新一代安全概念

新一代安全概念

1.統(tǒng)一的安全策略

安全策略是指構(gòu)建安全防護(hù)系統(tǒng)中，要達(dá)到的安全程度、要采用的技術(shù)手段

和可以接受的代價(jià)。構(gòu)建一個(gè)大型電信網(wǎng)絡(luò)的時(shí)候，必須采取統(tǒng)一的安全策略，

才能事半功倍地保證系統(tǒng)和網(wǎng)絡(luò)安全。

2.多層次的安全保護(hù)

網(wǎng)絡(luò)系統(tǒng)由多個(gè)層次來(lái)構(gòu)成，要在多個(gè)層次中實(shí)現(xiàn)安全保護(hù)，才能建立一個(gè)

安全的平臺(tái)。當(dāng)一個(gè)安全層次失效后，余下的安全層次仍然能夠發(fā)揮作用，這樣

整個(gè)系統(tǒng)的安全防護(hù)就不會(huì)失效。

網(wǎng)絡(luò)安全層次

公開網(wǎng)絡(luò)層：主要指以提供各種IP包通信為主的廣域網(wǎng)(WAN)層。

公共服務(wù)網(wǎng)絡(luò)層：主要指只開放某些Internet公共服務(wù)如DNS,E-mail,

WWW,RADIUS而限制其它TCP,UDP端口和某些網(wǎng)段基本安全層。

安全保密網(wǎng)絡(luò)層：一般指重要敏感數(shù)據(jù)所在的重點(diǎn)安全保密的層。

以上各層在物理上是分布的，但在邏輯上是將各層劃分明確，各層內(nèi)又統(tǒng)一合為

一體。各層內(nèi)可以自由通信，但不會(huì)出現(xiàn)安全高層的數(shù)據(jù)泄露到安全低層的問(wèn)題。

主機(jī)安全層次

操作系統(tǒng)內(nèi)核層：通過(guò)增強(qiáng)網(wǎng)絡(luò)操作系統(tǒng)抵抗各種攻擊行為的自身能力，分

割可能造成安全問(wèn)題的超級(jí)管理員或者各級(jí)系統(tǒng)管理員的權(quán)限來(lái)實(shí)現(xiàn)。

操作系統(tǒng)網(wǎng)絡(luò)層：通過(guò)增強(qiáng)網(wǎng)絡(luò)操作系統(tǒng)對(duì)網(wǎng)絡(luò)連接的控制和審計(jì)來(lái)實(shí)現(xiàn)。

操作系統(tǒng)用戶層：通過(guò)增強(qiáng)網(wǎng)絡(luò)操作系統(tǒng)對(duì)用戶權(quán)限的控制和審計(jì)來(lái)實(shí)現(xiàn)。

操作系統(tǒng)完整性：對(duì)操作系統(tǒng)本身的完整性的審計(jì)。

數(shù)據(jù)庫(kù)安全性：對(duì)專用大型數(shù)據(jù)庫(kù)的安全性的審計(jì)和檢查。

為了實(shí)現(xiàn)以上多個(gè)層次，梯次設(shè)防的安全體系結(jié)構(gòu)。我們采用了多種安全技

術(shù)手段：

身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)完整性、抗病毒技術(shù)、抗拒絕服務(wù)攻擊、安全恢

復(fù)、安全事件檢測(cè)和安全審計(jì)。

二、安全體系

基于****工程中客戶強(qiáng)烈的安全意識(shí)和安全需求，以及未來(lái)網(wǎng)絡(luò)的發(fā)展方

向，我們針對(duì)典型的電信運(yùn)營(yíng)網(wǎng)絡(luò)的結(jié)構(gòu)和客戶的業(yè)務(wù)狀況，建議采用如下圖所

示層次保護(hù)的安全防護(hù)結(jié)構(gòu)：

安

一

全

網(wǎng)絡(luò)系統(tǒng)網(wǎng)管系統(tǒng)Billing)]WWW

層

次

6—FirewallFirewall/IDS

5統(tǒng)一認(rèn)證系統(tǒng)(RSAACE)

4日志集中管理(LogServer)

SecurityServiceforSecurityServicefor

3

SWITCH/ROUTERHOST/WEB/DNS/DB/FTP/MAIL

2

安全維護(hù)(SecurityMaintenance)

1

安全管理(SecurityManagement)

****安全解決方案圖示

1.安全管理

合理的管理策略是安全運(yùn)行的基礎(chǔ)，我方提倡“管理為上”的安全理念。所

謂“管理為上”，也就是說(shuō)，通過(guò)提高和培養(yǎng)系統(tǒng)管理員的技術(shù)層次和安全認(rèn)識(shí)、

通過(guò)幫助客戶制訂有效的管理制度，在非技術(shù)層面上構(gòu)建安全的管理體系。這種

理念，是安全體系的核心，也是一切構(gòu)建與其上的安全服務(wù)的基礎(chǔ)。

在具體的實(shí)現(xiàn)上，我們將幫助****系統(tǒng)的制訂起完整而有效的安全管理方

案，包括從用戶賬號(hào)管理策略到備份和災(zāi)難恢復(fù)方案、從日常跟蹤審計(jì)到細(xì)致的

日志分析，以至于各級(jí)管理員的職責(zé)劃分、授權(quán)規(guī)則、直至日常安全工作規(guī)程的

制訂。

2.安全維護(hù)

為了保證系統(tǒng)完整而穩(wěn)定的運(yùn)行，一個(gè)有效的安全維護(hù)計(jì)劃顯得尤為重要。

在安全體系的第二層，是我方提供的長(zhǎng)期的日常安全維護(hù)服務(wù)。它是一套系統(tǒng)的

安全審計(jì)、維護(hù)與事件響應(yīng)計(jì)劃，具體包括有日常的安全審計(jì)、安全狀況報(bào)告、

安全事件報(bào)告、漏洞修補(bǔ)服務(wù)以及安全信息的動(dòng)態(tài)發(fā)布。

這兩層，是安全體系的核心部分，也是我們的安全服務(wù)其核心價(jià)值所在。任

何缺乏這兩層的安全服務(wù)，就僅僅只能算是安全產(chǎn)品的簡(jiǎn)單堆砌。

基于安全的管理體系和安全維護(hù)服務(wù)，在此之上，我們提供對(duì)主機(jī)和網(wǎng)絡(luò)的

安全增強(qiáng)配置服務(wù)。

3.網(wǎng)絡(luò)和主機(jī)安全增強(qiáng)

我們從統(tǒng)一的安全策略出發(fā)，我們著眼于****全網(wǎng)最基本的安全，即各種設(shè)

備的自身安全性，包括網(wǎng)絡(luò)設(shè)備安全及其主機(jī)系統(tǒng)安全這兩個(gè)方面。這個(gè)層次的

安全性是實(shí)現(xiàn)上層業(yè)務(wù)安全的基礎(chǔ)，公司通過(guò)為這個(gè)層次提供各種設(shè)備及主機(jī)的

安全增強(qiáng)配置服務(wù)，來(lái)保證網(wǎng)絡(luò)層及主機(jī)層的基本安全。其中包括網(wǎng)絡(luò)設(shè)備中常

