【正文】 33 / 33。 針對系統(tǒng)管理員的培訓(xùn)是本次培訓(xùn)中比較重要的部分，主要包括安全產(chǎn)品培訓(xùn)、系統(tǒng)安全培訓(xùn)、網(wǎng)絡(luò)安全培訓(xùn)和安全管理培訓(xùn)使管理員通過培訓(xùn)從而對系統(tǒng)的安全運(yùn)維能力有大幅度的提升。 針對普通工作人員的培訓(xùn)，主要是學(xué)習(xí)普通用戶的安全管理規(guī)定、安全操作方法及計(jì)算機(jī)的安全保護(hù)手段、比如病毒和木馬等的防治。178。我們可以協(xié)助客戶網(wǎng)絡(luò)實(shí)施對全部技術(shù)人員的初級安全培訓(xùn)，提高全面的安全意識(shí)，為新網(wǎng)絡(luò)管理員和程序員提供中級安全培訓(xùn)，也可以根據(jù)客戶的特殊要求，提供高級安全培訓(xùn)。我們根據(jù)網(wǎng)絡(luò)安全技術(shù)的發(fā)展動(dòng)態(tài)，結(jié)合豐富的安全系統(tǒng)集成、軟件開發(fā)和技術(shù)培訓(xùn)經(jīng)驗(yàn)，通過不斷地改進(jìn)、完善技術(shù)培訓(xùn)體系，使之更貼近市場、貼近技術(shù)前沿，致力于為各行業(yè)等培訓(xùn)合格的網(wǎng)絡(luò)系統(tǒng)管理員。因?yàn)槿藛T的安全觀念，系統(tǒng)管理員的實(shí)際安全知識(shí)直接影響到整個(gè)系統(tǒng)安全方案的實(shí)施。v 本地應(yīng)急響應(yīng)根據(jù)用戶的要求，我們提供的本地響應(yīng)時(shí)間為7*24*4（或根據(jù)客戶地理位置再確定） 。 安全應(yīng)急響應(yīng)服務(wù)指標(biāo)v 遠(yuǎn)程應(yīng)急響應(yīng)在確認(rèn)客戶的應(yīng)急響應(yīng)請求后30分鐘內(nèi)，交與相關(guān)工程師進(jìn)行處理。如遠(yuǎn)程系統(tǒng)無法登陸，或無法通過遠(yuǎn)程訪問的方式替客戶解決問題，客戶確認(rèn)后，轉(zhuǎn)到本地緊急相應(yīng)流程，同時(shí)此次遠(yuǎn)程響應(yīng)無效，歸于本地應(yīng)急響應(yīng)類型。安全應(yīng)急響應(yīng)根據(jù)對事件進(jìn)行處理的地點(diǎn)不同又分為遠(yuǎn)程應(yīng)急響應(yīng)和本地應(yīng)急響應(yīng)?？梢耘c客戶自己的網(wǎng)絡(luò)安全中心以及反應(yīng)體系配合協(xié)作，共同完成對客戶網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)和處理。我們將根據(jù)客戶的要求，以最快的速度趕到現(xiàn)場，協(xié)助客戶解決問題，查找后門，保存證據(jù)和追查來源。 應(yīng)急響應(yīng)服務(wù)網(wǎng)絡(luò)安全的發(fā)展日新月異，誰也無法實(shí)現(xiàn)一勞永逸的安全服務(wù)，所以當(dāng)緊急安全問題發(fā)生，一般技術(shù)人員又無法迅速解決的時(shí)候，及時(shí)發(fā)現(xiàn)問題、解決問題就必須依靠應(yīng)急響應(yīng)來實(shí)現(xiàn)。并每周提供相應(yīng)的IDS檢查報(bào)告。178。 每月一次的安全檢查周期性的安全檢查主要包括定期對主機(jī)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫系統(tǒng)進(jìn)行安全檢查，對系統(tǒng)的配置、日志等進(jìn)行分析，發(fā)現(xiàn)安全問題時(shí)及時(shí)與相關(guān)人員溝通并處理。 每季一次的安全技術(shù)評估周期性的安全技術(shù)評估同樣參照首次安全評估的流程，但更著重于技術(shù)性評估，并在評估結(jié)束時(shí)提供相應(yīng)的評估報(bào)告。日常維護(hù)服務(wù)的主要內(nèi)容有：v 周期性安全審計(jì)服務(wù)根據(jù)公司網(wǎng)絡(luò)的自身特點(diǎn)，我們建議在初次安全服務(wù)內(nèi)容結(jié)束后，再進(jìn)行相應(yīng)的周期性安全技術(shù)評估。 安全加固工作流程圖整體的安全加固工作流程如下：圖2：安全加固流程 日常維護(hù)服務(wù)日常維護(hù)服務(wù)指通過定期的安全審計(jì)、對入侵檢測系統(tǒng)的日常監(jiān)控、網(wǎng)絡(luò)設(shè)備配置優(yōu)化、最新安全通告、補(bǔ)丁更新等內(nèi)容。 