【文章內(nèi)容簡(jiǎn)介】 息安全管理制度和策略制定和輔導(dǎo) ? 安全產(chǎn)品測(cè)試和選型 ? IT 管理員手冊(cè)制定 ? 企業(yè)信息安全規(guī)劃 ? 信息 安全集成項(xiàng)目監(jiān)理 安全咨詢業(yè)務(wù)主要內(nèi)容的詳細(xì)說(shuō)明： 信息安全風(fēng)險(xiǎn)評(píng)估 服務(wù)包編號(hào)：柏安 SSRA 商業(yè)計(jì)劃書 機(jī)密資料 22 服務(wù)包名稱：系統(tǒng)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估 服務(wù)包目標(biāo)：完整，全面評(píng)估客戶系統(tǒng)和網(wǎng)絡(luò)的安全狀況 服務(wù)包描述：風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識(shí)庫(kù)，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)對(duì)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 服務(wù)包內(nèi)容： ? 操作系統(tǒng)平臺(tái)安全評(píng)估 完整，全面發(fā)現(xiàn)客戶系統(tǒng)主機(jī)的漏洞和安全隱患。采用軟件工具掃描和人工分析兩種方式。軟件工具掃描將使用業(yè)界最先進(jìn)的掃描器；人工分析由柏安安全專家憑據(jù)豐富的經(jīng)驗(yàn)和對(duì)客戶業(yè)務(wù)應(yīng)用情況的了解來(lái)進(jìn)行。包括： Unix、 NT、 Win2K、 Linux 等操作系統(tǒng)。 ? 應(yīng)用軟件安全評(píng)估 完整，全面發(fā)現(xiàn)客戶網(wǎng)絡(luò)應(yīng)用程序中存在的漏洞和安全隱患。對(duì)所有服務(wù)器對(duì)外部提供的網(wǎng)絡(luò)應(yīng)用服 務(wù)進(jìn)行統(tǒng)計(jì)，分析，檢查安全問題，停止不必要的網(wǎng)絡(luò)應(yīng)用服務(wù)。包括： Mail、 Ftp、 DNS、 HTTP、遠(yuǎn)程控制服務(wù)器、 RPC 等網(wǎng)絡(luò)應(yīng)用服務(wù)。 ? 數(shù)據(jù)庫(kù)評(píng)估服務(wù) 對(duì)數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行安全檢查，對(duì)數(shù)據(jù)庫(kù)的權(quán)限，用戶角色進(jìn)行檢查。主要檢查目標(biāo)數(shù)據(jù)庫(kù)服務(wù)的用戶情況、配置情況、 2021 年問題和承受商業(yè)計(jì)劃書 機(jī)密資料 23 攻擊的能力，并根據(jù)不同的數(shù)據(jù)庫(kù)系統(tǒng)有著不同的檢測(cè)項(xiàng)目。包括：Oracle、 Sybase、 MS SQL、 MySQL、 DB2 等。 ? 安全設(shè)備評(píng)估 對(duì)客戶所使用的現(xiàn)有安全設(shè)備的自身抗攻擊能力、配置的策略、日志的分析情況、版本的升級(jí)情況進(jìn)行評(píng) 估。使用專業(yè)的掃描軟件和人工分析的方式進(jìn)行檢查。包括：防火墻、入侵監(jiān)測(cè)、加密產(chǎn)品、備份產(chǎn)品、防病毒產(chǎn)品等。 ? 