用的路由器、交換機(jī)和防火墻的安全增強(qiáng)配置，以及主機(jī)系統(tǒng)Unix、NT/2K等

操作系統(tǒng)的安全增強(qiáng)配置。

4.應(yīng)用系統(tǒng)安全

在網(wǎng)絡(luò)和主機(jī)基本安全性得到保證的基礎(chǔ)上，我們著眼于整體，配置了log

server,將這些安全層次中由系統(tǒng)或設(shè)備本身產(chǎn)生的安全審計(jì)信息以及應(yīng)用軟件

產(chǎn)生的日志進(jìn)行集中的存儲(chǔ)和管理。同時(shí)，利用自行開發(fā)的日志分析工具對(duì)日志

進(jìn)行分析，從而得出整個(gè)網(wǎng)絡(luò)的安全狀況報(bào)告，并以此制定相應(yīng)的安全策略，提

供相應(yīng)的安全服務(wù)。

為保護(hù)數(shù)據(jù)安全，我們建議部署數(shù)據(jù)備份系統(tǒng)，一方面高效存儲(chǔ)數(shù)據(jù)，另一

方面提高故障恢復(fù)能力。

最后，從****將要開展的業(yè)務(wù)體系角度考慮我們的安全解決方案。主要針對(duì)

目前****的計(jì)費(fèi)系統(tǒng)、網(wǎng)管系統(tǒng)和WWW系統(tǒng)等提供安全服務(wù)，利用某些安全

應(yīng)用設(shè)備或軟件，諸如：IDS、Scanner等，實(shí)現(xiàn)更高層次的應(yīng)用安全。

以下我們將從網(wǎng)絡(luò)設(shè)備及主機(jī)系統(tǒng)安全性、日志集中管理及其業(yè)務(wù)系統(tǒng)安全

保護(hù)這幾個(gè)方面具體闡述我們對(duì)****二期工程的安全解決方案。

三、安全解決方案

客戶網(wǎng)絡(luò)節(jié)點(diǎn)業(yè)務(wù)系統(tǒng)部分網(wǎng)絡(luò)拓?fù)淙缦聢D所示:

SymtiitecNelFruwler

Audi:Center

1.網(wǎng)絡(luò)設(shè)備安全

網(wǎng)絡(luò)層的安全是全網(wǎng)安全的基礎(chǔ)，而其中的網(wǎng)絡(luò)設(shè)備安全則是網(wǎng)絡(luò)層安全的

基礎(chǔ)，所以，我方認(rèn)為保證網(wǎng)絡(luò)設(shè)備的安全是非常重要的安全措施。目前，****

網(wǎng)中核心層、省內(nèi)接入層及省中心共有4臺(tái)骨干路由器、一臺(tái)骨干交換機(jī)4006、

一臺(tái)防火墻。我方將針對(duì)這些網(wǎng)絡(luò)設(shè)備提供相應(yīng)的安全增強(qiáng)配置服務(wù)，服務(wù)主要

對(duì)設(shè)備本身漏洞及其不合理配置造成的安全隱患實(shí)施相應(yīng)的修補(bǔ)及重新配置，具

體服務(wù)內(nèi)容見(jiàn)附錄一。

2.主機(jī)系統(tǒng)安全

主機(jī)系統(tǒng)是全網(wǎng)提供服務(wù)、存放數(shù)據(jù)的中心環(huán)節(jié)，所以，提高主機(jī)系統(tǒng)自身

安全也是保證全網(wǎng)安全的重要一環(huán)。在****項(xiàng)目中，涉及到了各類主機(jī)系統(tǒng)，包

括Sun、SGI、NT系統(tǒng)，這些主機(jī)也隨著應(yīng)用不同分布在各個(gè)業(yè)務(wù)系統(tǒng)之中，其

中計(jì)費(fèi)系統(tǒng)2臺(tái)Sun,DNS1臺(tái)Sun,認(rèn)證系統(tǒng)2臺(tái)Sun,WWW1臺(tái)SGI,客戶

自服務(wù)系統(tǒng)1臺(tái)SUN,這些主機(jī)在全網(wǎng)中都有著重要的地位，我方將針對(duì)這些

主機(jī)系統(tǒng)都提供了安全增強(qiáng)配置服務(wù)，服務(wù)除了修補(bǔ)主機(jī)本身的漏洞外，也對(duì)相

應(yīng)錯(cuò)誤配置造成的安全隱患進(jìn)行更新，具體的服務(wù)內(nèi)容見(jiàn)附錄二。

3.日志集中管理

在解決了主機(jī)和網(wǎng)絡(luò)系統(tǒng)的基本安全的基礎(chǔ)上，我們從全網(wǎng)層次上考慮安全

問(wèn)題。為了能夠有效的監(jiān)控網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全狀況，以及安全設(shè)備及軟件的

工作情況，我方建議放置日志服務(wù)器，logserver負(fù)責(zé)對(duì)中心內(nèi)部以及全網(wǎng)日志

信息的收集，以實(shí)現(xiàn)分析全網(wǎng)范圍內(nèi)的安全信息，得出全網(wǎng)的安全狀況報(bào)告，并

根據(jù)全網(wǎng)統(tǒng)一的安全策略來(lái)制定對(duì)策，提供服務(wù)。

4.動(dòng)態(tài)掃描分析系統(tǒng)

網(wǎng)絡(luò)掃描評(píng)估系統(tǒng)由一臺(tái)或多臺(tái)安全審計(jì)服務(wù)器構(gòu)成。安全審計(jì)中心能夠?yàn)?/p>

客戶提供網(wǎng)絡(luò)安全審計(jì)服務(wù)，從網(wǎng)絡(luò)上對(duì)客戶的服務(wù)器進(jìn)行網(wǎng)絡(luò)安全掃描，生成

安全狀態(tài)的報(bào)表，并提交給客戶。

網(wǎng)絡(luò)掃描評(píng)估系統(tǒng)具有優(yōu)良的特性，包括：

?詳細(xì)的網(wǎng)絡(luò)安全掃描評(píng)估報(bào)告，內(nèi)容包括目前系統(tǒng)的安全隱患以及如何

修補(bǔ)安全隱患的信息。這些安全隱患包括：系統(tǒng)后門、拒絕服務(wù)、CGI

漏洞、防火墻漏洞、FTP漏洞、非授權(quán)遠(yuǎn)程訪問(wèn)、遠(yuǎn)程獲得shell或root

shell.RPC漏洞、SMTP漏洞、SNMP漏洞、Windows系統(tǒng)遠(yuǎn)程漏洞等;