應(yīng)用系統(tǒng)加固。 網(wǎng)絡(luò)設(shè)備安全加固；178。 網(wǎng)絡(luò)設(shè)備優(yōu)化；178。首次安全加固及增強(qiáng)包括：178。 最小影響原則：加固工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不會(huì)對正在的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響；178。 可控性原則：加固的方法和過程要在雙方認(rèn)可的范圍之內(nèi)，加固服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證公司網(wǎng)絡(luò)系統(tǒng)對于加固工作的可控性；178。 標(biāo)準(zhǔn)性原則：加固方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國內(nèi)或國際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；178。另外，在修補(bǔ)和加固完成后應(yīng)不影響修補(bǔ)加固對象原有的功能和性能。 安全加固原則我們根據(jù)安全評估結(jié)果，結(jié)合各種操作系統(tǒng)的安全特性，對加固對象進(jìn)行修補(bǔ)加固。其中在評估過程中涉及到的一些技術(shù)細(xì)節(jié)問題，我們將嚴(yán)格遵循和執(zhí)行相關(guān)國家的法律法規(guī)政策。另外，在風(fēng)險(xiǎn)等關(guān)鍵因素的評估方面，我們還參考了SSECMM、ISO15408和ISO13335標(biāo)準(zhǔn)。 風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn)整個(gè)安全風(fēng)險(xiǎn)評估項(xiàng)目，將主要依據(jù)相關(guān)信息安全標(biāo)準(zhǔn)提供指導(dǎo)，并遵循了相關(guān)國家的法律法規(guī)政策。 第五階段是風(fēng)險(xiǎn)的分析階段，即通過分析上面所評估的數(shù)據(jù)，進(jìn)行風(fēng)險(xiǎn)值計(jì)算、區(qū)分和確認(rèn)高風(fēng)險(xiǎn)因素；178。 第三階段是安全威脅評估階段，首先通過問卷調(diào)查和IDS取樣等方式識(shí)別出資產(chǎn)所面臨的每種威脅，并評估它們發(fā)生的可能性；178。 第一階段確定評估范圍階段，調(diào)查并了解公司網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)的流程和運(yùn)行環(huán)境，確定評估范圍的邊界以及范圍內(nèi)的所有網(wǎng)絡(luò)系統(tǒng)應(yīng)用；178。安全風(fēng)險(xiǎn)評估就是通過綜合分析評估后的資產(chǎn)信息、威脅信息和脆弱性信息，最終生成風(fēng)險(xiǎn)信息。這樣，威脅評估就僅僅成了對資產(chǎn)所受威脅發(fā)生可能性的評估。在風(fēng)險(xiǎn)評估階段，資產(chǎn)的價(jià)值、資產(chǎn)破壞后造成的影響、威脅的嚴(yán)重程度、威脅發(fā)生的可能性、資產(chǎn)的脆弱程度都成為風(fēng)險(xiǎn)評估的關(guān)鍵因素。一旦安全事件發(fā)生，就會(huì)造成各種不同的影響。 其他國家法律、法規(guī)等 安全評估服務(wù) 安全評估模型安全風(fēng)險(xiǎn)模型的建立來自于BS 7799的思想，它是整個(gè)風(fēng)險(xiǎn)評估方案的主導(dǎo)。 GB/T183362001《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準(zhǔn)則》178。 ISO 74982《信息處理系統(tǒng)開放系統(tǒng)互連基本參考模型安全體系結(jié)構(gòu)》178。 ISO/IEC 177992000《信息安全管理實(shí)用規(guī)則》178。 制定公司網(wǎng)絡(luò)安全管理策略體系，提供一系列的主策略及子策略管理文檔；178。v 咨詢服務(wù)內(nèi)容178。