互联网企业安全服务白皮书

1、互联网企业安全服务白皮书互联网企业安全服务白皮书 文档编号文档编号 密级密级公开文档 版本编号版本编号V1.0 日期日期2010-3-16 2020 绿盟科技绿盟科技 版权声明版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿绿 盟科技盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技绿盟科技的书面授权许可，不得以任何方 式复制或引用本文的任何片断。 版本变更记录版本变更记录 时间时间版本版本说明说明修改人修改人 2010/03/16V1.0文档创建黄斌 适用性声明适用性声明 本文档用于撰写互联网企业安全服务白皮书使用。 目录目

2、录 一. 绿盟科技简介.1 二. 绿盟科技安全服务产品.2 2.1 风险评估服务.2 2.1.1 技术脆弱性评估.2 2.1.2 管理脆弱性评估.7 2.2 安全咨询服务.8 2.2.1 体系建设.8 2.2.2 合规咨询.10 2.3 安全运维服务.13 2.3.1 安全监控服务.13 2.3.2 安全巡检服务.17 2.4 安全支持服务.20 三. 互联网企业安全服务包.24 3.1 基础安全服务包.25 3.2 业务安全服务包.26 3.3 整体安全服务包.29 四. 互联网行业安全服务成功案例 .34 一一. 绿盟科技简介绿盟科技简介 绿盟科技公司（NSFOCUS INFORMATIO

3、N TECHNOLOGY CO.,LTD.）成立于 2000 年 4 月，是中国第一批专业网络安全产品和服务公司之一。在多年的发展过程中，获得了不 同行业的近千家客户的认同，并已经成为国内领先的专业安全产品和服务提供商。 绿盟科技自成立以来一直以作为“巨人背后的安全专家”为己任，全力为客户服务，本 着“诚信为本、客户至上、专业服务、面向国际”的宗旨，汇聚了国内安全领域最优秀的技 术研究、产品开发和服务实施队伍。多年来，开发出多款具有国内国际领先水平的安全产品， 并通过独立的服务部门为用户提供专业的安全服务体系。 作为专注于网络安全技术的产品和服务提供商，绿盟科技一直保持了高速增长并在国内 信息

4、安全行业处于领先地位。 国内第一家专业商业安全服务公司，第一家获得 ISO9001 国内国际双认证的专业安全服 务企业，完成了运营商、金融、政府多个关键服务项目。 2001 国信安办第一批安全服务试点企业；2002 年第一批国家正式认证的安全服务一级 资质，2004 年第一批安全服务二级资质认证；2005 年第一批国家级紧急响应服务单位。 第一家对国外安全产品厂商提供入侵检测技术出口的安全公司，并在 2005 年包揽中国 入侵检测/入侵保护系统在主要行业媒体和公开评测方面的全部奖项；其他安全产品在国 内目前也拥有领先的市场份额。 绿盟科技的技术网站 ，维护着国内最全面的全中文网络安全漏洞库，

5、自 1999 年积累至今已经积累了超过 1 万条内容详尽的安全信息，在广大专业技术人员 中享有”中国网络安全第壹站”的美称。 2003-2009 年连续多年获得最值得信赖的安全服务品牌称号。 NSPS 安全服务体系是绿盟科技在 2000 年首先提出的为客户提供的可定制的专业安全 服务。作为值得信赖的、业界领先的专业的安全服务提供商，我们通过专业安全服务协助用 户设计、实现、维持、改进有效的安全战略，保持遵循性，提高其长期竞争优势。绿盟科技 可以为用户提供两大类的专业服务，包括： 专业安全服务(PSS: Professional Security Services)：旨在降低用户在关键业务资产的

6、 威胁，通过企业级安全评估、安全设计、安全部署来提高安全管理的实效。 可管理安全服务(MSS: Managed Security Services)：为用户提供完备的实时安全管理 外包解决方案，包括安全监控、7x24 安全保障、应急处理等。 多年来，我们的专业的服务实施能力和效果赢得用户的信赖，使得绿盟科技在安全服务 领域独占鳌头。 二二. 绿盟科技安全服务产品绿盟科技安全服务产品 2.1 风险评估服务风险评估服务 绿盟科技专业安全顾问在对您的信息系统进行充分调研和访谈的基础上，配合使用专业 的安全工具，对系统实际情况进行专业的安全现状评测与分析，并以此为基础进行后续的定 制和设计工作。这个针

7、对信息系统的安全评测与分析的过程就是风险评估服务。 风险评估服务包括：技术脆弱性评估、管理脆弱性评估 2.1.1 技术脆弱性评估技术脆弱性评估 绿盟科技提供的“技术脆弱性评估服务包”包括：全面漏洞评估、人工检查、渗透测试 和应用系统安全评估，服务包各项介绍如下： 全面漏洞评估全面漏洞评估 风险评估就是准确发现系统的安全隐患及可能存在危害的最好手段，通过风险评估可以 全面了解信息系统的安全现状，而在风险评估过程中，全面漏洞评估服务又是不可缺少并且 可以独立存在的一步工作，通过全面漏洞评估工作，可以详细的了解当前网络和系统中可能 存在的潜在安全隐患，从而为进一步通过技术手段降低或解决问题提供了参考

