AAA商业连锁股份有限公司安全服务方案.docVIP

文档控制 文档生成 拟 制 戴开明 签字日期 审 核 席斐 签字日期 会 签 签字日期 签字日期 批 准 曹鹏 签字日期 修改记录 序号 修改日期 人员 更新说明 1、 12.28 戴开明 文档新建 版本控制 版本 日期 备注 1.0 03.19 建立 目 录1. 项目背景 5 1.1. 项目背景及概述 5 1.2. 项目的范围和目标 5 1.2.1. 项目的范围 5 1.2.2. 项目的目标 6 1.3. 评估原则和依据 7 1.3.1. 评估原则 7 1.3.2. 评估依据 8 2. 总体项目思路 9 2.1. 参考模型 9 2.1.1. P2DR模型 9 2.1.2. PADIMEETM模型 10 2.1.3. APPDRR模型 11 2.2. 总体项目策略 12 3. 风险评估与加固方案 12 3.1. 已有安全事件分析 12 3.2. 网络安全评估与加固 13 3.2.1. 网络架构分析 13 3.2.2. 网络流量分析 14 3.2.3. 网络设备安全漏洞检查 15 3.2.4. 网络设备安全配置检查 15 3.2.5. 设备安全加固 16 3.3. 系统安全评估与加固 18 3.3.1. 主机安全检查 18 3.3.2. 主机安全加固 20 3.4. 应用安全评估与加固 23 3.4.1. 应用安全检查 23 3.4.2. 应用安全加固 25 3.5. 渗透测试 27 3.6. 安全评估总结分析及规划建议 29 4. 安全培训方案 30 4.1. 面向管理层的培训 30 4.2. 面向技术人员的培训 31 4.3. 面向普通员工的培训 34 5. 技术支持 35 1.1. 应急响应服务 35 6. 东软信息安全服务资质 42 7. 案例介绍 43 项目背景 项目背景及概述 随着安全事件的不断增加，人们安全意识的不断提高，如何有效地选择安全措施，如何使安全产品发挥应有的作用，如何快速经济地提升系统的安全状况成为用户关心的问题。人们已不再满足于单纯地购买安全产品，开始寻找全面的、系统的解决方法。在这种环境下，安全服务逐渐被用户接受，成为贯穿安全工作各个阶段、渗透各个方面的重要措施。 安全服务是信息系统安全体系中不可或缺的一部分，是整个IT环境的成熟度的一个衡量指标，当整个产业的IT基础设施建设到一定程度后，在规避安全风险、控制安全成本及商业持续性保障需求的压力之下，就需要开始考虑如何制定符合自身的安全策略并使之与业务结合，这就是安全服务产生的基础。完整的安全体系不仅能帮助用户解决现有的安全问题，还能够帮助他们预计未来的趋势，规划安全的长期发展。 准确了解企业的信息安全现状 明晰企业的信息安全需求 制定企业信息系统的安全策略和安全解决方案 指导企业未来的信息安全建设和投入 建立企业自身的信息安全管理框架 安全技术（作为技术度量――功能、脆弱性）： 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）《关于信息安全等级保护工作的实施意见》（公通字［2004］66号）《信息安全等级保护管理办法（试行）》（公通字[2006]7号）P2DR模型 P2DR 模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。 该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。 作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt；在入侵发生的同时，检测系统也在发挥作用，检测到入侵行为也要花费时间―检测时间Dt；在检测到入侵后，系统会做出应有的响应动作，这也要花费时间―响应时间Rt。 P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。P2DR模型是TCSEC模型的发展，也是目前被普遍采用的安全模型。P2DR模型包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response （响应）。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。 网络安全防范体系应该是动态变化的。安全防护是一个动态的过程， P2DR是东软推崇的基于时间的动态安全体系。 PADIMEETM模型