由此可見，公司急需在專業(yè)安全服務(wù)廠商的幫助下，建立起適合自身企業(yè)特點(diǎn)和管理運(yùn)作方式的網(wǎng)絡(luò)安全管理職能部門，來負(fù)責(zé)協(xié)調(diào)、管理整個(gè)公司業(yè)務(wù)網(wǎng)絡(luò)的安全問題。 安全咨詢服務(wù)公司目前缺乏一個(gè)企業(yè)總體范圍的、負(fù)責(zé)制定和實(shí)施的安全管理機(jī)制部門，難以保證安全制度建立和實(shí)施及決策層安全決策的有效性和一致性。 應(yīng)急響應(yīng)服務(wù)；178。 安全加固服務(wù)；178。 安全咨詢服務(wù)；178。在完善自身安全建設(shè)的同時(shí)，協(xié)助企業(yè)提高安全管理的能力。所以在這里，我們引入了安全體系建設(shè)中的重要一環(huán)，即安全服務(wù)的建設(shè)。這一點(diǎn)我們在上節(jié)的安全管理解決方案里已經(jīng)進(jìn)行了描述。因此，企業(yè)是建設(shè)自身的SOC平臺(tái)時(shí)，對市場解決方案及自身的管理水平要有充分的認(rèn)識(shí)，選擇合理合適的安全管理解決方案，這樣才能進(jìn)一步提高企業(yè)的信息化管理能力。實(shí)現(xiàn)可管理的服務(wù)。 SOC的實(shí)現(xiàn)綜合以上有關(guān)SOC的理論、體系及功能實(shí)現(xiàn)，可以了解到SOC是安全管理平臺(tái)的更高級發(fā)展，建設(shè)SOC的目的是提升企業(yè)安全管理的能力，也是進(jìn)一步提高企業(yè)信息化水平及能力。 應(yīng)急響應(yīng)管理完善了從防護(hù)到檢測再到響應(yīng)的一個(gè)安全事件處理過程的閉環(huán)。事件監(jiān)控中心監(jiān)測到安全事件后有專人生成新的工單，一方面有專人會(huì)通過系統(tǒng)報(bào)警的方式收到通知并在規(guī)定的時(shí)間內(nèi)對工單進(jìn)行接收，并進(jìn)入對安全事件的處理階段，另一方面工單跟蹤模塊會(huì)對工單被派發(fā)后的整個(gè)過程進(jìn)行跟蹤，進(jìn)行工單收回、重新派發(fā)等工作。 v 應(yīng)急響應(yīng)管理 SOC安全管理運(yùn)營解決方案的應(yīng)急響應(yīng)管理是通過工作流系統(tǒng)實(shí)現(xiàn)的。 統(tǒng)計(jì)信息，即給出漏洞的分布、數(shù)量等統(tǒng)計(jì)信息。 弱點(diǎn)評估管理具有統(tǒng)一的可視界面，顯示各個(gè)系統(tǒng)的安全漏洞分布情況，包括以下內(nèi)容：178。 其他：Windows Event Log UNIX Syslog Tripwire SNMP SNMP Traps. 178。 漏洞掃描系統(tǒng)：啟明星辰天鏡Scanner eEye Retina nCircle IP360 Nessus ISS Scanner Foundstone Foundscan. 178。 入侵監(jiān)測系統(tǒng)：啟明星辰天闐IDS Enterasys Dragon, ISS RealSecure, Cisco Secure IDS, Snort, Symantec Manhunt, nCircle IP360. 178。能夠支持產(chǎn)品： 178。 v 豐富直觀的報(bào)表 SOC安全管理運(yùn)營解決方案提供了豐富的報(bào)表模板供用戶選擇，除了文字總結(jié)還可以用清晰直觀的圖形化方式將報(bào)表呈現(xiàn)給用戶。 SOC的功能特點(diǎn) v 實(shí)時(shí)事件關(guān)聯(lián)分析 事件監(jiān)控中心對來自不同安全系統(tǒng)的報(bào)警信息進(jìn)行實(shí)時(shí)的關(guān)聯(lián)分析，關(guān)聯(lián)分析的整個(gè)過程都是在內(nèi)存中進(jìn)行的，并根據(jù)威脅程度的大小對安全事件進(jìn)行排序，對不同威脅程度的安全事件通過不同顏色來著重顯示。人力資源管理保證在需要的時(shí)候，可以找到合適的人。足夠的安全知識(shí)和信息是各個(gè)角色正確工作的基礎(chǔ)。