关于我们

您身边的安全级信息化专家

成都清华高科信息技术有限公司成立于2000年，是一

家集“信息安全保密服务、智慧运维服务、软件与大

数据服务、企业数字化转型服务”业务为一体的高新

技术企业。

长期致力于为党政机关、大中型企事业单位、军工企

业提供专业的IT服务。

电话：400-002-8202

网址：https：//wwww.cdthgk.com./

邮件：service@cdthgk.com

地址：成都市高新区智地哥谭B座20层 About

Us

01

安全保密服务

共计8大类，27个服务包

随着信息化的迅猛推进，网络安全与政治安全、国土安全、经济安全等

一起成为了国家总体安全的重要组成部分。20余年来，清华高科始终以专

业、专注、规范化、标准化为基本服务理念，持续致力为党政机关、大中

型企事业单位、军工企业提供基于等级保护、分级保护的合规安全服务和

基于应用的业务安全服务，获得了客户的广泛好评。

清华高科的信息安全服务体系，涵盖了物理环境、通信网络、计算环境

和安全管理，覆盖了云计算、移动互联、工业控制、物联网等应用场景，

可提供从安全咨询、风险评估、安全检测、安全加固、安全运维到应急响

应的信息系统全生命周期安全服务。

随着5G、云计算和人工智能等技术的成熟发展，政府和企业通过数字化

转型来提升行政效力和创新力等核心能力成为必然趋势。清华高科凭借自

身对网络安全的深入理解和丰富的实践经验，自主创建了“BEST数字安全

服务体系”并不断优化行业应用场景，致力于帮助客户在数字政府、数字

企业转型升级过程中建立可信的IT系统和可信的数据，为数字化转型保驾

护航。

安全保密服务

依据《网络安全法》和网络安全等级保护规范，

结合用户的信息化现状，为用户提供基于等级保护

规范的安全咨询服务，帮助用户构建基于等级保护

规范的整体安全体系架构，提供完整生命周期内的

安全体系建设咨询和整体方案设计，安全管理和安

全运维工作。

1-1 基于等级保护规范的咨询服务

咨询类

10 types of consulting services category Consulting

安全通告服务

1-2

依据《网络安全法》和分级保护相关规范，结合

用户的信息化现状，为用户提供基于分级保护规范

的安全咨询服务，帮助用户构建基于分级保护规范

的整体安全体系架构，提供完整生命周期内的安全

体系建设咨询和整体方案设计，安全管理和安全运

维工作。

基于分级保护规范的咨询服务

1-3

每月为用户提供一期最新的信息化咨询和安全资

讯，包括不限于如下内容：

（1）信息（安全）动态、资讯

（2）本月病毒、木马情况通报

（3）安全预警通告

（4）最新漏洞报告

（5）安全建议、加固建议

（6）各类安全专题资讯

建设服务

construction ser vices

网络安全等级保护实施过程具有五个规定动作，分别是：定级、备案、安全建

设整改、等级测评、监督检查。

安全建设整改是等级保护实施过程中非常重要的环节，通过安全建设整改服务

，可以使用户信息系统通过测评，提升安全防护能力，达到监管要求。

基于等级保护规范的安全建设整改服务，将充分结合用户的信息化现状和需求

，解读对应的等级保护规范和要求，帮助用户制定全面、整体的安全规划和整体

方案设计，从技术、管理上构建符合规范，满足需求的整体安全体系。

2-1基于等级保护规范的安全建设和整改服务

2-2基于分级保护规范的安全建设和整改服务

SM信息系统分级保护实施流程和步骤包括：规范信息定密--〉确定系统等级--

〉方案设计与审核--〉落实保护措施--〉系统测评--〉系统审批--〉安全保密评估

与保密监督检查。落实保护措施（安全建设整改）是分级保护实施过程中非常重

要的环节，通过安全建设整改服务，可以使用户信息系统通过测评，提升安全防

护能力，达到监管要求。

基于分级保护规范的安全建设整改服务，将充分结合用户的信息化现状和需求

，解读对应的分级保护规范和要求，帮助用户制定全面、整体的安全规划和整体

方案设计，从技术、管理上构建符合规范，满足需求的整体安全体系。

2-3信息系统基础设施建设服务

信息系统基础设施是信息化的基础，也是信息化能持续发展，高效运行的前

提和保障。

基础设施主要包括机房建设、综合布线、视屏监控等内容。

监测类

网站安全检测服务：通过技术手段，远程或者现场对网站进行安全检测和评估

，检测网页是否存在漏洞、网页是否挂马、网页有没有被篡改、是否有欺诈网站

等，提醒网站管理员及时修复和加固，保障网站的安全运行。检测内容12项，包

括：SQL注入，XSS跨站脚本，网页挂马，缓冲区溢出，上传漏洞，源代码泄露

，隐藏目录泄露，数据库泄露，弱口令，性能检测，主机安全检测。

网站安全监测服务：利用安全软件或者云安全防护工具，7*24对网站进行长

期监测，保障网站正常、稳定、安全的运行。监测的类别包括：网站性能、网站

安全、网站内容。其中，可监测的网站内容包括：网站文字、链接、图片、源代

码、网页打开速度、DNS解析等。一旦出现异常，及时给用户进行告警。

