概述
面對Internet帶來的威脅�����,許多網(wǎng)絡(luò)安全服務(wù)提供商采取的措施是廣泛的利用安全產(chǎn)品-------包括運用殺毒軟件�����、防火墻�����、安全管理�����、認(rèn)證授權(quán)�����、加密等手段��,并提供相應(yīng)的產(chǎn)品來進(jìn)行安全防護(hù)�����,以確保網(wǎng)絡(luò)的安全��。但單一的安全產(chǎn)品���,已經(jīng)難以有效地保證用戶的網(wǎng)絡(luò)安全維護(hù)�,在技術(shù)日新月異的趨勢下�����,用戶盼望更為專業(yè)的安全服務(wù)�����,尤其是企業(yè)���、媒體和各類網(wǎng)站等專業(yè)用戶,他們更加需要一套從系統(tǒng)分析到產(chǎn)品與服務(wù)的專業(yè)化整體解決方案。
中和威公司的目標(biāo)是幫助用戶建設(shè)完整���、堅固的信息安全體系�,因此我們從用戶對安全的需求出發(fā)�����,依托我們在安全領(lǐng)域強(qiáng)大的實力�,為用戶提供全面的安全解決方案。
安全是一個動態(tài)的過程���,企業(yè)對安全系統(tǒng)的建設(shè)�����,是一個呈生命周期的循環(huán)過程�����,中和威的安全解決方案將企業(yè)自身業(yè)務(wù)與這一生命周期過程的每個環(huán)節(jié)緊密地結(jié)合起來:以策略為中心�,對用戶的網(wǎng)絡(luò)體系和資產(chǎn)進(jìn)行評估�,針對評估結(jié)果進(jìn)行方案總體設(shè)計,并保證安全策略有效地貫徹執(zhí)行���,對于緊急突發(fā)事件能夠快速響應(yīng)����,最后對組織的人員進(jìn)行安全管理培訓(xùn)。針對用戶的信息安全需求����,我們推出了以下專業(yè)安全服務(wù):
?1、安全咨詢服務(wù)
2��、安全集成服務(wù)
3��、安全管理服務(wù)
4�����、安全支持服務(wù)
5�、安全培訓(xùn)服務(wù)
?
?
?
一、安全咨詢服務(wù)
專業(yè)的安全人員提供全面的咨詢服務(wù),跟蹤最新的安全技術(shù)及最新安全問題�,與相關(guān)政府部門合作向客戶提供全面的相關(guān)信息。
????1����、從安全角度生成一份當(dāng)前信息安全環(huán)境的風(fēng)險分析報告
????2、由公司高級顧問組成的咨詢專家提供專業(yè)安全咨詢
????3�����、為用戶制定安全計劃��、設(shè)計IT安全框架
????4�、根據(jù)不同行業(yè)的需求,提供適合各個行業(yè)的整體解決方案
????? ?通過對信息資產(chǎn)鑒別�����、分類�����、賦值����,讓用戶了解自己的信息資產(chǎn)價值、風(fēng)險和威脅的分布狀況���。通過提供完整的風(fēng)險分析報告���,為用戶制定安全策略、設(shè)計IT安全框架和進(jìn)行系統(tǒng)加固提供詳盡的依據(jù)和參考資料�。
安全咨詢服務(wù) | 咨詢服務(wù)項目 | 服務(wù)代碼 |
風(fēng)險分析 | 從安全角度生成一份當(dāng)前信息安全環(huán)境的風(fēng)險分析報告 | IV-SCS-RA |
方案設(shè)計 | 采用國際標(biāo)準(zhǔn)來定制更先進(jìn)和更安全的網(wǎng)絡(luò)體系環(huán)境 | IV-SCS-SD |
產(chǎn)品研究 | 依據(jù)國際認(rèn)同的測試方法�,客觀地對各種安全產(chǎn)品做出評測報告和選型建議 | IV-SCS-PD |
?
IV:代表中和威(Intervision)
SCS:代表安全咨詢服務(wù)(security? consultation??? service)
RA:代表風(fēng)險分析(risk? analyse)
SD:代表方案設(shè)計(scheme? design)
PD:代表產(chǎn)品研究 (product disquisition)
?
