安全服务建议书培训资料.doc

PAGE XXXIDC 安全服务建议书 二○○三年四月 XXXIDC安全服务技术建议书 - PAGE 1 - 目 录 TOC \o 1-3 \h \z 1 公司信息 错误！未定义书签。 1.1 简介 错误！未定义书签。 1.2 公司理念 错误！未定义书签。 1.3 信息安全服务资质 错误！未定义书签。 1.4 公司地址 错误！未定义书签。 2 XXXIDC安全服务需求 1 2.1 网络拓扑图 1 2.2 安全服务需求 1 2.3 安全产品需求 1 3 安全服务内容 1 3.1 严密的安全体系 1 3.2 专业的安全服务 1 3.2.1 安全审计服务 1 3.2.2 紧急安全响应服务 1 3.2.3 路由器安全增强配置 1 3.2.4 防火墙安全配置 1 3.2.5 DNS应用系统安全配置 1 3.2.6 WEB应用系统安全配置 1 3.2.7 MAIL应用系统安全配置 1 3.2.8 安全培训服务 1 4 XXX公司安全服务质量控制与保证 1 4.1 技术基础 1 4.2 人员保证 1 4.3 安全服务规范 1 5 合作提供安全服务的设想 1 6 结语 1 XXXIDC安全服务建议书 第 PAGE 7 页 公司简介 包含公司有关资质、奖励等 XXXIDC安全服务需求 XXXIDC是7×24小时不间断运行的系统，为保证XXXIDC系统安全可靠地运行，保守企业和用户秘密，维护企业和用户的合法权益，应该具有极高的可靠性和良好的安全性。通过完备的安全规范和策略建立一个配套的安全管理制度，利用业界最新的安全技术去建设一个环境安全和管理安全的安全体系，从而满足XXXIDC系统对安全的要求。 网络拓扑图 安全服务需求 经过与XXXIDC的多次交流，我公司理解的本次安全服务需求如下： 对10台服务器进行安全加固。 Linux 6.2 1台，运行Apache、PHP、MySql; Windows 2000 9台； 上面有IIS 6台，IDS（1台），DB（SQL Server 2000）2套，网管软件一套，Backup Server 1台。 安全审计的服务器数量30台 对IDC主机做日志搜集和分析的要求也不大，只要有储存，不需要分析。 IP规划中生产区和办公区没分开，共用一个网段。 人员规模在40人左右，有自己的安全管理制度，补丁更新及时。 备份系统为磁带库。 对安全服务比较明确的要求是，在安全审计报告方面及时、详细、重点突出；在平时的工作日志中要做到详细，有案可查。 XXXIDC系统的安全风险评估是针对已经建设的XXXIDC系统的策略、设计、和安全漏洞进行审计和检测。主要考察其： 合理性：人员配置、设备配备、制度建设和执行 可用性：系统的管理、操作、维护性能 保密性：数据信息的加密等保护措施 完整性：信息的完整性 确定性：认证/防抵赖 可追溯性：日志记录等 安全产品需求 XXXIDC已有的安全产品是CA公司的EAC主机加固，EID的IDS，冰之眼扫描器。 针对安全需求书中提到和比较急的安全需求，在附件中推荐了部分安全产品，主要用于系统安全加固、及时发现系统漏洞和对系统日志进行分析，产品如下： 系统安全增强工具； 安全审计中心； 网络安全分析仪； 日志分析中心。 安全服务内容 严密的安全体系 针对IDC的特殊性，我公司建议从安全整体规划出发，建立一套完整、严密的安全服务体系，以便从统一安全策略出发，从上到下地严密控制可能产生的安全风险，在这套完整的安全体系下，您的网络的安全风险将是可见的、可控的、可管理的，达到将风险降到最低的目的。 专业的安全服务 信息安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决不断新出现的安全问题，所以我公司针对安全问题的特点，提供针对IDC的全面的安全服务。 在IDC的环境中： 系统的安全性和操作系统提供商和软件提供商非常有关，作为网络的使用者，必须时刻和各种软硬件厂商的安全部门联系，获得最新的安全报告。 防火墙并不能保护一切网络资源。防火墙能够保护经过严格规则设定的网络资源不泄漏，以及可以拒绝绝大多数的端口扫描和Deny of Service(拒绝服务)攻击，但是传统的防火墙不能拒绝正当的连接中带的攻击行为以及来自内部网的攻击。 网络实时入侵探测软件的报警功能的局限性。目前任何一种网络实时入侵探测软件都不能截获局域网上100％的数据包进行分析，因此存在着一定的漏报问题