安全服务介绍

信息安全服务介绍联通系统集成有限公司第一部分系统集成公司简介第二部分安全服务工作情况第三部分成功案例2目录公司简介3中国联通是国有特大型央企，隶属于国资委，在管理、组织机构等方面与政府机构、事业单位和国有企业具有相似性中国联通作为大型电信运营商，拥有丰富的通信资源、信息资源、技术资源、基础实施和人力资源，为客户提供ICT服务中国联通服务经验丰富，技术专业，管理规范，为客户提供运营商级的一体化ICT服务，提供IT全生命周期的服务解决方案ICT服务是中国联通未来发展核心战略，ITO作为ICT核心服务，中国联通将合理配置资源保证ICT服务质量，让客户满意中国联通用专业化服务，帮助企业实现信息化服务目标：服务质量显著提升，服务成本有效控制，服务资源充分发挥效用政治可靠资源丰富专业规范核心战略实现目标放心选择，选择放心中国联通是IT服务外包的“国家队”，为客户提供一站式的ICT“管家”服务公司简介55以上1%51-552%46-503%41-456%36-4015%31-3527%30以下46%博士研究生2%硕士研究生26%大学本科62%大专及以下10%高级职称10%中级职称21%初级职称28%无职称41%年龄结构学历结构职称结构0502436518332558575341886112712533428212专业认证4集成公司员工总数2197人，平均年龄33岁，90%为大学本科以上学历，中高级技术人员超过40%拥有各类专业认证615人，覆盖IBM、HP、SUN、CISCO、微软、华为、ORACLE、HP等原厂软硬件设备联通系统集成有限公司是中国联通的全资子公司，承载中国联通集团ICT发展战略，为中国联通上市公司注册资金5.5亿元，是具有独立法人资格的国有高新科技企业公司依托中国联通的品牌、网络、客户资源，致力于中国信息化社会建设，专注于政府、企事业单位的信息化建设和服务领域，提供从通信与信息技术咨询、基础设施建设、软件开发、系统集成、运营维护等ICT服务的整体解决方案的综合信息服务5公司简介公司简介123已取得的认证资质6基于ITIL、ISO20000、ISO27001及eTOM等国际标准体系，提供从终端、应用、主机硬件平台、网络到基础设施的一体化维护服务成熟的服务体系，覆盖服务响应、服务交付和服务管控的全过程，保证客户IT服务质量降低客户IT系统维护的复杂程度，简化管理降低服务成本，提高IT支持的服务质量。涉及电信运营商、政府、环保、医疗、教育、能源、公安、金融、交通、制造等行业客户领域。通过结构化的综合布线系统和计算机网络技术，将企业间各个分离的设备、功能和信息等集成到相互关联的、统一和协调的系统之中使客户资源达到充分共享，实现集中、高效、便利的管理。公司简介7ICT系统集成软件开发提供面向公众和企业客户的有效沟通平台，实现企业外部信息的互动交流。基于客户需求，提供业务定制开发，如：电子商务、电子政务、证券交易、视频监控等应用服务。应用软件开发服务系统集成服务运维，安全服务IT服务运行维护系统优化运行维护系统优化建设第一部分系统集成公司简介第二部分安全服务工作情况第三部分成功案例8目录能力理念服务产品规范、客观、公正、科学信息安全服务等保测评风险评估安全咨询安全运维安全管理安全审计应急处理安全培训安全集成CISP、CCIE、MCSE、测评师、PMP……9信息安全服务发展历程2006年•DCN网络安全项目•内网安全管理体系咨询2008年•奥运重保支撑•内网信息安全系统运营•安全事件应急响应•内网安全系统风险评估2010年•业务系统安全管理咨询•工信部安全检查工作•系统安全基线•系统上线评估•ISO27001安全管理认证2012年•等级保护测评及咨询•18大重保支撑•信息化全国安全风险评估•等级保护测评信息安全服务•工信部安全竞赛团体二等奖2014年•两会重保支撑•业务安全评估•外部客户安全集成及设计服务支撑资质能力10•工信部安全服务能力评定•CNAS认可•工信部安全竞赛团体一等奖，个人特等奖•联通安全竞赛团体一等奖，包揽个人前三名信息安全服务内容生命周期安全服务安全管理体系设计组织结构制度规范操作指南技术文档安全架构设计需求分析安全域划分架构设计设备选型测试业务安全应用安全功能验证日常安全评估漏洞扫描基线核查渗透测试合规性检查安全监控木马病毒网页篡改日志审计应急响应应急预案数字取证事件管理安全加固补丁升级配置完善网络安全改造管理体系完善安全培训政策标准安全管理安全技术安全攻防上线安全评估漏洞扫描基线核查渗透测试应用评估业务评估系统优化建设安全系统集成系统优化改造安全系统运营基础设施运维安全数据分析系统优化建议11•质量管控•ISO27001体系认证•ISO20000IT体系认证•CNAS检查机构认可•业务能力•涉密计算机系统集成资质•信息安全等级保护服务测评•通信网络安全服务能力评定•信息系统安全服务资质•信息安全应急处理服务资质三级•信息安全风险评估服务资质二级企业资质信息安全服务能力•项目管控•PMP、高级项目经理•ISO27001主任审核员•国家一级建造师•业务能力•等级测评师（高、中、初级）•CISP、CCIE、MCSE、OCP•网络渗透专家人员资质•风险评估人员20余人•安全运营人员20余人•安全项目人员10余人•安全技术支撑人员8人•后台专业技术支撑团队•7*24统一响应•主机、存储•操作系统、数据库•网络人员构成12信息安全服务体系策略体系框架策略体系组织体系技术体系运营体系策略制定和更新物理安全网络安全终端安全管理防病毒应用安全数据安全服务器安全安全组织架构安全教育和培训安全考评第三方管理安全规划与汇报风险管理业务连续性和灾备符合性管理安全监控和事件处理符合ISO27001规范信息安全体系内外双网架构安全1314流程制度规范管控服务制度保障体系效益提升域系统保障域用户服务域服务管控域