中可环信技术有限公司

网络安全合规类一体化服务方案安全培训类无线安审溯源类第三方证据保全

信息安全合规融合方案

服务简介

近年来，企业不断提高其信息化水平以支撑业务的高速发展，提升企业工作效率并优化业务运作模式，向公众提供高质量的服务。但是，企业在利用信息技术带来的优势时也必然需要承受先进技术带来的风险——信息安全问题。企业本身存在的信息安全问题、外部严峻的安全形势以及各种监管的压力都要求企业尽快建设信息安全体系。

面临的挑战

大部分企业对信息安全比较陌生，缺乏主动有效的信息安全保障机制。下面从组织、策略和技术3个层面分析信息安全存在的普遍问题。
1、组织层面：企业的信息安全组织力量薄弱且定位较低，企业没有形成自上而下的信息安全组织体系。
2、策略层面：企业基本没有成体系的信息安全策略。
3、技术层面：企业或许已经部署基本的信息安全防护设施，如防火墙、入侵检测、流量监测等设施，但是信息安全系统“孤岛”效应严重，无法形
成有效合力，系统和网络的边界控制能力薄弱，不同的系统和网络间的资源访问控制颗粒度较粗，缺乏有效的监控和审计能力等问题。

方案介绍

合规融合评估的实施思路，将采用“七步骤”的实施思路，包括信息调研、标准融合、合规测评、风险评估、整改咨询等步骤。通过“等级保护”、“ISO27001体系”和行业监管要求的融合实施，实现统一整改建设，“一箭三雕”的效果。

标准融合差距分析风险评估风险处置体系建设体系运行体系认证项目目标

通过融合ISO27001信息安全管理体系规范、信息安全等级保护标准和信息安全联合检查标准等，以风险评估为基础，根据风险处置计划建立和实施信息安全管理体系（ISMS）以管理信息安全风险。并通过建立相关监控体系评估ISMS的有效性，最终将针对监测结果对信息安全管理体系进行持续改进。

方案价值

通过融合多种安全标准规范，从不同角度、层面和领域开展等级保护测评，能够获得信息系统整体的安全风险控制水平。
实现一次实施多项安全成果，可同时满足来自行业、上级和外部的不同方面、不同内容、不同目的的安全监管要求。
融合测评实施为组织获得多项安全合规的认可和较高业务安的信誉度，有助于促进组织业务的发展。
融合测评的实施避免了组织多次对不同安全、合规标准的重复评估，减少投入的成本。

信息安全一体化服务

需求分析

1、外部网络安全形势严峻：随着组织化、规模化、专业化和产业化的黑客攻击手段的发展，网络空间环境日益复杂，安全形势越发严峻和不可预测，同时，新的安全威胁和漏洞不断涌现，安全事件不时发生，企业信息安全面临着更严峻的挑战。

2、国家行业合规趋势严谨：我国对于网络空间安全的治理从2014年提出“没有网络安全就没有国家安全”到2016年发布《中华人民共和国网络安全法》，网络安全已经上升到国家层面。行业安全合规与风险控制监管要求密集颁布，不断提高合规门槛。

3、业务发展与安全战略平衡：随着公司业务的发展，云计算、移动互联、大数据以及AI等新技术、新应用、新架构等的投入，系统数量快速增加，系统复杂度和相互之间耦合度不断加大，安全风险不断增大，同时也带来新的安全问题。信息安全已经成为企业的核心竞争力之一。

安全服务产品解决方案

网络安全等级保护服务
渗透测试服务
漏洞扫描服务

安全加固服务
安全事件应急响应
安全应急演练服务
威胁情报服务

信息安全风险评估
APP安全检测
安全基线检查
网站安全监测服务

信息安全意识培训
网络安全员认证培训
安全攻防技术培训

方案价值

强化企业IT业务系统抵御内外部网络攻击威胁的能力，提高系统的安全风险管控水平；
为企业业务的高速多元化发展、实现数据的快速交互与共享，提供全面的安全保障护航；
逐步完善和落实信息管控治理体系，满足来自于监管和合规的安全要求；
获得企业网络与信息系统安全运营和紧急处置突发事件的强有力支撑；
提高IT管理与开发人员安全意识和安全运维管理能力。

安全培训类

需求分析

1、企业角度：在大数据时代，数据挖掘和分析的技术得到前所未有的发展，散落在门户网站与社交网站的个人信息都可通过二次利用被挖掘出个人的隐私信息，一旦被非法利用，就可能对用户造成难以估量的损失。

2、员工角度：黑客虽然可怕，可更多时候，内部人员的威胁却更容易被忽略，也更容易造成危害。70%以上的安全问题的直接原因是员工安全意识的薄弱。

方案介绍

针对企业IT管理不同岗位职责的人员和业务操作人员加强安全培训，包括信息安全意识教育、安全常识传授、系统防护安全技能、安全管理和安全政策法规解读的培训。以实际业务运作为立足点，加强理论和实际的结合，通过理论讲授、问题讨论等方面，普及安全教育，使相关人员能够深刻理解信息安全保障对企业发展战略的意义，熟悉保护企业重要信息资产的技术和技能。