白客攻擊測(cè)試 測(cè)試客戶網(wǎng)絡(luò)的安全性，是否易于遭受黑客攻擊?！鞍卓汀比肭譁y(cè)試是在客戶的允許下和可控的范圍內(nèi)，采取可控的，不造成不可彌補(bǔ)損失的黑客入侵手法，對(duì)客戶網(wǎng)絡(luò)和系統(tǒng)發(fā)起真正攻擊。目的是侵入系統(tǒng)并獲取機(jī)密信息。將入侵的過(guò)程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶。包括：獲取主機(jī)及設(shè)備信息、特洛伊木馬、網(wǎng)絡(luò)偵聽、非法獲取超級(jí)用戶賬號(hào)、口令猜測(cè)、更改配置文件、利用舊的操作系統(tǒng)版本攻擊等。 信息安全資產(chǎn)賦值 服務(wù)包編號(hào)： 柏安 SSAV 服務(wù)包名稱：信息資產(chǎn)價(jià)值評(píng)定 服務(wù)包目標(biāo)： 信息資產(chǎn)價(jià)值評(píng)定為了讓用戶知道自己信息資產(chǎn)實(shí)際的資產(chǎn)價(jià)值，對(duì)資產(chǎn)進(jìn)行詳細(xì)的資產(chǎn)價(jià)值計(jì)算。通過(guò)資產(chǎn)價(jià)值的評(píng)定用戶可以知道哪些資產(chǎn)是重要的需要較多的保護(hù)。為今后的系統(tǒng)集成或安全項(xiàng)目實(shí)施提供有效的參考。開發(fā)適當(dāng)?shù)谋Ｗo(hù)輪廓和安全規(guī)范的基礎(chǔ)，可以幫助商業(yè)計(jì)劃書 機(jī)密資料 24 實(shí)現(xiàn)更為精確的安全方案。在安全方案花費(fèi)和安全提升帶來(lái)的資產(chǎn)獲益之間取得平衡。在較高的安全水平上面，獲得微小的提高可能需要的巨大開銷，甚至開銷超出了所保護(hù)資產(chǎn)的價(jià)值。經(jīng)過(guò)精細(xì)的資產(chǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估，企業(yè)就可以在投資 提升安全、承受風(fēng)險(xiǎn)、投資保險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)等做出正確的選擇。 服務(wù)包描述：整個(gè)信息資產(chǎn)價(jià)值評(píng)定包括 ? 列出所有信息資產(chǎn)，填入資產(chǎn)列表 ? 設(shè)置資產(chǎn)的屬性 ? 根據(jù)資產(chǎn)的屬性為每種資產(chǎn)的 7 個(gè)資產(chǎn)類別賦值 ? 根據(jù)某種計(jì)算方法計(jì)算出該資產(chǎn)的價(jià)值 ? 提供《資產(chǎn)管理軟件》 信息安全管理制度和策略制定和輔導(dǎo) 服務(wù)包編號(hào)：柏安 SSSP 服務(wù)包名稱：整體安全制度的制定 服務(wù)包目標(biāo)：為信息安全提供管理、技術(shù)方向和支持手段 服務(wù)包描述： 在管理中應(yīng)設(shè)立清晰的策略方向，闡明信息安全的所需支持和承諾以及機(jī)構(gòu)中信息安全策略的維護(hù)。提供綱要性的策 略制度。 通過(guò)整體安全制度，對(duì)于用戶企業(yè)在信息管理、信息技術(shù)角度上指導(dǎo)用戶執(zhí)行一些必要的措施來(lái)保護(hù)自己企業(yè)內(nèi)部所有的信息、信息系統(tǒng)和資源，以便為用戶提供經(jīng)濟(jì)、高效率的服務(wù)。 整個(gè)安全制度將包括以下內(nèi)容： 商業(yè)計(jì)劃書 機(jī)密資料 25 ? 