（售后服务）2020年安全服务建议书S

《（售后服务）2020年安全服务建议书S》由会员分享，可在线阅读，更多相关《（售后服务）2020年安全服务建议书S（37页珍藏版）》请在金锄头文库上搜索。

1、XXXIDCXXXIDC 安全服务建议书安全服务建议书 二二 三年四月三年四月 XXXIDC 安全服务技术建议书 1 目目 录录 1公司信息公司信息 错误 未定义书签 1 1简介 错误 未定义书签 错误 未定义书签 1 2公司理念 错误 未定义书签 错误 未定义书签 1 3信息安全服务资质 错误 未定义书签 错误 未定义书签 1 4公司地址 错误 未定义书签 错误 未定义书签 2XXXIDC 安全服务需求安全服务需求 1 2 1网络拓扑图 1 2 2安全服务需求 1 2 3安全产品需求 1 3安全服务内容安全服务内容 1 3 1严密的安全体系 1 3 2专业的安全服务 1 3 2 1安全审计服

2、务 1 3 2 2紧急安全响应服务 1 3 2 3路由器安全增强配置 1 3 2 4防火墙安全配置 1 3 2 5DNS应用系统安全配置 1 3 2 6WEB应用系统安全配置 1 3 2 7MAIL应用系统安全配置 1 3 2 8安全培训服务 1 4XXX 公司安全服务质量控制与保证公司安全服务质量控制与保证 1 4 1技术基础 1 4 2人员保证 1 4 3安全服务规范 1 5合作提供安全服务的设想合作提供安全服务的设想 1 6结语结语 1 XXXIDC 安全服务建议书第 1 页 1公司简介 包含公司有关资质 奖励等 XXXIDC 安全服务建议书第 2 页 2XXXIDC 安全服务需求 XX

3、XIDC 是 7 24 小时不间断运行的系统 为保证 XXXIDC 系统安全可靠地运 行 保守企业和用户秘密 维护企业和用户的合法权益 应该具有极高的可靠性和 良好的安全性 通过完备的安全规范和策略建立一个配套的安全管理制度 利用业 界最新的安全技术去建设一个环境安全和管理安全的安全体系 从而满足 XXXIDC 系统对安全的要求 2 1网络拓扑图网络拓扑图 网 管 系 统 3524 虚 拟 主 机 系 统 应 用 系 统 EID 入 侵 检 测 系 统 防火墙 INTERNET 生产区 安全区 百M环境 笔记本电脑 运行远程安全评估软件 并可切入网络不同点进行审计 6509 3524 入 侵

4、检 测 系 统 2950 客 户 机 器 客 户 机 器 防火墙 日 志 服 务 器 出口千兆 终端百兆网络 客户安全区 6509 2950 应 用 系 统 网 管 系 统 2 2安全服务需求安全服务需求 经过与 XXXIDC 的多次交流 我公司理解的本次安全服务需求如下 1 对 10 台服务器进行安全加固 Linux 6 2 1 台 运行 Apache PHP MySql Windows 2000 9 台 上面有 IIS 6 台 IDS 1 台 DB SQL Server 2000 2 套 网管软件一套 XXXIDC 安全服务建议书第 3 页 Backup Server 1 台 2 安全审计

5、的服务器数量 30 台 3 对 IDC 主机做日志搜集和分析的要求也不大 只要有储存 不需要分析 4 IP 规划中生产区和办公区没分开 共用一个网段 5 人员规模在 40 人左右 有自己的安全管理制度 补丁更新及时 6 备份系统为磁带库 对安全服务比较明确的要求是 在安全审计报告方面及时 详细 重点突出 在平时的工作日志中要做到详细 有案可查 XXXIDC 系统的安全风险评估是针对已经建设的 XXXIDC 系统的策略 设计 和安全漏洞进行审计和检测 主要考察其 合理性 人员配置 设备配备 制度建设和执行 可用性 系统的管理 操作 维护性能 保密性 数据信息的加密等保护措施 完整性 信息的完整性

6、 确定性 认证 防抵赖 可追溯性 日志记录等 2 3安全产品需求安全产品需求 XXXIDC 已有的安全产品是 CA 公司的 EAC 主机加固 EID 的 IDS 冰之眼扫 描器 针对安全需求书中提到和比较急的安全需求 在附件中推荐了部分安全产品 主要用于系统安全加固 及时发现系统漏洞和对系统日志进行分析 产品如下 1 系统安全增强工具 2 安全审计中心 3 网络安全分析仪 4 日志分析中心 XXXIDC 安全服务建议书第 4 页 3安全服务内容 3 1严密的安全体系严密的安全体系 针对 IDC 的特殊性 我公司建议从安全整体规划出发 建立一套完整 严密的 安全服务体系 以便从统一安全策略出发

