患,进一步提高各单位网络安全责任意识,坚决筑牢网络安全防线。
评估对象为已实施以电子病历为核心医院信息化建设的各级各类医疗机构,对其医疗信息系统的功能实现程度、功能应用程度、数据质量水平进行评价打分,全面评估各医疗机构现阶段电子病历系统应用所达到的水平。病历系统应用水平划分为9个等级。每一等级的标准包括电子病历各个局部系统的要求和对医疗机构整体电子病历系统的要求。
主要通过对电子病历与医院信息平台标准符合性测试以及互联互通实际应用效果的评价,从数据资源标准化建设、互联互通标准化建设、基础设施建设和互联互通应用效果等四个方面对区域卫生信息平台和医院信息平台进行综合测试和评估,构建医院信息互联互通成熟度分级评价体系。以测促用、以测促改、以测促建,促进跨机构跨地域互联互通和信息共享。
通过监控平台对在线运行的网站提供7*24小时实时安全监测,对网站的挂马、暗链、内容异常变更等情况进行检测,及时发现网站内容异常变更、被挂马等问题。同时能够对网站的域名解析、请求时间等性能进行监控,及时发现拒绝服务等攻击行为。
依据定级要求、结合行业特点对业务信息系统提供定级咨询建议,帮助客户掌握信息系统状况,协助客户填写定级资料,协助客户对定级合理性进行专家评审,并协助客户完成定级备案工作。
进行系统梳理与调研,通过对照检查、人工分析等方法,分析目前已有安全保护措施与等级保护标准要求之间的差距。
对系统开发过程中所涉及到的安全操作进行概括、补充和完善,并融入安全设计、安全编码、安全测试以及安全事件响应的传统安全技术,系统地识别和消除各个阶段可能出现的来自于人员知识和技能、开发环境、业务逻辑所带来的信息安全风险,全面评估组织在软件开发过程中的潜在风险。
提供安全检查、积极防御、实时检测、响应处置等安全服务,发现重要保障时期被保障单位信息系统可能存在的安全风险,安全防御体系可能存在的薄弱环节,提升安全防御能力,保障重要活动、会议从筹备到执行期间的关键信息系统和数据资产安全,确保重大活动、会议顺利圆满完成。
序号 |
培训类型 |
培训内容 |
1 |
NSATP注册网络安全测评专业人员培训 |
NSATP是针对网络安全测评专业人员开发的人员认证培训课程。课程内容覆盖9大知识域,培训学员可从理论到实践,从静态到动态多层次、全方位提升网络安全测评专业人员应具备的专业技能。 |
2 |
NSATP-A注册网络安全渗透评估专业人员培训
|
NSATP-A是针对网络安全渗透评估专业人员开发的人员认证培训课程。该认证培训依托网络安全攻防技术实训攻防靶场仿真平台,通过实操训练教学,使参训学员熟悉常见渗透攻击思路及手法,掌握常见漏洞的测试验证方法,提高参训学员采用逆向渗透测试验证正向合规有效性的能力。 |
3 |
NSATP-D注册网络安全专业防御人员培训
|
NSATP-D是针对网络安全专业防御人员开展的认证培训。该认证培训依托网络安全攻防技术实训平台,结合攻防实战案例,通过实操训练教学,使重点单位/部门中网络安全运维和防护人员,熟悉常见渗透攻击思路及手法,掌握防御方法。提高重点单位/部门中网络安全攻防人员层层阻击、反制溯源、恢复加固的能力。 |
4 |
网络安全政策解读培训 |
(1) 网络安全法背景、一般信息系统和关键信息基础设施的不同要求,对个人信息保护、数据出境的要求等; (2) 等级保护2.0标准体系介绍、等级保护关键测评指标解析、系统定级要求、等级保护测评流程讲解,系统常见问题及整改建议分析等; (3) 个人信息保护相关的政策法规、个人信息收集与处理的要求、APP安全和个人信息处理的要求、个人信息处理的常用方法介绍等; (4) 金融行业相关标准解读、金融行业等级保护2.0测评实践、金融行业等级保护2.0测评要点、金融行业合规应对及建议。 |
5 |
网络安全专项检查培训 |
关基检查背景与发展历程、检查内容解析、检查问题与重点行业风险分析、网络安全保护要点解析等。 |
6 |
商用密码安全性评估培训 |
商用密码应用与安全性评估相关的政策法规、标准体系介绍、商用密码应用与安全性评估关键指标解析、测评过程,测评中常见问题及整改建议分析等。 |
7 |
网络安全意识培训 |
(1) 网络安全政策浅析、网络安全事件回顾、信息安全风险及防范措施、如何保护自己等; (2) 科技革命带来的启示、科技发展引领网络安全行业、网络安全行业风向标、未来发展的展望等。 |
8 |
网络安全攻防培训 |
安全漏洞介绍、安全攻防实践、渗透攻击之旅、其他常见攻击与防范等。 |
9 |
移动App个人信息安全解析培训 |
隐私政策合规性、App最小必要性、权限申请指南、个人信息规范、个人信息防护措施等。 |
版权所有 ©2021. 上海计算机软件技术开发中心 All Rights Reserved 沪公网安备 31011202012393号,沪ICP备14033306号-25