硬件設(shè)備安全策略 ? 信息系統(tǒng)的訪問控制安全策略 ? 處理信息和文檔安全策略 ? 商業(yè)軟件的購(gòu)買和維護(hù)安全策略 ? 開發(fā)維護(hù)內(nèi)部軟件安全策略 ? 對(duì)抗計(jì)算機(jī)犯罪安全策略 ? 商業(yè)連貫性管理（ BCP）安全策略 ? 合同文檔安全策略 ? 電子商務(wù)的相關(guān)事宜安全策略 安全產(chǎn)品測(cè)試和選型 服務(wù)包編號(hào)：柏安 SSPC 服務(wù)包名稱：安全產(chǎn)品選型 （ Secure Products Select） 服務(wù)包目標(biāo)：為用戶提供價(jià)格性能比最佳的產(chǎn)品 服務(wù)包描述：提供不同安全產(chǎn)品廠家同種安全產(chǎn)品各種參數(shù)的比較。包括：防病毒、防火墻、入侵監(jiān)測(cè)、安全掃描、加密、 VPN、 CA 認(rèn)證、身份認(rèn)證等。 服務(wù)包內(nèi)容：柏安根據(jù)國(guó)際上著名的安全設(shè)備的評(píng)審機(jī)構(gòu)和柏安公司的安全工程師在公司實(shí)驗(yàn)環(huán)境的測(cè)試結(jié)果，填寫安全設(shè)備的評(píng)測(cè)表，評(píng)測(cè)的范圍包括： ? 產(chǎn)品廠家的信譽(yù)度 ? 產(chǎn)品廠家的服務(wù)體系及服務(wù)能力 ? 產(chǎn)品的性能和功能 商業(yè)計(jì)劃書 機(jī)密資料 26 ? 產(chǎn)品的價(jià)格 ? 產(chǎn)品對(duì)客戶的可適用性 ? 產(chǎn)品的升級(jí)時(shí)間和周期 IT 管理員手冊(cè) 制定 服務(wù)包編號(hào)：柏安 SSAM 服務(wù)包名稱：制定 IT 管理員安全管理手冊(cè) 服務(wù)包目標(biāo)：為用戶的 IT管理人員制定針對(duì)公司應(yīng)用服務(wù)及網(wǎng)絡(luò)的安全配置和管理手冊(cè)，降低系統(tǒng)和網(wǎng)絡(luò)的安全問題，提高管理員的工作效率，當(dāng)管理員在安裝配置過(guò)程中有困難時(shí)，柏安的工程師會(huì)協(xié)助 IT管理員進(jìn)行安裝和配置。 服務(wù)包描述：柏安的網(wǎng)絡(luò)安全工程師、系統(tǒng)安全工程師、高級(jí)安全顧問會(huì)根據(jù)客戶的具體情況為 IT 管理員制定相應(yīng)的安裝、配置和管理文檔。其中包括： ? 操作系統(tǒng)安全安裝和配置 ? 數(shù)據(jù)庫(kù)的安全配置 ? 網(wǎng)站服務(wù)器－ DNS， Mail， Ftp, HTTP,網(wǎng)頁(yè)編程，數(shù)據(jù)庫(kù)的安全配置 ? 用戶 Inter 瀏覽規(guī)范 ? 公司內(nèi)、外部郵件系統(tǒng)安全配置和管理 ? 文件服務(wù)器訪問的安全設(shè)置和文件權(quán)限管理 ? 機(jī)房管理機(jī)制 ? 各個(gè)部門直接訪問權(quán)限的規(guī)劃、訪問服務(wù)器的權(quán)限分配和口令管理 商業(yè)計(jì)劃書 機(jī)密資料 27 ? 不同級(jí)別用戶的權(quán)限分配規(guī)定 ? 域用戶管理的安全性 ? 公司應(yīng)用服務(wù)流程的安全設(shè)計(jì) ? 