【正文】 和管理制度做充分調(diào)研的基礎上，協(xié)助公司制定一套操作性強的安全策略體系，用以指導公司各個業(yè)務單位日常的網(wǎng)絡安全工作。v 咨詢服務內(nèi)容178。 制定公司的網(wǎng)絡安全管理組織架構，協(xié)助公司建立企業(yè)內(nèi)的網(wǎng)絡安全管理小組，并制定小組成員職責文檔；178。 制定公司網(wǎng)絡安全管理策略體系，提供一系列的主策略及子策略管理文檔；178。 根據(jù)公司相關部門人員的不同角色提供不同級別的安全培訓，提高相關人員的整體安全意識和網(wǎng)絡安全技術水平；v 設計組織架構及安全策略時的參考規(guī)范178。 ISO/IEC 177992000《信息安全管理實用規(guī)則》178。 ISO/IEC 13335《信息技術安全管理指南》178。 ISO 74982《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型安全體系結構》178。 SSECMM《系統(tǒng)安全工程能力成熟模型》178。 GB/T183362001《信息技術 安全技術 信息技術安全性評估準則》178。 GB/T178591999《計算機信息系統(tǒng)安全等級保護劃分準則》178。 其他國家法律、法規(guī)等 安全評估服務 安全評估模型安全風險模型的建立來自于BS 7799的思想，它是整個風險評估方案的主導。信息資產(chǎn)由于自身的脆弱性，使得威脅的發(fā)生成為可能，從而形成風險。一旦安全事件發(fā)生，就會造成各種不同的影響。換句話說，風險分析的過程實際上就是對影響、威脅和脆弱性分析的過程，但它們都緊緊圍繞著資產(chǎn)為中心。在風險評估階段，資產(chǎn)的價值、資產(chǎn)破壞后造成的影響、威脅的嚴重程度、威脅發(fā)生的可能性、資產(chǎn)的脆弱程度都成為風險評估的關鍵因素。在風險模型中，資產(chǎn)的評估主要是對資產(chǎn)進行相對估價，而其估價準則就是依賴于對其影響的分析，從資產(chǎn)的相對價值中體現(xiàn)了威脅的嚴重程度。這樣，威脅評估就僅僅成了對資產(chǎn)所受威脅發(fā)生可能性的評估。脆弱性的評估是對資產(chǎn)脆弱程度的評估。安全風險評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息和脆弱性信息，最終生成風險信息。圖1：安全風險模型 安全評估流程安全風險評估流程是安全風險模型的體現(xiàn)，因此首次整個評估的過程可以分為以下幾個階段：178。 第一階段確定評估范圍階段，調(diào)查并了解公司網(wǎng)絡系統(tǒng)業(yè)務的流程和運行環(huán)境，確定評估范圍的邊界以及范圍內(nèi)的所有網(wǎng)絡系統(tǒng)應用；178。 第二階段是資產(chǎn)的識別和估價階段，對評估范圍內(nèi)的所有資產(chǎn)進行識別，并調(diào)查資產(chǎn)破壞后可能造成的影響大小，根據(jù)影響的大小為資產(chǎn)進行相對賦值；178。 第三階段是安全威脅評估階段，首先通過問卷調(diào)查和IDS取樣等方式識別出資產(chǎn)所面臨的每種威脅，并評估它們發(fā)生的可能性；178。 第四階段是脆弱性評估階段，包括從技術和管理方面進行的脆弱度檢查，特別是技術方面，以安全掃描、手動檢查、滲透測試等眾多技術手段進行評估；178。 第五階段是風險的分析階段，即通過分析上面所評估的數(shù)據(jù)，進行風險值計算、區(qū)分和確認高風險因素；178。 第六階段是風險的管理階段，這一階段主要是總結整個風險評估過程，制定相關風險控制策略，建立風險評估報告，實施某些緊急風險控制措施（如安全修補和加固）。 風險評估的標準整個安全風險評估項目，將主要依據(jù)相關信息安全標準提供指導，并遵循了相關國家的法律法規(guī)政策。我們采用國際信息安全管理標準BS 7799的風險管理思想作為貫穿整個風險評估過程的主要指導規(guī)范，為最終建立完善、全面的公司網(wǎng)絡系統(tǒng)安全管理體系提供依據(jù)。另外，在風險等關鍵因素的評估方面，我們還參考了SSECMM、ISO15408和ISO13335標準。同時，SSECMM指導了本次項目的工程實施，ISO1540ISO13335在安全方案的制定等方面都提供了規(guī)范化的指導。其中在評估過程中涉及到的一些技術細節(jié)問題，我們將嚴格遵循和執(zhí)行相關國家的法律法規(guī)政策。 