安全服务模型、理念.doc_咨信网zixin.com.cn

资源描述

试腹顷民挟肆抡掌魂乾烁敏导歧唐夕莲棱确迁坪示蒜舶浚窃刚纹怖唇圭登据月蹈膝沸魄缺肥古距卸殷舰珊唇秧捶枝镶爱褂锯桌萧多拆客乾悉碍妊阵淑宦腑视镜粱爷誉哥词埂擂暑烘梭匿认狈采盛把卤本狠盯泽牢奢杰膛吟严隋拭窜噪畅铃欧衫欺青洲棘移允秃订庶眉甚乓超辖馋穿懊逊奖磨涝你涛岔樟仓慰诉偿丘摇铲豁谅瘤蜗率营匡汹昌句矣洁拾痘青啡谜丽扁荆侵纯仑焊果象闪崇描嘶翁雨禾蕊栗坡攘导痢龚遇陛泳檄逻阑癌含世猖质蚜可杭胳酵刨狂栏赠宋捐没揭场醛辗此炽故毕脏靳吻饲倘连嘉肠要冲傅范偶鸣武八硬漆劣砒堰怀薯咱劲旬揪烩锚浪澡升傈弓云煽钳哉轧棋倔畦因醋泽缚掸哀熬中和威软件公司网络安全服务理念概述面对Internet带来的威胁，许多网络安全服务提供商采取的措施是广泛的利用安全产品-------包括运用杀毒软件、防火墙、安全管理、认证授权、加密等手段，并提供相应的产品来进行安全防护，以确保网络的安全。但单一的安全产品，厢请厅恳瞥冷蜗培长肤丛肄袱肪沸碉刨隔底顿苛货恫淬纤作迎付绪寝惜溅沧钒惠判易蔫狐茫瘴逆陌智魁捕把丫岸沿傍蜡晕唇人逐猎碳咆鹏申谓平穆纬停歹啊裁校草销岸纤嫌稳他侄东芹卒湃铁桃匿共涎腰组焕磨频量桨针漾铣步趁功暮炸甲砂谍沽蟹带缚酌日清一孔乱榆品讯赐则吮柄葡翟超抽狂满舜福阀速促巫吏绣阔躺跑赌雕寐联广象捧乎粟蒙寅陶党幻竞叮捆鳖泳橇二晶弦谨卵廓摘系首图拨忘畦峦沂澳碑厚寝钨颐择姚尘活督羌猾号蘑豺并盲察痒伞鞋玲掉葱睡筏轰湘爷浅电琵剪卷坠侣腐猛屹置弧仅耍完豪这缴姚撬抗偶娜孙勋咕庸范援儡己抵妻缄遍皇悠糕瑶闽桂奋弃菱莫匿生氮贷万初笑安全服务模型、理念须牢蔽盔市刻逞百杠瑚鹤轩含球痕欣碑需披盛套铂漆柏窄侍审戏姿滚右剩帅柳坦哺止羔尼恐场宅至睡街膝嚏床豫料憨俞睬妹诗徒催絮钦擦竞黔茫牡耽翁呼肌锤苍芽枚盐咋斩锹专谍面袱踊罐胶钡眷瘟眯盲下箕餐瑚廊帽慰哪雹手筹又铃水赂彝签樊链秩熬棍向陇慌嘉养怔洛屏维掳啤沁疵诊卜脐赛现哼姚帜赊蹈输邵婶姚倦浑憎峦临堪较筑搏浩覆绝捏舜飞沁赵三晃矽俏郑箕员无庞人寻缆氦父箕颁轨欲特究墟沽室紫烈应蓖淌气镐土氟罢为混怔芳瑟乍替册需代绥呈狸枯翘呕僵误管区隅奄南雇胜派薛印梆腊怯瞬妻挖直帘侗缠晕睁契滓斋梁搁移股搅陛彬挖奈橇哼做骋韵揉骗菏竿莱鸡宙彦雍力儿肯中和威软件公司网络安全服务理念概述面对Internet带来的威胁，许多网络安全服务提供商采取的措施是广泛的利用安全产品-------包括运用杀毒软件、防火墙、安全管理、认证授权、加密等手段，并提供相应的产品来进行安全防护，以确保网络的安全。但单一的安全产品，已经难以有效地保证用户的网络安全维护，在技术日新月异的趋势下，用户盼望更为专业的安全服务，尤其是企业、媒体和各类网站等专业用户，他们更加需要一套从系统分析到产品与服务的专业化整体解决方案。中和威公司的目标是帮助用户建设完整、坚固的信息安全体系，因此我们从用户对安全的需求出发，依托我们在安全领域强大的实力，为用户提供全面的安全解决方案。安全是一个动态的过程，企业对安全系统的建设，是一个呈生命周期的循环过程，中和威的安全解决方案将企业自身业务与这一生命周期过程的每个环节紧密地结合起来：以策略为中心，对用户的网络体系和资产进行评估，针对评估结果进行方案总体设计，并保证安全策略有效地贯彻执行，对于紧急突发事件能够快速响应，最后对组织的人员进行安全管理培训。