【正文】 和 WEB 服務器版本和配置的不同，檢查 WEB 服務器是否存在安全漏洞；若存在，通過安全服務，提供對系統(tǒng)進行版本升級或調(diào)整配置的方法進行修補；Web 服務器參數(shù)配置根據(jù)全網(wǎng)安全策略和用戶訪問情況，調(diào)整 Web 服務器參數(shù)，以解決 Web 服務器性能，特別是抵御DDoS 進攻的能力；Web 服務器權限配置從操作系統(tǒng)角度配置 Web 服務器運行環(huán)境，從Web 服務器運行權限、用戶訪問角度作相關安全配置，杜絕由于 HTTPD 運行環(huán)境造成的安全漏洞；Web 服務器配置安全針對容易造成安全隱患的服務器配置，修改相關不當配置，諸如：WEB 文件權限設置問題、動態(tài)文件源代碼泄漏問題、用戶惡意調(diào)用 CGI、Java 程序；網(wǎng)絡信息加密配置 針對 WEB 服務器應用特點，提供對網(wǎng)絡信息的加密設置，如使用 SSL，避免信息的明文傳輸；WWW 應用代碼審計 針對易出現(xiàn)應用漏洞，利用黑盒法進行代碼審計，修補存在的安全隱患；同上。我公司在工程實施中提供 Web 系統(tǒng)安全配置服務，目的通過系統(tǒng)安全配置，提高主機系統(tǒng)的安全。同上。禁止轉(zhuǎn)發(fā)查詢 禁止轉(zhuǎn)發(fā)查詢。通過對服務器間通訊做驗證，防止未授權的DNS 服務器間通訊，泄露數(shù)據(jù)庫信息。限制域傳輸，域傳輸可使入侵者獲得較多的信息甚至內(nèi)網(wǎng)拓撲結(jié)構。在進行 DNS 安全配置的安全服務中，我公司將根據(jù)客戶的基本需求，結(jié)合業(yè)務情況及其安全問題，制定安全的 DNS 配置方案，并進行實施。同上。防火墻防 DoS 攻擊配置檢查防火墻是否支持防止 DoS 攻擊，如果支持，則根據(jù)制定好的增強配置方案配置防火墻的防 DoS 攻擊功能，并模擬黑客對防火墻進行 DoS 攻擊，檢查防 DoS 攻擊的響應時間及效果。防火墻日志分析配置檢查防火墻支持的日志功能，根據(jù)防火墻增強配置方案配置日志功能，配置日志服務器并對防火墻各種活動的日志情況進行相應的分析，得出日志分析報告。防火墻用戶管理配置 檢查防火墻支持的用戶管理方式，并根據(jù)制定的防火墻基本配置方案進行用戶管理配置防火墻認證配置檢查防火墻支持的認證方式，根據(jù)防火墻的認證方式及其實現(xiàn)制定的方案配置防火墻的用戶認證，并從全網(wǎng)測試防火墻的認證。防火墻系統(tǒng)管理配置檢查防火墻系統(tǒng)管理的協(xié)議及安全性，并通過相應的系統(tǒng)管理界面，根據(jù)制定的防火墻基本配置方案對防火墻進行管理。防火墻 NAT 方式配置 根據(jù)制定的防火墻基本配置方案，配置防火墻的NAT 方式、一對一 NAT 及其一對多 NAT。防火墻自身安全性檢查通過察看防火墻操作系統(tǒng)或通過硬件方式，以及察看公安部門及權威認證的證書或批文，了解防火墻自身安全性能。記錄防火墻的序列號，硬件模塊數(shù)量，軟件的版本和 License，檢查是否滿足基本配置方案要求。在進行防火墻安全配置的安全服務中，將根據(jù)客戶的基本需求，結(jié)合全網(wǎng)實際情況，制定切實可行、安全高效的防火墻安全配置方案，然后在實施過程中貫徹以下服務。更多安全高級配置 根據(jù)具體情況提供更多的高級安全配置同上。路由協(xié)議驗證配置配置臨近路由器驗證協(xié)議，以確?？煽啃月酚尚畔⒌慕粨Q，可以配置明文驗證或是 MD5 驗證，來加密。Unicast RPF 配置通過配置 Unicast RPF，保護 ISP 的客戶來增強 ISP自身的安全性。路由命令審計配置 配置 AAA 命令記賬來增強系統(tǒng)訪問安全性。18 / 38用戶驗證配置 配置用戶驗證方式以增強系統(tǒng)訪問的安全性。訪問控制配置 通過配置 VTY 端口的 Access List 來增加系統(tǒng)訪問的安全性。