8、依据和方法。 绿盟科技安全专家通过绿盟科技的“极光”安全评估系统以本地扫描的方式进行全面漏 洞评估，在评估过程中对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来 查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风 险、漏洞和威胁。安全扫描项目包括如下内容： 信息探测类网络设备与防火墙 RPC 服务Web 服务 CGI 问题文件服务 域名服务Mail 服务 Windows 远程访问数据库问题 后门程序其他服务 网络拒绝服务(DOS)其他问题 为了确保全面漏洞评估的可靠性和安全性，绿盟科技在评估前将与您一起确定安全扫描 计划，防止对系统和网络的正常运行造

9、成影响，同时绿盟科技将对扫描策略进行修改、配置， 使资源消耗降低至最小，限制或不采用危险插件进行扫描。另外，绿盟科技在评估前将协助 评估节点进行必要的系统备份，并检查本地的应急恢复计划是否合理。 在实际开始安全扫描时，绿盟科技会正式通知您并按照预定计划，在规定时间内进行操 作工作。 人工检查人工检查 绿盟科技提供的人工检查服务是对评估范围内，安全漏洞扫描工具不能有效发现的地方 (网络设备的安全策略弱点和部分主机的安全配置错误等)进行辅助评估的一种有效手段。因 此，有必要对评估范围内的系统和设备进行手工检查。 在对信息系统的网络设备和主机的安全性进行人工检查时主要检查以下几个方面： 是否最优的划

10、分了 VLAN 和不同的网段，保证了每个用户的最小权限原则； 内外网之间、重要的网段之间是否进行了必要的隔离措施； 路由器、交换机等网络设备的配置是否最优，是否配置了安全参数； 安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最 小，是否影响业务和系统的正常运行； 主机服务器的安全配置策略是否严谨有效。 . 同时，许多安全设备如防火墙、入侵检测等设备也是人工评估的主要对象。因为这些安 全系统的作用是为网络和应用系统提供必要的保护，其安全性也必然关系到网络和应用系统 的安全性是否可用、可控和可信。目前还没有针对安全系统进行安全评估的系统和工具，所 以只能通过手工检查的方式进

11、行安全评估。通过人工检查可以发现这些安全系统： 是否配置最优，实现其最优功能和性能，保证网络系统的正常运行； 自身的保护机制是否实现； 管理机制是否安全； 为网络提供的保护措施是否正常和正确； 是否定期升级或更新； 是否存在漏洞或后门。 渗透测试渗透测试 渗透测试（Penetration Testing）作为网络安全服务体系中的一种新技术，是在实际网 络环境下，由测试人员发起的，经过您授权的高级安全检测行为。渗透测试过程借鉴了黑客 攻击的手法和技巧，在可控的范围内为证明网络防御能够按照预订计划正常运行而提供的一 种检测方法，它可以高度精确的反映您系统面临的风险。在渗透测试的过程中，通过充分暴

12、露和发掘潜在的漏洞，能直观的让管理人员知道自己维护的系统中仍然存在的安全缺陷。 渗透测试范围包括：操作系统部分、应用系统部分、网络设备部分。渗透测试利用各种 主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点。从攻击者的角 度将有助于发现并识别出一些隐性存在的安全漏洞和风险点，从收益的角度来说，对于已经 实施了安全防护措施（安全产品、安全服务）或者即将实施安全防护措施的用户而言，明确 网络当前的安全现状对下一步的安全建设有重大的指导意义。 在进行相关安全项目的实施之前进行渗透测试，信息系统主管可以对信息系统的安全性 得到较深的感性认知，有助于进行后续的工作。在进行了相关安全项目

13、的实施之后进行渗透 测试，则可用于验证经过安全保护后的网络是否真的达到了安全目标。 渗透测试评估服务包括以下主要内容： 内外部渗透测试 黑白盒渗透测试 破坏性和非破坏性测试 在内部网络发起的渗透测试比较容易绕过防火墙、入侵检测等安全设备的控制，能够真 实的模拟内部违规者可能导致的破坏程度。外部测试指的是：在外部网络（ADSL、拨号访 问、ISP 光纤端、互联网）发起的，模拟对内部网络不知情的黑客攻击行为。实际情况是在 通往外部网络不安全的道路上，布满了防火墙、入侵检测等安全设备，外部渗透就需要考虑 对这些设备的规避。因此外部渗透更能发掘企业网络抗击外部（黑客）入侵的短板缺陷。 黑盒测试是在测试

14、人员对目标系统一无所知的情况下发起的测试行为；白盒测试是测试 人员通过您的告知，已经了解了：网络设备类型、操作系统类型、应用服务情况甚至是安全 设备（防火墙、入侵检测、防毒软件）、源程序部分代码段的情况下，进行模拟攻击的测试 行为。 非破坏性测试是在获取了目标系统的漏洞信息情况下，小心的校验此漏洞缺陷可以导致 目标系统产生多大危害的行为，但是诸如 D.o.S 之类的会影响到目标系统服务继续运行的行 为是不采用的。 破坏性测试是不考虑后果的攻击行为，诸如 D.o.S 和缓冲溢出等可能威胁系统服务运行 的攻击手法也是被采纳的。最终得到的结果可以用来对非法的入侵破坏所产生的损失进行估 量。 应用系统

