江西神舟信息安全评估中心于1993年7月1日成立,国家高新技术企业,江西省专精特新中小企业,南昌市五一劳动奖状单位,江西省信息安全产业链链长制专家咨询委员会副主任委员单位,业务覆盖网络安全等级保护、风险评估、应急处置与溯源、攻防与演练、安全运维、实验室与靶场、安全教育与培训等类型,2000年公司开始专注于网络安全技术的研究和服务,2010年荣获全国首批江西首家由公安部颁发《信息安全等级保护测评机构能力评估合格证书》的专业测评机构,2018年相继获批全国首批工信部颁发的《工业信息安全应急服务支撑单位》和《工业信息安全测试评估机构》资质,是国家工业信息安全监测预警网络建设支撑机构和首批工控安全防护能力贯标技术核验机构,获《网络安全等级测评机构》和《CNAS检验机构》认证资质,2017-2020连续四年获得由国家信息安全等级保护工作协调小组办公室颁发的全国信息安全等级保护测评机构先进单位;公司相继承办了2019年江西省“HW网络攻防演习”,2020年、2021年江西省“赣网杯”网络安全大赛,2020年、2021年江西省“工业互联网安全技能大赛”、2021年江西省“天工杯”劳动和技能竞赛——网络与信息安全管理员赛项等重点活动和赛事。
江西神舟是中国合格评定国家认可委员会确定的专注于等级保护测评、风险评估等信息安全服务独立第三方机构,为保证严格执行国家管理规范和技术标准,提供客观、公正和安全的测评服务。公司保证尊重客观事实,在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。不受个人的思想、感觉、工具、计算等主观手段的影响,保持真实可靠,内容完整。以国家法律、法规为准绳,以技术标准为依据,以测评数据作判定。严格按照CNAS-CI01:2012《检验机构能力认可准则》、CNAS-CI01-G001:2021《检验机构能力认可准则的应用说明》、RBT-214-2017《检验检测机构资质认定能力评价 检验检测机构通用要求》的要求,保证信息系统测评工作的独立性、准确性和公正性。
公司遵循国际国家标准,结合行业规范及特点,秉承“专业、专注”的服务宗旨,以客户需求为导向,积累了丰富的信息安全技术和服务经验,形成具有特色的:安全评测中心、监测预警中心、应急保障中心、技术研究中心、继续教育中心等五大服务中心。中心获得:等级保护测评、CNAS检验机构认可、信息安全服务风险评估、信息安全服务应急处置、ISO9001、ISO20000、ISO27000、ISO14000、ISO18000等多项行业资质;拥有一支由博士、硕士、本科生组成的技术研发和技术保障队伍,并配备了特殊专长的攻防和漏洞挖掘分析人才。
江西神舟信息安全评估中心于1993年7月1日成立,国家高新技术企业,江西省专精特新中小企业,南昌市五一劳动奖状单位,江西省信息安全产业链链长制专家咨询委员会副主任委员单位,业务覆盖网络安全等级保护、风险评估、应急处置与溯源、攻防与演练、安全运维、实验室与靶场、安全教育与培训等类型,2000年公司开始专注于网络安全技术的研究和服务,2010年荣获全国首批江西首家由公安部颁发《信息安全等级保护测评机构能力评估合格证书》的专业测评机构,2018年相继获批全国首批工信部颁发的《工业信息安全应急服务支撑单位》和《工业信息安全测试评估机构》资质,是国家工业信息安全监测预警网络建设支撑机构和首批工控安全防护能力贯标技术核验机构,获《网络安全等级测评机构》和《CNAS检验机构》认证资质,2017-2020连续四年获得由国家信息安全等级保护工作协调小组办公室颁发的全国信息安全等级保护测评机构先进单位;公司相继承办了2019年江西省“HW网络攻防演习”,2020年、2021年江西省“赣网杯”网络安全大赛,2020年、2021年江西省“工业互联网安全技能大赛”、2021年江西省“天工杯”劳动和技能竞赛——网络与信息安全管理员赛项等重点活动和赛事。
