【正文】 擬 制 戴開明 簽字日期 審 核 席斐 簽字日期 會(huì) 簽 簽字日期 簽字日期 批 準(zhǔn) 曹鵬 簽字日期 序號(hào) 修改日期 人員 更新說明 戴開明 文檔 新建 第 3 頁 共 45 頁 目 錄 1. 項(xiàng)目背景 ........................................................................................................................ 5 . 項(xiàng)目背景及概述 ......................................................................................... 5 . 項(xiàng)目的范圍和目標(biāo) ..................................................................................... 5 . 項(xiàng) 目的范圍 .......................................................................................... 5 . 項(xiàng)目的目標(biāo) .......................................................................................... 6 . 評估原則和依據(jù) ......................................................................................... 7 . 評估原則 .............................................................................................. 7 . 評估依據(jù) .............................................................................................. 8 2. 總體項(xiàng)目思路 ................................................................................................................ 9 . 參考模型 ..................................................................................................... 9 . P2DR 模型 ............................................................................................ 9 . PADIMEETM 模型 ............................................................................ 10 . APPDRR 模型 .....................................................................................11 . 總體項(xiàng)目策略 ........................................................................................... 12 3. 風(fēng)險(xiǎn)評估與加固方案 .................................................................................................. 12 . 已有安全事件分析 ................................................................................... 12 . 網(wǎng)絡(luò)安全評估與加固 ............................................................................... 13 . 網(wǎng)絡(luò)架構(gòu)分析 .................................................................................... 13 . 網(wǎng)絡(luò)流量分析 .................................................................................... 14 . 網(wǎng)絡(luò)設(shè) 備安全漏洞檢查 .................................................................... 15 . 網(wǎng)絡(luò)設(shè)備安全配置檢查 .................................................................... 15 . 設(shè)備安全加固 .................................................................................... 16 . 系統(tǒng)安全評估與加固 ............................................................................... 18 . 主機(jī)安全檢查 .................................................................................... 18 . 主機(jī)安全加固 .................................................................................... 20 . 應(yīng)用安全評估與加固 ............................................................................... 23 第 4 頁 共 45 頁 . 應(yīng)用安全檢查 .................................................................................... 23 . 應(yīng)用安全加固 .................................................................................... 25 . 滲透測試 ................................................................................................... 27 . 安全評估總結(jié)分析及規(guī)劃建議 ............................................................... 29 4. 安全培訓(xùn)方案 .............................................................................................................. 30 . 面向管理層的培訓(xùn) ................................................................................... 30 . 面向技術(shù)人員的培訓(xùn) ............................................................................... 31 . 面向普通員工的培訓(xùn) ............................................................................... 34 5. 技術(shù)支持 ...................................................................................................................... 35 . 應(yīng)急響應(yīng)服務(wù) ........................................................................................... 35 6. 東軟信息安全服務(wù)資質(zhì) .............................................................................................. 42 7. 案例介紹 ...................................................................................................................... 43 第 5 頁 共 45 頁 1. 項(xiàng)目背景 . 項(xiàng)目背景及概述 隨著安全事件的不斷增加，人們安全意識(shí)的不斷提高，如何有效地 選擇安全措施，如何使安全產(chǎn)品發(fā)揮應(yīng)有的作用，如何快速經(jīng)濟(jì)地提升系統(tǒng)的安全狀況成為用戶關(guān)心的問題。完整的安全體系不僅能幫助用戶解決現(xiàn)有的安全問題，還能夠幫助他們預(yù)計(jì)未來的趨勢，規(guī)劃安全的長期發(fā)展。 通過本項(xiàng)服務(wù)，對于服務(wù)范圍內(nèi)的重要信息數(shù)據(jù)（比如，技術(shù)文檔、源程序、企業(yè)運(yùn)行數(shù)據(jù)、電子郵件、管理文檔商業(yè)文檔）的安全保護(hù)框架，以及承載這些數(shù)據(jù)的系統(tǒng)的安全保護(hù)框架進(jìn)行全面的設(shè)計(jì)。 Exposures，通用脆弱性標(biāo)準(zhǔn)。 該理論的最基本原理就是認(rèn)為，信息安全相關(guān)的所有活動(dòng)，不管是攻擊行為、防護(hù)行為、檢測行為和響應(yīng)行為等等都要消耗時(shí)間。 P2DR 模型是可適應(yīng)網(wǎng)絡(luò)安全理論或稱為動(dòng)態(tài)信息安全理論的主要模型 。 網(wǎng)絡(luò)安全防范體系應(yīng)該是動(dòng)態(tài)變化的。 PADIMEE 模型 ? Policy Phase 策略制訂階段：確定安全策略和安全目標(biāo)； ? Assessment Phase 評估分析階段：實(shí)現(xiàn)需求分析、風(fēng)險(xiǎn)分析、安全功能分析和評估準(zhǔn)則設(shè)計(jì)等，明確表述現(xiàn)狀和目標(biāo)之間的差距； ? Design Phase 方案設(shè)計(jì)階段：形成系統(tǒng)安全解決方案，為達(dá)到目標(biāo)給出有效的方法和步驟； ? Implementation Phase 工程實(shí)施階段：根據(jù)方案設(shè)計(jì)的框架，建設(shè)、調(diào)試并 將整個(gè)系統(tǒng)投入使用。 東軟以服務(wù)為本，針對用戶的信 息安全需求，推出了由安全管理咨詢、安全系統(tǒng)集成服務(wù)、安全客戶支持、安全培訓(xùn)等一系列服務(wù)組成的完整解決方案，幫助用戶在安全建設(shè)生命周期中獲得良好的效果。 APPDRR 模型認(rèn)為網(wǎng)絡(luò)安全由風(fēng)險(xiǎn)評估（ Assessment）、安全策略（ Policy）、系統(tǒng)防護(hù)（ Protection）、動(dòng)態(tài)檢測（ Detection）、實(shí)時(shí)響應(yīng)（ Reaction）和災(zāi)難恢復(fù)（ Restoration）六部分完成。接下來是動(dòng)態(tài)檢測、實(shí)時(shí)響應(yīng)、災(zāi)難恢復(fù)三環(huán)節(jié)，體現(xiàn)了安全動(dòng)態(tài)防護(hù)和安全入侵、安全威脅 “ 短兵相接 ” 的對抗性特征。安全策略是信息