15、安全评估应用系统安全评估 对应用系统资产范围内的相关硬件、软件和数据（包括系统数据、应用系统数据、密码 密钥数据、技术文档数据、非技术性文档数据等）进行定义，并对应用系统在当前所处环境 下存在哪些威胁进行分析评估，同时根据已确定的应用系统存在的威胁，明确您应用系统需 要达到哪些系统安全目标才能保证应用系统能够抵挡我们预期的安全威胁，这些预期的安全 威胁包括： 用户 引入恶意代码、误用造成拒绝服务、行为抵赖、用户滥用授权收集数据 攻击者 用户身份或系统进程的假冒、窃听通信数据、密码分析、修改信息内容、服务欺骗、嵌 入恶意代码 系统软硬件 系统组件故障、传输错误 开发者 程序缺陷 绿盟科技应用系统

16、评估服务通过从应用系统结构的安全性分析和安全功能分析上进行整 个应用系统的安全审核评估， 安全性分析主要从网络结构、系统安全性、数据库安全性进行评估，主要考虑系统和网 络层面的安全性。 应用安全功能分析，主要从应用内含的安全功能如认证、授权、审计、加密抗篡改、过 滤和质量服务等方面进行详细分析评测，在评测的过程中主要考虑应用中采用了何种的安全 措施，安全措施是否实际得到应用，以及安全措施是否满足应用的安全等级要求。 通过应用系统安全评估对您的应用系统进行数据输入、输出有效性、完整性、保密性、 可用性等多个方面的评估审核，并根据评估结果帮助您了解应用系统当前安全现状，出具相 关应用系统安全现状报

17、告。 服务成果：服务成果： 服务内容服务内容交付成果交付成果 全面漏洞评估全面漏洞评估 手工检查手工检查 渗透测试渗透测试 应用系统安全评估应用系统安全评估 漏洞扫描报告 手工检查报告 渗透测试报告 应用系统安全评估报告 信息系统现状及安全建议报告 2.1.2 管理脆弱性评估管理脆弱性评估 安全策略流程审计安全策略流程审计 绿盟科技安全顾问根据 ISO17799 等多个标准的相关要求对安全策略、安全制度、安全 流程进行审计，提供改进建议，建立信息安全的“统一”策略管理机制，实现真正意义上的 安全“统一”管理。 建立一个有效的信息安全保障体系，国际公认的、最有效的方式是采用系统、分步骤的 方式（

18、国际性标准 ISO/IEC27001 和 ISO/IEC 17799），绿盟科技安全策略流程审核服务首 先确定信息安全的策略范围，然后在风险分析的基础上选择适宜的控制目标和控制方式来进 行控制，最后制定业务持续性计划并建设实施信息安全体系。绿盟科技在国际信息安全管理 标准 ISO27001 的 11 类要求基础上，将 PDCA（Plan、Do、Check 和 Act）持续改进的信 息安全风险管理模型作为贯穿整个项目过程的主要指导思想。在计划（Plan）阶段通过风险 评估来了解安全需求，建立全公司的安全标准和制度体系；在实施（Do）阶段将遵照标准和 制度体系执行和落实安全控制措施；在检查（Che

19、ck）阶段监视和审查安全控制的执行情况， 并跟踪系统环境变化；在改进（Act）阶段维护改进安全标准和制度体系。 绿盟科技安全顾问通过定期评审与修订不断完善安全方针和策略，通过风险评估调整安 全需求，加强或调整预防、检测、响应和恢复措施，以适应新的安全环境，满足您新的信息 安全需求，保证信息系统长期稳定可靠的运行。最终在信息系统中形成有效的安全防护能力、 隐患发现能力、应急响应能力，将风险管理落于实处。 绿盟科技安全策略流程审核服务从完善的信息安全体系建设的指导思想和指导方法出发， 为安全体系建设提供了一个最佳的安全解决方案，同时绿盟科技安全顾问围绕标准的、可靠 的安全策略和原则，选用专业的方式

20、方法来对您的信息安全保障体系进行审核，同时系统地、 有条理地进行全面规划审核，充分地、全方位地考虑安全需求和特性，从而达到各种安全产 品、安全管理、整体安全策略的统一，发挥最大的效率。 服务成果：服务成果： 服务内容服务内容交付成果交付成果 建立安全标准和制度体系建立安全标准和制度体系信息安全事件处理流程 遵照标准和制度体系执行和落实安全控制措施遵照标准和制度体系执行和落实安全控制措施 监视和审查安全控制的执行情况监视和审查安全控制的执行情况 维护改进安全标准和制度体系维护改进安全标准和制度体系 信息安全策略体系 信息安全管理制度 安全设备配置标准规范 信息安全管理组织体系 2.2 安全咨询服

