面對(duì)Internet帶來(lái)的威脅,許多網(wǎng)絡(luò)安全服務(wù)提供商采取的措施是廣泛的利用安全產(chǎn)品-------包括運(yùn)用殺毒軟件、防火墻、安全管理、認(rèn)證授權(quán)、加密等手段,并提供相應(yīng)的產(chǎn)品來(lái)進(jìn)行安全防護(hù),以確保網(wǎng)絡(luò)的安全。但單一的安全產(chǎn)品,已經(jīng)難以有效地保證用戶的網(wǎng)絡(luò)安全維護(hù),在技術(shù)日新月異的趨勢(shì)下,用戶盼望更為專(zhuān)業(yè)的安全服務(wù),尤其是企業(yè)、媒體和各類(lèi)網(wǎng)站等專(zhuān)業(yè)用戶,他們更加需要一套從系統(tǒng)分析到產(chǎn)品與服務(wù)的專(zhuān)業(yè)化整體解決方案。
中和威公司的目標(biāo)是幫助用戶建設(shè)完整、堅(jiān)固的信息安全體系,因此我們從用戶對(duì)安全的需求出發(fā),依托我們?cè)诎踩I(lǐng)域強(qiáng)大的實(shí)力,為用戶提供全面的安全解決方案。
安全是一個(gè)動(dòng)態(tài)的過(guò)程,企業(yè)對(duì)安全系統(tǒng)的建設(shè),是一個(gè)呈生命周期的循環(huán)過(guò)程,中和威的安全解決方案將企業(yè)自身業(yè)務(wù)與這一生命周期過(guò)程的每個(gè)環(huán)節(jié)緊密地結(jié)合起來(lái):以策略為中心,對(duì)用戶的網(wǎng)絡(luò)體系和資產(chǎn)進(jìn)行評(píng)估,針對(duì)評(píng)估結(jié)果進(jìn)行方案總體設(shè)計(jì),并保證安全策略有效地貫徹執(zhí)行,對(duì)于緊急突發(fā)事件能夠快速響應(yīng),最后對(duì)組織的人員進(jìn)行安全管理培訓(xùn)。針對(duì)用戶的信息安全需求,我們推出了以下專(zhuān)業(yè)安全服務(wù):
2、安全集成服務(wù)
3、安全管理服務(wù)
4、安全支持服務(wù)
5、安全培訓(xùn)服務(wù)
?
?
?
專(zhuān)業(yè)的安全人員提供全面的咨詢服務(wù),跟蹤最新的安全技術(shù)及最新安全問(wèn)題,與相關(guān)政府部門(mén)合作向客戶提供全面的相關(guān)信息。
????1、從安全角度生成一份當(dāng)前信息安全環(huán)境的風(fēng)險(xiǎn)分析報(bào)告
????2、由公司高級(jí)顧問(wèn)組成的咨詢專(zhuān)家提供專(zhuān)業(yè)安全咨詢
????3、為用戶制定安全計(jì)劃、設(shè)計(jì)IT安全框架
????4、根據(jù)不同行業(yè)的需求,提供適合各個(gè)行業(yè)的整體解決方案
????? ?通過(guò)對(duì)信息資產(chǎn)鑒別、分類(lèi)、賦值,讓用戶了解自己的信息資產(chǎn)價(jià)值、風(fēng)險(xiǎn)和威脅的分布狀況。通過(guò)提供完整的風(fēng)險(xiǎn)分析報(bào)告,為用戶制定安全策略、設(shè)計(jì)IT安全框架和進(jìn)行系統(tǒng)加固提供詳盡的依據(jù)和參考資料。
安全咨詢服務(wù) | 咨詢服務(wù)項(xiàng)目 | 服務(wù)代碼 |
風(fēng)險(xiǎn)分析 | 從安全角度生成一份當(dāng)前信息安全環(huán)境的風(fēng)險(xiǎn)分析報(bào)告 | IV-SCS-RA |
方案設(shè)計(jì) | 采用國(guó)際標(biāo)準(zhǔn)來(lái)定制更先進(jìn)和更安全的網(wǎng)絡(luò)體系環(huán)境 | IV-SCS-SD |
產(chǎn)品研究 | 依據(jù)國(guó)際認(rèn)同的測(cè)試方法,客觀地對(duì)各種安全產(chǎn)品做出評(píng)測(cè)報(bào)告和選型建議 | IV-SCS-PD |
?