安全需求分析
??????確定信息系統(tǒng)安全需求的目的是清楚地鑒定與安全相關(guān)的需求���,以便在包括客戶在內(nèi)的所有參與方之間對安全形成共識�,滿足法規(guī)�����、策略和組織的安全需求而定義的信息系統(tǒng)基本安全要求����。根據(jù)特定環(huán)境信息系統(tǒng)可以進(jìn)行合適的增減,建立一套滿足客戶安全目標(biāo)與需求的安全基礎(chǔ)框架�����。
安全方案設(shè)計
??????安全方案設(shè)計是根據(jù)安全需求分析提供安全信息系統(tǒng)的安全結(jié)構(gòu)設(shè)計�����、執(zhí)行和安全指南等��,保證系統(tǒng)所有安全問題都得到審查����,并根據(jù)安全目標(biāo)進(jìn)行解決�;保證工程隊伍的所有成員都有統(tǒng)一的理解和認(rèn)識�����,以便有效地執(zhí)行任務(wù)��。
安全方案實施
??????根據(jù)安全方案進(jìn)行技術(shù)實現(xiàn)�����。保證系統(tǒng)安全設(shè)計的方案在將要運行的系統(tǒng)中得到有效實施�,并保證安全控制得到正確的配置和使用�����。
安全管理和控制
??????管理安全控制主要用于開發(fā)環(huán)境和正在運行的系統(tǒng)安全控制機(jī)制�����,并定義其所要求的管理和維護(hù)活動�����,保證系統(tǒng)的安全等級不隨時間的推移而降低�����。
安全驗證和監(jiān)控
??????安全驗證是對信息系統(tǒng)的實施進(jìn)行有效的監(jiān)督,判定項目實施過程中是否滿足安全需求和預(yù)期目標(biāo)����,同時對系統(tǒng)安全可能造成影響的內(nèi)外因素進(jìn)行監(jiān)控、檢測和跟蹤�,并根據(jù)安全策略進(jìn)行及時響應(yīng),對系統(tǒng)運行狀況進(jìn)行改變和調(diào)整��,以保證與系統(tǒng)安全目標(biāo)相一致�����。
?
?
?
?
?
?
?
?
?
?
?
?
?
二�����、網(wǎng)絡(luò)安全集成服務(wù)
???? ?網(wǎng)絡(luò)安全是一個動態(tài)安全的概念��,也就是�����,在特定的時間空間內(nèi),在一定的安全策略下�����,網(wǎng)絡(luò)可以是安全的�。但是隨著時間和環(huán)境的改變,網(wǎng)絡(luò)的安全程度也會隨之發(fā)生變化�。動態(tài)網(wǎng)絡(luò)安全解決方案可以依據(jù)網(wǎng)絡(luò)環(huán)境的變化,攻防技術(shù)發(fā)展不斷地自我調(diào)整�����、完善����,確保系統(tǒng)的先進(jìn)性和安全性�。
???? ?中和威公司網(wǎng)絡(luò)安全服務(wù)部憑借自身的技術(shù)力量、以及合作廠商的支持�����,參與了多個項目的投標(biāo)工作����,在這個過程中我們積累了豐富的實踐經(jīng)驗,可以獨立承擔(dān)大中型安全集成服務(wù)。網(wǎng)絡(luò)安全服務(wù)中心覆蓋的集成產(chǎn)品涉及防火墻����、防病毒、IDS��、網(wǎng)絡(luò)監(jiān)控���、身份認(rèn)證��、物理隔離����、數(shù)據(jù)備份和加密等諸多安全領(lǐng)域����。
???? 中和威公司針對不同行業(yè),不同的客戶提供了多種安全解決方案��。
解決方案 | 集成服務(wù)項目 | 服務(wù)代碼 |
整體安全解決方案 | 一站式安全服務(wù) | IV-SIS-ISRS |
漏洞掃描解決方案 | 主機(jī)漏洞掃描系統(tǒng) | IV-SIS-HS |
網(wǎng)絡(luò)漏洞掃描系統(tǒng) |
數(shù)據(jù)庫漏洞掃描系統(tǒng) |
訪問控制解決方案 | 防火墻系統(tǒng) | IV-SIS-AC |
內(nèi)核安全增強(qiáng)系統(tǒng) |
安全隔離解決方案 | 物理隔離 | ?IV-SIS-SI? |
網(wǎng)絡(luò)隔離 |
身份認(rèn)證解決方案 | 身份認(rèn)證系統(tǒng) | IV-SIS-IA |
CA證書系統(tǒng) |
數(shù)據(jù)保密解決方案 | 虛擬私有網(wǎng) | IV-SIS-DE |
數(shù)據(jù)加密系統(tǒng) |
安全審計解決方案 | 反病毒系統(tǒng) | IV-SIS-SA |
入侵檢測系統(tǒng) |
內(nèi)容過濾系統(tǒng) |
備份存儲解決方案 | 數(shù)據(jù)備份系統(tǒng) | IV-SIS-BS |
?