服務(wù)器、應(yīng)用程序、數(shù)據(jù)庫(kù)、安全設(shè)備的日志審計(jì)的方法 企業(yè)安全規(guī)劃 服務(wù)包編號(hào)：柏安 SSMA 服務(wù)包名稱：前瞻性規(guī)劃 服務(wù)包目標(biāo)：延伸柏安的安全理念，將以國(guó)際水準(zhǔn)的計(jì)算機(jī)網(wǎng)絡(luò)安全服務(wù)標(biāo)準(zhǔn)，提供對(duì) IT環(huán)境所有領(lǐng)域的安全評(píng)估 ，幫助客戶設(shè)計(jì)網(wǎng)絡(luò)安全前瞻性策略和架構(gòu)，充分適應(yīng)客戶的技術(shù)要求，提供后繼貼身服務(wù)，實(shí)現(xiàn)客戶近期和遠(yuǎn)期的發(fā)展目標(biāo)。 服務(wù)包描述： 前瞻性企業(yè)安全發(fā)展目標(biāo) 前瞻性企業(yè)長(zhǎng)期安全需求 前瞻性風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)監(jiān)測(cè) 前瞻性網(wǎng)絡(luò)性能分析 前瞻性安全防衛(wèi)體系分析 前瞻性黑客攻擊手段及發(fā)展模式分析 對(duì)網(wǎng)絡(luò)安全未來(lái)發(fā)展趨勢(shì)的前瞻性研究 信息安全集成項(xiàng)目監(jiān)理 服務(wù)包編號(hào)：柏安 SSPM 商業(yè)計(jì)劃書 機(jī)密資料 28 服務(wù)包名稱：安全工程監(jiān)理 服務(wù)包目標(biāo)：為用戶安全項(xiàng)目實(shí)施過(guò)程的監(jiān)理 服務(wù)包描述： 項(xiàng)目實(shí)施前的監(jiān)理 對(duì)所選安全產(chǎn)品的真實(shí)性，質(zhì)量，到貨時(shí)間進(jìn) 行檢查 對(duì)項(xiàng)目實(shí)施的人員進(jìn)行身份及資歷審核 對(duì)實(shí)施單位的具體實(shí)施步驟及每個(gè)步驟中的具體實(shí)施計(jì)劃文檔進(jìn)行審核 對(duì)實(shí)施單位開始實(shí)施項(xiàng)目的時(shí)間和完工的時(shí)間進(jìn)行事前記錄 項(xiàng)目實(shí)施中的監(jiān)理 對(duì)項(xiàng)目實(shí)施進(jìn)度進(jìn)行計(jì)劃和督促，防止延誤工期 對(duì)項(xiàng)目實(shí)施過(guò)程的真實(shí)性和與方案的符合性進(jìn)行監(jiān)督 對(duì)項(xiàng)目實(shí)施人員的身份在實(shí)施過(guò)程中再進(jìn)行檢查 對(duì)軟硬件產(chǎn)品在項(xiàng)目實(shí)施中的完好性和真實(shí)性進(jìn)行檢查 對(duì)項(xiàng)目實(shí)施中以完成的部分進(jìn)行局部驗(yàn)收，發(fā)現(xiàn)問題令其馬上糾正 對(duì)項(xiàng)目實(shí)施人員的能力和態(tài)度進(jìn)行審核 項(xiàng)目實(shí)施后的監(jiān)理 對(duì)是否達(dá)到相應(yīng)的安全級(jí)別進(jìn)行 嚴(yán)格驗(yàn)收 對(duì)產(chǎn)品的配置的合理性，有效性進(jìn)行驗(yàn)收 對(duì)安全配置是否造成系統(tǒng)和網(wǎng)絡(luò)的性能問題進(jìn)行驗(yàn)收 對(duì)實(shí)施的進(jìn)度進(jìn)行驗(yàn)收 對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀進(jìn)行評(píng)估及建議 聘請(qǐng)安全專家對(duì)網(wǎng)絡(luò)的安全現(xiàn)狀進(jìn)行評(píng)估 安全維護(hù)服務(wù)業(yè)務(wù) 安全維護(hù)服務(wù)是公司在今后 3 年的需要大力發(fā)展的業(yè)務(wù)，公司安全服務(wù)方面經(jīng)驗(yàn)豐富，公司成立開始就為西門子、房地產(chǎn)公司建立了安全服務(wù)中心，長(zhǎng)期為用戶進(jìn)行安全維護(hù)。