《{售后服务}安全服务建议书》由会员分享,可在线阅读,更多相关《{售后服务}安全服务建议书(37页珍藏版)》请在金锄头文库上搜索。
1、XXXIDC安全服务建议书二三年四月目 录1公司信息错误!未定义书签。1.1简介错误!未定义书签。1.2公司理念错误!未定义书签。1.3信息安全服务资质错误!未定义书签。1.4公司地址错误!未定义书签。2XXXIDC安全服务需求12.1网络拓扑图12.2安全服务需求12.3安全产品需求13安全服务内容13.1严密的安全体系13.2专业的安全服务13.2.1安全审计服务13.2.2紧急安全响应服务13.2.3路由器安全增强配置13.2.4防火墙安全配置13.2.5DNS应用系统安全配置13.2.6WEB应用系统安全配置13.2.7MAIL应用系统安全配置13.2.8安全培训服务14XXX公司安全
2、服务质量控制与保证14.1技术基础14.2人员保证14.3安全服务规范15合作提供安全服务的设想16结语11 公司简介包含公司有关资质、奖励等2 XXXIDC安全服务需求XXXIDC是724小时不间断运行的系统,为保证XXXIDC系统安全可靠地运行,保守企业和用户秘密,维护企业和用户的合法权益,应该具有极高的可靠性和良好的安全性。通过完备的安全规范和策略建立一个配套的安全管理制度,利用业界最新的安全技术去建设一个环境安全和管理安全的安全体系,从而满足XXXIDC系统对安全的要求。2.1 网络拓扑图2.2 安全服务需求经过与XXXIDC的多次交流,我公司理解的本次安全服务需求如下:1) 对10台
3、服务器进行安全加固。 Linux 6.2 1台,运行Apache、PHP、MySql; Windows 2000 9台;上面有IIS 6台,IDS(1台),DB(SQL Server 2000)2套,网管软件一套,Backup Server 1台。2) 安全审计的服务器数量30台3) 对IDC主机做日志搜集和分析的要求也不大,只要有储存,不需要分析。4) IP规划中生产区和办公区没分开,共用一个网段。5) 人员规模在40人左右,有自己的安全管理制度,补丁更新及时。6) 备份系统为磁带库。对安全服务比较明确的要求是,在安全审计报告方面及时、详细、重点突出;在平时的工作日志中要做到详细,有案可查。
4、XXXIDC系统的安全风险评估是针对已经建设的XXXIDC系统的策略、设计、和安全漏洞进行审计和检测。主要考察其:合理性:人员配置、设备配备、制度建设和执行可用性:系统的管理、操作、维护性能保密性:数据信息的加密等保护措施完整性:信息的完整性确定性:认证/防抵赖可追溯性:日志记录等2.3 安全产品需求XXXIDC已有的安全产品是CA公司的EAC主机加固,EID的IDS,冰之眼扫描器。针对安全需求书中提到和比较急的安全需求,在附件中推荐了部分安全产品,主要用于系统安全加固、及时发现系统漏洞和对系统日志进行分析,产品如下:1) 系统安全增强工具;2) 安全审计中心;3) 网络安全分析仪;4) 日志
5、分析中心。3 安全服务内容3.1 严密的安全体系针对IDC的特殊性,我公司建议从安全整体规划出发,建立一套完整、严密的安全服务体系,以便从统一安全策略出发,从上到下地严密控制可能产生的安全风险,在这套完整的安全体系下,您的网络的安全风险将是可见的、可控的、可管理的,达到将风险降到最低的目的。3.2 专业的安全服务信息安全一向是一个交互的过程,使用任何一种“静态”或者号称“动态”防范的产品都不能解决不断新出现的安全问题,所以我公司针对安全问题的特点,提供针对IDC的全面的安全服务。在IDC的环境中: 系统的安全性和操作系统提供商和软件提供商非常有关,作为网络的使用者,必须时刻和各种软硬件厂商的安