IV:代表中和威(Intervision)
SCS:代表安全咨詢服務(wù)(security? consultation??? service)
RA:代表風(fēng)險(xiǎn)分析(risk? analyse)
SD:代表方案設(shè)計(jì)(scheme? design)
PD:代表產(chǎn)品研究 (product disquisition)
?
安全需求分析
??????確定信息系統(tǒng)安全需求的目的是清楚地鑒定與安全相關(guān)的需求,以便在包括客戶在內(nèi)的所有參與方之間對(duì)安全形成共識(shí),滿足法規(guī)、策略和組織的安全需求而定義的信息系統(tǒng)基本安全要求。根據(jù)特定環(huán)境信息系統(tǒng)可以進(jìn)行合適的增減,建立一套滿足客戶安全目標(biāo)與需求的安全基礎(chǔ)框架。
安全方案設(shè)計(jì)
??????安全方案設(shè)計(jì)是根據(jù)安全需求分析提供安全信息系統(tǒng)的安全結(jié)構(gòu)設(shè)計(jì)、執(zhí)行和安全指南等,保證系統(tǒng)所有安全問(wèn)題都得到審查,并根據(jù)安全目標(biāo)進(jìn)行解決;保證工程隊(duì)伍的所有成員都有統(tǒng)一的理解和認(rèn)識(shí),以便有效地執(zhí)行任務(wù)。
安全方案實(shí)施
??????根據(jù)安全方案進(jìn)行技術(shù)實(shí)現(xiàn)。保證系統(tǒng)安全設(shè)計(jì)的方案在將要運(yùn)行的系統(tǒng)中得到有效實(shí)施,并保證安全控制得到正確的配置和使用。
安全管理和控制
??????管理安全控制主要用于開(kāi)發(fā)環(huán)境和正在運(yùn)行的系統(tǒng)安全控制機(jī)制,并定義其所要求的管理和維護(hù)活動(dòng),保證系統(tǒng)的安全等級(jí)不隨時(shí)間的推移而降低。
安全驗(yàn)證和監(jiān)控
??????安全驗(yàn)證是對(duì)信息系統(tǒng)的實(shí)施進(jìn)行有效的監(jiān)督,判定項(xiàng)目實(shí)施過(guò)程中是否滿足安全需求和預(yù)期目標(biāo),同時(shí)對(duì)系統(tǒng)安全可能造成影響的內(nèi)外因素進(jìn)行監(jiān)控、檢測(cè)和跟蹤,并根據(jù)安全策略進(jìn)行及時(shí)響應(yīng),對(duì)系統(tǒng)運(yùn)行狀況進(jìn)行改變和調(diào)整,以保證與系統(tǒng)安全目標(biāo)相一致。
?
?
?
?
?
?
?
?
?
?
?
?
?
