圣博潤服務(wù)介紹

1、圣博潤服務(wù)介紹 123公司簡介 北京圣博潤高新技術(shù)股份有限公司（簡稱圣博潤，OTC股票代碼:430046）2000年成立于北京中關(guān)村科技園，多年來專注于以自主知識產(chǎn)權(quán)為核心的產(chǎn)品、服務(wù)的研究、發(fā)展和推廣。作為領(lǐng)先的信息安全產(chǎn)品和服務(wù)提供商，圣博潤通過先進的技術(shù)、卓越的產(chǎn)品、完善的服務(wù)幫助合作伙伴優(yōu)化IT應(yīng)用環(huán)境，提高IT應(yīng)用效率，降低IT應(yīng)用及管理成本。 圣博潤公司總部設(shè)在北京，在中國29個重要城市設(shè)有辦事機構(gòu)，在華東、華南、東北地區(qū)設(shè)有分公司，擁有以北京和南京地區(qū)為支點的研發(fā)體系，完善的公司組織架構(gòu)和服務(wù)體系為客戶提供最先進的產(chǎn)品、服務(wù)和安全服務(wù)理念。 作為占據(jù)局域網(wǎng)信息安全理念和技術(shù)前沿的

2、領(lǐng)軍企業(yè)，擁有占員工人數(shù)近40%的研發(fā)和技術(shù)團隊，突出的研發(fā)實力和持續(xù)的研發(fā)投入保障了公司自主創(chuàng)新能力的不斷提升。面對局域網(wǎng)絡(luò)信息安全的諸多問題，圣博潤從評估網(wǎng)絡(luò)安全、規(guī)劃網(wǎng)絡(luò)資源、規(guī)范網(wǎng)絡(luò)行為、防止信息泄露等多方面入手，為用戶提供自動防御的內(nèi)網(wǎng)安全管理平臺，構(gòu)建真正安全易用的內(nèi)網(wǎng)和桌面操作環(huán)境，幫助用戶防患于未然。 注重產(chǎn)品的合規(guī)性是圣博潤產(chǎn)品研究和企業(yè)發(fā)展的重要特點，結(jié)合用戶真實網(wǎng)絡(luò)安全需求和對于相關(guān)政策的深刻理解，圣博潤公司以信息安全服務(wù)為依據(jù)，以LanSecS（萊恩賽克）內(nèi)網(wǎng)安全管理系統(tǒng)作為技術(shù)手段，與其它安全產(chǎn)品一起最大限度地滿足了涉密網(wǎng)用戶對安全保密管理的需求，為信息系統(tǒng)安全等級保

3、護的定級、實施和測評提供必要的安全防護能力。 目前，圣博潤的客戶群體涉及政府、能源、企業(yè)、金融、教育、醫(yī)療、煙草、軍隊、傳媒等眾多領(lǐng)域，在全國范圍內(nèi)超過2000家的客戶通過圣博潤的產(chǎn)品和解決方案合理部署和管理內(nèi)部網(wǎng)絡(luò)以降低IT運營成本，提升。圣博潤安全服務(wù)部介紹部門成立以來，憑借領(lǐng)先的風險管理技術(shù)、豐富的信息咨詢經(jīng)驗、專業(yè)化的人才優(yōu)勢及龐大的資源庫，為客戶提供量身定做并與國際接軌的專業(yè)咨詢服務(wù)，贏得了客戶的高度贊譽和廣泛的認可。具有豐富的國內(nèi)外IT及信息安全服務(wù)與咨詢經(jīng)驗的信息風險評估和審計咨詢顧問組成的團隊,我們的顧問主要由業(yè)界專家、國際咨詢顧問公司及國內(nèi)大型系統(tǒng)集成公司等人員組成。專注為各