IV:代表中和威(Intervision)
SIS:代表系統(tǒng)集成服務(wù)(System integration? service)
ISRS: 代表整體安全解決方案(Integer security resolve scheme)
HS:代表漏洞掃描 (Hole Scan)
AC: 代表訪問控制( Acess? Cortrol )
SI:代表安全隔離(Security Insulation)
IA:代表身份認(rèn)證(Identity Attestation)
DE:代表數(shù)據(jù)加密(Data encrypt )
SA:代表安全審計 (Security Audit)
BS: 代表備份存儲 (Back? Storage)
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
三�、安全管理服務(wù)
1、安全評估
??????☆ 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全性分析及防范對策
??????☆ 網(wǎng)絡(luò)設(shè)備的安全性分析及防范對策
??????☆ 操作系統(tǒng)和數(shù)據(jù)庫安全性分析及防范對策
??????☆ 安全設(shè)備的安全性分析和評估
??????☆ 網(wǎng)絡(luò)應(yīng)用的安全性分析和評估
2����、系統(tǒng)加固
?☆ 對操作系統(tǒng)�、網(wǎng)絡(luò)平臺�、基礎(chǔ)網(wǎng)絡(luò)服務(wù)和通用應(yīng)用程序的安全隱患和脆弱性進(jìn)行加固
??????☆ 對數(shù)據(jù)的完整性、機(jī)密性����、可靠性和可用性等安全隱患和脆弱性進(jìn)行修復(fù)
??????☆ 對系統(tǒng)之間通信的數(shù)據(jù)安全隱患和脆弱性進(jìn)行修復(fù)
??????☆ 對業(yè)務(wù)系統(tǒng)程序安全性、業(yè)務(wù)系統(tǒng)的防抵賴�、訪問控制、備份與恢復(fù)和可靠性等提出安全解決措施并進(jìn)行協(xié)調(diào)�、修復(fù)和改造等工作
評估安全風(fēng)險的是對特定環(huán)境中的信息系統(tǒng)進(jìn)行安全風(fēng)險分析,找出潛在的致命缺陷和易被忽略的問題�,為信息系統(tǒng)的安全設(shè)計,選擇合理的安全產(chǎn)品和安全管理提供可靠的依據(jù)����。信息系統(tǒng)安全評估的內(nèi)容包括信息系統(tǒng)的資產(chǎn)評估�����、威脅評估�、脆弱性評估和安全管理控制評估和安全影響評估五個部分。
資產(chǎn)評估(Valuation of Assets)就是明確客戶資產(chǎn)��、配置和分布����、業(yè)務(wù)運行模式�、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�����、技術(shù)基礎(chǔ)結(jié)構(gòu)����、資產(chǎn)環(huán)境(周邊控制、安全措施)��、信息安全策略和制度��。
安全威脅是構(gòu)成信息系統(tǒng)安全風(fēng)險的重要因素之一�����。借助先進(jìn)的評估工具和科學(xué)的工程方法�����,對客戶信息系統(tǒng)進(jìn)行測試���、掃描�����,發(fā)現(xiàn)已經(jīng)存在或可能存在的信息系統(tǒng)安全威脅����,并形成客戶信息系統(tǒng)安全威脅評估報告。
?????? 脆弱性(弱點)是指可能為許多目的而利用的系統(tǒng)某些方面�����,包括系統(tǒng)弱點�����、安全漏洞和實現(xiàn)的缺陷等��。從技術(shù)類別分類包括主機(jī)系統(tǒng)����、網(wǎng)絡(luò)系統(tǒng)�、數(shù)據(jù)庫和應(yīng)用軟件等系統(tǒng)的脆弱性分析。安全脆弱性評估就是鑒別和理解系統(tǒng)安全的脆弱性�����,包括分析系統(tǒng)資產(chǎn),定義脆弱性�����,并提供整個系統(tǒng)的脆弱性評估報告�。評估脆弱性可以在系統(tǒng)整個生命周期中的任何時間進(jìn)行,為系統(tǒng)的發(fā)展����、維護(hù)或運行提供決策支持。