江西神舟是中国合格评定国家认可委员会确定的专注于等级保护测评、风险评估等信息安全服务独立第三方机构,为保证严格执行国家管理规范和技术标准,提供客观、公正和安全的测评服务。公司保证尊重客观事实,在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。不受个人的思想、感觉、工具、计算等主观手段的影响,保持真实可靠,内容完整。以国家法律、法规为准绳,以技术标准为依据,以测评数据作判定。严格按照CNAS-CI01:2012《检验机构能力认可准则》、CNAS-CI01-G001:2021《检验机构能力认可准则的应用说明》、RBT-214-2017《检验检测机构资质认定能力评价 检验检测机构通用要求》的要求,保证信息系统测评工作的独立性、准确性和公正性。
公司遵循国际国家标准,结合行业规范及特点,秉承“专业、专注”的服务宗旨,以客户需求为导向,积累了丰富的信息安全技术和服务经验,形成具有特色的:安全评测中心、监测预警中心、应急保障中心、技术研究中心、继续教育中心等五大服务中心。中心获得:等级保护测评、CNAS检验机构认可、信息安全服务风险评估、信息安全服务应急处置、ISO9001、ISO20000、ISO27000、ISO14000、ISO18000等多项行业资质;拥有一支由博士、硕士、本科生组成的技术研发和技术保障队伍,并配备了特殊专长的攻防和漏洞挖掘分析人才。
history
honor
security
等级测评
服务体系
《中华人民共和国网络安全法》第二十一条明确规定:国家实行网络安全等保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未授权的访问,防止网络数据泄露或者被窃取、篡改。
服务价值
1、满足网络安全法等国家相关法律和制度要求;
2、降低信息安全风险、提高信息安全防护能力;
3、优化信息安全资源的配置,“适度保护,突出重点”,着重保障重要信息系统的安全;
4、明确信息安全责任,加强信息安全管理。
等级保护应用场景和案例解析
解析:经过等保安全建设整改,该单位顺利通过了网络安全等级保护测评,获得了系统备案证明。同时,在技术层面,实现了关键服务器区边界防护,增加了堡垒机、日志审计、网络管理、漏扫系统等安全设备,提高了重要区域防护能力,以及内网安全监测及监控水平。
风险评估
(一)风险评估服务
服务内容
根据风险评估相关标准和要求进行一次全面评估,包括物理、主机、网络、应用、管理制度等各个层面,同时根据信息系统实际情况采取一系列有针对性的安全评估方法和手段,全面细致识别和发现信息系统自身存在的脆弱性和外界环境带来的潜在威胁,通过综合各方面情况得出风险值,完成安全评估报告。
服务价值
1、全面梳理信息资产、识别信息系统和关键活动和其业务影响度,识别支撑核心业务的重要资产和关键数据;
2、全面、准确的了解组织机构的安全现状,发现安全问题及其可能导致的危害,为系统最终安全需求提供依据;
3、找出安全策略和实际需求的差距,为保护信息系统的安全提供科学依据。制定适合系统具体情况的安全策略及管理规范,为安全体系的设计提供参考。
风险处置措施
风险评估流程
(二)渗透测试服务
服务内容
在用户授权下对特定的信息系统进行全面渗透测试,模拟黑客攻击行为对网站和系统的安全性进行安全评估。
服务价值
通过模拟恶意黑客进行攻击,找出系统的弱点、技术缺陷,给客户呈现全攻击现场情景。
服务流程
1、准备阶段:明确渗透测试范围(域名/IP/其他信息)
2、渗透阶段:信息采集(端口扫描补丁扫描、域名信息网络结构信息、应用平台信息应用程序分析、系统层渗透、网络层渗透、应用层渗透)—获得访问权限操作系统低权限用户、数据库访问权等—提升控制权限操作系统提权、数据库访问权等—提交渗透测试报告
3、复查阶段:客户加固完成—分析存在的漏洞,手工测试漏洞是否加固—提交渗透测试复查报告
(三)APP安全性能测试
服务价值
1、模拟黑客对应用进行安全测试,审计其风险;
2、及时发现可导致企业数据泄密、资损、业务被篡改等危机的漏洞,提供解决方案;
3、对漏洞进行应急响应、及时修复,降低对企业的业务、用户及资金造成损害。
测试内容
前端APP:组件安全测试、访问控制有效性测试、应用发布安全测试、源码安全测试、代码安全测试、通信安全检测、数据安全测试、会话安全测试。