公司 3 年的戰(zhàn)略需要大力發(fā)展服務(wù)，服務(wù)能夠擴(kuò)大客戶群，建立穩(wěn)固的用戶群，同時(shí)服務(wù)的利潤(rùn)額相對(duì)更高。在2021 年安全服務(wù)銷售額有 120 萬(wàn)，凈利潤(rùn)有 75%。在 2021 年預(yù)計(jì)達(dá)到650 萬(wàn)銷售額，凈利潤(rùn) 70%。 銷售額分布如下圖： 商業(yè)計(jì)劃書 機(jī)密資料 29 柏安公司的信息安全 服務(wù) 業(yè)務(wù)主要包括： ? 定期日志審計(jì)服務(wù) ? 定期風(fēng)險(xiǎn)評(píng)估服務(wù) ? 周期性加固服務(wù) ? 在線支持服務(wù) ? 遠(yuǎn)程監(jiān)控服務(wù) ? 安全技術(shù)更新服務(wù) ? 緊急響應(yīng)服務(wù) 安全 維護(hù)服務(wù) 業(yè)務(wù)主要內(nèi)容的詳細(xì)說(shuō)明： 商業(yè)計(jì)劃書 機(jī)密資料 30 定期日志審計(jì)服務(wù) 安全服務(wù)包編號(hào)：柏安 SSEA 服務(wù)包名稱：安全設(shè)備日志風(fēng)險(xiǎn)審計(jì)（ Threat Audit） 服務(wù)包目標(biāo)：評(píng)估客戶網(wǎng)絡(luò)遭受攻擊的手法及異?；顒?dòng)等等 服務(wù)內(nèi)容描述：安全設(shè)備日常審計(jì)可以檢測(cè)并報(bào)告客戶網(wǎng)絡(luò)當(dāng)前存在的遭黑客攻擊的 危險(xiǎn)可能性。柏安安全專家將對(duì)客戶的安全設(shè)備的日志進(jìn)行深入分析，并提供相應(yīng)的報(bào)告。該報(bào)告客觀的反應(yīng)了客戶網(wǎng)絡(luò)當(dāng)前是否存在安全風(fēng)險(xiǎn)。審計(jì)的內(nèi)容包括：防火墻日志、入侵監(jiān)測(cè)設(shè)備的日志、防病毒日志、網(wǎng)頁(yè)保護(hù)系統(tǒng)的日志、身份認(rèn)證系統(tǒng)的日志等。 定期風(fēng)險(xiǎn)評(píng)估服務(wù) 安全服務(wù)包編號(hào)：柏安 SSAA 服務(wù)包名稱：定期風(fēng)險(xiǎn)評(píng)估 服務(wù)包目標(biāo)：評(píng)估用戶當(dāng)前網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理上存在的安全威脅和風(fēng)險(xiǎn)，定期進(jìn)行評(píng)估。 商業(yè)計(jì)劃書 機(jī)密資料 31 服務(wù)包描述： 對(duì)于用戶當(dāng)前的物理環(huán)境、網(wǎng)絡(luò)構(gòu)架、系統(tǒng)平臺(tái)、應(yīng)用服務(wù)和數(shù)據(jù)庫(kù)進(jìn)行安全風(fēng)險(xiǎn)掃描。服務(wù)業(yè)務(wù)中的安全評(píng)估和咨 詢業(yè)務(wù)中的安全評(píng)估的區(qū)別在于服務(wù)業(yè)務(wù)中的評(píng)估側(cè)重于漏洞的檢查和技術(shù)層面的分析為主，針對(duì)發(fā)現(xiàn)的問題進(jìn)行及時(shí)地優(yōu)化和加固。 