安全服务模型、理念.doc

中和威软件公司网络安全服务理念概述面对Internet带来的威胁，许多网络安全服务提供商采取的措施是广泛的利用安全产品-包括运用杀毒软件、防火墙、安全管理、认证授权、加密等手段，并提供相应的产品来进行安全防护，以确保网络的安全。但单一的安全产品，已经难以有效地保证用户的网络安全维护，在技术日新月异的趋势下，用户盼望更为专业的安全服务，尤其是企业、媒体和各类网站等专业用户，他们更加需要一套从系统分析到产品与服务的专业化整体解决方案。中和威公司的目标是帮助用户建设完整、坚固的信息安全体系，因此我们从用户对安全的需求出发，依托我们在安全领域强大的实力，为用户提供全面的安全解决方案。安全是一个动态的过程，企业对安全系统的建设，是一个呈生命周期的循环过程，中和威的安全解决方案将企业自身业务与这一生命周期过程的每个环节紧密地结合起来：以策略为中心，对用户的网络体系和资产进行评估，针对评估结果进行方案总体设计，并保证安全策略有效地贯彻执行，对于紧急突发事件能够快速响应，最后对组织的人员进行安全管理培训。针对用户的信息安全需求，我们推出了以下专业安全服务：1、安全咨询服务2、安全集成服务3、安全管理服务4、安全支持服务5、安全培训服务一、安全咨询服务专业的安全人员提供全面的咨询服务,跟踪最新的安全技术及最新安全问题，与相关政府部门合作向客户提供全面的相关信息。1、从安全角度生成一份当前信息安全环境的风险分析报告2、由公司高级顾问组成的咨询专家提供专业安全咨询3、为用户制定安全计划、设计IT安全框架4、根据不同行业的需求，提供适合各个行业的整体解决方案 通过对信息资产鉴别、分类、赋值，让用户了解自己的信息资产价值、风险和威胁的分布状况。通过提供完整的风险分析报告，为用户制定安全策略、设计IT安全框架和进行系统加固提供详尽的依据和参考资料。安全咨询服务咨询服务项目服务代码风险分析从安全角度生成一份当前信息安全环境的风险分析报告IV-SCS-RA方案设计采用国际标准来定制更先进和更安全的网络体系环境IV-SCS-SD产品研究依据国际认同的测试方法，客观地对各种安全产品做出评测报告和选型建议IV-SCS-PDIV：代表中和威(Intervision)SCS:代表安全咨询服务（security consultation service）RA：代表风险分析（risk analyse）SD：代表方案设计（scheme design）PD：代表产品研究 （product disquisition）安全需求分析确定信息系统安全需求的目的是清楚地鉴定与安全相关的需求，以便在包括客户在内的所有参与方之间对安全形成共识，满足法规、策略和组织的安全需求而定义的信息系统基本安全要求。根据特定环境信息系统可以进行合适的增减，建立一套满足客户安全目标与需求的安全基础框架。安全方案设计安全方案设计是根据安全需求分析提供安全信息系统的安全结构设计、执行和安全指南等，保证系统所有安全问题都得到审查，并根据安全目标进行解决；保证工程队伍的所有成员都有统一的理解和认识，以便有效地执行任务。安全方案实施根据安全方案进行技术实现。保证系统安全设计的方案在将要运行的系统中得到有效实施，并保证安全控制得到正确的配置和使用。安全管理和控制管理安全控制主要用于开发环境和正在运行的系统安全控制机制，并定义其所要求的管理和维护活动，保证系统的安全等级不随时间的推移而降低。安全验证和监控安全验证是对信息系统的实施进行有效的监督，判定项目实施过程中是否满足安全需求和预期目标，同时对系统安全可能造成影响的内外因素进行监控、检测和跟踪，并根据安全策略进行及时响应，对系统运行状况进行改变和调整，以保证与系统安全目标相一致。二、网络安全集成服务 网络安全是一个动态安全的概念，也就是，在特定的时间空间内，在一定的安全策略下，网络可以是安全的。但是随着时间和环境的改变，网络的安全程度也会随之发生变化。