现场培训

内容包括但不限于，信息安全法律、法规、标准体系，安全运维管理方法和风险自评估，行业关注的信息安全知识点，定制化需求培训，信息安全最新热点等。

持续性
培训

通过网络安全视频分享、安全意识信息长图分享、信息安全周刊等方式进行持续性培训，将培训形式多样化。

方案价值

通过专题的信息安全培训，使公司及下属单位信息化相关人员了解信息安全法律法规、风险评估、黑客入侵、安全应急响应等不同领域的知识和技能；
通过培训行业的安全管理和运营，使相关人员获得行业信息安全最佳实践的经验和理念；
通过针对在日常的安全运维中接触到的安全问题、安全风险、关键漏洞等方面进行培训，获取第三方安全顾问服务机构的专业知识和风险管理流程；
能够有效提高企业及下属单位信息化相关人员的信息安全意识和素养，增强安全责任感。

}

无线安审溯源类

产品介绍

无线WIFI设备上网审计解决方案的特点是将插件软件程序植入到WIFI设备内，以达到监管单位标准审计设备的审计功能，符合公安监管要求的目的。
目前无线上网审计插件已经基本上支持所有基于Linux系统的硬件，或者类Linux各种路由器操作系统，包括但不限于OpenWRT、DDWRT或者Android设备等。对于使用其它系统的硬件也可以进行单独的开发。
其插件认证的原理和商业WIFI基本一致，不会给用户增添更多的负担，认证流程如下所示：

认证流程图

认证前终端用户打开浏览器访问互联网，设备将终端用户http请求定向到合作商平台客版Portal

终端用户在合作商平台Portal 页面输入账号密码点击登录，合作商WiFi平台商客版调用WiFi平台的接口与设备对接，完成认证；

终端用户在完成验证或者离开上网场所时设备需要往安审插件发送消息，通知安审插件开始对终端用户上网行为进行审计，审计的内容包括用户上下线、上网日志等信息。

方案优势

支持WIFI设备提供上网的同时，落实了实名认证和审计，满足公安监管要求。
成本更低，减少了硬件的重复投入。
实现特殊场所无线上网安全审计的全面覆盖。
极小影响网速和顾客上网体验。

第三方证据保全

概述

“第三方电子数据保全服务平台”作为前海十大法制创新项目平台，依托于中国电信天翼云网络安全等级保护“四级”机房，具有大流量Ddos防护、应用防护、主机安全、加密、安全趋势检测、数据灾备、存证和取证等高级防护能力以及良好的国家信誉担保。面向司法服务、行政管理（公、检、法、司）、合规监管（金融办）以及金融行业等领域的电子数据证据保管、取证、鉴定、产权保护、合规和高级安全防护的一站式服务解决方案。加强重点行业的监管与数据的属地化管理。

应用领域

1、司法服务：应用于解决民事法律纠纷、侵权；刑事违法犯罪等的电子证据取证、保全和出证的领域。服务对象：公检法司等。
2、金融行业：应用于解决企业业务系统安全托管、等保合规服务、交易过程和电子合约第三方保全等商业领域。服务对象：互联网金融、第三方支付、电商平台等。
3、行政行业：应用于解决行政管理和政务合规等事务过程的可溯源、可审计和可鉴定的证明性服务。服务对象：金融监管（金融办）、政府行政、审计监督等。

方案介绍

业务过程保全：提供业务流转数据、交易凭证、操作过程日志、政务执法过程资料等电子数据进行全证据链固化，不可伪造篡改、可跟踪溯源、保障了数据的法律效力，争议时可作为有效的证据。

电子合约存证：遵循国家《电子签名法》设计的第三方电子合约签署存证服务，便捷高效、安全可靠、对接简单，保证签约人身份真实，合约不可伪造篡改、内容加密。

合规安全托管：服务平台基础设施及环境通过公安等保4级水平，同时具有强大的网络攻击防御能力，确保托管到服务平台的业务系统满足安全合规的要求，防止遭受不法分子的攻击。

知识产权保护：提供原创存证、侵权取证、维权出证和法律咨询等一站式数字知识产权保护服务平台,对接公证处、司法鉴定所业务系统，实现全流程数据固化保护，全面保障用户的法律权益。

存证出证：移动端自主取证存证 App，用户可实现随时随将维权电子数据上传、保存和申请出证，数据保存至“服务平台”，防止数据丢失或被篡改，具有一定的法律司法效力。

概述

利用电信优质的IDC资源，整合具有数据保全、存证、出证资质以及软件应用的第三方服务机构形成符合客户需求的一站式安全数据存储云服务方案；
为司法机构、行政管理机构以及企业提供快速、便捷和低成本地部署符合监管要求、高安全防护的生产业务；
安全证据存储云方案，符合未来社会电子数据证据化的发展趋势，能够解决电子证据难取证、易灭失、易删除、易篡改、难保真等问题。
增加了第三方公证角色，保护诉方和讼方，解决甲方难以自证的法律问题，是司法的一项创新服务；