21、务安全咨询服务 2.2.1 体系建设体系建设 绿盟科技经过多年安全实践的总结和对国际安全技术的研究，提出一套完整的信息安全 体系框架(NSFOCUS Information System Security Framework，简称 N-ISSF) 来指导信息 系统安全和相应支持体系的设计。绿盟科技体系建设服务分为： 等级保护等级保护 等级保护是绿盟科技提供的一项重要的服务内容。从国家层面来讲，等级保护这项工作 是一项持续性的工作，它已经成为我们国家在信息系统安全方面的一项国策，目前国家在组 织体系、标准体系、测评体系等方面建设已渐渐成熟，相应的管理文件（如 43 号文、851 号文）等也相继出

22、台，等级保护工作在全国范围内铺开只是时间的问题了，同时也是各单位 在系统安全建设上的一项基本工作内容，因此等级保护服务引起公司的足够重视，配备相应 的资源，研究等级保护实施和测评的流程、内容、方法，丰富案例，增强项目经验。 绿盟科技认为等级保护工作的内容和我们传统的安全项目实施并没有本质性的区别，绿 盟科技将等级保护工作理解为风险评估+解决方案设计（等级保护中是整改方案）+方案实施 这个模式，但由于等级保护牵扯的面比较广，在具体实施中还是有很多细节和传统的安全服 务是不同的。 绿盟科技在等级保护服务方面积累了如政府某高新技术开发区等级保护项目实施等大量 的成功案例，参与北京等级保护测评中心的组

23、建，拥有一批对等级保护相关标准有比较深入 的研究,具有丰富等级保护实施和测评经验的人员。 绿盟科技依据国内的信息安全等级保护管理办法，通过等级保护服务的形式，帮助 企业加强系统安全建设、内部控制，增强抵御安全风险的能力，使企业比过去更加严密且有 效地管理他们的信息系统安全基础结构。绿盟科技在等级保护服务中采用以下两种方式： 1、向用户提供传统的安全服务，在实施过程中参考国家等级保护相关文件、标准 2、向主管机关、测评单位提供技术支持 根据绿盟科技以往成功案例中积累的大量实施经验，等级保护服务具体归纳分成以下几 个项目进行： 辅助定级系统整改 系统安全等级改造建设配合用户进行自查 辅助通过测评通

24、过各类检查 服务成果服务成果: : 服务内容服务内容交付成果交付成果 辅助定级辅助定级 系统安全等级改造建设系统安全等级改造建设 辅助通过测评辅助通过测评 系统整改系统整改 配合用户进行自查配合用户进行自查 信息系统安全分析现状 信息系统安全等级保护备案表 信息系统安全等级保护定级报告 差距分析及整改建议 等级保护技术要求自查表-CheckList ISMS 体系建设体系建设 在 N-ISSF 信息安全体系框架中，绿盟科技将整个安全体系规划为三个部分组成，分别 是组织体系、管理体系和技术体系，全面的涵盖了一个组织信息系统规划和建设的安全要求。 安全组织体系主要包括机构建设和人员管理两方面内容，

25、对公司内部的安全机构建设和 人员岗位、安全培训等方面进行了要求。安全管理体系主要包括制度管理、资产管理、物理 管理、技术管理和风险管理等方面内容。上述安全组织体系、安全管理体系两部分严格依据 了国际信息安全管理标准 ISO 17799 和其它相关国际国内标准的要求，涵盖了该类标准中的 每一类规范。安全技术体系方面主要包括安全评估、安全防护、入侵检测、应急恢复四部分 内容，从技术角度对信息系统的这四种技术能力提出了规划建议。同时在您已经有一定安全 基础的情况下，也可以考虑为某个部分进行单独强化。 绿盟科技体系建设服务是整体管理体系建设服务的一部分，以风险管理为核心，依托 ISO27001、ISO

26、17799 等国际信息安全标准和法规及行业规范、自有规范，结合业界最佳实 践，基于业务风险的方法，建立、实施、运营、监控、检查（评审）、维护和改进信息安全， 并根据您信息系统的实际情况，建设适合其发展的、科学的、可操作的、持续改进的信息安 全管理体系。ISMS 体系建设包括 ISMS 方针、策略、程序、控制目标、控制措施、运行策 划等方面的建设内容。通过此项服务，充分了解安全现状、存在的安全风险、安全需求，建 设信息安全管理体系和安全技术架构，为全面提高 IT 安全管理控制能力或通过认证做好前 期的准备。 服务成果：服务成果： 服务内容服务内容交付成果交付成果 组织体系规划和建设安全要求组织体

27、系规划和建设安全要求 管理体系规划和建设安全要求管理体系规划和建设安全要求 技术体系规划和建设安全要求技术体系规划和建设安全要求 机构建设和人员管理相关成果 制度管理、资产管理、物理管理、技术管理和 风险管理相关成果 安全评估、安全防护、入侵检测、应急恢复相 关规划建议 2.2.2 合规咨询合规咨询 绿盟科技根据您所面临的国际、国内、行业的法律、法规的规定，对这些相关的规定进 行识别，采取差距分析的方法，找出人与人方面（管理体系）、人与物方面（技术体系）、 人与自身方面（教育培训体系）等的不足，根据这些不足提出相应的解决方案，同时由于 “规定”中的条款一般都不易于理解，要经过一个转化的过程，使

