安全服务为电信运营商保驾护航.doc

安全服务为电信运营商保驾护航 　　2003-08-11 14:33 冠群金辰 　　目前，互联网已经为更多的商务活动开辟了新的纪元，而随着用户接入Internet后，互联网的开放性也使不少企业的珍贵的商务数据面临各种敌意的攻击，网络安全成为突出问题。安全服务的灵活性和广泛的适用性，一直受到用户的喜欢，但这同时也导致安全服务本身内容复杂，环节众多。用户面对众多的安全服务商，众多的安全服务包无从下手。如何有效地组织安全服务体系并确保其完整性和适用性成为摆在专业安全厂家面前的问题。完整的安全体系应该不仅能帮助用户解决现有的安全问题，还能够帮助他们预计未来的趋势，规划安全的长期发展。 　　与此同时，有效的网络安全服务已不再局限于售后服务，而是贯穿前期咨询、安全风险评估、项目实施、安全培训、售后技术支持、产品更新换代、安全外包等全过程的服务。作为全面整体网络安全解决方案及服务提供商冠群金辰软件有限公司则根据用户需求量身定制基于风险管理基础之上的安全服务解决方案，该解决方案具有很强的前瞻性，并且已为南方某电信运营商成功应用。 　　风险评估 　　南方某电信运营商是该省最重要的网络进出口，冠群金辰作为其安全服务商，提供了最全面的安全评估服务，从前期的需求分析、信息资产分类到漏洞审计加固培训为用户提供了一套完整的安全服务。通过本项目的工作使得该电信运营商对项目范围内的信息资产及其风险得到很好的分析，对安全基础设施的建设提供全面的需求分析、功能分析、框架设计、部署和实施初步方案设计等。 　　本项目针对该公司所在省的十一个地市及重点抽查的省会城市电信评估作为策略制定的依据，从管理、应用、系统、网络各个层面对用户进行了评估。在策略制定时冠群金辰根据用户的实际业务运行情况及时调整策略直到最终满足用户需求，同时协助用户采用技术手段和行政手段最终落实相关策略，在整个项目的评估过程中冠群金辰的工程师对所有实施的技术手段做有效的技术转移，技术培训穿插在整个评估服务的过程当中。 　　通过本项目，对于项目范围内的重要信息数据（比如，技术文档、源程序、企业运行数据、电子邮件、管理文档商业文档）的安全保护框架，以及承载这些数据的系统的安全保护框架进行全面的设计。在本项目中涉及的安全性涵盖： 　　· 完整性 Integrity 　　· 机密性 Confidential 　　· 可用性 Availability 　　· 可靠性 Reliability 　　· 正确性、真实性 Authentication 　　· 责任定位、可审计性 Accountability 　　策略制定 　　本项目对该电信运营商所在省的电信网络所有涉及IT的策略进行全面的评估，以便使得所有策略能够共同确保信息安全策略的执行。对目前的安全政策、标准和指导方针进行评审。评估事件通知方法及事件危机程度汇报体系，以确定联系人。冠群金辰安全技术顾问和客户网络安全负责人及安全技术人员一起，对电信公司的业务和信息系统的具体情况进行充分分析后，提供一个该省电信信息系统安全策略评估结果说明书。说明书详尽地分析该省电信网络系统的具体安全需求。此说明书作为该省电信网络系统进行安全管理的根据。针对管理、系统、应用、网络，冠群金辰公司为该电信运营商提供了一系列完整的安全策略建议书，包括如下： 　　· 《信息安全总则制订》 　　· 《信息安全人员组织管理规章制定》 　　· 《信息安全需求分析和功能分析》 　　· 《信息安全管理总体纲要》 　　· 《信息安全评估准则》 　　· 《信息安全实施和管理指南》 　　· 《信息安全检查执行指南》 　　· 《信息安全紧急响应指南》 　　· 《信息安全保密等级制度》 　　· 《实施信息安全策略流程》 　　审计加固 　　整个安全评估历经60天，通过冠群金辰公司的安全顾问们检查客户网络的拓扑结构，根据网络的拓扑结构的特点，再结合网络中现有设备的安装，使用情况，做出安全分析，找出存在的安全漏洞；检查网络设备的安装、设置和使用情况，从而评估它们的安全性；检查操作系统的安全设置、漏洞修补和使用情况，根据这些情况对它们作出安全评估，找出安全隐患；针对网络设备和主机操作系统检测出来的漏洞进行相应的漏洞修补和系统升级。 　　本项目审计加固的内容包括： 　　·各种不同品牌的交换路由设备的性能调整 　　·宽带接入设备的安全加固 　　·操作系统安全加固 　　·数据库安全加固 　　·网络安全产品优化配置 　　·整体网络结构安全加固 　　操作系统加固优化 　　根据对操作系统安全评估所产生的安全评估报告，针对该电信运营商操作系统平台所存在的安全问题（系统自身的安全漏洞，