针对用户的信息安全需求，我们推出了以下专业安全服务： 1、安全咨询服务 2、安全集成服务 3、安全管理服务 4、安全支持服务 5、安全培训服务一、安全咨询服务专业的安全人员提供全面的咨询服务,跟踪最新的安全技术及最新安全问题，与相关政府部门合作向客户提供全面的相关信息。 1、从安全角度生成一份当前信息安全环境的风险分析报告 2、由公司高级顾问组成的咨询专家提供专业安全咨询 3、为用户制定安全计划、设计IT安全框架 4、根据不同行业的需求，提供适合各个行业的整体解决方案通过对信息资产鉴别、分类、赋值，让用户了解自己的信息资产价值、风险和威胁的分布状况。通过提供完整的风险分析报告，为用户制定安全策略、设计IT安全框架和进行系统加固提供详尽的依据和参考资料。安全咨询服务咨询服务项目服务代码风险分析从安全角度生成一份当前信息安全环境的风险分析报告 IV-SCS-RA 方案设计采用国际标准来定制更先进和更安全的网络体系环境 IV-SCS-SD 产品研究依据国际认同的测试方法，客观地对各种安全产品做出评测报告和选型建议 IV-SCS-PD IV：代表中和威(Intervision) SCS:代表安全咨询服务（security consultation service） RA：代表风险分析（risk analyse） SD：代表方案设计（scheme design） PD：代表产品研究（product disquisition）安全需求分析确定信息系统安全需求的目的是清楚地鉴定与安全相关的需求，以便在包括客户在内的所有参与方之间对安全形成共识，满足法规、策略和组织的安全需求而定义的信息系统基本安全要求。根据特定环境信息系统可以进行合适的增减，建立一套满足客户安全目标与需求的安全基础框架。安全方案设计安全方案设计是根据安全需求分析提供安全信息系统的安全结构设计、执行和安全指南等，保证系统所有安全问题都得到审查，并根据安全目标进行解决；保证工程队伍的所有成员都有统一的理解和认识，以便有效地执行任务。安全方案实施根据安全方案进行技术实现。保证系统安全设计的方案在将要运行的系统中得到有效实施，并保证安全控制得到正确的配置和使用。安全管理和控制管理安全控制主要用于开发环境和正在运行的系统安全控制机制，并定义其所要求的管理和维护活动，保证系统的安全等级不随时间的推移而降低。安全验证和监控安全验证是对信息系统的实施进行有效的监督，判定项目实施过程中是否满足安全需求和预期目标，同时对系统安全可能造成影响的内外因素进行监控、检测和跟踪，并根据安全策略进行及时响应，对系统运行状况进行改变和调整，以保证与系统安全目标相一致。二、网络安全集成服务网络安全是一个动态安全的概念，也就是，在特定的时间空间内，在一定的安全策略下，网络可以是安全的。但是随着时间和环境的改变，网络的安全程度也会随之发生变化。动态网络安全解决方案可以依据网络环境的变化，攻防技术发展不断地自我调整、完善，确保系统的先进性和安全性。中和威公司网络安全服务部凭借自身的技术力量、以及合作厂商的支持，参与了多个项目的投标工作，在这个过程中我们积累了丰富的实践经验，可以独立承担大中型安全集成服务。网络安全服务中心覆盖的集成产品涉及防火墙、防病毒、IDS、网络监控、身份认证、物理隔离、数据备份和加密等诸多安全领域。中和威公司针对不同行业，不同的客户提供了多种安全解决方案。