28、得条款更清晰，通过与企 业高层沟通，使其了解分配责任的重要性的情况下，在 IT 部门的配合下，根据合规的要求进 行相关整改。 绿盟科技合规咨询服务主要分为：安全域划分服务和 ISO27001 认证辅导服务。 安全域划分安全域划分 绿盟科技根据相关标准、规范和安全保护策略的要求，参考安全域中 IT 要素的保护等级、 安全需求，结合业务信息系统的具体情况，从物理、网络、系统、应用、管理等不同层面对 您的信息系统进行信息系统的合规咨询服务，绿盟科技此项服务包括四项内容： 安全域的划分与边界整合、 安全域的防护策略设计、 安全域的防护改造、 安全域的管理制度设计。 传统的 IT 网络安全经常采用如逻辑

29、隔离的方式来建设，如采用防火墙隔离出 DMZ 区， 进行内部服务区与对外服务区隔离，绿盟科技安全域划分服务可以帮助您突破传统 IT 安全体 系规划和建设的局限性和弊端，改正传统的 IT 安全只注重对网络安全的防护，缺少对业务层 面、应用层面的安全分析和防护的局面。 绿盟科技安全域划分服务通过对业务信息系统进行系统、全面的调研，对业务信息系统 IT 要素的识别、分析，明确各 IT 要素的安全需求；根据 IT 要素的安全需求、安全策略及相 互之间的关系，将 IT 要素进行逻辑划分，形成不同的集合，并调整、明确、规范不同 IT 要 素集合的边界，以便于更好的适应和满足安全保护策略的要求。同时根据安全

30、保护策略要求， 基于业务信息系统的现状进行差距分析，明确差距并进行系统的总体改进改造设计，提出相 应的实施方案并进行实施。绿盟科技安全域划分服务基于您的安全管理组织架构及各职能部 门的职责、关系和安全管理机制，制定安全域的管理、审计制度，并成为安全管理体系的有 机组成部分。 绿盟科技在进行安全域划分服务时，还通过对相应的政策、法规规定（如 SOX）和要求 （如 ISO27001），以及标准、规范的分析，明确系统所需的安全措施和安全部署方式，满 足系统的合规性要求。 通过本服务绿盟科技可以帮助企业组织迅速理清思路、抓住重点、全面规划、统筹部署， 并指导相关部门、单位协调、有序行动，逐步建立起全面

31、、主动、有效的安全保障体系，保 障信息系统的稳健运行，保证组织业务的正常开展。 服务成果：服务成果： 服务内容服务内容交付成果交付成果 安全域的划分与边界整合 安全域的防护策略设计 安全域的防护改造 安全域的管理制度设计 安全域划分及边界整合方案 安全域划分技术方案 安全域划分测试方案 安全域划分测试报告 安全域划分实施方案 安全域划分技术及管理规范 ISO27001 认证辅导认证辅导 组织、企业实施信息安全管理体系认证过程，就是根据 ISO 17799:2005 标准，建立完 整的信息安全管理体系，达到动态的、系统的、全员参与的、制度化的、以预防为主的信息 安全管理方式，用最低的成本，达到可

32、接受的信息安全水平，从根本上保证业务的持续性。 信息安全管理第三方认证为组织的信息安全体系提供客观公正的评价，使组织在信息安 全管理方面有更大的可信性，并且能够使用证书向利益相关的组织提供保证；同时，认证能 够促进组织间的贸易关系，提高跨行业的信息安全管理水平，从整体上有利于各国的全球贸 易的开展。 ISO 27001 认证过程是一个复杂的过程，特别是对于大型企业而言，寻求外部咨询顾问 提供帮助是必要的。绿盟科技 ISO 27001 认证辅导咨询服务可以帮助您根据 ISO 17799:2005 标准的要求建立信息安全管理体系（ ISMS），协助您获得证书。 绿盟科技协助被认证方对申请资料进行初

33、步检查，确定是否满足受理申请，同时按照 ISO 27001 标准的相关要求对现场进行调查，协助您了解信息资产、威胁、脆弱点识别是否 有遗漏，风险评估与风险管理程序是否适宜，检查组织的法律、法规获取识别情况以及法律、 法规符合性，检查并评审组织的内审情况，检查并评审组织的 ISMS 策划的可行性和适用性 等，并开具不符合项报告 绿盟科技具有若干大型组织的安全审计体系建设及内审方面的丰富经验，同时： 绿盟科技是国内首家通过 ISO 27001 认证的安全公司 多位 ISO 27001 LA（主任审核员培训认证），一位参与过多个企业的外审 绿盟科技与审核机构保持了良好的合作关系 服务成果：服务成果：

