一：安全评估服务

• 安全评估服务的类型 ：
  • 实体安全性评估：对屋里设施的安全性进行评估诊断
  • 平台安全性评估：对平台项目如操作系统等进行安全性评估诊断
  • 数据安全性评估：对数据的完整、机密、可靠、可用等要素进行评估
  • 通信安全性评估：对系统之间通信的数据安全性进行评估
  • 应用安全性评估：对业务系统程序进行测试和诊断
  • 运行安全性评估：对网络系统安全运行的连续性和稳定性进行评估
  • 管理安全性评估：对安全管理机制进行稽核和诊断
• 全评估服务的主要方法

  永达公司在安全评估过程中，将采用两种操作方法：基于知识（ Knowledge-based ）的分析方法和定性（ Qualitative ）分析。通过综合使用两种评估方法，找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。

  1)、基于知识的分析方法

  基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标和市场等）的“最佳惯例”的重用，适合一般性的信息安全企业。

  采用基于知识的分析方法，客户不需要付出很多的精力、时间和资源，只要通过多种途径采集相关信息，识别信息系统的风险所在和当前的安全措施，在于特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准和最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。

  基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：
  •  会议讨论
  •  对当前的信息安全策略和相关文档进行复查
  •  制作问卷，进行调查
  •  对相关人员进行访谈
  •  进行实地考察

  2 )、定性分析

  定性分析方法是目前采用最广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素（资产价值，威胁的可能性，脆弱性被利用的容易度，现有控制措施的效力等）的大小或高低程度定性分级，例如“”高、“中”、“低”三级。

  定性分析的操作方法可以多种多样，包括小组讨论、检查列表、问卷、人员访谈、调查等。定性分析操作起来相对容易，定性分析要求分析者具备一定的经验和能力。

  在评估过程中，我们将综合两种方法评估信息资产所面临的风险。

   

• 安全评估的流程

  1).计划和准备
  2).识别并评价资产
  3).识别并评估威胁
  4).识别并评估脆弱性
  5).识别并评估现有的安全措施
  6).评估风险

二：安全修复服务

服务类型：

• 实体安全性修复：对屋里设施的安全隐患和脆弱性进行修复和改造
• 平台安全性修复：对平台项目的安全隐患和脆弱性进行修复
• 数据安全性修复：对数据安全隐患和脆弱性进行修复
• 通信安全性修复：对系统之间通信的数据安全隐患和脆弱性进行修复
• 应用安全性修复：对业务系统的安全性提出措施、进行修复和改造

三：安全保障服务

服务类型

• 应急响应：应急事件处理、灾难恢复、入侵调查和分析
• 定期检测和审计：定期对用户的网络进行检测和审计
• 安全技术升级服务：定期对用户网络系统上的安全产品和补丁进行升级

定期检测和审计

在完成安全修复之后，对整个网络安全体系进行设备与人工结合的安全检测和审计，以发现残余的安全漏洞，并做修复。安全复查工作分为两个阶段进行：

第一个阶段是针对加固工作的复查，对已加固的安全领域进行安全检测和审计，包括安全漏洞的消除、安全隐患的规避等。

第二个阶段是针对整个安全系统的长效安全状态的检测和审计，结合每年两次的安全评估进行，检测和审计的重点针对由资产和业务的变化引起的新的威胁性、脆弱性问题以及相关的安全风险变化，针对这些新的安全风险，我们会重新按照我们的安全服务体系进行评估以及修复工作，保证整个安全体系保持一个长效的安全状态。

应急响应服务

我公司提供全天候的应急响应服务，一旦客户计算机系统遭受入侵，我公司安全专业人员将结合安全管理与控制平台中的审计信息。在第一时间内实时地阻断、反击入侵行为，恢复客户系统的完整性和可用性，彻底清除入侵行为对客户系统造成的影响，同时修补存在的安全漏洞。并可根据客户需求对入侵活动的全过程进行调查取证，获取入侵相关证据。

响应流程如下：

•  检测阶段

通过安全管理与控制平台对网络流量、系统和 IDS 日志记录、桌面日志的记录，判断安全事件类型。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。

•  抑制阶段

抑制事态的进一步发展，将事故的损害降低到最小化。在抑制阶段中，一般会将受影响系统和服务隔离，以保证系统的可用性。

•  根除阶段

针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。

•  恢复阶段

在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。

•  客户信息系统安全加固

对系统中发现的其他漏洞进行安全加固并确认系统当前状况，消除安全隐患。

•  总结阶段

重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。

安全技术升级服务

永达拥有专业的安全服务队伍，我们从各种渠道收集全世界已经发布和未公开发布的安全漏洞，并建立一个大型的安全信息数据库，定期对用户网络系统上的安全产品和补丁进行升级。

四：安全顾问服务

服务类型

• 安全标书设计：依照用户安全目标，设计合理的安全招标书
• 安全策略和管理：为用户设计各项安全管理制度，达到 ISO17799 要求
• 安全诊断服务：全面安全诊断（安全评估服务的简化）和特定诊断
• 模拟入侵测试：提供世界一流黑客攻击技术水平的模拟入侵测试
• 安全陷阱设置：为用户设置安全陷阱系统，捕捉攻击者的非法举动

五 ：安全信息服务

服务类型

漏洞和补丁通报：实时提供各种最新的安全漏洞和安全升级通告

技术行业动态周报：提供最新的安全技术、政策、法规和行业动态

服务内容

深圳市永达电子有限公司设立了专业的安全技术研发小组。我们从各种渠道收集全世界已经发布和未公开发布的安全漏洞，并建立一个大型的安全信息数据库，为用户提供最全面的安全知识、安全技术咨询服务，为用户解决安全问题，并为用户主动提供最新的安全技术动态信息，从人员安全技术提高的角度来解决安全问题。

•  安全补丁、安全漏洞通告服务

深圳市永达电子有限公司提供最新安全补丁及安全漏洞咨询服务，客户可以随时随地拨打永达公司的技术支持热线进行相关信息的咨询，或通过浏览永达公司的网站查询相关信息，对于重大安全漏洞、安全补丁以及病毒事件，将在第一时间通知客户安全管理员。

•  安全产品通告服务

深圳市永达电子有限公司提供永达公司安全产品的通告服务，客户可以随时随地拨打永达公司的技术支持热线咨询永达公司安全产品的安全体系、产品功能、产品更新信息以及安全服务等。

•  安全法规、安全趋势咨询服务

深圳市永达电子有限公司提供安全法规、安全趋势通告服务，客户可以随时随地通过浏览永达公司的网站查询相关信息。

对于以上安全信息服务的内容，由公司服务专员定期将信息汇总后通过 E-mail 的方式发送给客户。

六：安全培训服务

服务类型

• 信息安全基础知识： 基础信息安全理论和常用信息安全技术
• 信息安全高级技能： 信息安全模型与体系结构 / 安全实战技巧
• 程序设计安全： 密码学、安全程序设计、可靠安全编程规范
• 信息安全管理： 信息安全标准与法规 / 信息安全管理和策略