【正文】 適合自身企業(yè)特點(diǎn)和管理運(yùn)作方式的網(wǎng)絡(luò)安全管理職能部門，來負(fù)責(zé)協(xié)調(diào)、管理整個公司業(yè)務(wù)網(wǎng)絡(luò)的安全問題。在此基礎(chǔ)上，由安全服務(wù)廠商在對現(xiàn)有業(yè)務(wù)流程和管理制度做充分調(diào)研的基礎(chǔ)上，協(xié)助公司制定一套操作性強(qiáng)的安全策略體系，用以指導(dǎo)公司各個業(yè)務(wù)單位日常的網(wǎng)絡(luò)安全工作。v 咨詢服務(wù)內(nèi)容178。 制定公司的網(wǎng)絡(luò)安全管理組織架構(gòu)，協(xié)助公司建立企業(yè)內(nèi)的網(wǎng)絡(luò)安全管理小組，并制定小組成員職責(zé)文檔；178。 制定公司網(wǎng)絡(luò)安全管理策略體系，提供一系列的主策略及子策略管理文檔；178。 根據(jù)公司相關(guān)部門人員的不同角色提供不同級別的安全培訓(xùn)，提高相關(guān)人員的整體安全意識和網(wǎng)絡(luò)安全技術(shù)水平；v 設(shè)計(jì)組織架構(gòu)及安全策略時(shí)的參考規(guī)范178。 ISO/IEC 177992000《信息安全管理實(shí)用規(guī)則》178。 ISO/IEC 13335《信息技術(shù)安全管理指南》178。 ISO 74982《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型安全體系結(jié)構(gòu)》178。 SSECMM《系統(tǒng)安全工程能力成熟模型》178。 GB/T183362001《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》178。 GB/T178591999《計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則》178。 其他國家法律、法規(guī)等 安全評估服務(wù) 安全評估模型安全風(fēng)險(xiǎn)模型的建立來自于BS 7799的思想，它是整個風(fēng)險(xiǎn)評估方案的主導(dǎo)。信息資產(chǎn)由于自身的脆弱性，使得威脅的發(fā)生成為可能，從而形成風(fēng)險(xiǎn)。一旦安全事件發(fā)生，就會造成各種不同的影響。換句話說，風(fēng)險(xiǎn)分析的過程實(shí)際上就是對影響、威脅和脆弱性分析的過程，但它們都緊緊圍繞著資產(chǎn)為中心。在風(fēng)險(xiǎn)評估階段，資產(chǎn)的價(jià)值、資產(chǎn)破壞后造成的影響、威脅的嚴(yán)重程度、威脅發(fā)生的可能性、資產(chǎn)的脆弱程度都成為風(fēng)險(xiǎn)評估的關(guān)鍵因素。在風(fēng)險(xiǎn)模型中，資產(chǎn)的評估主要是對資產(chǎn)進(jìn)行相對估價(jià)，而其估價(jià)準(zhǔn)則就是依賴于對其影響的分析，從資產(chǎn)的相對價(jià)值中體現(xiàn)了威脅的嚴(yán)重程度。這樣，威脅評估就僅僅成了對資產(chǎn)所受威脅發(fā)生可能性的評估。脆弱性的評估是對資產(chǎn)脆弱程度的評估。安全風(fēng)險(xiǎn)評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息和脆弱性信息，最終生成風(fēng)險(xiǎn)信息。圖1：安全風(fēng)險(xiǎn)模型 安全評估流程安全風(fēng)險(xiǎn)評估流程是安全風(fēng)險(xiǎn)模型的體現(xiàn)，因此首次整個評估的過程可以分為以下幾個階段：178。 第一階段確定評估范圍階段，調(diào)查并了解公司網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)的流程和運(yùn)行環(huán)境，確定評估范圍的邊界以及范圍內(nèi)的所有網(wǎng)絡(luò)系統(tǒng)應(yīng)用；178。 第二階段是資產(chǎn)的識別和估價(jià)階段，對評估范圍內(nèi)的所有資產(chǎn)進(jìn)行識別，并調(diào)查資產(chǎn)破壞后可能造成的影響大小，根據(jù)影響的大小為資產(chǎn)進(jìn)行相對賦值；178。 第三階段是安全威脅評估階段，首先通過問卷調(diào)查和IDS取樣等方式識別出資產(chǎn)所面臨的每種威脅，并評估它們發(fā)生的可能性；178。 第四階段是脆弱性評估階段，包括從技術(shù)和管理方面進(jìn)行的脆弱度檢查，特別是技術(shù)方面，以安全掃描、手動檢查、滲透測試等眾多技術(shù)手段進(jìn)行評估；178。 