現(xiàn)有系統(tǒng)的安全管理控制分析是從管理制度和安全控制措施等方面對客戶信息系統(tǒng)的安全問題進(jìn)行分析評估�����。
??????? 評估影響的目的是為了識別對系統(tǒng)的影響��,并評估這些影響發(fā)生的可能性���。影響是不希望發(fā)生的事件對資產(chǎn)影響的結(jié)果����。事件結(jié)果可能對資產(chǎn)造成一定的破壞作用����,如對信息系統(tǒng)的機(jī)密性�、完整性�����、可用性����、可說明性、驗證性或可靠性的破壞�,也可能引起間接的結(jié)果,如經(jīng)濟(jì)損失�、市場占有率損失和公司形象損失等。安全事件發(fā)生的頻率也是需要考慮的�,因為單個事件的危害是很小的,但是大量安全事件的綜合影響可能是非常有害的�����。在風(fēng)險評估和安全保護(hù)的選擇中影響的評估是非常重要的����。
?????? 在安全風(fēng)險評估過程中產(chǎn)生的資產(chǎn)信息���、影響信息��、威脅信息�����、弱點信息和管理控制信息等共同構(gòu)成了信息系統(tǒng)的安全風(fēng)險信息�。風(fēng)險信息是動態(tài)變化的,因此對它們必須進(jìn)行周期性的監(jiān)控���,并進(jìn)行長期的維護(hù)���。
安全管理服務(wù) | 管理服務(wù)項目 | 服務(wù)代碼 |
安全評估 | 從安全角度生成一份當(dāng)前信息安全環(huán)境的評估報告 | IV-SMS-SE |
系統(tǒng)加固 | 采用當(dāng)今最成熟的技術(shù)來構(gòu)筑更先進(jìn)和更安全的IT體系環(huán)境 | IV-SMS-S |
產(chǎn)品配置 | 根據(jù)安全評估報告,對產(chǎn)品進(jìn)行專業(yè)的安裝和配置 | IV-SMS-PC |
安全計劃 | 根據(jù)安全評估報告��,對產(chǎn)品進(jìn)行專業(yè)的安裝和配置 | IV-SMS-SP |
?
IV:代表中和威(Intervision)
SMS:代表安全管理服務(wù)(Security Manage Service)
SE:代表安全評估 ( Security? Evaluation)
SR: 代表系統(tǒng)加固 (System? reinforce )
PC: 代表產(chǎn)品配置 (Product? Configure)
SP:代表安全計劃 (Security Plan)
四���、安全支持服務(wù)
? ??☆ 7×24快速響應(yīng)服務(wù)�����,4小時響應(yīng)
??????☆ 數(shù)據(jù)恢復(fù)服務(wù)���,對信息數(shù)據(jù)提供可靠的災(zāi)難恢復(fù)
??????☆ 安全通告服務(wù),定期為用戶提供安全通告服務(wù)
?
安全支持服務(wù) | 支持服務(wù)項目 | 服務(wù)代碼 |
緊急響應(yīng) | 7×24快速響應(yīng)服務(wù),4小時響應(yīng)�,按小時付費 | IV-SSS-IR |
數(shù)據(jù)恢復(fù) | 對信息數(shù)據(jù)提供可靠的災(zāi)難恢復(fù) | IV-SSS-DR |
安全通告 | 中和威公司定期為用戶提供安全通告服務(wù) | IV-SSS-SA |
?
IV:代表中和威(Intervision)
SSS:代表安全支持服務(wù) (Security Sustain Service)
IR:代表緊急響應(yīng) (instancy? response)
DR:代表數(shù)據(jù)恢復(fù) (Data? resume)
SA:代表安全通告? (Security? announce)
?