???? ?網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)安全的概念,也就是,在特定的時(shí)間空間內(nèi),在一定的安全策略下,網(wǎng)絡(luò)可以是安全的。但是隨著時(shí)間和環(huán)境的改變,網(wǎng)絡(luò)的安全程度也會(huì)隨之發(fā)生變化。動(dòng)態(tài)網(wǎng)絡(luò)安全解決方案可以依據(jù)網(wǎng)絡(luò)環(huán)境的變化,攻防技術(shù)發(fā)展不斷地自我調(diào)整、完善,確保系統(tǒng)的先進(jìn)性和安全性。
???? ?中和威公司網(wǎng)絡(luò)安全服務(wù)部憑借自身的技術(shù)力量、以及合作廠商的支持,參與了多個(gè)項(xiàng)目的投標(biāo)工作,在這個(gè)過(guò)程中我們積累了豐富的實(shí)踐經(jīng)驗(yàn),可以獨(dú)立承擔(dān)大中型安全集成服務(wù)。網(wǎng)絡(luò)安全服務(wù)中心覆蓋的集成產(chǎn)品涉及防火墻、防病毒、IDS、網(wǎng)絡(luò)監(jiān)控、身份認(rèn)證、物理隔離、數(shù)據(jù)備份和加密等諸多安全領(lǐng)域。
???? 中和威公司針對(duì)不同行業(yè),不同的客戶提供了多種安全解決方案。
解決方案 | 集成服務(wù)項(xiàng)目 | 服務(wù)代碼 |
整體安全解決方案 | 一站式安全服務(wù) | IV-SIS-ISRS |
漏洞掃描解決方案 | 主機(jī)漏洞掃描系統(tǒng) | IV-SIS-HS |
網(wǎng)絡(luò)漏洞掃描系統(tǒng) | ||
數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng) | ||
訪問(wèn)控制解決方案 | 防火墻系統(tǒng) | IV-SIS-AC |
內(nèi)核安全增強(qiáng)系統(tǒng) | ||
安全隔離解決方案 | 物理隔離 | ?IV-SIS-SI? |
網(wǎng)絡(luò)隔離 | ||
身份認(rèn)證解決方案 | 身份認(rèn)證系統(tǒng) | IV-SIS-IA |
CA證書(shū)系統(tǒng) | ||
數(shù)據(jù)保密解決方案 | 虛擬私有網(wǎng) | IV-SIS-DE |
數(shù)據(jù)加密系統(tǒng) | ||
安全審計(jì)解決方案 | 反病毒系統(tǒng) | IV-SIS-SA |
入侵檢測(cè)系統(tǒng) | ||
內(nèi)容過(guò)濾系統(tǒng) | ||
備份存儲(chǔ)解決方案 | 數(shù)據(jù)備份系統(tǒng) | IV-SIS-BS |
IV:代表中和威(Intervision)
SIS:代表系統(tǒng)集成服務(wù)(System integration? service)
ISRS: 代表整體安全解決方案(Integer security resolve scheme)
HS:代表漏洞掃描 (Hole Scan)
AC: 代表訪問(wèn)控制( Acess? Cortrol )
SI:代表安全隔離(Security Insulation)
IA:代表身份認(rèn)證(Identity Attestation)
DE:代表數(shù)據(jù)加密(Data encrypt )
SA:代表安全審計(jì) (Security Audit)
BS: 代表備份存儲(chǔ) (Back? Storage)
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
1、安全評(píng)估
??????☆ 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的安全性分析及防范對(duì)策
??????☆ 網(wǎng)絡(luò)設(shè)備的安全性分析及防范對(duì)策
??????☆ 操作系統(tǒng)和數(shù)據(jù)庫(kù)安全性分析及防范對(duì)策
??????☆ 安全設(shè)備的安全性分析和評(píng)估
??????☆ 網(wǎng)絡(luò)應(yīng)用的安全性分析和評(píng)估
2、系統(tǒng)加固
?☆ 對(duì)操作系統(tǒng)、網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)網(wǎng)絡(luò)服務(wù)和通用應(yīng)用程序的安全隱患和脆弱性進(jìn)行加固
??????☆ 對(duì)數(shù)據(jù)的完整性、機(jī)密性、可靠性和可用性等安全隱患和脆弱性進(jìn)行修復(fù)
??????☆ 對(duì)系統(tǒng)之間通信的數(shù)據(jù)安全隱患和脆弱性進(jìn)行修復(fù)
??????☆ 對(duì)業(yè)務(wù)系統(tǒng)程序安全性、業(yè)務(wù)系統(tǒng)的防抵賴、訪問(wèn)控制、備份與恢復(fù)和可靠性等提出安全解決措施并進(jìn)行協(xié)調(diào)、修復(fù)和改造等工作