第五階段是風(fēng)險(xiǎn)的分析階段，即通過分析上面所評估的數(shù)據(jù)，進(jìn)行風(fēng)險(xiǎn)值計(jì)算、區(qū)分和確認(rèn)高風(fēng)險(xiǎn)因素；178。 第六階段是風(fēng)險(xiǎn)的管理階段，這一階段主要是總結(jié)整個風(fēng)險(xiǎn)評估過程，制定相關(guān)風(fēng)險(xiǎn)控制策略，建立風(fēng)險(xiǎn)評估報(bào)告，實(shí)施某些緊急風(fēng)險(xiǎn)控制措施（如安全修補(bǔ)和加固）。 風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)整個安全風(fēng)險(xiǎn)評估項(xiàng)目，將主要依據(jù)相關(guān)信息安全標(biāo)準(zhǔn)提供指導(dǎo)，并遵循了相關(guān)國家的法律法規(guī)政策。我們采用國際信息安全管理標(biāo)準(zhǔn)BS 7799的風(fēng)險(xiǎn)管理思想作為貫穿整個風(fēng)險(xiǎn)評估過程的主要指導(dǎo)規(guī)范，為最終建立完善、全面的公司網(wǎng)絡(luò)系統(tǒng)安全管理體系提供依據(jù)。另外，在風(fēng)險(xiǎn)等關(guān)鍵因素的評估方面，我們還參考了SSECMM、ISO15408和ISO13335標(biāo)準(zhǔn)。同時(shí)，SSECMM指導(dǎo)了本次項(xiàng)目的工程實(shí)施，ISO1540ISO13335在安全方案的制定等方面都提供了規(guī)范化的指導(dǎo)。其中在評估過程中涉及到的一些技術(shù)細(xì)節(jié)問題，我們將嚴(yán)格遵循和執(zhí)行相關(guān)國家的法律法規(guī)政策。 安全加固服務(wù)安全加固服務(wù)是指根據(jù)先期安全評估的結(jié)果，制定統(tǒng)一的安全策略，對網(wǎng)絡(luò)及應(yīng)用系統(tǒng)進(jìn)行管理加強(qiáng)、環(huán)境優(yōu)化增強(qiáng)及安全域規(guī)劃和系統(tǒng)加固等工作，通過安全加固及增強(qiáng)服務(wù)后，使整個網(wǎng)絡(luò)及應(yīng)用系統(tǒng)的安全狀況提升到一個較高的水平。 安全加固原則我們根據(jù)安全評估結(jié)果，結(jié)合各種操作系統(tǒng)的安全特性，對加固對象進(jìn)行修補(bǔ)加固。利用修補(bǔ)和加固解決在安全評估中發(fā)現(xiàn)的各種技術(shù)性安全問題，基本保證在客觀環(huán)境允許的情況下被加固對象應(yīng)不再存在高風(fēng)險(xiǎn)漏洞和中風(fēng)險(xiǎn)漏洞(根據(jù)CVE標(biāo)準(zhǔn)定義)，對于由于業(yè)務(wù)環(huán)境原因無法進(jìn)行修補(bǔ)的漏洞，我們會分析漏洞的對系統(tǒng)安全性影響并提出相應(yīng)的解決建議，同時(shí)記錄在遺留問題記錄中，以備后續(xù)參考。另外，在修補(bǔ)和加固完成后應(yīng)不影響修補(bǔ)加固對象原有的功能和性能。其中，在加固方案設(shè)計(jì)和加固實(shí)施過程中將遵循以下原則：178。 標(biāo)準(zhǔn)性原則：加固方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；178。 規(guī)范性原則：工作中的過程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制；178。 可控性原則：加固的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，加固服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證公司網(wǎng)絡(luò)系統(tǒng)對于加固工作的可控性；178。 整體性原則：加固的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患；178。 最小影響原則：加固工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不會對正在的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響；178。 保密原則：對加固的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不會泄露任何給任何單位和個人，不會利用此數(shù)據(jù)進(jìn)行任何侵害公司網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)的行為； 確定安全加固內(nèi)容根據(jù)安全評估的結(jié)果，結(jié)網(wǎng)絡(luò)自身的特點(diǎn)及管理人員的意見，最終確定相應(yīng)的安全加固內(nèi)容。