Ident 配置 通過 ident 配置來增加路由器安全性。`Enable secret 配置 使用 enable secret 來加密 secret 口令。例如：no service fingerno service pad 等Interface 服務配置根據(jù)制定好的基本配置方案對路由器進行配置檢查，刪去某些不必要 ip 特性，諸如：no ip redirectsno ip drectedbroadcastCDP 配置 根據(jù) ISP 網(wǎng)絡的特點，以及制定好的方案，配置路由器的 CDP。在進行路由器安全配置的安全服務中，我公司將根據(jù)客戶的基本需求，結(jié)合全網(wǎng)路由情況及其安全問題，制定安全的路由器配置方案，并在實施過程中貫徹以下服務。? 緊急和嚴重事件的上報時限是按照每周七天、每天二十四小時計算，一般事件上報時限是按照標準工作時間計算。? 一般事件? 由于安全原因系統(tǒng)出現(xiàn)故障，但不影響服務提供和用戶正常使用。? 嚴重事件? 重要應用如計費系統(tǒng)等由于安全事件出現(xiàn)問題，以致不能正常提供服務。? 本地區(qū)出口路由由于網(wǎng)絡安全原因非正常中斷，嚴重影響用戶使用。? 安全事件等級和問題自動升級：根據(jù)安全事件的性質(zhì)和嚴重程度劃分了事故等級，分別指定問題確診時限，和提供解決方案的時限。16 / 38? 高效解決：工程師會高效投入確定事件、分析事件和解決事件的工作，并在24 小時內(nèi)通知用戶安全事件診斷結(jié)果，并提供解決方案。5．緊急響應服務結(jié)果報告針對在緊急安全響應服務的所遇到的安全問題、安全事故處理過程、處理結(jié)果，48 小時內(nèi)匯總形成緊急響應服務結(jié)果報告，提交給用戶。2．現(xiàn)場支持響應在接到用戶緊急安全響應請求后的 30 分鐘內(nèi)，在遠程不能確定安全故障類型或故障情況嚴重不能通過遠程解決的嚴重故障情況下，我公司承諾安排至少兩人以上的工程技術人員到達現(xiàn)場解決問題，到達現(xiàn)場時間為一小時（以交通工具到達時間為限） 。? 我公司將在接到用戶緊急安全響應請求后的 30 分鐘內(nèi)，通過電話、專用Email 或遠程監(jiān)測等多種方式，確定故障類型，定義故障等級。如果用戶選擇了我公司的緊急響應服務，那么在服務期間，一旦客戶系統(tǒng)發(fā)生緊急事件，我們就將派出專業(yè)安全工程師，到現(xiàn)場快速響應安全事件，解決安全問題，并根據(jù)出現(xiàn)的問題及時調(diào)整安全策略，幫助用戶在以后的維護中正確解決問題。? 幫助客戶制定完善的日常安全審計制度，并輔以相應的現(xiàn)場培訓，有助于進一步提高客戶自身的安全水平。? 完善的文檔流程，工作的每一步驟都會提交相應的文檔并由客戶簽字確認，以確保每一項工作對客戶透明。? 技術全面，使用多種審計工具和手工檢查相結(jié)合，能夠全面的檢查出系統(tǒng)的安全隱患，比只使用掃描器檢查更加全面。服務內(nèi)容：6 / 381）從管理層次出發(fā)，制定切實可行的日常安全審計制度，其中包括：? 建立客戶方與我公司日常安全審計的例行制度；? 明確定義日常安全審計服務實施的日程安排與計劃；? 明確定義我公司日常安全審計服務中涉及到的報告的形式及內(nèi)容；? 明確定義日常安全審計服務所要達到的目標；2）從技術層次出發(fā)，建立標準的安全審計流程，明確定義安全審計所涉及的過程及技術要求，其中包括：? 建立詳細完備的用戶確認制度和簽字驗收制度；? 明確定義安全審計中掃描代價分析的方法與原則；? 明確定義安全審計中掃描工具選擇的原則；? 明確定義安全審計中制定掃描方案的原則；? 明確定義安全審計中安全掃描的實施原則；? 明確定義安全審計中實際掃描的實施技術要求；? 明確定義安全審計中制定安全增強建議方案的原則；? 明確定義安全審計中安全修補方案制定的原則；? 