安全加固服務安全加固服務是指根據(jù)先期安全評估的結果，制定統(tǒng)一的安全策略，對網(wǎng)絡及應用系統(tǒng)進行管理加強、環(huán)境優(yōu)化增強及安全域規(guī)劃和系統(tǒng)加固等工作，通過安全加固及增強服務后，使整個網(wǎng)絡及應用系統(tǒng)的安全狀況提升到一個較高的水平。 安全加固原則我們根據(jù)安全評估結果，結合各種操作系統(tǒng)的安全特性，對加固對象進行修補加固。利用修補和加固解決在安全評估中發(fā)現(xiàn)的各種技術性安全問題，基本保證在客觀環(huán)境允許的情況下被加固對象應不再存在高風險漏洞和中風險漏洞(根據(jù)CVE標準定義)，對于由于業(yè)務環(huán)境原因無法進行修補的漏洞，我們會分析漏洞的對系統(tǒng)安全性影響并提出相應的解決建議，同時記錄在遺留問題記錄中，以備后續(xù)參考。另外，在修補和加固完成后應不影響修補加固對象原有的功能和性能。其中，在加固方案設計和加固實施過程中將遵循以下原則：178。 標準性原則：加固方案的設計與實施應依據(jù)國內(nèi)或國際的相關標準進行；178。 規(guī)范性原則：工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制；178。 可控性原則：加固的方法和過程要在雙方認可的范圍之內(nèi)，加固服務的進度要跟上進度表的安排，保證公司網(wǎng)絡系統(tǒng)對于加固工作的可控性；178。 整體性原則：加固的范圍和內(nèi)容應當整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患；178。 最小影響原則：加固工作應盡可能小的影響系統(tǒng)和網(wǎng)絡的正常運行，不會對正在的運行和業(yè)務的正常提供產(chǎn)生顯著影響；178。 保密原則：對加固的過程數(shù)據(jù)和結果數(shù)據(jù)嚴格保密，未經(jīng)授權不會泄露任何給任何單位和個人，不會利用此數(shù)據(jù)進行任何侵害公司網(wǎng)絡系統(tǒng)網(wǎng)絡的行為； 確定安全加固內(nèi)容根據(jù)安全評估的結果，結網(wǎng)絡自身的特點及管理人員的意見，最終確定相應的安全加固內(nèi)容。首次安全加固及增強包括：178。 網(wǎng)絡環(huán)境優(yōu)化；178。 網(wǎng)絡設備優(yōu)化；178。 安全設備優(yōu)化；178。 網(wǎng)絡設備安全加固；178。 主機系統(tǒng)加固；178。 應用系統(tǒng)加固。在本次安全增強工程實施中所涉及IP網(wǎng)及重要網(wǎng)絡設備、主機設備，數(shù)量需要再安全評估之后作具體勘查。 安全加固工作流程圖整體的安全加固工作流程如下：圖2：安全加固流程 日常維護服務日常維護服務指通過定期的安全審計、對入侵檢測系統(tǒng)的日常監(jiān)控、網(wǎng)絡設備配置優(yōu)化、最新安全通告、補丁更新等內(nèi)容。通過更新的服務保持和加強系統(tǒng)的安全水平，將應用系統(tǒng)的安全水平維持在一個穩(wěn)定的狀態(tài)。日常維護服務的主要內(nèi)容有：v 周期性安全審計服務根據(jù)公司網(wǎng)絡的自身特點，我們建議在初次安全服務內(nèi)容結束后，再進行相應的周期性安全技術評估。周期性的安全審計服務包括以下三個主要內(nèi)容：178。 每季一次的安全技術評估周期性的安全技術評估同樣參照首次安全評估的流程，但更著重于技術性評估，并在評估結束時提供相應的評估報告。178。 每月一次的安全檢查周期性的安全檢查主要包括定期對主機、網(wǎng)絡設備和數(shù)據(jù)庫系統(tǒng)進行安全檢查，對系統(tǒng)的配置、日志等進行分析，發(fā)現(xiàn)安全問題時及時與相關人員溝通并處理。安全檢查的內(nèi)容參考首次服務中的安全檢查內(nèi)容與方法。178。 每周一次的IDS檢查報告根據(jù)公司的要求，我們將對公司局域網(wǎng)中部署的入侵檢測設備進行7*24小時的，在第一時間發(fā)現(xiàn)問題并予以解決。并每周提供相應的IDS檢查報告。v 日常安全設備監(jiān)控在日常維護服務中，我們除了提供周期性的安全服務及相應的報告外，我們還將通過遠程服務工具對公司網(wǎng)絡進行5*8小時的遠程監(jiān)控維護，主要負責公司網(wǎng)絡安全設備的日常監(jiān)控，及時發(fā)現(xiàn)安全問題，保障相應的安全設備運行在正常狀態(tài)之下。 