評(píng)估安全風(fēng)險(xiǎn)的是對(duì)特定環(huán)境中的信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析,找出潛在的致命缺陷和易被忽略的問(wèn)題,為信息系統(tǒng)的安全設(shè)計(jì),選擇合理的安全產(chǎn)品和安全管理提供可靠的依據(jù)。信息系統(tǒng)安全評(píng)估的內(nèi)容包括信息系統(tǒng)的資產(chǎn)評(píng)估、威脅評(píng)估、脆弱性評(píng)估和安全管理控制評(píng)估和安全影響評(píng)估五個(gè)部分。
資產(chǎn)評(píng)估(Valuation of Assets)就是明確客戶資產(chǎn)、配置和分布、業(yè)務(wù)運(yùn)行模式、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、技術(shù)基礎(chǔ)結(jié)構(gòu)、資產(chǎn)環(huán)境(周邊控制、安全措施)、信息安全策略和制度。
安全威脅是構(gòu)成信息系統(tǒng)安全風(fēng)險(xiǎn)的重要因素之一。借助先進(jìn)的評(píng)估工具和科學(xué)的工程方法,對(duì)客戶信息系統(tǒng)進(jìn)行測(cè)試、掃描,發(fā)現(xiàn)已經(jīng)存在或可能存在的信息系統(tǒng)安全威脅,并形成客戶信息系統(tǒng)安全威脅評(píng)估報(bào)告。
?????? 脆弱性(弱點(diǎn))是指可能為許多目的而利用的系統(tǒng)某些方面,包括系統(tǒng)弱點(diǎn)、安全漏洞和實(shí)現(xiàn)的缺陷等。從技術(shù)類(lèi)別分類(lèi)包括主機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件等系統(tǒng)的脆弱性分析。安全脆弱性評(píng)估就是鑒別和理解系統(tǒng)安全的脆弱性,包括分析系統(tǒng)資產(chǎn),定義脆弱性,并提供整個(gè)系統(tǒng)的脆弱性評(píng)估報(bào)告。評(píng)估脆弱性可以在系統(tǒng)整個(gè)生命周期中的任何時(shí)間進(jìn)行,為系統(tǒng)的發(fā)展、維護(hù)或運(yùn)行提供決策支持。
現(xiàn)有系統(tǒng)的安全管理控制分析是從管理制度和安全控制措施等方面對(duì)客戶信息系統(tǒng)的安全問(wèn)題進(jìn)行分析評(píng)估。
??????? 評(píng)估影響的目的是為了識(shí)別對(duì)系統(tǒng)的影響,并評(píng)估這些影響發(fā)生的可能性。影響是不希望發(fā)生的事件對(duì)資產(chǎn)影響的結(jié)果。事件結(jié)果可能對(duì)資產(chǎn)造成一定的破壞作用,如對(duì)信息系統(tǒng)的機(jī)密性、完整性、可用性、可說(shuō)明性、驗(yàn)證性或可靠性的破壞,也可能引起間接的結(jié)果,如經(jīng)濟(jì)損失、市場(chǎng)占有率損失和公司形象損失等。安全事件發(fā)生的頻率也是需要考慮的,因?yàn)閱蝹€(gè)事件的危害是很小的,但是大量安全事件的綜合影響可能是非常有害的。在風(fēng)險(xiǎn)評(píng)估和安全保護(hù)的選擇中影響的評(píng)估是非常重要的。
?????? 在安全風(fēng)險(xiǎn)評(píng)估過(guò)程中產(chǎn)生的資產(chǎn)信息、影響信息、威脅信息、弱點(diǎn)信息和管理控制信息等共同構(gòu)成了信息系統(tǒng)的安全風(fēng)險(xiǎn)信息。風(fēng)險(xiǎn)信息是動(dòng)態(tài)變化的,因此對(duì)它們必須進(jìn)行周期性的監(jiān)控,并進(jìn)行長(zhǎng)期的維護(hù)。
安全管理服務(wù) | 管理服務(wù)項(xiàng)目 | 服務(wù)代碼 |
安全評(píng)估 | 從安全角度生成一份當(dāng)前信息安全環(huán)境的評(píng)估報(bào)告 | IV-SMS-SE |
系統(tǒng)加固 | 采用當(dāng)今最成熟的技術(shù)來(lái)構(gòu)筑更先進(jìn)和更安全的IT體系環(huán)境 | IV-SMS-S |
產(chǎn)品配置 | 根據(jù)安全評(píng)估報(bào)告,對(duì)產(chǎn)品進(jìn)行專(zhuān)業(yè)的安裝和配置 | IV-SMS-PC |
安全計(jì)劃 | 根據(jù)安全評(píng)估報(bào)告,對(duì)產(chǎn)品進(jìn)行專(zhuān)業(yè)的安裝和配置 | IV-SMS-SP |
IV:代表中和威(Intervision)
SMS:代表安全管理服務(wù)(Security Manage Service)
SE:代表安全評(píng)估 ( Security? Evaluation)
SR: 代表系統(tǒng)加固 (System? reinforce )
PC: 代表產(chǎn)品配置 (Product? Configure)
SP:代表安全計(jì)劃 (Security Plan)
? ??☆ 7×24快速響應(yīng)服務(wù),4小時(shí)響應(yīng)
??????☆ 數(shù)據(jù)恢復(fù)服務(wù),對(duì)信息數(shù)據(jù)提供可靠的災(zāi)難恢復(fù)
??????☆ 安全通告服務(wù),定期為用戶提供安全通告服務(wù)
?