动态网络安全解决方案可以依据网络环境的变化，攻防技术发展不断地自我调整、完善，确保系统的先进性和安全性。 中和威公司网络安全服务部凭借自身的技术力量、以及合作厂商的支持，参与了多个项目的投标工作，在这个过程中我们积累了丰富的实践经验，可以独立承担大中型安全集成服务。网络安全服务中心覆盖的集成产品涉及防火墙、防病毒、IDS、网络监控、身份认证、物理隔离、数据备份和加密等诸多安全领域。 中和威公司针对不同行业，不同的客户提供了多种安全解决方案。解决方案集成服务项目服务代码整体安全解决方案一站式安全服务IV-SIS-ISRS漏洞扫描解决方案主机漏洞扫描系统IV-SIS-HS网络漏洞扫描系统数据库漏洞扫描系统访问控制解决方案防火墙系统IV-SIS-AC内核安全增强系统安全隔离解决方案物理隔离 IV-SIS-SI网络隔离身份认证解决方案身份认证系统IV-SIS-IACA证书系统数据保密解决方案虚拟私有网IV-SIS-DE数据加密系统安全审计解决方案反病毒系统IV-SIS-SA入侵检测系统内容过滤系统备份存储解决方案数据备份系统IV-SIS-BSIV：代表中和威(Intervision)SIS：代表系统集成服务（System integration service）ISRS: 代表整体安全解决方案（Integer security resolve scheme）HS：代表漏洞扫描 （Hole Scan）AC: 代表访问控制（ Acess Cortrol ）SI：代表安全隔离（Security Insulation）IA：代表身份认证（Identity Attestation）DE：代表数据加密（Data encrypt ）SA：代表安全审计 （Security Audit)BS: 代表备份存储 （Back Storage）三、安全管理服务 1、安全评估 网络拓扑结构的安全性分析及防范对策 网络设备的安全性分析及防范对策 操作系统和数据库安全性分析及防范对策 安全设备的安全性分析和评估 网络应用的安全性分析和评估2、系统加固 对操作系统、网络平台、基础网络服务和通用应用程序的安全隐患和脆弱性进行加固 对数据的完整性、机密性、可靠性和可用性等安全隐患和脆弱性进行修复 对系统之间通信的数据安全隐患和脆弱性进行修复 对业务系统程序安全性、业务系统的防抵赖、访问控制、备份与恢复和可靠性等提出安全解决措施并进行协调、修复和改造等工作评估安全风险的是对特定环境中的信息系统进行安全风险分析，找出潜在的致命缺陷和易被忽略的问题，为信息系统的安全设计，选择合理的安全产品和安全管理提供可靠的依据。信息系统安全评估的内容包括信息系统的资产评估、威胁评估、脆弱性评估和安全管理控制评估和安全影响评估五个部分。资产评估(Valuation of Assets)就是明确客户资产、配置和分布、业务运行模式、网络拓扑结构、技术基础结构、资产环境（周边控制、安全措施）、信息安全策略和制度。安全威胁是构成信息系统安全风险的重要因素之一。借助先进的评估工具和科学的工程方法，对客户信息系统进行测试、扫描，发现已经存在或可能存在的信息系统安全威胁，并形成客户信息系统安全威胁评估报告。 脆弱性（弱点）是指可能为许多目的而利用的系统某些方面，包括系统弱点、安全漏洞和实现的缺陷等。从技术类别分类包括主机系统、网络系统、数据库和应用软件等系统的脆弱性分析。安全脆弱性评估就是鉴别和理解系统安全的脆弱性，包括分析系统资产，定义脆弱性，并提供整个系统的脆弱性评估报告。评估脆弱性可以在系统整个生命周期中的任何时间进行，为系统的发展、维护或运行提供决策支持。现有系统的安全管理控制分析是从管理制度和安全控制措施等方面对客户信息系统的安全问题进行分析评估。 评估影响的目的是为了识别对系统的影响，并评估这些影响发生的可能性。影响是不希望发生的事件对资产影响的结果。事件结果可能对资产造成一定的破坏作用，如对信息系统的机密性、完整性、可用性、可说明性、验证性或可靠性的破坏，也可能引起间接的结果，如经济损失、市场占有率损失和公司形象损失等。