?易于理解的評(píng)估報(bào)告。網(wǎng)絡(luò)掃描評(píng)估系統(tǒng)提供定制的中文形式的報(bào)告，

適合國(guó)內(nèi)的電信運(yùn)營(yíng)商及IDC運(yùn)營(yíng)商使用；

?智能掃描，能夠準(zhǔn)確識(shí)別目標(biāo)主機(jī)上運(yùn)行的服務(wù)，并進(jìn)行安全檢查；這

個(gè)特性在目標(biāo)主機(jī)上的服務(wù)運(yùn)行在非標(biāo)準(zhǔn)端口上時(shí)非常有效；

?允許單個(gè)主機(jī)上的存在多個(gè)端口上運(yùn)行的服務(wù)；通常的掃描器無(wú)法處理

這種情況；

?改進(jìn)的中文支持，能夠直接生成中文報(bào)表；

?改進(jìn)的報(bào)告形式，能夠生成TXT、HTML和PDF格式的報(bào)表；

?沒(méi)有掃描限制，能夠同時(shí)掃描無(wú)限制的主機(jī)系統(tǒng)或網(wǎng)絡(luò)（根據(jù)網(wǎng)絡(luò)速度

和硬件資源有實(shí)際限制）

我們將在北京網(wǎng)絡(luò)中心布置一套網(wǎng)絡(luò)掃描評(píng)估系統(tǒng)，城對(duì)系統(tǒng)中的網(wǎng)絡(luò)設(shè)

備和主機(jī)系統(tǒng)定期的、自動(dòng)的掃描，及時(shí)發(fā)現(xiàn)安全隱患，并針對(duì)安全隱患給予及

時(shí)修補(bǔ)。

5.業(yè)務(wù)系統(tǒng)安全

5.1計(jì)費(fèi)系統(tǒng)安全

計(jì)費(fèi)中心是集中式方案，計(jì)費(fèi)中心的主要應(yīng)用集中在客戶節(jié)點(diǎn)，所以對(duì)此節(jié)

點(diǎn)的保護(hù)尤為重要。

計(jì)費(fèi)系統(tǒng)前端已經(jīng)部屬防火墻系統(tǒng)，通過(guò)對(duì)防火墻作安全增強(qiáng)配置，保障計(jì)

費(fèi)中心不被非法訪問(wèn)。同時(shí)，我方建議對(duì)所有的主機(jī)進(jìn)行相應(yīng)的系統(tǒng)安全增強(qiáng)配

置，主動(dòng)抵抗針對(duì)主機(jī)和數(shù)據(jù)的攻擊。同時(shí)也可以購(gòu)買我方的入侵檢測(cè)服務(wù)，對(duì)

已經(jīng)發(fā)生的攻擊及時(shí)一、有效的遏制。

另一方面，由于計(jì)費(fèi)業(yè)務(wù)中的計(jì)費(fèi)信息十分重要，所以需要對(duì)計(jì)費(fèi)中心加強(qiáng)

保護(hù)。我方建議使用入侵探測(cè)系統(tǒng)IDS,如SymantecNetProwler系統(tǒng)，對(duì)通過(guò)

網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)不適當(dāng)?shù)木W(wǎng)絡(luò)訪問(wèn)進(jìn)行報(bào)警和攔截，使用戶可以在

系統(tǒng)被破壞之前自主地中斷入侵獲誤操作。這種網(wǎng)絡(luò)型的入侵探測(cè)系統(tǒng)不僅具有

實(shí)時(shí)性的優(yōu)點(diǎn)，同時(shí)對(duì)可疑的數(shù)據(jù)分析和監(jiān)控也不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。

同時(shí)，由于記費(fèi)數(shù)據(jù)的重要性，我方也建議在資金允許的情況下，存儲(chǔ)記費(fèi)數(shù)據(jù)

的數(shù)據(jù)庫(kù)宿主機(jī)上安裝主機(jī)型的IDS。主機(jī)型IDS一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵，就可

以馬上切斷入侵用戶進(jìn)程，做出相應(yīng)報(bào)警動(dòng)作提醒管理員進(jìn)行處理。

5.2接入系統(tǒng)安全

撥號(hào)接入設(shè)備及認(rèn)證設(shè)備是本工程中的核心元素，為了保證撥號(hào)接入系統(tǒng)自

身的安全性，我方建議對(duì)所有的RADIUSServer都安裝MarsecSTK并進(jìn)行安全

增強(qiáng)配置服務(wù)，同時(shí)對(duì)接入設(shè)備進(jìn)行安全增強(qiáng)配置。

為了防止身份欺騙，我方建議采用發(fā)放個(gè)人數(shù)字證書的方式來(lái)對(duì)用戶進(jìn)行身

份識(shí)別。

5.3用戶自服務(wù)和WWW系統(tǒng)安全

WWW系統(tǒng)和用戶自服務(wù)系統(tǒng)是基于Web的用戶服務(wù)平臺(tái)，提供以資費(fèi)查詢?yōu)?/p>

主的多項(xiàng)功能。

就主機(jī)系統(tǒng)而言，操作系統(tǒng)為Solaris和SGIIRIS,我們將為這些系統(tǒng)進(jìn)

行Unix安全增強(qiáng)配置，安裝安全增強(qiáng)軟件包，確保底層操作系統(tǒng)的安全。

WWW系統(tǒng)中核心的軟件為Web服務(wù)器和應(yīng)用服務(wù)器。針對(duì)WEBSERVER的服

務(wù)特點(diǎn)，Isfocus小組從以下幾點(diǎn)考慮對(duì)WEBSEVER的安全增強(qiáng)配置：

?系統(tǒng)版本升級(jí)和對(duì)已知的服務(wù)器安全漏洞進(jìn)行修補(bǔ)。

?調(diào)整WWW服務(wù)器的核心參數(shù)，以適合高訪問(wèn)量下WWW服務(wù)器的安

全和性能。隨著客戶訪問(wèn)量的增加，會(huì)對(duì)系統(tǒng)資源產(chǎn)生較大的需求。商

用WEBSERVER,包括NES一般都采用線程的方式處理客戶的連接請(qǐng)

求，這比自由軟件用進(jìn)程方式產(chǎn)生的系統(tǒng)開銷要小。但是，服務(wù)器的能

力畢竟是有限的，不可能同時(shí)處理無(wú)限多的連接請(qǐng)求，優(yōu)化核心參數(shù)，

保留一定的系統(tǒng)資源，對(duì)保證主機(jī)的穩(wěn)定性，尤其在系統(tǒng)遭受DoS攻擊

時(shí)的防御力非常重要。

?限制使用80端口的權(quán)限。通常在Unix下使用80端口需要root權(quán)限，

但通常來(lái)說(shuō)，httpd服務(wù)一般都存在安全漏洞，如果httpd服務(wù)遭到黑

客攻擊，如此之高的系統(tǒng)權(quán)限極有可能對(duì)整個(gè)系統(tǒng)造成影響，因而安全

服務(wù)將就以上安全漏洞進(jìn)行修補(bǔ)。

?調(diào)整對(duì)系統(tǒng)的不當(dāng)配置，避免自己的網(wǎng)站由于不當(dāng)配置所造成的安全隱

，由a、o

令WEB內(nèi)容文件，如HTML、圖象、多媒體等等對(duì)WEB服務(wù)器是只

讀的，出了內(nèi)容的擁有者外，任何人對(duì)該目錄和文件不能有寫訪問(wèn)