明確定義安全審計中涉及到的安全修補的實施原則；? 明確定義安全審計中涉及到的安全修補的實施技術要求；3）從用戶需求、網(wǎng)絡現(xiàn)狀及以往安全審計結(jié)果出發(fā)，確定安全審計服務范圍，其中包括：? 確定需要進行審計的網(wǎng)段、并對該網(wǎng)段系統(tǒng)運行情況分析，得出審計準備概要報告；? 在需要審計的網(wǎng)段內(nèi)，確定需要進行安全審計的網(wǎng)絡設備，并列出這些網(wǎng)絡設備中需要審計的服務清單；? 對確定需要審計的網(wǎng)絡設備進行掃描風險性評估；? 在需要審計的網(wǎng)段內(nèi)，確定需要進行安全審計的主機系統(tǒng)，并列出這些7 / 38主機系統(tǒng)中需要審計的服務清單；? 對確定需要審計的主機系統(tǒng)進行掃描風險性評估；? 在需要審計的網(wǎng)段內(nèi)，確定需要進行安全審計的應用系統(tǒng)，并列出這些應用系統(tǒng)中需要審計的服務清單；? 對確定需要審計的應用系統(tǒng)進行掃描風險性評估；? 確定最終的安全掃描方案，包括需要檢查的項目，掃描的時間安排、從整體上進行的掃描風險評估及風險對策；? 向用戶提交掃描方案，按照安全審計制度獲得用戶確認；4）根據(jù)掃描風險評估報告，選用安全掃描工具進行實際掃描? 分析比較各種安全掃描工具，得到各種安全掃描產(chǎn)品的優(yōu)缺點比較表；? 根據(jù)最終的安全掃描方案，以及掃描風險評估，選定一個或多個合適的掃描工具；? 根據(jù)掃描方案中的檢查項目，利用選定的掃描工具，按照掃描的具體時間安排，進行實際掃描的工作；? 對于實際掃描過程中出現(xiàn)的突發(fā)事件，采用掃描方案中的風險對策或臨時制定的解決措施，及時、正確的給予解決，盡力確保不影響整個系統(tǒng)正常的運營維護；? 根據(jù)掃描工具得出的掃描結(jié)果，從網(wǎng)絡系統(tǒng)、主機系統(tǒng)、應用系統(tǒng)以及數(shù)據(jù)系統(tǒng)得出綜合的掃描結(jié)果報告5）根據(jù)掃描結(jié)果報告提出系統(tǒng)安全的建議方案并設計安全解決方案? 根據(jù)綜合的掃描結(jié)果報告，總結(jié)近期發(fā)生的安全事件，從管理層次角度上制定報告；? 根據(jù)綜合的掃描結(jié)果報告，結(jié)合被審計系統(tǒng)的日志及其它信息，從技術層次上得出全網(wǎng)安全水平綜合報告（包括：安全管理上的優(yōu)點/缺點、各系統(tǒng)對攻擊情況的防護能力、系統(tǒng)中存在的安全漏洞及其安全隱患以及安全事件列表等） ；8 / 38? 根據(jù)全網(wǎng)安全水平綜合報告，在客戶配合之下，對系統(tǒng)中存在的問題提出安全建議報告，并制定相應的動態(tài)安全解決方案；? 將安全事件報告、安全水平綜合報告、安全建議報告及安全解決方案提交給用戶，并確認；6）根據(jù)安全掃描報告、增強系統(tǒng)安全的建議方案和上述制定的安全解決方案對系統(tǒng)進行安全修補，其中包括：? 安裝系統(tǒng)補丁；? 停止不需要的服務；? 替換有問題的軟件為同樣功能、但更安全的軟件；? 修改有安全問題的軟件配置；? 修補結(jié)束，得出安全修補實施報告，提交給用戶并確認；7）依照日常安全審計制度，定期的對系統(tǒng)進行上述的安全審計服務流程：9 / 38掃 描 代 價 分 析 掃 描 工 具 考 慮確 定 檢 查 項 目用 戶 確 認 ?制 定 掃 描 方 案實 際 掃 描主 機 系統(tǒng) 掃 描 網(wǎng) 絡 系統(tǒng) 掃 描 應 用 系統(tǒng) 掃 描 數(shù) 據(jù) 系統(tǒng) 掃 描掃 描 結(jié) 果 報 告主 機 系 統(tǒng)審 計 報 告 網(wǎng) 絡 系 統(tǒng)審 計 報 告 應 用 系 統(tǒng)審 計 報