首次安全加固及增強(qiáng)包括：178。 網(wǎng)絡(luò)環(huán)境優(yōu)化；178。 網(wǎng)絡(luò)設(shè)備優(yōu)化；178。 安全設(shè)備優(yōu)化；178。 網(wǎng)絡(luò)設(shè)備安全加固；178。 主機(jī)系統(tǒng)加固；178。 應(yīng)用系統(tǒng)加固。在本次安全增強(qiáng)工程實(shí)施中所涉及IP網(wǎng)及重要網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備，數(shù)量需要再安全評估之后作具體勘查。 安全加固工作流程圖整體的安全加固工作流程如下：圖2：安全加固流程 日常維護(hù)服務(wù)日常維護(hù)服務(wù)指通過定期的安全審計(jì)、對入侵檢測系統(tǒng)的日常監(jiān)控、網(wǎng)絡(luò)設(shè)備配置優(yōu)化、最新安全通告、補(bǔ)丁更新等內(nèi)容。通過更新的服務(wù)保持和加強(qiáng)系統(tǒng)的安全水平，將應(yīng)用系統(tǒng)的安全水平維持在一個穩(wěn)定的狀態(tài)。日常維護(hù)服務(wù)的主要內(nèi)容有：v 周期性安全審計(jì)服務(wù)根據(jù)公司網(wǎng)絡(luò)的自身特點(diǎn)，我們建議在初次安全服務(wù)內(nèi)容結(jié)束后，再進(jìn)行相應(yīng)的周期性安全技術(shù)評估。周期性的安全審計(jì)服務(wù)包括以下三個主要內(nèi)容：178。 每季一次的安全技術(shù)評估周期性的安全技術(shù)評估同樣參照首次安全評估的流程，但更著重于技術(shù)性評估，并在評估結(jié)束時(shí)提供相應(yīng)的評估報(bào)告。178。 每月一次的安全檢查周期性的安全檢查主要包括定期對主機(jī)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫系統(tǒng)進(jìn)行安全檢查，對系統(tǒng)的配置、日志等進(jìn)行分析，發(fā)現(xiàn)安全問題時(shí)及時(shí)與相關(guān)人員溝通并處理。安全檢查的內(nèi)容參考首次服務(wù)中的安全檢查內(nèi)容與方法。178。 每周一次的IDS檢查報(bào)告根據(jù)公司的要求，我們將對公司局域網(wǎng)中部署的入侵檢測設(shè)備進(jìn)行7*24小時(shí)的，在第一時(shí)間發(fā)現(xiàn)問題并予以解決。并每周提供相應(yīng)的IDS檢查報(bào)告。v 日常安全設(shè)備監(jiān)控在日常維護(hù)服務(wù)中，我們除了提供周期性的安全服務(wù)及相應(yīng)的報(bào)告外，我們還將通過遠(yuǎn)程服務(wù)工具對公司網(wǎng)絡(luò)進(jìn)行5*8小時(shí)的遠(yuǎn)程監(jiān)控維護(hù)，主要負(fù)責(zé)公司網(wǎng)絡(luò)安全設(shè)備的日常監(jiān)控，及時(shí)發(fā)現(xiàn)安全問題，保障相應(yīng)的安全設(shè)備運(yùn)行在正常狀態(tài)之下。 應(yīng)急響應(yīng)服務(wù)網(wǎng)絡(luò)安全的發(fā)展日新月異，誰也無法實(shí)現(xiàn)一勞永逸的安全服務(wù)，所以當(dāng)緊急安全問題發(fā)生，一般技術(shù)人員又無法迅速解決的時(shí)候，及時(shí)發(fā)現(xiàn)問題、解決問題就必須依靠應(yīng)急響應(yīng)來實(shí)現(xiàn)。當(dāng)客戶的主機(jī)或網(wǎng)絡(luò)正遭到攻擊或發(fā)現(xiàn)入侵成功的痕跡，而又無法當(dāng)時(shí)解決和追查來源時(shí)。我們將根據(jù)客戶的要求，以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。此項(xiàng)應(yīng)急響應(yīng)服務(wù)由我們的安全響應(yīng)技術(shù)服務(wù)小組負(fù)責(zé)?？梢耘c客戶自己的網(wǎng)絡(luò)安全中心以及反應(yīng)體系配合協(xié)作，共同完成對客戶網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)和處理。 應(yīng)急響應(yīng)內(nèi)容安全應(yīng)急響應(yīng)事件的定義是指用戶限時(shí)要求解決的安全事件和在非工作日時(shí)間要求響應(yīng)的安全事件。安全應(yīng)急響應(yīng)根據(jù)對事件進(jìn)行處理的地點(diǎn)不同又分為遠(yuǎn)程應(yīng)急響應(yīng)和本地應(yīng)急響應(yīng)。