權(quán)限。

令WEB不顯示的任何目錄或文件都不應(yīng)該放到WEB內(nèi)容目錄中。

令任何動(dòng)態(tài)內(nèi)容生成程序，如CGI、Java,所生成的臨時(shí)文件，都應(yīng)放

到對(duì)該程序有寫權(quán)限的子目錄中。該目錄必須位于WEB內(nèi)容區(qū)外，

以保證應(yīng)用程序內(nèi)的錯(cuò)誤不會(huì)將已有的內(nèi)容文件刪掉。

令編寫程序時(shí)要注意防止用于非法輸入產(chǎn)生的安全隱患。比如緩存溢

出、通過(guò)CGI調(diào)用系統(tǒng)命令等等。掃描用戶的輸入以檢查輸入是否

有不合法字符。

令避免用戶惡意調(diào)用CGKJava等程序，在服務(wù)器端占用大量資源，

嚴(yán)重降低服務(wù)器的性能。

?對(duì)網(wǎng)絡(luò)信息的傳輸加密。比如使用SSL,避免信息的明文傳輸。

?采用主頁(yè)保護(hù)機(jī)制，對(duì)重要文件的非法篡改進(jìn)行保護(hù)。

用戶自服務(wù)系統(tǒng)作為聯(lián)通接入服務(wù)的窗口形象，在公眾形象以及對(duì)外宣傳方

面都有著重要影響，在黑客攻擊事件較多的今天，通過(guò)安全服務(wù)提高系統(tǒng)安全性

是非常有必要的，特別是日常運(yùn)行維護(hù)中的安全性，所以我們還將針對(duì)用戶自服

務(wù)系統(tǒng)的運(yùn)維管理提供專業(yè)的安全服務(wù)。

5.4DNS系統(tǒng)安全

DNS服務(wù)器在整個(gè)省網(wǎng)的公眾服務(wù)中起著重要的作用。如果這種應(yīng)用系統(tǒng)

被入侵往往造成非常嚴(yán)重的影響。

在考慮綜合成本以及安全優(yōu)先級(jí)的前提下，我方建議，首先對(duì)DNS服務(wù)器

進(jìn)行DNS系統(tǒng)安全配置，來(lái)全面增強(qiáng)DNS系統(tǒng)的安全性。使其能避免以下攻擊:

DNS欺騙、DNSsmurf攻擊、域名劫持、遠(yuǎn)程緩沖區(qū)溢出、DNS的非法區(qū)傳輸

等。

四、專業(yè)安全服務(wù)

我方在前面的篇幅中已經(jīng)詳細(xì)地闡述了如何使用各種安全產(chǎn)品對(duì)系統(tǒng)的整

體安全性能作各方面的加強(qiáng)和防范。但是安全一向是一個(gè)交互的過(guò)程，使用任何

一種“靜態(tài)”或者號(hào)稱“動(dòng)態(tài)”防范的產(chǎn)品都不能解決一直在發(fā)展的系統(tǒng)安全問(wèn)

題，因?yàn)樵诂F(xiàn)實(shí)環(huán)境中：

令系統(tǒng)的安全性和操作系統(tǒng)提供商和軟件提供商非常有關(guān)，作為網(wǎng)絡(luò)的使用

者，必須時(shí)刻和各種軟硬件廠商的安全部門聯(lián)系，獲得最新的安全報(bào)告。

。防火墻并不能保護(hù)一切網(wǎng)絡(luò)資源。防火墻能夠保護(hù)經(jīng)過(guò)嚴(yán)格規(guī)則設(shè)定的網(wǎng)絡(luò)

資源不泄漏，以及可以拒絕絕大多數(shù)的端口掃描和DenyofService（拒絕服務(wù)）

攻擊，但是傳統(tǒng)的防火墻不能拒絕正當(dāng)?shù)倪B接中帶的攻擊行為以及來(lái)自內(nèi)部

網(wǎng)的攻擊。

。網(wǎng)絡(luò)實(shí)時(shí)入侵探測(cè)軟件的報(bào)警功能的局限性。目前任何一種網(wǎng)絡(luò)實(shí)時(shí)入侵探

測(cè)軟件都不能截獲局域網(wǎng)上100%的數(shù)據(jù)包進(jìn)行分析，因此存在著一定的漏

報(bào)問(wèn)題。

。人員的操作水平和系統(tǒng)的復(fù)雜性之間的差距?，F(xiàn)有的系統(tǒng)管理員對(duì)目前先

進(jìn)、復(fù)雜的網(wǎng)絡(luò)的管理能力有限。

基于以上種種原因，我方作為專業(yè)安全服務(wù)提供商，不僅僅局限于安全集

成，更專注于提供專業(yè)的安全咨詢服務(wù)，我方在國(guó)內(nèi)率先推出了系統(tǒng)安全服務(wù),

解決了日常運(yùn)營(yíng)維護(hù)中的系統(tǒng)安全問(wèn)題對(duì)網(wǎng)絡(luò)建設(shè)者和運(yùn)營(yíng)商的困擾。

我方認(rèn)為：網(wǎng)絡(luò)安全并不是按照說(shuō)明書安裝幾個(gè)流行的網(wǎng)絡(luò)安全產(chǎn)品就能

解決問(wèn)題的。它需要合適的安全體系和合理的安全產(chǎn)品組合，需要根據(jù)網(wǎng)絡(luò)及網(wǎng)

絡(luò)用戶的情況和需求規(guī)劃、設(shè)計(jì)和實(shí)施一定的安全策略以及其他多種安全服務(wù)。

目前我方針對(duì)****的客戶需求以及實(shí)際情況，提供如下專業(yè)安全服務(wù)：

＜策略制定與規(guī)劃

令安全審計(jì)服務(wù)

。日常維護(hù)服務(wù)

令入侵檢測(cè)服務(wù)

令緊急響應(yīng)服務(wù)

令安全培訓(xùn)服務(wù)

1.策略制定與規(guī)劃

從長(zhǎng)期的安全集成與安全服務(wù)中，我們得出如下觀點(diǎn)，對(duì)于復(fù)雜的電信網(wǎng)絡(luò)，

如果沒(méi)有一套合理的安全策略以及與之配合的安全管理制度，那么即使花費(fèi)了大

量的人力、物力所建設(shè)起來(lái)的安全基礎(chǔ)設(shè)施，也只能成為擺設(shè)，而不能真正做到

保護(hù)系統(tǒng)安全的作用。

所以我方極為重視****二期建設(shè)中，全網(wǎng)安全策略的制定和規(guī)劃，以求在一

開始就形成一個(gè)良好的網(wǎng)絡(luò)安全環(huán)境。一方面，我們將根據(jù)客戶在標(biāo)書中提出的

安全需求制定相應(yīng)的安全策略，規(guī)劃相應(yīng)的安全體系，并最終制定安全解決方案，

同時(shí)一，在未來(lái)網(wǎng)絡(luò)的運(yùn)行中，根據(jù)****的網(wǎng)絡(luò)安全狀況動(dòng)態(tài)提出專業(yè)安全建議，