34、 服务内容服务内容交付成果交付成果 申请资料的初步审查 协助被认证方对信息资产、威胁等进行识别 确认被认证方是否符合相关的法律法规 对内审情况进行检查和评审 ISMS 的可行性和适用性进行检查并评审 开具不符合项报告 认证范围相关文档 现状调研报告 风险评估报告 体系建设方案 体系运行评审报告 其它相关文档 2.3 安全运维服务安全运维服务 绿盟科技作对网络安全有着深刻理解，对各类安全技术有着深入研究。绿盟科技能够帮 助您有效的维护各种安全设备，使其长期、稳定、高效的运行，并在此基础上帮助您有效保 护已有安全投资，实现已有安全投资效益最大化。安全运维服务包含两大内容：安全监控服 务和安全巡检服

35、务，各服务包介绍如下： 2.3.1 安全监控服务安全监控服务 绿盟科技通过提供 7X24 实时的威胁监控，及时了解您信息安全动态，并提供分析报告 和应对建议。绿盟科技提供的安全监控服务包主要内容如下： 日志智能分析日志智能分析 绿盟科技安全专家通过对网络入侵保护系统的日志分析及时发现网络中存在的安全隐患， 并根据相关搜集到的日志数据对存在的问题进行详细的分析,发现最新安全隐患，给您提出有 参考价值的意见和建议报告。绿盟科技帮助您对网络入侵检测系统及其它安全设备每天产生 的大量日志进行分析，从中发现安全隐患，达到提前预警的目的，使您的网络安全运维能力 和安全设备的部署真正结合起来，向您提供安全日

36、志监控和工具上的辅助。服务方式如下： 定期察看监控设备，仔细分析高级报警事件（红色标记），协助您及时查找源 IP。 对高级报警的源 IP 做具体分析，找出问题原因（感染病毒还是确实有非法访问）并按事 件详细解释帮助里的解决方案及时进行解决，消除安全隐患。 定期对相关设备的规则库、控制台以及引擎进行升级，保证入侵检测系统的及时更新 按照您的要求定期生成报表归档并提交相关监控分析报告。 对大量不明原因的且频繁发生的本地高级事件及时上报主管领导，或者直接致电安全产 品供应商协助解决，对中低级事件进行严密监控并作出相应记录，同时结合高级报警事 件进行技术分析（可要求安全产品供应商提供技术支持）。 对

37、IDS 等安全产品的规则，日志等进行定期备份，同时定期对备份的数据进行恢复检查， 以确认备份数据的可用性，保证备份工作的有效。 对安全产品厂商发布的安全公告给与及时关注，并定期结合安全公告检查客户网络的安 全状况以及是否存在安全公告中所通告的安全隐患，协助您做好自查自纠工作，真正把 安全工作做好，做细，从而使您网络的安全等级不断提高，保证网络的稳定高效运行。 每月或每季度汇总相关入侵检测系统及其它安全产品的监控情况同时生成报表并通告给 您，让您清楚自身网络安全情况并及时进行配合解决。 现场值守现场值守 任何信息系统，不管是应用程序还是操作系统都可能包含可能影响信息资源机密性、完 整性和可用性的

38、安全隐患或漏洞。在日常的运维工作中需要不断的针对各种各样的安全问题 进行调整和增强。 在核心业务繁忙、技术人员不足时，绿盟科技可以在现场（58 小时）进行安全审计和 维护工作，提供安全状况报告，对发现的问题提出解决方案并及时处理。 绿盟科技的安全顾问依赖长期积累的必要的专业技术和知识，对所需要值守的 IT 系统 和网络资源的配置和日志进行深入分析和审计。包括对防火墙、IPS 、Sloarwind 日志服务 器、Web 服务器、电子邮件服务器、操作系统等的日志和关键配置文件进行分析并提交相 应的安全建议，协助进行解决。 绿盟科技现场值守工程师将协调其它各运维外包公司，建立并维护统一的安全策略（包

39、 括广域网运维、防病毒和内网管理运维、系统运维和存储运维等），保证安全策略在时间和 地域上的一致性，协助您加强对安全策略的有效管理。 绿盟科技派驻的现场职守工程师将实时监控相关安全产品的运行状况，当产品出现硬件 故障时，立即送还绿盟科技客户支持中心保修，并在维修期间提供临时替换用机。同时在现 场值守服务年度内，绿盟科技将派出安全工程师定期对您所购买和租赁的所有绿盟科技安全 产品应用最新补丁及规则库的升级文件，当产品证书需要更换时，现场职守工程师将提前与 绿盟科技相关部门取得联系，及时更换新的产品证书。 现场值守工作职责如下： 解决您网络运行所发生的安全问题 相关安全产品的升级、维护 对安全服务

40、进行记录，提交安全服务记录 安全通告安全通告 安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈，同时涉及信息技 术的众多领域，组织所掌握的安全知识的更新速度所受到的压力非常大。 绿盟科技从 1999 年就开始稳定的维护着国内最早，也是最大的中文安全资料库。绿盟 科技安全研究院作为国内领先的安全技术研究中心，在世界范围内对某些流行的攻击手段方 面的研究走到了攻击者的前面，几年来一直负责为绿盟科技和相关客户收集整理分析来源于 全球的各类安全信息，而且这个信息库每天还在不断的增加。 绿盟科技凭借国内领先的安全研究能力，广泛的采集途径，以及和全球同步的漏洞信息 收集系统，使得我们能高质量，