组织设计流程管理绩效考核队伍建设满意度管理SLA管理问题管理服务受理维护成本管理IT资产管理工作岗位设计部门划分管理层级构建责权分配规章制度制定与关系协调流程分析流程定义与重定义流程质量与效率测评流程优化与调整建立考核指标体系制定年度考核办法实施考核考核结果通报专业技能培训员工激励内部员工提升计划满意度调查制度建设满意度调查方案设计满意度调查方案实施服务质量改进用户分类定义用户需求识别服务协议签订服务级别监控SLA报告故障或问题受理初步判断和预处理根本原因分析解决问题处理结果反馈服务请求受理投诉受理日常维护作业计划帐号管理监督管理日常维护作业计划帐号管理监督管理维护成本制度管理构建维护成本预算模型维护成本预算IT资产制度管理资产信息管理资产设备新增资产设备调拨资产设备清查资产设备报废安全管理防病毒系统安全管理基础设施安全管理安全管理防病毒系统安全管理基础设施安全管理监控管理日常监测告警处理性能分析监控管理日常监测告警处理性能分析故障管理故障分析和诊断故障排除故障升级请求资源故障关闭故障管理故障分析和诊断故障分析和诊断故障排除故障排除故障升级故障升级请求资源请求资源故障关闭变更管理制定变更方案生成变更计划变更实施变更测试变更管理制定变更方案制定变更方案生成变更计划生成变更计划变更实施变更实施变更测试变更测试应急处理预案制定预案演练评估改进应急处理预案制定预案演练评估改进服务台建设15为满足支撑客户的技术和业务需求，满足员工专业技能提升的需求，在硅谷亮城建立起了信息安全与网络实验室信息安全攻防实验室15信息安全攻防实验室功能：•安全技术研究•安全人员培训•安全产品测试•安全事件复现•攻防演练平台•应用环境测试类别安全类别攻击技术手段暴力破解远程溢出本地溢出提权SQL注入、绕过跨站漏洞研究上传漏洞中间件弱口令利用任意文件下载暴库后台利用一句话木马常见网络攻击逆向破解维持访问社会工程学局域网攻击(内网渗透)挂马原理方法防护手段Windows加固Linux加固中间件加固页面代码加固注入防范工具使用攻击类工具使用基础工具使用扫描类溢出类弱口令利用类SQL注入类COOKIE注入类破解类远程访问类抓包分析类补丁类、系统查看类文件加密类病毒分析类BT5、MSF、Nexpose、Nessus、WVS16信息安全等级保护背景•信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。•等级保护工作文件依据：•《中国人民共和国计算机信息系统安全保护条例》（国务院令147号）•《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）•《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）•《信息安全等级保护管理办法》（公通字[2007]43号•《关于开展全国重要信息系统安全等级保护定级工作的通知》（公通字[2007]861号）17信息安全服务—等保测评等级保护定级原则信息和信息系统的安全保护等级共分五级：第一级为自主保护级第二级为指导保护级第三级为监督保护级第四级为强制保护级第五级为专控保护级信息安全等级保的核心是对信息安全分等级、按标准进行建设、管理和监督该项工作的主要牵头和推进单位是公安部信息安全服务—等保测评分级保护19电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、市（地）级以上党政机关的重要网站和办公信息系统涉及国家秘密的信息系统财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统测评范围信息安全服务—等保测评定级备案安全建设整改等级测评安全检查等级保护的工作流程21信息安全服务—等保测评《信息系统信息系统安全等级保护备案证明》•申请流程：已运营（运行）的第二级以上信息系统，应当在安全保护等级确定后30日内，由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。第十七条信息系统备案后，公安机关应当对信息系统的备案情况进行审核，对符合等级保护要求的，应当在收到备案材料之日起的10个工作日内颁发信息系统安全等级保护备案证明；发现不符合本办法及有关标准的，应当在收到备案材料之日起的10个工作日内通知备案单位予以纠正；发现定级不准的，应当在收到备案材料之日起的10个工作日内通知备案单位重新审核确定。•运营、使用单位或者主管部门重新确定信息系统等级后，应当按照本办法向公安机关重新备案。22信息安全服务—等保测评信息安全服务—等保测评项目启动定级备案咨询等保差距测评系统建设整改等保整改测评等保测评报告项目结束差距测评报告系统整改结果定级报告初稿定级报告系统资料、定级报告、合同差距测评报告系统整改建议差距测评报告系统整改建议系统整改结果等保测评项目流程等保测评项目内容等保定级服务等保差距评估服务等保整改服务等保整改测评服务23分类工作内容具体描述技术测评网络安全测评测评网络全局的结构安全、边界完整性检查、入侵防范及恶意代码防范；测评路由器的访问控制、安全审计、网络设备防护等；测评交换机的访问控制、安全审计、网络设备防护等；测评防火墙的访问控制、安全审计、网络设备防护等；测评入侵检测、防御系统的访问控制、安全审计、网络设备防护等。主机安全测评测评操作系统的身份鉴别、访问控制、安全审计；测评操作形体剩余信息保护、入侵防范、恶意代码防范及资源控制等；测评数据库系统的身份鉴别、访问控制、安全审计及资源控制等。应用安全测评测评应用系统的身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等。数据安全测评测评数据的完整性、数据的保密性及数据的备份和恢复等。管理测评