4、行業(yè)提供全面的IT咨詢服務(wù)。已經(jīng)完成了一些客戶，為客戶提供了全國范圍內(nèi)安全體系建設(shè)及規(guī)劃的咨詢服務(wù)。公司參與了多項國家標準的撰寫和審核工作。目前公司為公安部第一研究所等級保護技術(shù)支撐單位之一。123服務(wù)體系介紹服務(wù)體系服務(wù)體系工作對象工作對象評估評估/ /測試測試設(shè)計設(shè)計/ /規(guī)劃規(guī)劃實施輔導實施輔導外包服務(wù)外包服務(wù)等級保護咨詢服務(wù)等級保護咨詢服務(wù)等級保護體系等級保護體系信息系統(tǒng)風險評估信息系統(tǒng)風險評估企業(yè)信息系統(tǒng)企業(yè)信息系統(tǒng)滲透測試滲透測試企業(yè)信息系統(tǒng)企業(yè)信息系統(tǒng)代碼審核代碼審核企業(yè)信息系統(tǒng)企業(yè)信息系統(tǒng)信息安全體系建設(shè)信息安全體系建設(shè)企業(yè)信息化企業(yè)信息化IT服務(wù)管理體系建設(shè)服務(wù)管理體系建設(shè)運

5、營管理體系運營管理體系IT治理咨詢治理咨詢企業(yè)信息化企業(yè)信息化IT內(nèi)控體系建設(shè)內(nèi)控體系建設(shè)IT內(nèi)控體系內(nèi)控體系安全加固服務(wù)安全加固服務(wù)企業(yè)信息化企業(yè)信息化安全運行維護服務(wù)安全運行維護服務(wù)運營管理體系運營管理體系服務(wù)體系介紹多名專業(yè)安全顧問多名專業(yè)安全顧問圣博潤具有30人左右的顧問團隊，以來滿足各單位、企業(yè)的機構(gòu)龐大與廣泛服務(wù)需求。公司多名顧問取得CISSP、CCIE、COBIT、ITIL等業(yè)界相關(guān)認證。良好的從業(yè)背景良好的從業(yè)背景公司多名顧問參與多項國家信息安全標準的撰寫和審核。其中包括等級保護、風險評估等。并大多具有在大型機構(gòu)從事IT咨詢、IT運維、IT稽核的工作背景。杰出的服務(wù)經(jīng)驗杰出的服

6、務(wù)經(jīng)驗公司具備了多年來從事安全服務(wù)、IT風險評估、IT治理咨詢、IT審計（稽核）外包等服務(wù)方面的經(jīng)驗；公司根據(jù)多年的安全服務(wù)經(jīng)驗，已制定出一套國際先進的項目管理方法，及風險控制策略。知識庫與能力介紹等級保護實施能力；等級保護實施能力；公司顧問曾參加國家信息系統(tǒng)等級保護標準的制定與修改；目前被列為公安部機構(gòu)的技術(shù)支持單位。積累了豐富的等級保護相關(guān)項目的經(jīng)驗，并協(xié)助多家單位對信息系統(tǒng)進行定級備案及評估整改，并順利通過等級保護測評。安全技術(shù)控制能力；安全技術(shù)控制能力；公司研究和制定了包括網(wǎng)絡(luò)、安全功能設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫在內(nèi)的9種安全實施質(zhì)量保證標準；對安全管理技術(shù)標準進行多年的研究和實踐（如：I

7、SO27001、ITIL等）；實施了多個安全體系建設(shè)咨詢的服務(wù)項目，并幫助客戶順利通過IS027001認證。知識庫與能力介紹專業(yè)的專業(yè)的IT治理能力治理能力公司多年從事IT治理方面的研究，并熟悉相關(guān)IT治理方面的標準（如ISO38500、Cobit、ITIL等），具備了豐富的運行維護保障經(jīng)驗及流程再造能力。專業(yè)的入侵檢查技術(shù)專業(yè)的入侵檢查技術(shù)公司根據(jù)多年的服務(wù)經(jīng)驗，總結(jié)出數(shù)種先進的入侵檢查方法，并擁有國際公認的專業(yè)入侵檢查工具，及最新的安全漏洞庫；專業(yè)的專業(yè)的IT審計能力審計能力公司擁有專業(yè)的IT審計知識及豐富的IT審計經(jīng)驗，具備 IT內(nèi)部控制體系建設(shè)能力。熟悉目前大型信息系統(tǒng)的結(jié)構(gòu)、技術(shù)、應(yīng)