网站云安全防护服务：利用云安全防护平台，对网站进行7*24的云安全防护

，保障网站安全、稳定、高效的运行。服务内容包括有：web攻击云防护，访问

加速，内容管理，运维管理。

Monitoring

category

3-1网站安全服务

3-2互联网敏感信息监测服务

在用户的互联网环境（系统）部署敏感信息监控系统，配合自主研发的文件密

级标识与管理系统，对敏感文件进行实时监控。该监控系统能发现和锁定公共网

络环境中的敏感文件，并对违规行为进行监控，彻底解决通过互联网引起的失泄

密问题，保障敏感文件安全。

评估类

Evaluation category

4-1

4-2

4-3

风险评估服务

风险评估服务，就是从风险管理角度，运用科学的方法和手段

，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全

事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防

护对策和整改措施，为防范和化解信息安全风险，将风险控制在可

接受的水平，最大限度地保障信息安全提供科学依据。

风险评估作为信息安全保障工作的基础性工作和重要环节，贯

穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，

是信息安全等级保护制度建设的重要科学方法之一。

渗透测试服务

渗透测试是完全模拟黑客可能使用的攻击技术和漏洞发现技术,

对目标系统的安全做深入的探测，发现系统最脆弱的环节，来评估计

算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点

、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的

位置来进行的，并且从这个位置有条件主动利用安全漏洞。

源代码安全审计服务

源代码安全审计是依据CVE(Common Vulnerabilities &

Exposures)公共漏洞字典表、OWASP十大Web漏洞（Open Web

Application Security Project）2013，以及设备、软件厂商公布的

漏洞库以及团队多年的专业积累，通过手动代码评审、黑盒测试并结

合专业源代码扫描工具，对各种程序语言编写的源代码进行安全审计

。能够为客户提供包括安全编码规范咨询、源代码安全现状测评、定

位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列

服务。

4-4

4-5

4-6

APP安全检测服务

APP安全检测服务是在工信部和银行加强自身信息科技风险监管背景

下，面向企业和个人开发者提供的安全检测服务，支持APP多项安全检测

，包括代码保护、动态防御、本地数据、网络数据、恶意漏洞等80+项风

险点，旨在APP正式上线前或者上线后对APP实施风险控制措施，降低信

息风险，能够清晰评价和展示APP风险水平，提供加固建议，保障系统安

全，满足监管要求。

网络安全等级保护测评服务

信息安全等级保护制度是提高信息安全保障能力和水平，维护国家安

全、社会稳定和公共利益，保障和促进信息化建设健康发展的一项基本

制度。信息系统安全等级保护的核心是对信息系统分等级、按标准进行

建设、管理和监督。开展等级保护工作的驱动力主要来自四个方面:一是

网络安全法的要求，二是国家政策要求和行业主管部门监管要求，三是

业务安全保障的需要，四是信息安全风险管理的需要。

2017年《中华人民共和国网络安全法》6月1日开始正式执行，网络安全

法21条、38条和59条明确规定了等级保护工作的必要性和重要性，阐明

了等级保护作为网络安全保障工作的基础性工作,网络运营单位有责任、

有义务按照等级保护要求对自身网络安全进行安全基本保障，否则，公

安机关依法对违法者进行相关经济和行政处罚。可以看出，网络安全法

执行后等级保护相关工作在朝着规范化和法制化方向有序推进，执行力

度和处罚措施都在不断加大。

网络安全分级保护模拟测评服务

分级保护模拟测评服务，依据分级保护测评要求(BMB22),从技术和

管理两个方面了解SM信息系统建设和管理现状，检查SM信息系统是否

达到了分级保护的技术要求，查找差距和不足，为保密局组织的正式测

试做好准备。

4-7

终端安全保密检查服务

通过终端安全保密检查服务，对终端的运行和管理进行安全保密检查

，查找终端运行和管理的安全隐患并提出整改建议，杜绝安全泄密事件的

发生。

加固类

Reinforcement class

5-2网络设备安全加固服务

对目标系统的网络设备（路由和交换

设备）根据安全加固建议，通过打补丁

、修改安全配置、增加安全机制等方式

进行安全加固，提升网络设备的安全防

护能力。

5-4数据库安全加固服务

对目标系统的数据库根据安全加固建

议，通过打补丁、修改安全配置、增加

安全机制等方式进行安全加固，提升数

据库的安全防护能力。

5-1信息系统整体安全加固服务