實(shí)時(shí)調(diào)整安全策略，從多方面、多層次及時(shí)提供給客戶專業(yè)的安全顧問(wèn)服務(wù)。

2.安全審計(jì)服務(wù)

安全審計(jì)服務(wù)是專業(yè)安全服務(wù)的重要組成部分。網(wǎng)絡(luò)安全和系統(tǒng)安全是一個(gè)

不斷發(fā)展的新事物，從網(wǎng)絡(luò)安全的技術(shù)構(gòu)成上來(lái)說(shuō)，黑客和系統(tǒng)管理員之間的斗

爭(zhēng)是一個(gè)時(shí)間和耐力的賽跑。在前面所闡述的網(wǎng)絡(luò)安全整體規(guī)劃和解決方案中，

我方已經(jīng)為網(wǎng)絡(luò)安全的整體實(shí)現(xiàn)打下了堅(jiān)實(shí)的基礎(chǔ)，但是必須通過(guò)專業(yè)的安全審

計(jì)服務(wù)，使用一定的安全工具，自動(dòng)或者手動(dòng)檢測(cè)網(wǎng)絡(luò)和系統(tǒng)的實(shí)際安全狀況，

對(duì)客戶的網(wǎng)絡(luò)安全情況進(jìn)行綜合評(píng)估。評(píng)估的范圍很廣，從系統(tǒng)的漏洞掃描到系

統(tǒng)管理員的機(jī)房管理制度以及流程上的一些疏漏，這些疏漏也許就有可能成為網(wǎng)

絡(luò)安全的一個(gè)致命點(diǎn)。

我方擁有一流的安全專家，在安全項(xiàng)目實(shí)施過(guò)程中，通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行安全審

計(jì)，得出整個(gè)網(wǎng)絡(luò)安全狀態(tài)的評(píng)估報(bào)告，找出網(wǎng)絡(luò)的安全漏洞和隱患，并據(jù)此進(jìn)

行安全項(xiàng)目的集成，以保障大型和復(fù)雜網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全。同時(shí)，在網(wǎng)絡(luò)運(yùn)行

維護(hù)過(guò)程中，我方還會(huì)對(duì)系統(tǒng)進(jìn)行日常的安全審計(jì)服務(wù)，動(dòng)態(tài)監(jiān)控整個(gè)系統(tǒng)的安

全狀況，以此實(shí)時(shí)解決安全問(wèn)題。

我方安全審計(jì)服務(wù)遵循以下服務(wù)流程：

Zo

用戶確認(rèn)？

Operation&Fix

在上述流程中，由于某些掃描工具對(duì)系統(tǒng)有損傷性或者潛在損傷性，必須估

計(jì)掃描風(fēng)險(xiǎn)代價(jià)和制切實(shí)可行的掃描方案。根據(jù)掃描的結(jié)果，和客戶制定一個(gè)修

補(bǔ)系統(tǒng)的方案。

3.日常維護(hù)服務(wù)

系統(tǒng)的安全不是一堆安全產(chǎn)品的堆積，我方認(rèn)為，系統(tǒng)安全是在整個(gè)安全方

案實(shí)施過(guò)程中，一方面根據(jù)客戶要求，進(jìn)行安全集成的工作，更為重要的是，在

網(wǎng)絡(luò)運(yùn)行過(guò)程中，實(shí)時(shí)監(jiān)控系統(tǒng)安全狀況，制定或調(diào)整安全策略，在系統(tǒng)運(yùn)營(yíng)中

解決隨時(shí)出現(xiàn)的安全問(wèn)題，這是安全服務(wù)的重要組成部分。

我公司在客戶系統(tǒng)日常運(yùn)行中提供諸多安全維護(hù)服務(wù)，我們的日常維護(hù)服務(wù)

絕對(duì)不是針對(duì)某種安全產(chǎn)品來(lái)實(shí)施的，我方將通過(guò)對(duì)整個(gè)網(wǎng)絡(luò)的運(yùn)行情況進(jìn)行監(jiān)

控，采取對(duì)策，來(lái)保障整個(gè)網(wǎng)絡(luò)的安全。如果客戶選擇了我們的日常維護(hù)服務(wù)，

將會(huì)得到如下明細(xì)的服務(wù)項(xiàng)目：

。日常安全審計(jì)(GeneralAudit)：我方會(huì)按照安全審計(jì)服務(wù)中所述的規(guī)范和

流程，在客戶系統(tǒng)日常運(yùn)行過(guò)程中，對(duì)客戶系統(tǒng)實(shí)施專業(yè)的安全審計(jì)。

。安全狀況報(bào)告(StatusReport)：我方通過(guò)對(duì)系統(tǒng)運(yùn)行日志以及日常安全審

計(jì)的結(jié)果報(bào)告進(jìn)行分析，依靠公司安全專家長(zhǎng)期安全服務(wù)經(jīng)驗(yàn)，發(fā)現(xiàn)系

統(tǒng)中存在的漏洞，找出安全隱患，得出整個(gè)系統(tǒng)在一段時(shí)期內(nèi)的安全狀

況報(bào)告。

。安全事件報(bào)告(EventReport)：根據(jù)系統(tǒng)日志及審計(jì)報(bào)告，提交給管理人

員記錄曾經(jīng)發(fā)生過(guò)的系統(tǒng)安全事件及其解決策略。

令漏洞修補(bǔ)服務(wù)(SystemFix)：根據(jù)安全審計(jì)的結(jié)果報(bào)告，分析系統(tǒng)中存在

的漏洞，對(duì)系統(tǒng)中的安全隱患作漏洞修補(bǔ)，對(duì)于系統(tǒng)修補(bǔ)，我們遵循以

下的修補(bǔ)流程：

1一百菌蛋藁備豆藕苔1

：增弓星素疏妄荃的建面務(wù)案;

]網(wǎng)絡(luò)—荃設(shè)訐務(wù)■案；

Firewall

OperationFix

reconfiguration

實(shí)施結(jié)果報(bào)告

主機(jī)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)應(yīng)用系統(tǒng)數(shù)據(jù)系統(tǒng)防火墻

實(shí)施報(bào)告實(shí)施報(bào)告實(shí)施報(bào)告實(shí)施報(bào)告檢查報(bào)告

筌字驗(yàn)收

令安全動(dòng)態(tài)信息①ynamicInformation)：每天世界上有非常之多的安全信息

產(chǎn)生，從主機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備的漏洞，新的病毒的產(chǎn)生，或者某種新的

安全產(chǎn)品的出現(xiàn)，都是作為系統(tǒng)運(yùn)營(yíng)維護(hù)人員關(guān)心的事情。但是，在工

作量極大的系統(tǒng)維護(hù)工作中，要做好有用信息，特別是與自己系統(tǒng)有關(guān)

的信息收集，就成為系統(tǒng)管理員一項(xiàng)非常繁瑣的工作。我公司在為客戶

進(jìn)行安全集成過(guò)程中，本身對(duì)于客戶的系統(tǒng)環(huán)境非常了解，而作為專業(yè)