后端server:逻辑漏洞挖掘、服务端漏洞扫描、Web渗透测试、Ddos抗压测试。
(四)上线前安全测试服务
服务价值
1、在正式上线或验收前帮助委托单位发现系统存在的安全漏洞,保障系统安全、稳定上线正式运行;
2、将系统上线前安全测试作为项目验收的必要测试环节。
应用场景
网站安全
(一)云中心安全监测服务
服务价值
1、通过我公司部署的云中心安全预警检测平台提供7*24小时主动发现隐患,并在第一时间告警;
2、有效掌握互联网部署的系统(含网站)是否安全可靠、是否存在安全风险;
3、识别及防御已知/未知威胁,解决系统层安全问题;
4、通过监控业务系统数据流并将其可视化,帮助安全运维人员实施准确把握业务系统内部往来信息流动情况;
5、实现网络攻击、主动攻击、漏洞、基线巡检、木马样本等日志数据收集,形成用户自身特色的安全日志库。
应用场景
(二)云中心安全防护服务
服务价值
1、通过云中心安全防护平台对在互联网上部署的业务系统、网站和服务等进行综合防护;
2、具有防网页篡改攻击、防SQL注入攻击、防XSS跨站脚本攻击、防非法暗链插入攻击、网站后台智能隐藏、网页木马实时查杀、敏感词汇过滤、网站安全巡检等功能;
3、基于云计算及大数据技术,收集系统防护数据,对防护数据进行清洗过滤、挖掘分析等操作;
4、以图表等方式展现其安全态势,全面掌握外网系统安全状况及发展趋势。
安全运维
(一)安全运维和巡检服务
服务价值
1、降低因专业技术人员不足而带来的系统运维风险;
2、定期巡检发现系统中存在的安全漏洞,并及时处置;
3、提供持续性的第三方安全保障服务,为客户系统保驾护航。
评估价值
1、资产分析整理
2、线路检查和绘图
3、安全补丁更新
4、日志安全审计
5、安全配置加固
6、攻击事件分析
7、管理流程运维
8、定期漏洞测试
(二)应急响应与支撑
服务价值
1、及时响应并紧急处理系统安全事件,阻止事态进一步扩散;
2、及时查明发生安全事件的原因,并给出分析报告;
3、协助客户依据提供的分析报告制定防范措施。
应用场景
事件等级:特别重大事件(Ⅰ级)、重大事件(Ⅱ级)、较大事件(Ⅲ级)、一般事件(Ⅳ级)
安全级别:有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件、其他信息安全事件
技术类别:数据安全、物理安全,网络安全、主机安全,应用安全
(三)工业控制系统重大安全保障服务
服务价值
1、分析工业控制系统部署的安全状况;
2、防止工业控制系统被病毒、恶意程序影响,导致发生重大安全事故;
3、修复工业控制系统内部安全漏洞;
4、优化工业控制主机安全配置;
5、梳理完善工业控制系统管理制度。
网安培训
(一)网络安全规划与咨询
服务价值
1、明确信息安全建设路线图和投资概算;
2、协助用户完成等级保护的建设,使用户信息系统满足国家等级保护要求,提升用户网络安全水平。
(二)信息安全管理体系建设与咨询服务
服务价值
1、协助建立完善的信息安全管理体系,为客户关键业务运营提供安全保障;
2、通过多年测评、风评经验制定日常运维安全管理体系文件;
3、依据客户需求,结合行业特色,立足规范合理,为客户信息安全管理提供指导。
方针政策:明确总体目标、范围、原则和安全框架
管理制度:制定覆盖制度管理、岗位职责、机房、网络、系统等各类安全管理制度
操作规程:制定覆盖设备操作、系统操作、系统维护、变更管理程序、数据备份和恢复程序、安全事件报告和响应处理等方面的手册程序。
记录表单:各类审批表、操作记录表单、巡检表等
应急响应
服务价值
1、及时响应并紧急处理系统安全事件,阻止事态进一步扩散;
2、及时查明发生安全事件的原因,并给出分析报告;
3、协助客户依据提供的分析报告制定防范措施。
Case study
recruit
简历请投递至邮箱:hr@jx-sz.net
CONTACT US
联系电话
0791-88296580/81/82/83
邮箱:hr@jx-sz.net
地址:江西省南昌市青山湖区火炬大街579号绿悦科技大厦16楼
微信公众号:
5秒后自动关闭
暂无数据