?
?
?
?
?
?
?
?
?
?
?
?
?
五、安全培訓(xùn)服務(wù)
???從信息系統(tǒng)的黑客入侵事件分析和安全專家案例來看�����,信息系統(tǒng)安全就是安全管理員同黑客在智慧和計算機(jī)知識等方面的斗爭�����。因為人員的安全觀念��、系統(tǒng)安全管理員的實際安全知識直接影響到整個信息系統(tǒng)安全方案的實施���。而一個信息系統(tǒng)的安全保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)����,而且和領(lǐng)導(dǎo)的決策����、工作環(huán)境中每位員工的安全操作等都有關(guān)系。因此我們將不同類型的工作人員分為四類:高層管理人員��、技術(shù)部門管理人員����、系統(tǒng)安全管理員和普通工作人員的培訓(xùn)�。
????? 信息系統(tǒng)安全問題分析��、企業(yè)決策者對信息系統(tǒng)安全的認(rèn)識�,增強(qiáng)企業(yè)主管的信息系統(tǒng)安全意識����、安全策略與管理制度在企業(yè)信息系統(tǒng)安全建設(shè)中的作用。
?????? 企業(yè)管理者對信息系統(tǒng)安全的認(rèn)識��,增強(qiáng)企業(yè)主管的信息系統(tǒng)安全意識���、安全策略與管理制度在企業(yè)信息系統(tǒng)安全建設(shè)中的作用��、如何執(zhí)行安全策略與管理制度�、介紹信息系統(tǒng)安全結(jié)構(gòu)����、常用的安全技術(shù)措施以及如何實現(xiàn)信息系統(tǒng)安全。
- 系統(tǒng)安全管理員的培訓(xùn)
????安全策略與管理
????安全意識與管理
????系統(tǒng)安全基礎(chǔ)
????黑客攻擊與防范
????安全產(chǎn)品介紹 - 普通員工的培訓(xùn)
普通用戶使用信息系統(tǒng)的守則��,口令和帳號的安全管理��,桌面計算機(jī)的信息安全保護(hù),防范特洛伊木馬和病毒等�。遵守并執(zhí)行信息系統(tǒng)安全規(guī)范的重要性,明確職責(zé)�����,增強(qiáng)普通用戶的安全意識�。
☆ 安全基礎(chǔ)知識培訓(xùn),介紹信息安全基礎(chǔ)知識
??????☆ 系統(tǒng)安全管理培訓(xùn)����,介紹NT系統(tǒng)安全管理、Unix系統(tǒng)安全管理數(shù)據(jù)庫安全管理
??????☆ 安全攻防技術(shù)培訓(xùn)��,介紹黑客攻擊分析和防范技術(shù)
??????☆ 安全產(chǎn)品方案培訓(xùn)�,介紹防火墻、入侵檢測�、漏洞掃描和CA等主流產(chǎn)品技術(shù)和方案
??????☆ 企業(yè)安全教育培訓(xùn),為員工提供安全意識培訓(xùn)
安全培訓(xùn)服務(wù) | 培訓(xùn)服務(wù)項目 | 服務(wù)代碼 |
安全基礎(chǔ)知識 | 介紹信息安全基礎(chǔ)知識 | IV-STS-SI |
系統(tǒng)安全管理 | NT系統(tǒng)安全管理 | IV-STS-SM |
Linux系統(tǒng)安全管理 |
數(shù)據(jù)庫安全管理 |
安全攻防技術(shù) | 黑客攻擊分析和防范技術(shù) | ?IV-SSS-AD |
安全產(chǎn)品方案 | 介紹防火墻�、入侵檢測、漏洞掃描和CA等主流 產(chǎn)品技術(shù)和方案 | IV-SSS-PS |
企業(yè)安全教育 | 為員工提供安全意識培訓(xùn) | IV-SSS-EE |
?
IV:代表中和威(Intervision)
STS:代表安全培訓(xùn)服務(wù) (Security train Service)
SI:代表安全基礎(chǔ)(Security information)
SM:代表系統(tǒng)管理(System? Manage)
AD:代表攻防(Atack Dfend)
PS:代表產(chǎn)品方案( product? scheme)
EE:代表企業(yè)教育(enterprise? education)