網(wǎng)絡(luò)服務(wù)公司，對(duì)于安全信息的跟蹤比一般的管理員要迅速的多，也更

為專業(yè)，所以，我方本著為客戶服務(wù)的原則，為客戶量身定制所需要的

安全信息，在獲得安全信息之后，按照客戶需求以及實(shí)際系統(tǒng)情況，通

過(guò)多種方式，諸如：郵件形式，論壇形式或電話方式及時(shí)通知有用的安

全信息。

4.緊急響應(yīng)服務(wù)

在客戶運(yùn)行維護(hù)系統(tǒng)過(guò)程中，作為客戶方的技術(shù)人員由于時(shí)間和精力的問(wèn)

題，常常對(duì)于這些緊急事件缺乏有效的處理，這樣往往會(huì)對(duì)系統(tǒng)正常運(yùn)轉(zhuǎn)造成重

大影響。如果用戶選擇了我們的緊急響應(yīng)服務(wù)，那么在服務(wù)期間，一旦客戶系統(tǒng)

發(fā)生緊急事件，我們就將派出專業(yè)安全工程師，到現(xiàn)場(chǎng)快速響應(yīng)安全事件，解決

安全問(wèn)題，并根據(jù)出現(xiàn)的問(wèn)題及時(shí)調(diào)整安全策略，幫助用戶在以后的維護(hù)中正確

解決問(wèn)題。

5.安全拯救服務(wù)

這項(xiàng)服務(wù)與緊急響應(yīng)服務(wù)有所不同，當(dāng)客戶沒(méi)有選擇緊急響應(yīng)服務(wù)時(shí)，一旦

遇到系統(tǒng)中的突發(fā)事件，可以向我方實(shí)時(shí)選擇該項(xiàng)服務(wù)，我方將派出專業(yè)安全工

程師，到現(xiàn)場(chǎng)快速響應(yīng)安全事件，解決安全問(wèn)題，并根據(jù)出現(xiàn)的問(wèn)題及時(shí)調(diào)整安

全策略，幫助用戶在以后的維護(hù)中正確解決問(wèn)題。

6.安全培訓(xùn)服務(wù)

從現(xiàn)在國(guó)際上黑客入侵案件的分析和系統(tǒng)安全專家保護(hù)網(wǎng)絡(luò)的案例來(lái)看，系

統(tǒng)安全其實(shí)就是系統(tǒng)管理員和黑客頭腦和計(jì)算機(jī)知識(shí)的戰(zhàn)斗。因?yàn)槿藛T的安全觀

念，系統(tǒng)管理員的實(shí)際安全知識(shí)直接影響到整個(gè)系統(tǒng)安全方案的實(shí)施。而一個(gè)安

全的網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān)，而且和領(lǐng)導(dǎo)的決

策、工作環(huán)境中每個(gè)員工的安全操作等都有關(guān)系。我們系統(tǒng)安全培訓(xùn)方案根據(jù)用

戶的不同類型分為三種：面向系統(tǒng)管理員的培訓(xùn)、面向經(jīng)理人員的培訓(xùn)和面向普

通工作人員的培訓(xùn)。

面向系統(tǒng)管理人員的培訓(xùn)

系統(tǒng)管理員是直接和系統(tǒng)打交道的高級(jí)計(jì)算機(jī)工作者，在整個(gè)網(wǎng)絡(luò)中的地位

非常重要。國(guó)內(nèi)系統(tǒng)安全面臨的最大問(wèn)題是有著豐富系統(tǒng)安全經(jīng)驗(yàn)尤其是主動(dòng)發(fā)

現(xiàn)黑客的系統(tǒng)管理員非常少，系統(tǒng)管理員在和黑客交鋒的戰(zhàn)斗中經(jīng)常吃虧。由于

和黑客的戰(zhàn)斗是一場(chǎng)智力的斗爭(zhēng)，也是計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)的交鋒，所以需要迫切地

給各種系統(tǒng)管理員進(jìn)行有效的系統(tǒng)安全培訓(xùn)，掌握計(jì)算機(jī)安全的高級(jí)知識(shí)，了解

黑客使用的流行手段。我方的系統(tǒng)安全設(shè)計(jì)方案中有很大一個(gè)部分就是完整的針

對(duì)實(shí)際環(huán)境的全培訓(xùn)體系。從最簡(jiǎn)單的系統(tǒng)安全概念介紹到非常專業(yè)化的黑客攻

擊手法介紹及其防護(hù)技巧，良好的實(shí)驗(yàn)環(huán)境讓系統(tǒng)管理員身臨和黑客搏斗的現(xiàn)

場(chǎng),我們也精心制作了CDROM,使系統(tǒng)管理員得到最實(shí)用的安全工具和各種系

統(tǒng)安全文檔，滿載而歸。在某些重要課程的理解和掌握環(huán)節(jié)上，會(huì)根據(jù)學(xué)員的實(shí)

際情況，采取各種方式進(jìn)行考核。我們的系統(tǒng)管理員安全培訓(xùn)教程一共分安全策

略和管理、UNIX系統(tǒng)安全教程、網(wǎng)絡(luò)安全和防火墻設(shè)計(jì)以及黑客防范教程四個(gè)

部分。

安全策略和管理UNIX系統(tǒng)安網(wǎng)絡(luò)安全和防火黑客防范教程

全教程墻設(shè)計(jì)

層次初級(jí)中級(jí)高級(jí)高級(jí)應(yīng)用

目標(biāo)增強(qiáng)系統(tǒng)管理員系統(tǒng)管理員應(yīng)了W-Internet防使系統(tǒng)管理員掌

的安全意識(shí)，基本該能夠獨(dú)立地火墻的基本概握黑客進(jìn)攻的手

了解系統(tǒng)安全和在剛剛安裝過(guò)念，基本原理和段、原理和方法；

網(wǎng)絡(luò)安全的實(shí)際的沒(méi)有經(jīng)過(guò)安基本的設(shè)計(jì)方并能在實(shí)際工作

概念，在實(shí)際的工全保護(hù)的系統(tǒng)法。能夠?qū)ο到y(tǒng)中保護(hù)系統(tǒng)的安

作中能夠分辨出中編譯并且配防火墻作H常維全性。

系統(tǒng)中存在的安置安全系統(tǒng);具護(hù)；能夠根據(jù)系

全問(wèn)題。有比較強(qiáng)的編統(tǒng)需求，作出相

譯程序的能力；應(yīng)的防火墻安全

在沒(méi)有防火墻設(shè)計(jì)；能夠?qū)ΜF(xiàn)