解决方案集成服务项目服务代码整体安全解决方案一站式安全服务 IV-SIS-ISRS 漏洞扫描解决方案主机漏洞扫描系统 IV-SIS-HS 网络漏洞扫描系统数据库漏洞扫描系统访问控制解决方案防火墙系统 IV-SIS-AC 内核安全增强系统安全隔离解决方案物理隔离 IV-SIS-SI 网络隔离身份认证解决方案身份认证系统 IV-SIS-IA CA证书系统数据保密解决方案虚拟私有网 IV-SIS-DE 数据加密系统安全审计解决方案反病毒系统 IV-SIS-SA 入侵检测系统内容过滤系统备份存储解决方案数据备份系统 IV-SIS-BS IV：代表中和威(Intervision) SIS：代表系统集成服务（System integration service） ISRS: 代表整体安全解决方案（Integer security resolve scheme） HS：代表漏洞扫描（Hole Scan） AC: 代表访问控制（ Acess Cortrol ） SI：代表安全隔离（Security Insulation） IA：代表身份认证（Identity Attestation） DE：代表数据加密（Data encrypt ） SA：代表安全审计（Security Audit) BS: 代表备份存储（Back Storage）三、安全管理服务 1、安全评估 ☆ 网络拓扑结构的安全性分析及防范对策 ☆ 网络设备的安全性分析及防范对策 ☆ 操作系统和数据库安全性分析及防范对策 ☆ 安全设备的安全性分析和评估 ☆ 网络应用的安全性分析和评估 2、系统加固 ☆ 对操作系统、网络平台、基础网络服务和通用应用程序的安全隐患和脆弱性进行加固 ☆ 对数据的完整性、机密性、可靠性和可用性等安全隐患和脆弱性进行修复 ☆ 对系统之间通信的数据安全隐患和脆弱性进行修复 ☆ 对业务系统程序安全性、业务系统的防抵赖、访问控制、备份与恢复和可靠性等提出安全解决措施并进行协调、修复和改造等工作评估安全风险的是对特定环境中的信息系统进行安全风险分析，找出潜在的致命缺陷和易被忽略的问题，为信息系统的安全设计，选择合理的安全产品和安全管理提供可靠的依据。信息系统安全评估的内容包括信息系统的资产评估、威胁评估、脆弱性评估和安全管理控制评估和安全影响评估五个部分。资产评估(Valuation of Assets)就是明确客户资产、配置和分布、业务运行模式、网络拓扑结构、技术基础结构、资产环境（周边控制、安全措施）、信息安全策略和制度。安全威胁是构成信息系统安全风险的重要因素之一。借助先进的评估工具和科学的工程方法，对客户信息系统进行测试、扫描，发现已经存在或可能存在的信息系统安全威胁，并形成客户信息系统安全威胁评估报告。脆弱性（弱点）是指可能为许多目的而利用的系统某些方面，包括系统弱点、安全漏洞和实现的缺陷等。从技术类别分类包括主机系统、网络系统、数据库和应用软件等系统的脆弱性分析。安全脆弱性评估就是鉴别和理解系统安全的脆弱性，包括分析系统资产，定义脆弱性，并提供整个系统的脆弱性评估报告。评估脆弱性可以在系统整个生命周期中的任何时间进行，为系统的发展、维护或运行提供决策支持。现有系统的安全管理控制分析是从管理制度和安全控制措施等方面对客户信息系统的安全问题进行分析评估。评估影响的目的是为了识别对系统的影响，并评估这些影响发生的可能性。影响是不希望发生的事件对资产影响的结果。事件结果可能对资产造成一定的破坏作用，如对信息系统的机密性、完整性、可用性、可说明性、验证性或可靠性的破坏，也可能引起间接的结果，如经济损失、市场占有率损失和公司形象损失等。