根据各类安全评估报告（包括不限于风险评

估报告、网络安全等级保护测评报告、漏洞扫描

报告、渗透测试报告等）的评估结果和安全加固

建议，对安全加固建议进行评审，确定安全加固

方案。根据安全加固方案对信息系统中的网络设

备、操作系统、数据库、应用系统等进行安全加

固，提升信息系统整体的安全防护能力。

5-3操作系统安全加固服务

对目标系统的操作系统根据安全加固建议

，通过打补丁、修改安全配置、增加安全机制

等方式进行安全加固，提升操作系统的安全防

护能力。

运维类

Operation and maintenance class

6-1驻场运维服务

驻场运维服务，以“为用户指供服务交付和服务价值”为目标，以用户信息安

全的总体框架为基础、以安全策略为指导,结合先进的技术平台，经验丰富的安全

运维团队、成熟的服务管理体系，帮助用户梳理安全问题，规范运维流程，健全

安全制度，最终为客户构建一个完善的安全运维管理体系，保障信息系统和应用

软件系统安全、正常、稳定、高效的运行，切实落实相关安全保密制度，杜绝安

全事件的发生，确保系统和信息安全保密。

6-2巡检运维服务

为提高信息系统的可用性，做好事前预防，将故障排除在发生之前，有必要

对对客户的应用系统、业务系统及相关设施、设备进行周期性、主动性的健康检

查，旨在及时发现已有或潜在问题，提出改进建议和措施，防止故障的发生。

巡检服务作为主动服务的一种，是一种非常有效的事故预防服务，通过巡检服务

可以尽早发现系统的问题或潜在问题，保证信息系统健康运行，提高系统的可用

性和运营能力。

6-3应急响应服务

通过应急响应服务，帮助用户处理突发的，不可预见的，对用户（公司

内、外）造成影响的事件，最大程度的降低应急事件对用户带来的影响和损

失。

应急响应服务适用于涉及安全、网络、应用在内的多方面事件，包括：

入侵、网络中断、服务器硬件故障、服务对内对外不可达或异常等情况。

应急响应服务的目的是最快速度恢复系统的保密性、完整性和可用性，阻止

和减小安全事件带来的影响。通过采取紧急措施和行动，恢复业务到正常服

务状态；调查安全事件发生的原因，避免同类安全事件再次发生；在需要司

法机关介入时，提供法律认可的数字证据等。

6-4信息系统整体运维（维保）服务

随着信息化建设的高速发展，IT基础架构已经成为支撑用户业务正常运

行的重要因素，稳定、安全的IT业务系统甚至成为用户的核心竞争力之一。

硬件故障、数据丢失、宕机、负载过高或闲置、病毒、人为操作失误等IT系

统问题直接影响业务系统的正常运行。基于10余年的IT服务经验，总结提炼

出涵盖主流IT设备厂商从主机、存储

、网络到软件系统等全线IT基础架构

的维保服务产品，为客户的业务系统

提供跨厂商的技术支持，以专业的工

程师队伍和规范的服务流程为客户及

时解决系统故障、恢复业务系统运行

，降低系统故障率，提高IT系统可用

性，并可帮助客户提升自身的IT管理

能力。

培训类

Training category

7-2保密培训服务

保密工作是一项政治性、政策性、业务性很强的工作，关系到党和国家的安

全，关系到经济建设和社会主义事业发展的大局，要从讲政治的高度来认识保密

工作，充分认识到保密工作的复杂性和艰巨性，保持高度的政治敏锐性，使保密

工作为社会主义经济建设服务。保密培训就是对保密的相关的政策法规和一些保

密措施进行培训。通过保密培训服务，增强用户保密意识，了解常见保密防护的

基础知识，熟悉日常简单保密防护的使用和操作，以推进用户整体保密措施的实

施和保密管理制度的落地，提升用户整体保密防护水平和能力，防止泄密事件的

发生。

7-1安全培训服务

为了解决日益增长的信息安全服务项目需求与匮乏的信息安全服务人才之间

的矛盾，推出信息安全培训服务，旨在增强用户安全意识，了解常见安全防护的

基础知识，熟悉日常简单安全防护的使用和操作，以推进用户整体安全措施的实

施和安全管理制度的落地，提升用户整体安全防护水平和能力。

Confidentiality is a

very political, policyoriented and

operational work,

which is related to the

security of the Party

and the state.

特色类

对保密要害部位（机房、机要、档案、会议室、重要办公室）等，运用技术

手段检测、定位、移除各种窃听装置，监控装置及隐藏的窃视装置，检测并移

除物理或电子威胁，并进行分析。

Featured class

网络取证即是从多样化、动态传输中的数据源里以科学可证实的技术来获取

、融合、识别、检查、关联、分析及归档数字证据，其目标是发现与事件相关

企图关联的事实或恶意非授权行为及为重构事件提供信息与依据。

应用户要求，在出现安全保密事件后，利用工程师自身技术能力和相关安全

保密取证工具，对安全保密事件进行分析和取证，配合和协助相关部门进行安

全保密事件的处理工作。

8-1反窃听窃视服务

8-2安全保密事件取证协助服务