8、用、運行維護管理的現(xiàn)狀，對IT內(nèi)控過程中的關(guān)鍵控制環(huán)節(jié)熟悉了解，并具備實現(xiàn)COSO目標要求的資源和能力。123分類產(chǎn)品等級保護咨詢服務(wù)圣博潤將根據(jù)關(guān)于信息安全等級保護工作的實施意見、信息安全等級保護管理辦法的內(nèi)容，內(nèi)容定義了信息安全等級保護的定級和保護的原則，以及對等級保護五個級別進行了詳細描述。為了迎合國家出臺的一系列關(guān)于信息安全等級保護的措施，圣博潤將根據(jù)等級保護的每個階段分別設(shè)計出相應(yīng)的咨詢服務(wù)，針對客戶信息系統(tǒng)開展信息安全等級保護工作。分類產(chǎn)品風險評估圣博潤將根據(jù)信息安全技術(shù) 信息安全風險評估規(guī)范（GB/T 20984-2007）的內(nèi)容，對企業(yè)信息系統(tǒng)的資產(chǎn)、威脅、脆弱性進行分析，發(fā)現(xiàn)

9、企業(yè)存在的風險。信息安全風險評估是一個識別、控制、降低或消除可能影響信息系統(tǒng)的安全風險的過程。風險評估將幫助客戶評估網(wǎng)絡(luò)上存在的安全技術(shù)風險，分析業(yè)務(wù)運作和管理方面存在的安全缺陷，評價業(yè)務(wù)安全風險承擔能力，并給出風險的等級，利用風險評估管理系統(tǒng)擴展評估過程和評估結(jié)果，為客戶提出建立風險控制建議。風險評估設(shè)計的方面分類產(chǎn)品滲透測試身份鑒別；會話管理；授權(quán)與訪問控制；數(shù)據(jù)保護；數(shù)據(jù)合法性檢查；緩沖區(qū)溢出；日志及其管理；隱秘；錯誤處理；密碼支持；配置與管理；滲透測試（Penetration Test）是完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標系統(tǒng)的安全作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。

10、滲透測試能夠直觀的讓管理人員知道自己系統(tǒng)所面臨的問題。檢測當前應(yīng)用層應(yīng)對黑客攻擊的防護能力；提升相關(guān)技術(shù)人員應(yīng)對類似安全事件的處理能力及信心；評估當前應(yīng)用系統(tǒng)的安全缺陷，給出修補優(yōu)化建議；滲透測試的目標滲透測試的目標服務(wù)的表現(xiàn)形式服務(wù)的表現(xiàn)形式分類產(chǎn)品代碼審核圣博潤在代碼審核方面采用人工與工具結(jié)合的方式對信息系統(tǒng)進行人工審核與代碼掃描，根據(jù)分析與掃描結(jié)果進行總結(jié)，針對源代碼的編碼規(guī)則、系統(tǒng)結(jié)構(gòu)、語句邏輯、多行結(jié)構(gòu)數(shù)據(jù)流與控制流進行分析審核。按優(yōu)先級發(fā)現(xiàn)及區(qū)分安全漏洞。從而為客戶信息系統(tǒng)的代碼組織結(jié)構(gòu)提供強有力的安全支持。編碼規(guī)則；系統(tǒng)結(jié)構(gòu)編碼；多行結(jié)構(gòu)數(shù)據(jù)流；控制流；編碼語句邏輯；分析代碼分析

11、代碼分類產(chǎn)品信息安全體系建設(shè)圣博潤將對企業(yè)信息安全體系的設(shè)計有效性及執(zhí)行有效性進行全面評估，幫助企業(yè)建立符合國際規(guī)范的有效的信息安全體系。圣博潤將根據(jù)評估結(jié)果，規(guī)范規(guī)定所有與信息安全相關(guān)的管理活動，以及其它與信息系統(tǒng)相關(guān)活動的安全控制要點。為企業(yè)制定具體安全方案、管理制度、工作流程和操作指引的基礎(chǔ)和依據(jù)。解決大型企業(yè)和機構(gòu)內(nèi)不同部門信息安全建設(shè)不一致的問題。避免企業(yè)各部門在信息安全建設(shè)中的盲目性。組織和人員安全；信息分類及保護；第三方與外包的安全管理；物理及環(huán)境的安全管理；網(wǎng)絡(luò)安全通信安全；主機及系統(tǒng)的安全；軟件安全管理；操作與維護；項目與工程安全控制；應(yīng)用系統(tǒng)開發(fā)及支持；密碼技術(shù)及管理；業(yè)務(wù)