41、高效率的完成这些安全通告，将最新最严重的网络安全问题 最快的通报给您并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的 压力，而且能够得到专业人士的直接支持。 绿盟科技以安全通告的形式为您提供最新的安全动态、技术和定制的安全信息，包括实 时安全漏洞通知、定期安全通告汇总、临时安全解决方案和安全知识库更新等。 绿盟科技的安全通告服务将下面的这些成果与您共享： 厂商安全通告：根据您订阅的内容，提供主流厂商的中文安全通告，包括 Windows、AIX、HP-UX、Solaris、Linux、CISCO 等。 绿盟科技安全通告：绿盟科技发现的安全问题和其他有必要提示的重要安全问题通告。

42、 其他安全通告：其他应用系统和安全组织（如 SANS/CERT 等）的安全通告。 安全技术刊物绿盟月刊，每月一期。 对您的独立通讯方式进行记录：包括 email 地址，通信地址，电话，传真号。绿盟科技 使用安全通告服务器来维护这些信息和最新的分类安全漏洞。 绿盟科技研究部门定期将最新的安全漏洞信息更新到安全通告服务器，根据您订阅的不 同类别通告，详细细节将通过 Email 方式发送给您登记的邮件地址，每个月底，会将当月发 布的全部漏洞打包总结，发送到您的邮箱中。 被标注为紧急级别的安全漏洞，绿盟科技还将通过用户传真和电话通知的方式直接通知 到您。 您可以与专门的服务支持邮箱联系，随时调整自己的

43、订阅类别。 同时，绿盟科技目前还在建设短消息安全通告的发布以及订阅方式，使您能够更加方便 和及时的获得绿盟科技发布的相关安全信息。 服务成果：服务成果： 服务内容服务内容交付成果交付成果 深入详尽的分析相关安全日志数据 解决客户网络运行所发生的安全问题 记录安全服务工作，提交安全服务记录 最新的安全动态、技术和定制的安全信息 定期安全分析报表 特殊安全事件案例分析报告 安全设备维护记录 定期安全通告汇总分析 2.3.2 安全巡检服务安全巡检服务 绿盟科技提供的安全巡检服务将帮助您在安全巡检服务合同期间完成相关安全设备的维 护、本地安全漏洞扫描、补丁分发系统维护检查、应急响应的处理以及服务器主机

44、的安全加 固。 漏洞扫描漏洞扫描 漏洞扫描服务是日常安全运维工作中不可缺少并且可以独立存在的一步工作，通过漏洞 扫描工作，可以详细的了解当前网络和系统中可能存在的潜在安全隐患，从而为进一步通过 技术手段降低或解决问题提供了参考依据和方法。 漏洞扫描服务主要使用技术手段，通过远程的方式对被评估对象进行一系列的安全探测， 以发现网络中和系统中可能存在的安全隐患。 漏洞扫描过程中主要是通过评估工具以远程扫描的方式对评估范围内的系统和网络进行 安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账 号/口令等安全对象目标存在的安全风险、漏洞和威胁。漏洞扫描项目包括如下内容：

45、信息探测类Mail 服务 网络设备与防火墙Windows 远程访问 RPC 服务数据库问题 Web 服务后门程序 CGI 问题其他服务 文件服务网络拒绝服务(DOS) 域名服务其他问题 安全加固安全加固 绿盟科技根据安全评估及渗透测试的结果，结合各种网络设备、安全产品和操作系统的 安全特性，对加固对象进行修补加固。利用修补和加固解决在安全评估和漏洞扫描中发现的 各种技术性安全问题，基本保证在客观环境允许的情况下，被加固对象应不再存在高风险漏 洞和中风险漏洞(根据 CVE 标准定义)，对由于您业务环境原因无法进行修补的漏洞，绿盟科 技会分析漏洞对系统安全性影响并提出相应的解决建议，同时登记在遗留

46、问题记录中，以备 后续查找和参考。另外，在修补和加固完成后不影响修补加固对象原有的功能和性能。 安全加固是针对设备脆弱性采取的一种有效的安全手段，可以提高系统抵御外来的入侵 和蠕虫病毒袭击的能力，缩小影响范围，使信息系统可以长期保持在高度可信的状态。安全 加固主要包括如下工作： 主机系统安全加固 安装最新补丁 帐号、口令策略调整 网络与服务加固 文件系统权限增强 日志审核功能增强 安全性增强 网络设备安全加固 帐号和口令加固 网络与服务加固 访问控制策略增强 路由协议加固 日志审核策略增强 数据库系统安全加固 安装最新补丁 帐号、口令策略调整 日志审核功能增强 经过良好配置的系统或设备的抗攻击