7、从上到下地严密控制可能产生的安全风 险 在这套完整的安全体系下 您的网络的安全风险将是可见的 可控的 可管理 的 达到将风险降到最低的目的 3 2专业的安全服务专业的安全服务 信息安全一向是一个交互的过程 使用任何一种 静态 或者号称 动态 防 范的产品都不能解决不断新出现的安全问题 所以我公司针对安全问题的特点 提 供针对 IDC 的全面的安全服务 在 IDC 的环境中 系统的安全性和操作系统提供商和软件提供商非常有关 作为网络的使用者 必须时刻和各种软硬件厂商的安全部门联系 获得最新的安全报告 防火墙并不能保护一切网络资源 防火墙能够保护经过严格规则设定的网络 资源不泄漏 以及可以拒绝绝大

8、多数的端口扫描和 Deny of Service 拒绝服务 攻 击 但是传统的防火墙不能拒绝正当的连接中带的攻击行为以及来自内部网 的攻击 网络实时入侵探测软件的报警功能的局限性 目前任何一种网络实时入侵探 测软件都不能截获局域网上 100 的数据包进行分析 因此存在着一定的漏 报问题 人员的操作水平和系统的复杂性之间的差距 现有的系统管理员对目前先进 复杂的网络的管理能力有限 基于以上种种原因 我公司作为专业安全服务提供商 更专注于提供专业的安 全咨询服务 我公司推出了系统安全服务 解决了日常运营维护中的系统安全问题 对网络建设者和运营商的困扰 网络安全并不是按照说明书安装几个流行的网络安全

9、产品就能解决问题的 它 需要合适的安全体系和合理的安全产品组合 需要根据网络及网络用户的情况和需 求规划 设计和实施一定的安全策略以及其他多种安全服务 XXX 公司的信息安全服务中的安全风险评估服务 包括资产鉴定 威胁评估 XXXIDC 安全服务建议书第 5 页 影响评估 脆弱性评估和风险鉴定 第一步是进行资产鉴定 确定哪些资产需要重 点安全保护 第二步是针对需要重点安全保护的信息资产进行威胁评估 影响评估 和脆弱性评估 第三步在上面两步的基础上进行风险等级 确定风险等级 建议 XXXIDC 对其系统进行全面的安全评估 但鉴于已明确决定具体的服务内 容 并已有一定的安全基础 下面只针对脆弱性评

10、估中的系统脆弱性评估进行描述 对环境脆弱性和管理脆弱性不做描述 为与贵公司保持概念上的一致 将系统脆弱 性评估服务也称为安全审计服务安全审计服务 3 2 1安全审计服务 网络安全和系统安全是一个不断发展的新事物 从网络安全的技术构成上来说 黑客和系统管理员之间的斗争是一个时间和耐力的赛跑 网络系统的一处安全漏洞 系统管理员的机房管理制度以及流程上的一些疏漏就有可能成为网络安全的一个致 命点 同时 随着时间的发展 本来相对安全的网络系统可能会出现新的安全问题 系统管理员有意或无意的对系统参数或网络结构的调整 也可能会带来新的安全问 题 因此 如何在长期的运行维护过程中 保证客户的网络系统长期稳定

11、的安全性 就显得极为重要 我公司日常安全审计服务是周期性评估服务 它面向防火墙 WWW 服务器 MAIL 服务器 电子商务服务器 DNS 服务器和其他更多的网络设备和主机系统 该服务利用各种方式来动态评估以上各种系统的安全状况 该安全评估服务作为对 现有安全措施的补充 以确认对网络安全控制的效力 3 2 1 1服务目标 我公司日常安全审计服务的目标是 首先 通过对网络进行安全审计 得出整 个网络安全状态的评估报告 找出网络的安全漏洞和隐患 并据此提出解决措施 进行安全项目的集成 以保障大型和复杂网络环境的网络安全 同时 在网络运行 维护过程中 对系统进行日常的安全审计服务 动态监控整个系统的安