6、全部门联系,获得最新的安全报告。 防火墙并不能保护一切网络资源。防火墙能够保护经过严格规则设定的网络资源不泄漏,以及可以拒绝绝大多数的端口扫描和Deny of Service(拒绝服务)攻击,但是传统的防火墙不能拒绝正当的连接中带的攻击行为以及来自内部网的攻击。 网络实时入侵探测软件的报警功能的局限性。目前任何一种网络实时入侵探测软件都不能截获局域网上100的数据包进行分析,因此存在着一定的漏报问题。 人员的操作水平和系统的复杂性之间的差距。现有的系统管理员对目前先进、复杂的网络的管理能力有限。基于以上种种原因,我公司作为专业安全服务提供商,更专注于提供专业的安全咨询服务,我公司推出了系统安全
7、服务,解决了日常运营维护中的系统安全问题对网络建设者和运营商的困扰。网络安全并不是按照说明书安装几个流行的网络安全产品就能解决问题的。它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略以及其他多种安全服务。XXX公司的信息安全服务中的安全风险评估服务,包括资产鉴定、威胁评估、影响评估、脆弱性评估和风险鉴定。第一步是进行资产鉴定,确定哪些资产需要重点安全保护;第二步是针对需要重点安全保护的信息资产进行威胁评估、影响评估和脆弱性评估;第三步在上面两步的基础上进行风险等级,确定风险等级。建议XXXIDC对其系统进行全面的安全评估,但鉴于已明确决
8、定具体的服务内容,并已有一定的安全基础,下面只针对脆弱性评估中的系统脆弱性评估进行描述,对环境脆弱性和管理脆弱性不做描述。为与贵公司保持概念上的一致,将系统脆弱性评估服务也称为安全审计服务。3.2.1 安全审计服务网络安全和系统安全是一个不断发展的新事物,从网络安全的技术构成上来说,黑客和系统管理员之间的斗争是一个时间和耐力的赛跑。网络系统的一处安全漏洞、系统管理员的机房管理制度以及流程上的一些疏漏就有可能成为网络安全的一个致命点。同时,随着时间的发展,本来相对安全的网络系统可能会出现新的安全问题,系统管理员有意或无意的对系统参数或网络结构的调整,也可能会带来新的安全问题。因此,如何在长期的运
9、行维护过程中,保证客户的网络系统长期稳定的安全性,就显得极为重要。我公司日常安全审计服务是周期性评估服务,它面向防火墙、WWW服务器、MAIL服务器、电子商务服务器、DNS服务器和其他更多的网络设备和主机系统。该服务利用各种方式来动态评估以上各种系统的安全状况。该安全评估服务作为对现有安全措施的补充,以确认对网络安全控制的效力。3.2.1.1 服务目标我公司日常安全审计服务的目标是,首先,通过对网络进行安全审计,得出整个网络安全状态的评估报告,找出网络的安全漏洞和隐患,并据此提出解决措施,进行安全项目的集成,以保障大型和复杂网络环境的网络安全;同时,在网络运行维护过程中,对系统进行日常的安全审
10、计服务,动态监控整个系统的安全状况,以此不断解决新发现的安全问题。3.2.1.2 服务内容与流程服务内容:1)从管理层次出发,制定切实可行的日常安全审计制度,其中包括:l 建立客户方与我公司日常安全审计的例行制度;l 明确定义日常安全审计服务实施的日程安排与计划;l 明确定义我公司日常安全审计服务中涉及到的报告的形式及内容;l 明确定义日常安全审计服务所要达到的目标;2)从技术层次出发,建立标准的安全审计流程,明确定义安全审计所涉及的过程及技术要求,其中包括:l 建立详细完备的用户确认制度和签字验收制度;l 明确定义安全审计中扫描代价分析的方法与原则;l 明确定义安全审计中扫描工具选择的原则;