47、性有极大的增强。在对系统作相应的安全加固后， 结合定期的安全评估和维护服务使您的系统保持在一个较高的安全线之上。 紧急响应紧急响应 目前许多组织自身尚没有足够的资源和能力对安全事故作出反应，甚至在当今的信息社 会，更多的组织还没有准备面对信息安全问题的挑战。网络安全的发展日新月异，谁也无法 实现一劳永逸的安全服务，所以当紧急安全问题发生，一般技术人员又无法迅速解决的时候， 及时发现问题、解决问题就必须依靠紧急响应来实现。 作为国内首家倡导安全紧急响应概念的网络安全服务商，绿盟科技有一套完整的紧急响 应体系和团队，在安全事件发生时和事后的调查及收取攻击证据等方面为多项紧急的安全事 件处理提供过服

48、务，获得业界的高度认可。绿盟科技的紧急响应服务提供高效的信息安全事 故反应体系以帮助您尽快对万一的信息安全破坏事故作出反应。在安全事件发生后，根据您 的需求以电话-远程支持-现场支持的方式提供服务，包括事故处理及恢复、事后的事故描 述报告以及后续的安全状况跟踪。绿盟科技提供的紧急响应现场服务从接到您响应需求到技 术支持人员达到现场，实际响应时间少于 2 小时（市区），市区之外 4-8 小时现场支持服务。 当您的主机或网络正遭到攻击或发现入侵成功的痕迹，而又无法当时解决和追查来源时。 我们将根据您的要求，以最快的速度赶到现场，协助您解决问题，查找后门，保存证据和追 查来源。绿盟科技的紧急响应团队

49、可以与您自己的网络安全中心以及反应体系配合协作，共 同完成对您网络安全事件的紧急响应和处理。 绿盟科技紧急响应服务种类包括： 入侵调查 拒绝服务攻击响应 大规模病毒爆发响应 主机、网络异常响应 其他紧急事件 补丁管理补丁管理 微软平台的操作系统在桌面系统和服务器平台上已经占据了大量的份额，而未安装补丁 的微软平台的操作系统不仅自身会存在许多安全漏洞，同时会给网络带来许多的安全隐患， 这种威胁将转化为非常严重的安全问题。现在，更多的用户都已经知道使用 Windows Update 来给系统安装补丁以增强安全性，但微软的升级服务器都架设在国外，有时候由于网 络的原因造成了国内用户连接服务器的速度非

50、常慢，而且由于补丁发布时，全球访问 Microsoft Windows Update 安装补丁的用户不计其数，此时下载补丁将会花费大量的时间， 使用可以审核的局域网内的补丁分发系统对于内部网络安全管理显得尤为重要，绿盟科技提 供补丁管理服务，为客户安装、调试并维护 WSUS（Microsoft Windows Server Update Services）补丁分发系统，为您的企业管理和发布重要更新、安全更新提供了一项重要解决 方案。 帮助您建立 WSUS 服务器部件在私有网络中的虚拟 Windows Update Service 服务器， 帮助您将 WSUS 服务器中的更新内容推到客户端电脑系

51、统。在服务器端下载所有的补丁程 序后，绿盟科技安全专家对补丁包进行审核后，然后再将补丁发布在企业内部的网络中。 同时根据您的实际情况，绿盟科技安全专家对在域中的客户端，通过修改组策略的设置 把默认的微软服务器改为企业内部的升级服务器的路径，实现补丁的自动下载和安装；对于 没有使用域结构的网络，绿盟科技安全专家通过使用注册表修改脚本对注册表进行修改，实 现补丁的自动下载和安装。 在日常的维护工作中，绿盟科技安全专家协助客户对补丁分发系统进行维护，统一制定 补丁审核、分发策略，解决实际运行过程中 WSUS 系统出现的技术问题，达到系统安全稳 定的运行，为您网络的安全保障提供技术解决方案。 服务成果

52、：服务成果： 服务内容服务内容交付成果交付成果 对相关网络设备进行维护 对操作系统的漏洞进行定期扫描 按照扫描服务的结果定期加固服务器主机 对补丁分发系统进行维护 在第一时间处理所需响应的紧急事件 漏洞扫描报告 主机安全加固报告 应急响应服务报告 安全设备定期维护记录 定期巡检服务报告 2.4 安全支持服务安全支持服务 安全培训安全培训 普及性安全培训 。对普通业务人员及办公人员进行安全常识培训。 内容：利用对大量的真实案例的描述，分析员工日常工作中经常用到的系统和 应用软件的安全隐患，提高企业或组织中普通桌面用户的安全意识；结合企业 或组织制定的一些安全管理规范解释在日常工作中需要养成哪些安全操作习惯。 中级安全培训。全面理解信息安全技术的各项内容，掌握相关系统的安全配置和管 理，具备局域网安全规划和实施的能力。 内容：通过培训使企业或组织的系统管理员或者安全管理员在系统应用安全、 信息安全、黑客攻防技术上有足够的认识，提高管理员的信息安全技术水平； 通过介绍常见的安全产品的工作原理和常见配置方法，帮助管理员充分利用现 有的安全产品资源，最高效的保护企业或组织的信息安全。 服务名称服务名称工作内容工作内容次数次数备注备注 普及性安全培训普及性安全培训 对普通业务人员及办公人员 进行安全常识培训 一次 中级