v 遠(yuǎn)程應(yīng)急響應(yīng)是指我公司相關(guān)工程師在接到客戶相關(guān)人員通過電話、Email、傳真方式的請求后，如果無法通過相同的方式為客戶解決問題，經(jīng)與客戶網(wǎng)絡(luò)相關(guān)人員確認(rèn)后，客戶方網(wǎng)絡(luò)相關(guān)人員提供主機(jī)或設(shè)備的臨時(shí)支持賬號，由我方工程師遠(yuǎn)程登錄主機(jī)進(jìn)行檢測和服務(wù)，問題解決后出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報(bào)告。如遠(yuǎn)程系統(tǒng)無法登陸，或無法通過遠(yuǎn)程訪問的方式替客戶解決問題，客戶確認(rèn)后，轉(zhuǎn)到本地緊急相應(yīng)流程，同時(shí)此次遠(yuǎn)程響應(yīng)無效，歸于本地應(yīng)急響應(yīng)類型。v 本地應(yīng)急響應(yīng)是指我公司委派相關(guān)工程在第一事件趕往客戶網(wǎng)絡(luò)事發(fā)地點(diǎn)，在現(xiàn)場為客戶查找事發(fā)原因并解決相應(yīng)問題，并出具詳細(xì)的應(yīng)急響應(yīng)服務(wù)報(bào)告。 安全應(yīng)急響應(yīng)服務(wù)指標(biāo)v 遠(yuǎn)程應(yīng)急響應(yīng)在確認(rèn)客戶的應(yīng)急響應(yīng)請求后30分鐘內(nèi)，交與相關(guān)工程師進(jìn)行處理。無論是否解決，進(jìn)行處理的當(dāng)天必須返回響應(yīng)情況的簡報(bào)，直到此次響應(yīng)服務(wù)結(jié)束。v 本地應(yīng)急響應(yīng)根據(jù)用戶的要求，我們提供的本地響應(yīng)時(shí)間為7*24*4（或根據(jù)客戶地理位置再確定） 。 安全培訓(xùn)服務(wù) 安全培訓(xùn)服務(wù)簡介從現(xiàn)在國際上黑客入侵案件的分析和系統(tǒng)安全專家保護(hù)網(wǎng)絡(luò)的案例來看，系統(tǒng)安全其實(shí)就是系統(tǒng)管理員和黑客頭腦和計(jì)算機(jī)知識的戰(zhàn)斗。因?yàn)槿藛T的安全觀念，系統(tǒng)管理員的實(shí)際安全知識直接影響到整個系統(tǒng)安全方案的實(shí)施。而一個安全的網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每個員工的安全操作等都有關(guān)系。我們根據(jù)網(wǎng)絡(luò)安全技術(shù)的發(fā)展動態(tài)，結(jié)合豐富的安全系統(tǒng)集成、軟件開發(fā)和技術(shù)培訓(xùn)經(jīng)驗(yàn)，通過不斷地改進(jìn)、完善技術(shù)培訓(xùn)體系，使之更貼近市場、貼近技術(shù)前沿，致力于為各行業(yè)等培訓(xùn)合格的網(wǎng)絡(luò)系統(tǒng)管理員。安全培訓(xùn)的許多課程是我公司獨(dú)創(chuàng)的（如黑客攻擊實(shí)驗(yàn)、安全狀況診斷），用來培訓(xùn)在工作中可能遇到此類問題的系統(tǒng)管理員。我們可以協(xié)助客戶網(wǎng)絡(luò)實(shí)施對全部技術(shù)人員的初級安全培訓(xùn)，提高全面的安全意識，為新網(wǎng)絡(luò)管理員和程序員提供中級安全培訓(xùn)，也可以根據(jù)客戶的特殊要求，提供高級安全培訓(xùn)。 安全培訓(xùn)內(nèi)容針對本期網(wǎng)絡(luò)培訓(xùn)需求的特點(diǎn)，我方將在項(xiàng)目實(shí)施后，為客戶提供集中安全培訓(xùn)，包括針對領(lǐng)導(dǎo)層、系統(tǒng)管理員及普通工作人員的三個不同層次的安全培訓(xùn)。178。 針對領(lǐng)導(dǎo)層的安全培訓(xùn)主要了解信息安全在企業(yè)管理中的重要意義，使領(lǐng)導(dǎo)關(guān)注和了解本單位信息系統(tǒng)的安全建設(shè)和安全管理的實(shí)施；178。 針對普通工作人員的培訓(xùn)，主要是學(xué)習(xí)普通用戶的安全管理規(guī)定、安全操作方法及計(jì)算機(jī)的安全保護(hù)手段、比如病毒和木馬等的防治。178。 針對系統(tǒng)管理員的培訓(xùn)是本次培訓(xùn)中比較重要的部分，主要包括安全產(chǎn)品培訓(xùn)、系統(tǒng)安全培訓(xùn)、網(wǎng)絡(luò)安全培訓(xùn)和安全管理培訓(xùn)使管理員通過培訓(xùn)從而對系統(tǒng)的安全運(yùn)維能力有大幅度的提升。安全培訓(xùn)的具體課程內(nèi)容與時(shí)間安排，將在培訓(xùn)前與用戶相關(guān)人員協(xié)商確定。33 /