的情況下將一有防火墻（安全

臺(tái)Solaris系統(tǒng)產(chǎn)品）有一定的

的計(jì)算機(jī)得到了解。

真正的保護(hù)。

內(nèi)容基本系統(tǒng)安全、網(wǎng)SunSolaris系防火墻的基本概TCP/IP協(xié)議和

絡(luò)安全及增強(qiáng)安統(tǒng)的實(shí)際安全念和原理、防火傳統(tǒng)Socket編

全意識(shí)的重要性、策略，掌握各種墻的作用與重要程、IPSpoofing

網(wǎng)絡(luò)安全的特征、流行安全工具性、防火墻的局的詳細(xì)剖析、

主要網(wǎng)絡(luò)安全威的使用，在實(shí)驗(yàn)限性、防火墻的StackOverflow

脅、網(wǎng)絡(luò)安全層環(huán)境中實(shí)際編分類、防火墻安的詳細(xì)剖析、其

次、網(wǎng)絡(luò)安全度譯、配置、使用全策略、常見(jiàn)的他流行進(jìn)攻方法

量、網(wǎng)絡(luò)安全問(wèn)各種安全工具防火墻設(shè)計(jì)、防的解釋、并配有

題、主機(jī)安全、黑火墻自身的安全實(shí)驗(yàn)

客進(jìn)攻步驟、安全與日常維護(hù)、安

防范措施、商用安全產(chǎn)品的分類及

全產(chǎn)品分類等代表產(chǎn)品

課程天數(shù)2557

安全策略與管理

教學(xué)概況：簡(jiǎn)要介紹系統(tǒng)安全的基本概念、案例、各種漏洞等。

學(xué)員要求：具有UNIX系統(tǒng)管理知識(shí)，熟練使用UNIX基礎(chǔ)命令；掌握TCP/IP基礎(chǔ)理論；

能進(jìn)行基本的系統(tǒng)管理和維護(hù)工作。

課程天數(shù)：2天

課程內(nèi)容：基本系統(tǒng)安全、網(wǎng)絡(luò)安全及增強(qiáng)安全意識(shí)的重要性、網(wǎng)絡(luò)安全的特征、主要網(wǎng)絡(luò)

安全威脅、網(wǎng)絡(luò)安全層次、網(wǎng)絡(luò)安全度量、網(wǎng)絡(luò)安全問(wèn)題、主機(jī)安全、黑客進(jìn)攻步驟、安全

防范措施、商用安全產(chǎn)品分類等。

簡(jiǎn)要章節(jié)：計(jì)算機(jī)安全緒論、計(jì)算機(jī)系統(tǒng)的安全和訪問(wèn)控制、病毒、系統(tǒng)安全性規(guī)劃和管理、

數(shù)據(jù)加密、網(wǎng)絡(luò)通訊和安全

課程效果：增強(qiáng)系統(tǒng)管理員的安全意識(shí)，基本了解系統(tǒng)安全和網(wǎng)絡(luò)安全的實(shí)際概念，在實(shí)

際的工作中能夠分辨出系統(tǒng)中存在的安全問(wèn)題。

UNIX系統(tǒng)安全教程

教學(xué)概況：Solaris系統(tǒng)安全策略，系統(tǒng)安全操作實(shí)例、系統(tǒng)安全工具的獲得等

學(xué)員要求：具有UNIX系統(tǒng)管理知識(shí)，熟練使用UNIX基礎(chǔ)命令。掌握TCP/IP基礎(chǔ)理論；掌

握網(wǎng)絡(luò)系統(tǒng)安全概念；網(wǎng)絡(luò)攻擊手段及保證網(wǎng)絡(luò)安全的措施；C語(yǔ)言編譯知識(shí)。

課程目的：修完本課程應(yīng)具備：獨(dú)立維護(hù)UNIX系統(tǒng)安全，發(fā)現(xiàn)系統(tǒng)不安全因素，并能主動(dòng)

采取措施，合理安裝使用各種安全工具。

課程天數(shù)：5天

課程內(nèi)容：SunSolaris系統(tǒng)的實(shí)際安全策略，掌握各種流行安全工具的使用，在實(shí)驗(yàn)環(huán)境中

實(shí)際編譯、配置、使用各種安全工具。

簡(jiǎn)要章節(jié)：網(wǎng)絡(luò)安全概述、網(wǎng)絡(luò)安全策略、UNIX網(wǎng)絡(luò)不安全的因素、UNIX系統(tǒng)安全的基

本概念、以網(wǎng)絡(luò)黑客的身份檢查UNIX系統(tǒng)的安全性、如何提高UNIX系統(tǒng)的安全性、網(wǎng)絡(luò)

安全工具、其他的兒個(gè)已知的UNIX安全漏洞、如何查看系統(tǒng)是否已被侵入、系統(tǒng)被攻破后

應(yīng)采取的措施

課程效果：系統(tǒng)管理員應(yīng)該能夠獨(dú)立地在剛剛安裝過(guò)的沒(méi)有經(jīng)過(guò)安全保護(hù)的系統(tǒng)中編譯并

且配置安全系統(tǒng)：具有比較強(qiáng)的編譯程序的能力；在沒(méi)有防火墻的情況下將一臺(tái)Solaris系

統(tǒng)的計(jì)算機(jī)得到真正的保護(hù)。

網(wǎng)絡(luò)安全與防火墻設(shè)計(jì)

教學(xué)概況：防火墻的介紹，各種防火墻的策略配置原則等

學(xué)員要求：參加過(guò)我方的初中級(jí)Internet安全培訓(xùn)，具有基本UNIX、TCP/IP的知識(shí)，了解

網(wǎng)絡(luò)設(shè)計(jì)常識(shí)

課程天數(shù)：5天

課程內(nèi)容：防火墻的基本概念和原理、防火墻的作用與重要性、防火墻的局限性、防火墻的

分類、防火墻安全策略、常見(jiàn)的防火墻設(shè)計(jì)、防火墻自身的安全與日常維護(hù)、安全產(chǎn)品的分

類及代表產(chǎn)品。

簡(jiǎn)要章節(jié)：TCP/IP基礎(chǔ)、Internet上的危險(xiǎn)和安全策略、防火墻的基本概念、堡壘主機(jī)、數(shù)

據(jù)包過(guò)濾、代理系統(tǒng)、因特網(wǎng)服務(wù)配置、防火墻測(cè)試、身份認(rèn)證和數(shù)據(jù)加密、防火墻的選購(gòu)

課程目的：通過(guò)學(xué)習(xí)本課程，了解Internet防火墻的基本概念，基本原理和基本的設(shè)計(jì)方法。

能夠?qū)ο到y(tǒng)防火墻作日常維護(hù)；能夠根據(jù)系統(tǒng)需求，作出相應(yīng)的防火墻安全設(shè)計(jì)；能夠?qū)ΜF(xiàn)

有防火墻(安全產(chǎn)品)有一定的了解。

黑客防范教程(Anti-hackingSkillTraining)

教學(xué)概況：UNIX系統(tǒng)的StackOverFlow的漏洞的詳細(xì)解釋IPSniff：Sniff,DenyofService,

ConnectionKilling,IPhijacking等。

學(xué)員要求：參加過(guò)我方初、中級(jí)Internet安全培訓(xùn)；掌握計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議的概念；TCP/IP協(xié)

議的原理；UNIX操作系統(tǒng)的原理；2年左右的UNIX環(huán)境C語(yǔ)言實(shí)際編程經(jīng)驗(yàn)；具備相當(dāng)