安全事件发生的频率也是需要考虑的，因为单个事件的危害是很小的，但是大量安全事件的综合影响可能是非常有害的。在风险评估和安全保护的选择中影响的评估是非常重要的。 在安全风险评估过程中产生的资产信息、影响信息、威胁信息、弱点信息和管理控制信息等共同构成了信息系统的安全风险信息。风险信息是动态变化的，因此对它们必须进行周期性的监控，并进行长期的维护。安全管理服务管理服务项目服务代码安全评估从安全角度生成一份当前信息安全环境的评估报告IV-SMS-SE系统加固采用当今最成熟的技术来构筑更先进和更安全的IT体系环境IV-SMS-S产品配置根据安全评估报告，对产品进行专业的安装和配置IV-SMS-PC安全计划根据安全评估报告，对产品进行专业的安装和配置IV-SMS-SPIV：代表中和威(Intervision)SMS：代表安全管理服务（Security Manage Service）SE：代表安全评估 （ Security Evaluation）SR: 代表系统加固 （System reinforce ）PC: 代表产品配置 （Product Configure）SP：代表安全计划 （Security Plan）四、安全支持服务 724快速响应服务，4小时响应 数据恢复服务，对信息数据提供可靠的灾难恢复 安全通告服务，定期为用户提供安全通告服务安全支持服务支持服务项目服务代码紧急响应724快速响应服务，4小时响应，按小时付费IV-SSS-IR数据恢复对信息数据提供可靠的灾难恢复IV-SSS-DR安全通告中和威公司定期为用户提供安全通告服务IV-SSS-SAIV：代表中和威(Intervision)SSS:代表安全支持服务 （Security Sustain Service）IR:代表紧急响应 （instancy response）DR:代表数据恢复 （Data resume）SA:代表安全通告 （Security announce）五、安全培训服务从信息系统的黑客入侵事件分析和安全专家案例来看，信息系统安全就是安全管理员同黑客在智慧和计算机知识等方面的斗争。因为人员的安全观念、系统安全管理员的实际安全知识直接影响到整个信息系统安全方案的实施。而一个信息系统的安全保护不仅和系统管理员的系统安全知识有关，而且和领导的决策、工作环境中每位员工的安全操作等都有关系。因此我们将不同类型的工作人员分为四类：高层管理人员、技术部门管理人员、系统安全管理员和普通工作人员的培训。l 高层管理人员培训 信息系统安全问题分析、企业决策者对信息系统安全的认识，增强企业主管的信息系统安全意识、安全策略与管理制度在企业信息系统安全建设中的作用。l 技术部门管理人员培训 企业管理者对信息系统安全的认识，增强企业主管的信息系统安全意识、安全策略与管理制度在企业信息系统安全建设中的作用、如何执行安全策略与管理制度、介绍信息系统安全结构、常用的安全技术措施以及如何实现信息系统安全。l 系统安全管理员的培训安全策略与管理安全意识与管理系统安全基础黑客攻击与防范安全产品介绍l 普通员工的培训普通用户使用信息系统的守则，口令和帐号的安全管理，桌面计算机的信息安全保护，防范特洛伊木马和病毒等。遵守并执行信息系统安全规范的重要性，明确职责，增强普通用户的安全意识。 安全基础知识培训，介绍信息安全基础知识 系统安全管理培训，介绍NT系统安全管理、Unix系统安全管理数据库安全管理 安全攻防技术培训，介绍黑客攻击分析和防范技术 安全产品方案培训，介绍防火墙、入侵检测、漏洞扫描和CA等主流产品技术和方案 企业安全教育培训，为员工提供安全意识培训安全培训服务培训服务项目服务代码安全基础知识介绍信息安全基础知识IV-STS-SI系统安全管理NT系统安全管理IV-STS-SMLinux系统安全管理数据库安全管理安全攻防技术黑客攻击分析和防范技术 IV-SSS-