12、全状况 以 此不断解决新发现的安全问题 3 2 1 2服务内容与流程 服务内容 服务内容 XXXIDC 安全服务建议书第 6 页 1 从管理层次出发 制定切实可行的日常安全审计制度 其中包括 建立客户方与我公司日常安全审计的例行制度 明确定义日常安全审计服务实施的日程安排与计划 明确定义我公司日常安全审计服务中涉及到的报告的形式及内容 明确定义日常安全审计服务所要达到的目标 2 从技术层次出发 建立标准的安全审计流程 明确定义安全审计所涉及的过 程及技术要求 其中包括 建立详细完备的用户确认制度和签字验收制度 明确定义安全审计中扫描代价分析的方法与原则 明确定义安全审计中扫描工具选择的原则 明

13、确定义安全审计中制定扫描方案的原则 明确定义安全审计中安全扫描的实施原则 明确定义安全审计中实际扫描的实施技术要求 明确定义安全审计中制定安全增强建议方案的原则 明确定义安全审计中安全修补方案制定的原则 明确定义安全审计中涉及到的安全修补的实施原则 明确定义安全审计中涉及到的安全修补的实施技术要求 3 从用户需求 网络现状及以往安全审计结果出发 确定安全审计服务范围 其中包括 确定需要进行审计的网段 并对该网段系统运行情况分析 得出审计准 备概要报告 在需要审计的网段内 确定需要进行安全审计的网络设备 并列出这些 网络设备中需要审计的服务清单 对确定需要审计的网络设备进行扫描风险性评估 在需要

14、审计的网段内 确定需要进行安全审计的主机系统 并列出这些 XXXIDC 安全服务建议书第 7 页 主机系统中需要审计的服务清单 对确定需要审计的主机系统进行扫描风险性评估 在需要审计的网段内 确定需要进行安全审计的应用系统 并列出这些 应用系统中需要审计的服务清单 对确定需要审计的应用系统进行扫描风险性评估 确定最终的安全扫描方案 包括需要检查的项目 扫描的时间安排 从 整体上进行的扫描风险评估及风险对策 向用户提交扫描方案 按照安全审计制度获得用户确认 4 根据扫描风险评估报告 选用安全扫描工具进行实际扫描 分析比较各种安全扫描工具 得到各种安全扫描产品的优缺点比较表 根据最终的安全扫描方案

15、 以及扫描风险评估 选定一个或多个合适的 扫描工具 根据扫描方案中的检查项目 利用选定的扫描工具 按照扫描的具体时 间安排 进行实际扫描的工作 对于实际扫描过程中出现的突发事件 采用扫描方案中的风险对策或临 时制定的解决措施 及时 正确的给予解决 尽力确保不影响整个系统正常 的运营维护 根据扫描工具得出的扫描结果 从网络系统 主机系统 应用系统以及 数据系统得出综合的扫描结果报告 5 根据扫描结果报告提出系统安全的建议方案并设计安全解决方案 根据综合的扫描结果报告 总结近期发生的安全事件 从管理层次角度 上制定报告 根据综合的扫描结果报告 结合被审计系统的日志及其它信息 从技术 层次上得出全网

16、安全水平综合报告 包括 安全管理上的优点 缺点 各系 统对攻击情况的防护能力 系统中存在的安全漏洞及其安全隐患以及安全事 件列表等 XXXIDC 安全服务建议书第 8 页 根据全网安全水平综合报告 在客户配合之下 对系统中存在的问题提 出安全建议报告 并制定相应的动态安全解决方案 将安全事件报告 安全水平综合报告 安全建议报告及安全解决方案提 交给用户 并确认 6 根据安全扫描报告 增强系统安全的建议方案和上述制定的安全解决方案对 系统进行安全修补 其中包括 安装系统补丁 停止不需要的服务 替换有问题的软件为同样功能 但更安全的软件 修改有安全问题的软件配置 修补结束 得出安全修补实施报告 提交给用户并确认 7 依照日常安全审计制度 定期的对系统进行上述的安全审计 服务流程 服务流程 XXXIDC 安全服务建议书第 9 页 扫描代价分析扫描工具考虑 确定检查项目 用户确认 制定扫描方案 实际扫描 主机系 统扫描 网络系 统扫描 应用系 统扫描 数据系 统扫描 扫描结果报告 主机系统 审计报告 网络系统 审计报告 应用系统 审计报告 数据系统 审计报告 No Yes 增强系统安全的建议方