安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全 控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、 配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、 对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、 社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求, 对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样, 是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

子辉恒信安全审计咨询服务主要是依据国家等级保护相关要求，紧跟国家等级保护的具体实施步骤，为客户提供多种类型的咨询服务。

风险评估（Risk Assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失 的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

信息安全风险评估是一个识别、控制、降低或消除可能影响信息系统的安全风险的过程。子辉恒信安全风险评估服务为您的组织评估网络、主机、数据库、 安全设备上存在的安全技术风险，分析业务运作和组织管理方面存在的安全缺陷，评估重要业务应用系统自身存在的安全风险，评价业务安全风险承担能力， 并给出风险等级，利用风险评估管理系统扩展评估过程和评估结果，为组织提出建立风险控制建议。

子辉恒信在风险评估技术研究上有很深的技术积累，在如下几个层次进行了长期地跟踪和研究：安全标准和法规研究、安全产品和应用研究、 业务应用及拓展跟踪、最新漏洞与攻击技术、网络通信技术发展、安全理论和技术跟踪。只有紧随技术的发展，才能在进行风险评估时做到“养兵千日， 用兵一时”。

同时，子辉恒信制定了一系列风险评估服务规范及实施流程。通常，一个实施流程要包括项目启动、蓝图阶段、现场评估、数据分析、报告撰写、 验收准备等几个阶段。每个阶段，子辉恒信都制定了相关的技术规范。 随着千余项大规模、高要求的标志性风险评估项目的完成， 子辉恒信风险评估与加固服务已经在多个重点行业和大型机构成功实施。

应急响应服务:

应急响应服务是在诸如安全产品、系统策略等防护手段不足以抵抗侵扰而造成影响后采取的紧急应对措施。应急响应过程是紧急情况下， 启动的多种紧急预案来恢复系统、业务的一项特殊服务。

当客户发现安全事件发生时，向时代确信发起应急响应申请，应急响应服务小组会马上从待命状态激活，根据客户应急申请描述的状况分析安全事件的级别， 调遣距离客户最近的应急响应工程师，在最短时间内赶到客户现场，排除安全问题，使客户网络信息系统在最短时间内恢复正常工作， 帮助客户查找入侵来源，给出入侵事件处理过程报告，同时给出解决与防范方案，为企业减少影响和损失。

现场应急响应

我们为客户提供 7×24 的服务。上班时间通过在线服务中心响应用户的服务需求，非工作时间通过 7×24 小时热线手机响应用户的服务需求。 这种方式可以非常及时地响应第一线用户的问题。并且在现场服务中给予客户充足的现场培训。

远程应急响应

如果用户遇到一些设备调试的基本问题，我们的支持工程师或专家可以通过远程拨号登录到用户设备上来查看问题所在，并指导用户排除故障。 这种方式可以更快、更及时的实现亲临现场解决问题的效果。

针对软件,应用服务的源代码安全、程序缺陷可能导致严重的安全漏洞，要消除代码中的漏洞、减少不必要的补丁升级，就需要进行源代码的安全审计。 源代码审计是对代码库和软件架构的安全性、可靠性全面安全检查，通过对开发人员的源代码分析结果与整个系统分析的全局信息进行关联分析， 能防止严重的软件漏洞泄漏到代码流中。人工源代码审计已经成为真正保障软件源代码设计、开发和应用的底层最佳保障。

提供源代码审计服务，为客户的应用系统进行源代码级的安全评估，通过对客户应用系统的开发文档及源代码的审查， 发现客户应用系统存在的逻辑结构问题，安全问题及功能实现问题。从安全的角度对整个代码质量进行审计，找出应用系统的安全隐患， 并给出相应的安全报告和修复方法，从而提高客户应用系统的安全性。

1、网络设备安全加固

网络设备的加固主要是针对路由器、交换机系统的软硬件、配置、日志进行优化。

2、安全产品安全加固

安全产品会有很多种，比如防火墙、入侵检测系统、入侵保护系统、网闸等； 如防火墙安全设置、基本安装配置、访问控制配置、NAT方式配置、透明方式配置、带宽管理配置、系统管理配置、软件升级配置、用户管理配置、 认证配置、实时报警和入侵检测配置、日志分析配置、效率配置、防DOS攻击配置、高可靠性测试

3、操作系统安全加固

WINDOWS系统

升级系统补丁、升级病毒库、审计和账号策略、注册表安全设置、关闭不必要的安全服务

LINUX

补丁和安装情况、Xinetd启动的网络服务、不必要的服务、文件/目录控制、账户及环境、系统信任关系、其它安全配置

UAIX

补丁和配置、登录控制、用户、角色控制、密码控制、Inetd启动的不必要服务、其它不必要服务、其它安全配置、HP-UNIX、补丁和其它软件安装、 Inetd启动的不必要服务、其它不必要服务、系统访问、认证和授权、日志、账户和环境、文件/目录控制。

SOLARIS

补丁安装情况、系统账户管理、不必要的服务（inetd）、其它不必要的服务（rc2和rc3）、文件/目录控制、系统信任关系、其它安全配置。

服务概述：

信息时代的浪潮席卷全球，企业对IT技术的依赖也日渐增长，尤其是跨国公司随着业务的扩展，对IT环境的稳定性，可靠性, 安全性和扩展性提出了越来越高的要求。

作为专业的IT服务提供商，子辉恒信科技以客户满意为目标，以丰富的IT服务经验为支柱，将IT与业务完美契合，从IT架构规划建设实施到日常运维， 从整体优化到紧急故障救援，为您的企业量身定制一整套端到端的IT服务方案，竭诚为您提供高效优质的技术支持，助您专注核心业务，后顾无忧。

子辉恒信科技可以专门针对局域网、广域网和互联网上的IT基础设施（网络设备、小型机、PC服务器）、系统软件（操作系统、数据库、中间件）、 应用服务（web、mail、FTP、DNS等）等业务单元进行故障监测和性能管理的分布式采集、集中式管理的运维管理平台，通过对各个业务单元进行定时和实时的测量 ，提供其承载业务的服务水平数据，包括延迟、丢包、抖动、流量、网络停顿时间和网络可用率，使系统管理人员随时了解整个IT系统的运行状况。

子辉恒信科技可提供各种级别的运维服务，把客户服务需求定义为初、中、高三个级别。子辉恒信的经营策略在于通过提供以知名IT产品为基础的解决方案的过程中， 在初级服务市场上不断发展新客户，并将中、高级别的服务推广给现有客户，保障客户从IT系统运维获得价值。

竞争优势：

1. 服务快速响应和灵活机动能力：对于IT运维来说，快速响应能力是最关键的能力。IT系统和硬件的故障的频度、严重性会对客户的业务造成 不同程度的影响。能够快速响应客户的需求、及时排除故障对于提升服务质量和服务满意度是至关重要的。

2.强大的备件库支持：子辉恒信建立了IT常见产品和稀缺产品的强大备件库支持，同时也搭建了不同环境的应用实验室和针对内部员工和外部客 户进行培训的实验室。对内部或外部客户提供强有力的技术支撑环境。