12、持續(xù)性管理；符合性管理；安全設(shè)計的方面：安全設(shè)計的方面：分類產(chǎn)品IT服務(wù)管理體系建設(shè)圣博潤將幫助企業(yè)實施ITIL建立IT服務(wù)管理體系能夠使IT服務(wù)提供組織建立一套標準的運營管理過程，確保服務(wù)的提供在管理的狀態(tài)下、并且穩(wěn)定、系統(tǒng)化。分類產(chǎn)品IT治理咨詢實施IT治理咨詢實施治理咨詢實施戰(zhàn)略整合戰(zhàn)略整合價值交付價值交付資源管理資源管理風險管理風險管理IT治理用于描述企業(yè)或政府是否采用有效的機制（就是為鼓勵I(lǐng)T應(yīng)用的期望行為而明確決策權(quán)歸屬和責任承擔的框架），使得IT的應(yīng)用能夠完成組織賦予它的使命，同時平衡信息技術(shù)與過程的風險、確保實現(xiàn)組織的戰(zhàn)略目標。分類產(chǎn)品IT內(nèi)控體系建設(shè)IT內(nèi)控管理風險評估；IT

13、內(nèi)控管理現(xiàn)狀調(diào)研及差距分析；IT內(nèi)控策略，流程，制度，模版的設(shè)計；自動控制（application control)的識別，和有效性測試；IT內(nèi)控體系實施輔導；IT內(nèi)控體系有效性測試及管理層評估輔導；圣博潤根據(jù)COSO的基本框架和COBIT的具體控制，來幫助客戶設(shè)計符合COSO的目標要求的內(nèi)部控制體系。協(xié)助客戶通過最低成本完善企業(yè)的 IT 內(nèi)控體系， 達到IT內(nèi)部控制的審計要求。分類產(chǎn)品安全加固Description of the contents Description of the contents Description of the contents 主機系統(tǒng)主機系統(tǒng)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)數(shù)

14、據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)安全加固是對信息系統(tǒng)中的主機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)的脆弱性進行分析和修補。另外，安全加固同時包括了對主機系統(tǒng)的身份鑒別與認證、訪問控制和審計跟蹤策略的增強分類產(chǎn)品安全運維服務(wù)圣博潤參照ISO27001、ISO20000等國際標準和ITIL最佳實踐的要求在協(xié)助客戶建立完善的，可持續(xù)改善的數(shù)據(jù)中心運營管理體系，并將為客戶提供安全運維服務(wù)?？蛻舭咐榻B國家發(fā)展改革委員會信息系統(tǒng)風險評估項目；國家外匯管理局信息安全運行維護服務(wù)項目；北京可口可樂IT治理項目（一期IT管理控制體系）；光大銀行信用卡中心ISO27001認證咨詢、體系整合項目（通過BSI雙體系審核）； 北京市信訪綜合辦公系統(tǒng)風險評估項目；北京市檔案館信息系統(tǒng)安全運維項目；北京市西城區(qū)政府網(wǎng)網(wǎng)絡(luò)優(yōu)化項目；奧運會網(wǎng)店信息安全風險評估項目；人保財險信息系統(tǒng)等級保護評估項目；北京燃氣信息系統(tǒng)等級保護評估；中美互利SOX404內(nèi)控體系評估與滲透測試；北京廣播電臺信息系統(tǒng)風險評估；參與網(wǎng)易SOX404咨詢項目； 客戶案例介紹參與北京中金數(shù)據(jù)系統(tǒng)ISO20000體系前期設(shè)計；天津某日資電機企業(yè)ISO27001 信息安全管理體系認證咨詢項目；深圳某技術(shù)有限公司ISMS 建設(shè)項目（已通過DNV 認證）；為某銀行研究、編制了中國某銀行