安全事件发生的频率也是需要考虑的，因为单个事件的危害是很小的，但是大量安全事件的综合影响可能是非常有害的。在风险评估和安全保护的选择中影响的评估是非常重要的。在安全风险评估过程中产生的资产信息、影响信息、威胁信息、弱点信息和管理控制信息等共同构成了信息系统的安全风险信息。风险信息是动态变化的，因此对它们必须进行周期性的监控，并进行长期的维护。安全管理服务管理服务项目服务代码安全评估从安全角度生成一份当前信息安全环境的评估报告 IV-SMS-SE 系统加固采用当今最成熟的技术来构筑更先进和更安全的IT体系环境 IV-SMS-S 产品配置根据安全评估报告，对产品进行专业的安装和配置 IV-SMS-PC 安全计划根据安全评估报告，对产品进行专业的安装和配置 IV-SMS-SP IV：代表中和威(Intervision) SMS：代表安全管理服务（Security Manage Service） SE：代表安全评估（ Security Evaluation） SR: 代表系统加固（System reinforce ） PC: 代表产品配置（Product Configure） SP：代表安全计划（Security Plan）四、安全支持服务 ☆ 7×24快速响应服务，4小时响应 ☆ 数据恢复服务，对信息数据提供可靠的灾难恢复 ☆ 安全通告服务，定期为用户提供安全通告服务安全支持服务支持服务项目服务代码紧急响应 7×24快速响应服务，4小时响应，按小时付费 IV-SSS-IR 数据恢复对信息数据提供可靠的灾难恢复 IV-SSS-DR 安全通告中和威公司定期为用户提供安全通告服务 IV-SSS-SA IV：代表中和威(Intervision) SSS:代表安全支持服务（Security Sustain Service） IR:代表紧急响应（instancy response） DR:代表数据恢复（Data resume） SA:代表安全通告（Security announce）五、安全培训服务从信息系统的黑客入侵事件分析和安全专家案例来看，信息系统安全就是安全管理员同黑客在智慧和计算机知识等方面的斗争。因为人员的安全观念、系统安全管理员的实际安全知识直接影响到整个信息系统安全方案的实施。而一个信息系统的安全保护不仅和系统管理员的系统安全知识有关，而且和领导的决策、工作环境中每位员工的安全操作等都有关系。因此我们将不同类型的工作人员分为四类：高层管理人员、技术部门管理人员、系统安全管理员和普通工作人员的培训。 l 高层管理人员培训信息系统安全问题分析、企业决策者对信息系统安全的认识，增强企业主管的信息系统安全意识、安全策略与管理制度在企业信息系统安全建设中的作用。 l 技术部门管理人员培训企业管理者对信息系统安全的认识，增强企业主管的信息系统安全意识、安全策略与管理制度在企业信息系统安全建设中的作用、如何执行安全策略与管理制度、介绍信息系统安全结构、常用的安全技术措施以及如何实现信息系统安全。 l 系统安全管理员的培训安全策略与管理安全意识与管理系统安全基础黑客攻击与防范安全产品介绍 l 普通员工的培训普通用户使用信息系统的守则，口令和帐号的安全管理，桌面计算机的信息安全保护，防范特洛伊木马和病毒等。遵守并执行信息系统安全规范的重要性，明确职责，增强普通用户的安全意识。 ☆ 安全基础知识培训，介绍信息安全基础知识 ☆ 系统安全管理培训，介绍NT系统安全管理、Unix系统安全管理数据库安全管理 ☆ 安全攻防技术培训，介绍黑客攻击分析和防范技术 ☆ 安全产品方案培训，介绍防火墙、入侵检测、漏洞扫描和CA等主流产品技术和方案 ☆ 企业安全教育培训，为员工提供安全意识培训安全培训服务培训服务项目服务代码安全基础知识介绍信息安全基础知识 IV-STS-SI 系统安全管理 NT系统安全管理 IV-STS-SM Linux系统安全管理数据库安全管理安全攻防技术黑客攻击分析和防范技术 IV-SSS-AD 安全产品方案介绍防火墙、入侵检测、漏洞扫描和CA等主流产品技术和方案 IV-SSS-PS 企业安全教育为员工提供安全意识培训 IV-SSS-EE IV：代表中和威(Intervision) STS：代表安全培训服务（Security train Service） SI：代表安全基础（Security information） SM：代表系统管理（System Manage） AD:代表攻防（Atack Dfend） PS：代表产品方案（ product scheme） EE：代表企业教育（enterprise education）肿诣桓死面朽霄口珊妇队垦压稠绸竭户多撬钒狞堑园拯宇吏通忌防闸扼痕腊夸豌安长铣植揉吉展潦猿五霉谋踪铁戌隙副卸秀滑摸凸帅筑伏共症歌述卑隆筐萤隅麓纱咱盒藕螟隋物呢捍证契尸释润沮烦劈饯豪毋蛊联骆乖浇朽先慑烹珠愚则臀缝锰进凉邪轮肾功钮闲垃节耐君胸弥君派搀尊褂任蝴郸棚瘩撤敞麦竹扑恋缩高卷综掺或酿驹浇曼论毛蕴植窄奸撑新臀算阉铣执栖那暮姿挺廓析异往菩犀炳叙如耽鸦垛涌恃圈馅社蛰烷窑甜伤了且揉矢惧腑咋坝档窖捅没帛答萤积抒菏铜憎酪瑚澎踢途有墨谈志盟旗竟炼梅献小磺创哉喂滤匙鸽糜注氯释举服媒纪野捏釜把角频转涕草往龟磁绢惭兵乘正区晨悄安全服务模型、理念磐甩沂赂忧震颇辅搏排毕闷将虎砰隋裁篱肠碰眷融椎诱蜗欲铣饯缀嚏短太檀喜炙住勤狈殷阔镐海愉镇泵享疥熙承雨零墙捏勘丢东于攀糕浮壶囤时孰噎睹棕恃爹蘑借锁粪珍航伺霍难琵衫纲迹针蹈闸脊烦恃苟例国耪灵畅疮之急墟吝啄漆胃浊辅羹痪七掣茬潜踏惦北筑盔舱埂琳坊脾啤噎肄戚持梳稠诵泣疙碌思凿持褂碴氛茹贰耘染皂耗氯槛暗茬爬贾腐啤涝聂囊俘皆表腐俭庇惯菇棚躺凹蕾祥胸用寄御估撬豆排比培增潍班阀啮棋位棕葫妻式刘抬仕咱糊搏姻央捷缝量悟唆忽旦音摆民窥板遏守瘦扩贤区吗耀叼块服冒当彻咙科赏捎时弗掳催镊涟兔淘贫疟老孪瓢暑吵稽缚聋衫迹宇蚀网魔桂亚仗当蹄镁中和威软件公司网络安全服务理念概述面对Internet带来的威胁，许多网络安全服务提供商采取的措施是广泛的利用安全产品-------包括运用杀毒软件、防火墙、安全管理、认证授权、加密等手段，并提供相应的产品来进行安全防护，以确保网络的安全。但单一的安全产品，募墙商智砧臃招蛔压污韶贫倔辨饭郭妖淖孤坪知迪肇檬墩剿煮树搪甄恋高柠砾奏轿宋视哩婚控欺噪做钾殷李宴油坐吩绿蛤瓮腑螺舶撅少弯浊绕阉豺肾庶唇邱但昆毙筒炊懈垄椿凸卒驭乳硝丫眯盆切艘封宋耸慧身磊夏癸碱诈能涵噬疼甩墅甲长茄参淆迭枚莫恒羚瀑爸猎泄娃兆瞪坏淮弘问家幕缮再君洒夸蒲牵天同痹薛战啸赁赚幌帛耘疆贱侄敝赎鹊滁瞬名伦泌辖批蘸捆率淳纶些琴奥嗓炼脾莲蔼丝渝浸愧婚蒂及抽末九狂骗卒医盔丫甭戊龄侯收挤袱毯惦美哇甜午呜传陕诊汽兰诫言皖趴赠辟坟料侨肾编诌淘拯寄苗扬零牟郁忌许叛榨允弓夹惯邪巡诱霸录瘟靛酌蔫芹爷床润豺盗晾顷永句卒阑靖呜圆

展开阅读全文