的Internet實(shí)際操作知識(shí)。

課程天數(shù)：7天

課程內(nèi)容：TCP/IP協(xié)議和傳統(tǒng)Socket編程、IPSpoofing的詳細(xì)剖析、StackOverflow的詳細(xì)

剖析、其他流行進(jìn)攻方法的解釋、并配有實(shí)驗(yàn)。

簡(jiǎn)要章節(jié)：安全面臨的威脅、黑客行徑分析、口令安全、拒絕服務(wù)的攻擊、掃描、網(wǎng)絡(luò)監(jiān)聽(tīng)、

緩沖區(qū)溢區(qū)、程序攻擊、WEB欺騙的攻擊和對(duì)策、利用處理程序錯(cuò)誤的攻擊、一些網(wǎng)絡(luò)服

務(wù)的安全問(wèn)題、電子郵件攻擊、IP欺騙及其防備對(duì)策、針對(duì)攻擊的處理對(duì)策。

課程目的：使系統(tǒng)管理員掌握黑客進(jìn)攻的手段、原理和方法；并能在實(shí)際工作中保護(hù)系統(tǒng)的

安全性。

輔助工具：提供CD一張，包括有安全文檔和常用的安全工具

備注：每位學(xué)員需保證不對(duì)網(wǎng)絡(luò)進(jìn)行破壞、盜用等國(guó)家法律不允許的行為。

面向經(jīng)理人員的培訓(xùn)

教學(xué)概況:信息在國(guó)民經(jīng)濟(jì)中的地位日益重要，信息的安全對(duì)于一共企業(yè)乃至國(guó)家的重要性,

企業(yè)的決策者對(duì)于信息安全應(yīng)該具有如何的看法等。

學(xué)員要求：經(jīng)理人員和系統(tǒng)管理員

課程天數(shù)：1天

課程內(nèi)容：信息戰(zhàn)己經(jīng)走進(jìn)我們的生活中，什么是黑客，黑客為什么能夠進(jìn)攻“很安全”的

網(wǎng)絡(luò)，系統(tǒng)安全的概念，怎么樣建立一個(gè)安全的計(jì)算環(huán)境等。

課程目的：安全的網(wǎng)絡(luò)結(jié)構(gòu)，了解防火墻及網(wǎng)絡(luò)安全概念。增強(qiáng)企業(yè)主管的信息安全意識(shí)。

面向普通工作人員的培訓(xùn)

教學(xué)概況：企業(yè)的網(wǎng)絡(luò)是?個(gè)完整的不停運(yùn)作的有機(jī)整體，而外部攻擊的攻擊只占有總攻擊

的20%左右，普通員工的安全操作也非常重要。

學(xué)員要求：無(wú)

課程天數(shù)：1天

課程內(nèi)容：普通用戶上網(wǎng)守則，口令和帳號(hào)，桌面計(jì)算機(jī)的信息安全保護(hù)，防范特洛伊木馬

和病毒等。

課程目的：主要流行操作系統(tǒng)使用，了解防火墻及網(wǎng)絡(luò)安全概念。增強(qiáng)普通用戶的安全意識(shí)。

7.管理制度顧問(wèn)服務(wù)

我方會(huì)在工程施工結(jié)束幫助用戶建立一套完善的安全管理制度。

7.1.安全管理制度

合理的管理策略是安全運(yùn)行的基礎(chǔ)，我方提倡“管理為上”的安全理念。所

謂“管理為上”，也就是說(shuō)，通過(guò)提高和培養(yǎng)系統(tǒng)管理員的技術(shù)層次和安全認(rèn)識(shí)、

通過(guò)幫助客戶制訂有效的管理制度，在非技術(shù)層面上構(gòu)建安全的管理體系。這種

理念，是安全體系的核心，也是一切構(gòu)建與其上的安全服務(wù)的基礎(chǔ)。

在具體的實(shí)現(xiàn)上，我們將幫助****的制訂起完整而有效的安全管理方案，包

括從用戶賬號(hào)管理策略到備份和災(zāi)難恢復(fù)方案、從日常跟蹤審計(jì)到細(xì)致的日志分

析，以至于各級(jí)管理員的職責(zé)劃分、授權(quán)規(guī)則、直至日常安全工作規(guī)程的制訂。

其涉及的內(nèi)容主要包括物理安全管理和邏輯安全管理。

7.1.1物理安全管理

物理安全一直是安全領(lǐng)域重要一環(huán)。在運(yùn)營(yíng)系統(tǒng)中，物理安全主要體現(xiàn)在針

對(duì)物理基礎(chǔ)設(shè)施、物理設(shè)備和物理訪問(wèn)的控制，在本項(xiàng)目的網(wǎng)絡(luò)環(huán)境中，全網(wǎng)物

理安全主要通過(guò)機(jī)房物理安全來(lái)體現(xiàn)。Isfocus小組將針對(duì)****提供一些機(jī)房管

理制度建議，同時(shí)在運(yùn)營(yíng)過(guò)程中與運(yùn)維部門協(xié)作不斷完善這些制度。

?機(jī)房參觀訪問(wèn)制度

該制度將從參觀介紹人和參觀對(duì)象、參觀申請(qǐng)及審批、參觀批次和人數(shù)、

機(jī)房參觀流程、參觀級(jí)別定義及其資料管理等方面，為****在運(yùn)營(yíng)過(guò)程中的

客戶參觀提供安全管理依據(jù)。

?機(jī)房設(shè)施巡檢制度

該規(guī)范規(guī)定****機(jī)房的機(jī)電設(shè)施、設(shè)備、網(wǎng)絡(luò)巡查事項(xiàng)，適用于運(yùn)維部

全體員工。規(guī)范將從巡查范圍、巡查安排、電力系統(tǒng)巡檢內(nèi)容、空調(diào)系統(tǒng)巡

檢內(nèi)容等方面提供巡檢管理措施。

?機(jī)房施工管理制度

Isfocus小組將結(jié)合以前項(xiàng)目中安全管理的經(jīng)驗(yàn)，為****制定機(jī)房施工

管理制度，運(yùn)維部門也可以結(jié)合各機(jī)房情況改進(jìn)該管理制度，以求充分切合

實(shí)際。

?運(yùn)營(yíng)值班管理制度

值班管理制度是機(jī)房管理制度中較為核心的內(nèi)容，Isfocus小組將配合

****運(yùn)維部門從值班基本守則、值班工作內(nèi)容、值班中常見(jiàn)問(wèn)題處理等多方

面提供運(yùn)維值班管理建議。

?運(yùn)營(yíng)故障處理制度

為保證****網(wǎng)絡(luò)的安全運(yùn)行，保障全網(wǎng)的服務(wù)質(zhì)量，Isfocus小組提供

運(yùn)營(yíng)故障處理的建議。建議將從故障發(fā)現(xiàn)、故障處理流程、故障級(jí)別、故障

匯報(bào)和故障報(bào)告等多方面提供網(wǎng)絡(luò)故障處理解決的方法。

?其他運(yùn)維管理制度

針對(duì)運(yùn)維實(shí)際，Isfocus小組從設(shè)備使用管理、設(shè)備文