應急響應服務網(wǎng)絡安全的發(fā)展日新月異，誰也無法實現(xiàn)一勞永逸的安全服務，所以當緊急安全問題發(fā)生，一般技術人員又無法迅速解決的時候，及時發(fā)現(xiàn)問題、解決問題就必須依靠應急響應來實現(xiàn)。當客戶的主機或網(wǎng)絡正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當時解決和追查來源時。我們將根據(jù)客戶的要求，以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。此項應急響應服務由我們的安全響應技術服務小組負責?？梢耘c客戶自己的網(wǎng)絡安全中心以及反應體系配合協(xié)作，共同完成對客戶網(wǎng)絡安全事件的應急響應和處理。 應急響應內(nèi)容安全應急響應事件的定義是指用戶限時要求解決的安全事件和在非工作日時間要求響應的安全事件。安全應急響應根據(jù)對事件進行處理的地點不同又分為遠程應急響應和本地應急響應。v 遠程應急響應是指我公司相關工程師在接到客戶相關人員通過電話、Email、傳真方式的請求后，如果無法通過相同的方式為客戶解決問題，經(jīng)與客戶網(wǎng)絡相關人員確認后，客戶方網(wǎng)絡相關人員提供主機或設備的臨時支持賬號，由我方工程師遠程登錄主機進行檢測和服務，問題解決后出具詳細的應急響應服務報告。如遠程系統(tǒng)無法登陸，或無法通過遠程訪問的方式替客戶解決問題，客戶確認后，轉到本地緊急相應流程，同時此次遠程響應無效，歸于本地應急響應類型。v 本地應急響應是指我公司委派相關工程在第一事件趕往客戶網(wǎng)絡事發(fā)地點，在現(xiàn)場為客戶查找事發(fā)原因并解決相應問題，并出具詳細的應急響應服務報告。 安全應急響應服務指標v 遠程應急響應在確認客戶的應急響應請求后30分鐘內(nèi)，交與相關工程師進行處理。無論是否解決，進行處理的當天必須返回響應情況的簡報，直到此次響應服務結束。v 本地應急響應根據(jù)用戶的要求，我們提供的本地響應時間為7*24*4（或根據(jù)客戶地理位置再確定） 。 安全培訓服務 安全培訓服務簡介從現(xiàn)在國際上黑客入侵案件的分析和系統(tǒng)安全專家保護網(wǎng)絡的案例來看，系統(tǒng)安全其實就是系統(tǒng)管理員和黑客頭腦和計算機知識的戰(zhàn)斗。因為人員的安全觀念，系統(tǒng)管理員的實際安全知識直接影響到整個系統(tǒng)安全方案的實施。而一個安全的網(wǎng)絡系統(tǒng)的保護不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關，而且和領導的決策、工作環(huán)境中每個員工的安全操作等都有關系。我們根據(jù)網(wǎng)絡安全技術的發(fā)展動態(tài)，結合豐富的安全系統(tǒng)集成、軟件開發(fā)和技術培訓經(jīng)驗，通過不斷地改進、完善技術培訓體系，使之更貼近市場、貼近技術前沿，致力于為各行業(yè)等培訓合格的網(wǎng)絡系統(tǒng)管理員。安全培訓的許多課程是我公司獨創(chuàng)的（如黑客攻擊實驗、安全狀況診斷），用來培訓在工作中可能遇到此類問題的系統(tǒng)管理員。我們可以協(xié)助客戶網(wǎng)絡實施對全部技術人員的初級安全培訓，提高全面的安全意識，為新網(wǎng)絡管理員和程序員提供中級安全培訓，也可以根據(jù)客戶的特殊要求，提供高級安全培訓。 安全培訓內(nèi)容針對本期網(wǎng)絡培訓需求的特點，我方將在項目實施后，為客戶提供集中安全培訓，包括針對領導層、系統(tǒng)管理員及普通工作人員的三個不同層次的安全培訓。178。 針對領導層的安全培訓主要了解信息安全在企業(yè)管理中的重要意義，使領導關注和了解本單位信息系統(tǒng)的安全建設和安全管理的實施；178。 針對普通工作人員的培訓，主要是學習普通用戶的安全管理規(guī)定、安全操作方法及計算機的安全保護手段、比如病毒和木馬等的防治。178。 針對系統(tǒng)管理員的培訓是本次培訓中比較重要的部分，主要包括安全產(chǎn)品培訓、系統(tǒng)安全培訓、網(wǎng)絡安全培訓和安全管理培訓使管理員通過培訓從而對系統(tǒng)的安全運維能力有大幅度的提升。安全培訓的具體課程內(nèi)容與時間安排，將在培訓前與用戶相關人員協(xié)商確定。THANKS !!!致力為企業(yè)和個人提供合同協(xié)議，策劃案計劃書，學習課件等等打造全網(wǎng)一站式需求歡迎您的下載，資料僅供參考可修改