11、l 明确定义安全审计中制定扫描方案的原则;l 明确定义安全审计中安全扫描的实施原则;l 明确定义安全审计中实际扫描的实施技术要求;l 明确定义安全审计中制定安全增强建议方案的原则;l 明确定义安全审计中安全修补方案制定的原则;l 明确定义安全审计中涉及到的安全修补的实施原则;l 明确定义安全审计中涉及到的安全修补的实施技术要求;3)从用户需求、网络现状及以往安全审计结果出发,确定安全审计服务范围,其中包括:l 确定需要进行审计的网段、并对该网段系统运行情况分析,得出审计准备概要报告;l 在需要审计的网段内,确定需要进行安全审计的网络设备,并列出这些网络设备中需要审计的服务清单;l 对确定需要审
12、计的网络设备进行扫描风险性评估;l 在需要审计的网段内,确定需要进行安全审计的主机系统,并列出这些主机系统中需要审计的服务清单;l 对确定需要审计的主机系统进行扫描风险性评估;l 在需要审计的网段内,确定需要进行安全审计的应用系统,并列出这些应用系统中需要审计的服务清单;l 对确定需要审计的应用系统进行扫描风险性评估;l 确定最终的安全扫描方案,包括需要检查的项目,扫描的时间安排、从整体上进行的扫描风险评估及风险对策;l 向用户提交扫描方案,按照安全审计制度获得用户确认;4)根据扫描风险评估报告,选用安全扫描工具进行实际扫描l 分析比较各种安全扫描工具,得到各种安全扫描产品的优缺点比较表;l
13、根据最终的安全扫描方案,以及扫描风险评估,选定一个或多个合适的扫描工具;l 根据扫描方案中的检查项目,利用选定的扫描工具,按照扫描的具体时间安排,进行实际扫描的工作;l 对于实际扫描过程中出现的突发事件,采用扫描方案中的风险对策或临时制定的解决措施,及时、正确的给予解决,尽力确保不影响整个系统正常的运营维护;l 根据扫描工具得出的扫描结果,从网络系统、主机系统、应用系统以及数据系统得出综合的扫描结果报告5)根据扫描结果报告提出系统安全的建议方案并设计安全解决方案l 根据综合的扫描结果报告,总结近期发生的安全事件,从管理层次角度上制定报告;l 根据综合的扫描结果报告,结合被审计系统的日志及其它信
14、息,从技术层次上得出全网安全水平综合报告(包括:安全管理上的优点/缺点、各系统对攻击情况的防护能力、系统中存在的安全漏洞及其安全隐患以及安全事件列表等);l 根据全网安全水平综合报告,在客户配合之下,对系统中存在的问题提出安全建议报告,并制定相应的动态安全解决方案;l 将安全事件报告、安全水平综合报告、安全建议报告及安全解决方案提交给用户,并确认;6)根据安全扫描报告、增强系统安全的建议方案和上述制定的安全解决方案对系统进行安全修补,其中包括:l 安装系统补丁;l 停止不需要的服务;l 替换有问题的软件为同样功能、但更安全的软件;l 修改有安全问题的软件配置;l 修补结束,得出安全修补实施报告
15、,提交给用户并确认;7)依照日常安全审计制度,定期的对系统进行上述的安全审计服务流程:日常安全审计服务(一)审计工作流程日常安全审计服务(二)修补工作流程安全审计服务文档流程3.2.1.3 服务指标与服务承诺审计工作时间安排签订合同后10个工作日内第一次日常审计,之后每月同一时间进行审计(时间前后差距不超过3天,审计周期可根据客户要求调整)审计工作花费工时6台主机(网络设备)/每工作日(不含修补时间)提交审计报告时限当次审计结束后2工作日内3.2.1.4 我公司日常安全审计服务的优势 周期性的检查和修补,使客户的网络安全状况始终保持在一个较高的水平。 技术全面,使用多种审计工具和手工检查相结合,能够全面的检查出系统的安全隐患,比只使用扫描器检查更加全面。 事先风险评价,在实施审计工作前谨慎的评价扫描工具可能带来的影响,并加以适当的调整以消除