通過為全網(wǎng)安全管理人員提供統(tǒng)一的安全策略，指導(dǎo)各級安全管理機(jī)構(gòu)因地制宜的做好安全策略的部署工作，有利于在全網(wǎng)形成安全防范的合力，提高全網(wǎng)的整體安全防御能力，同時(shí)通過安全管理運(yùn)營解決方案策略和配置管理平臺(tái)的建設(shè)可以進(jìn)一步完善整個(gè)IP網(wǎng)絡(luò)的安全策略體系建設(shè)，為指導(dǎo)各項(xiàng)安全工作的開展提供行動(dòng)指南，有效解決目前因缺乏口令、認(rèn)證、訪問控制等方面策略而帶來到安全風(fēng)險(xiǎn)問題。應(yīng)急響應(yīng)中心接收由風(fēng)險(xiǎn)管理中心根據(jù)安全威脅事件生成的事件通知單，并對事件通知單的處理過程進(jìn)行管理，將所有事件響應(yīng)過程信息存入后臺(tái)數(shù)據(jù)庫，并可生成事件處理和分析報(bào)告。應(yīng)急響應(yīng)中心作為安全管理運(yùn)營解決方案的重要組成部分之一為應(yīng)急響應(yīng)服務(wù)實(shí)現(xiàn)工具化、程序化、規(guī)范化提供了管理平臺(tái)。本中心是從檢測到響應(yīng)的中樞環(huán)節(jié)，匯總和分析也是在這里實(shí)現(xiàn)的。 弱點(diǎn)評估中心 通過弱點(diǎn)評估中心可以掌握全網(wǎng)各個(gè)系統(tǒng)中存在的安全漏洞情況，結(jié)合當(dāng)前安全的安全動(dòng)態(tài)和預(yù)警信息，有助于各級安全管理機(jī)構(gòu)及時(shí)調(diào)整安全策略，開展有針對性的安全工作，并且可以借助弱點(diǎn)評估中心的技術(shù)手段和安全考核機(jī)制可以有效督促各級安全管理機(jī)構(gòu)將安全工作落實(shí)。“四個(gè)中心”是弱點(diǎn)評估中心、事件監(jiān)控中心、風(fēng)險(xiǎn)管理中心和應(yīng)急響應(yīng)中心；“三個(gè)平臺(tái)”是策略和配置平臺(tái)、知識(shí)管理平臺(tái)和資源管理平臺(tái)。在此我們結(jié)合啟明星辰SOC理論來進(jìn)行安全管理運(yùn)營解決方案論述。SOC充分利用所掌握的空間、時(shí)間、知識(shí)、能力等資源優(yōu)勢，形成全局性的資源協(xié)調(diào)體系，為系統(tǒng)的全局可控性提供有力的保障。我們通常用水桶效應(yīng)來描述分布式系統(tǒng)的安全性問題，認(rèn)為整個(gè)系統(tǒng)的安全性取決于水桶中最薄弱的一塊木條。 v 全局可控性 可控性是信息安全7個(gè)屬性中最重要的一個(gè)，可控性最重要的體現(xiàn)是全局監(jiān)控、預(yù)警能力和應(yīng)急響應(yīng)處理能力。信息安全的目標(biāo)是要確保全局的掌控，確保整個(gè)體系的完整性，而不僅限于局部系統(tǒng)的完整性；對于安全問題、事件的檢測要能夠匯總和綜合到中央監(jiān)控體系，確保可追究性是整個(gè)體系的可追究性。為了從大量的、孤立的單條事件中準(zhǔn)確的發(fā)現(xiàn)全局性的、整體的安全威脅行為，需要SOC這樣一個(gè)平臺(tái)使得整個(gè)安全體系的檢測能力更加準(zhǔn)確，更加集中于影響重大的焦點(diǎn)問題。這種對于大規(guī)模系統(tǒng)的安全管理也正是SOC的需求根源，就是說只有大系統(tǒng)、擁有復(fù)雜應(yīng)用的系統(tǒng)才有SOC的需求。SOC的需求主要是從以下幾個(gè)方面得到體現(xiàn)： v 大系統(tǒng)的管理 通常安全系統(tǒng)是分別獨(dú)立逐步的建立起來的，比如防病毒系統(tǒng)、防火墻系統(tǒng)、入侵檢測系統(tǒng)等，各個(gè)系統(tǒng)都有單獨(dú)的管理員或者管理控制臺(tái)。它將不同位置、不同安全系統(tǒng)中分散且海量的單一安全事件進(jìn)行匯總、過濾、收集和關(guān)聯(lián)分析，得出全局角度的安全風(fēng)險(xiǎn)事件，并形成統(tǒng)一的安全決策對安全事件進(jìn)行響應(yīng)和處理。 SOC基礎(chǔ)傳統(tǒng)的安全管理方式是將分散在各地、不同種類的安全防護(hù)系統(tǒng)分別管理，這樣導(dǎo)致安全信息分散互不相通，安全策略難以保持一致，這種傳統(tǒng)的管理運(yùn)行方式因此成為許許多多安全隱患形成的根源。部分涉足比較早的企業(yè)和服務(wù)商已經(jīng)有了比較成功的實(shí)施案例。 安全運(yùn)營中心（SOC）信息安全管理的發(fā)展，隨著安全需求的提升也不斷的發(fā)展。在行政層面部分內(nèi)容，如信息系統(tǒng)安全策略設(shè)計(jì)、詳細(xì)的安全策略制訂等可以通過