周期性的加固服務(wù) 服務(wù)包編號(hào)：柏安 SSRO 服務(wù)包目標(biāo)：修補(bǔ)客戶網(wǎng)絡(luò)及系統(tǒng)中所有發(fā)現(xiàn)的漏洞和安全隱患，并進(jìn)行安全加固，同時(shí)進(jìn)行安全優(yōu)化。 服務(wù)內(nèi)容描述：首先基于以安全評(píng)估服務(wù)產(chǎn)生的評(píng)估報(bào)告制定實(shí)施方案。由于所有的修補(bǔ)、加固和優(yōu)化工作都可能對(duì)系統(tǒng)造成影響，因此要進(jìn)行修補(bǔ)和加固的代價(jià)分析，提供書面的修補(bǔ)和加固代價(jià)分析報(bào)告，并提供緊急處理和恢復(fù)措施；通過(guò)和客戶充分地交流和協(xié)商，確定修補(bǔ)、加固 和優(yōu)化實(shí)施方案。包括所有實(shí)施細(xì)節(jié)，代價(jià)分析，緊急處理和恢復(fù)措施。用戶確認(rèn)實(shí)施方案后，開始進(jìn)行實(shí)際工作。方案實(shí)施后，將針對(duì)用戶系統(tǒng)的實(shí)施結(jié)果形成實(shí)施報(bào)告。它是安全實(shí)施工作的全面總結(jié)，安全服務(wù)工程師向用戶報(bào)告實(shí)施結(jié)論的主要形式。包括： ? 操作系統(tǒng)修補(bǔ)、加固和優(yōu)化。包括各種 Unix、 NT、 Linux 系統(tǒng) ? 網(wǎng)絡(luò)設(shè)備的安全修補(bǔ)和配置優(yōu)化 ? 應(yīng)用軟件安全修補(bǔ)、加固和優(yōu)化。包括數(shù)據(jù)庫(kù)， CGI 等用戶應(yīng)用程序 ? Windows 9x、 Windows 2K P、 Windows Me 等客戶端 商業(yè)計(jì)劃書 機(jī)密資料 32 在線支持服務(wù) 安全服務(wù)包編號(hào)：柏安 SSCS 服務(wù)包目標(biāo)：提供 安全咨詢和 在線 技術(shù)支持服務(wù)，為客戶解決日常遇到得各種問題 。 服務(wù)內(nèi)容描述： 電話技術(shù)支持服務(wù) 我們提供 5x8 的電話熱線技術(shù)支持服務(wù)。客戶可隨時(shí)撥打柏安的技術(shù)支持與服務(wù)的熱線電話，沒有任何的次數(shù)限制。 電子郵件服務(wù) 提供基于電子郵件方式的技術(shù)支持服務(wù)，客戶在協(xié)議期內(nèi)可得到網(wǎng)絡(luò)安全支持服務(wù)。為用戶提供及時(shí)準(zhǔn)確的網(wǎng)絡(luò)安全動(dòng)態(tài)、最新漏洞和最新攻擊方法，并結(jié)合客戶的實(shí)際情況，在第一時(shí)間提供漏洞的解決方案。 安全手段及黑客手法更新介質(zhì)郵寄服務(wù) 對(duì)無(wú)法在線更新的黑客攻擊特征碼和手段，我公司在協(xié)議期內(nèi) 提供更新介質(zhì)郵寄服務(wù)。 服務(wù)標(biāo)準(zhǔn)： 電話技術(shù)支持服務(wù)： 一般問題作到當(dāng)時(shí)解決； 對(duì)于無(wú)法立即提供解決辦法的問題，在尋找到解決方法后，中心采用電話回復(fù)、傳真等的方式通知公司，時(shí)間不超過(guò) 24 小時(shí)； 確實(shí)無(wú)法解決的問題，中心會(huì)將問題備案并在 24 小時(shí)之內(nèi)通知公司； 商業(yè)計(jì)劃書