安全支持服務(wù) | 支持服務(wù)項(xiàng)目 | 服務(wù)代碼 |
緊急響應(yīng) | 7×24快速響應(yīng)服務(wù),4小時(shí)響應(yīng),按小時(shí)付費(fèi) | IV-SSS-IR |
數(shù)據(jù)恢復(fù) | 對(duì)信息數(shù)據(jù)提供可靠的災(zāi)難恢復(fù) | IV-SSS-DR |
安全通告 | 中和威公司定期為用戶提供安全通告服務(wù) | IV-SSS-SA |
IV:代表中和威(Intervision)
SSS:代表安全支持服務(wù) (Security Sustain Service)
IR:代表緊急響應(yīng) (instancy? response)
DR:代表數(shù)據(jù)恢復(fù) (Data? resume)
SA:代表安全通告? (Security? announce)
?
?
?
?
?
?
?
?
?
?
?
?
?
?
???從信息系統(tǒng)的黑客入侵事件分析和安全專(zhuān)家案例來(lái)看,信息系統(tǒng)安全就是安全管理員同黑客在智慧和計(jì)算機(jī)知識(shí)等方面的斗爭(zhēng)。因?yàn)槿藛T的安全觀念、系統(tǒng)安全管理員的實(shí)際安全知識(shí)直接影響到整個(gè)信息系統(tǒng)安全方案的實(shí)施。而一個(gè)信息系統(tǒng)的安全保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識(shí)有關(guān),而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每位員工的安全操作等都有關(guān)系。因此我們將不同類(lèi)型的工作人員分為四類(lèi):高層管理人員、技術(shù)部門(mén)管理人員、系統(tǒng)安全管理員和普通工作人員的培訓(xùn)。
????? 信息系統(tǒng)安全問(wèn)題分析、企業(yè)決策者對(duì)信息系統(tǒng)安全的認(rèn)識(shí),增強(qiáng)企業(yè)主管的信息系統(tǒng)安全意識(shí)、安全策略與管理制度在企業(yè)信息系統(tǒng)安全建設(shè)中的作用。
?????? 企業(yè)管理者對(duì)信息系統(tǒng)安全的認(rèn)識(shí),增強(qiáng)企業(yè)主管的信息系統(tǒng)安全意識(shí)、安全策略與管理制度在企業(yè)信息系統(tǒng)安全建設(shè)中的作用、如何執(zhí)行安全策略與管理制度、介紹信息系統(tǒng)安全結(jié)構(gòu)、常用的安全技術(shù)措施以及如何實(shí)現(xiàn)信息系統(tǒng)安全。
普通用戶使用信息系統(tǒng)的守則,口令和帳號(hào)的安全管理,桌面計(jì)算機(jī)的信息安全保護(hù),防范特洛伊木馬和病毒等。遵守并執(zhí)行信息系統(tǒng)安全規(guī)范的重要性,明確職責(zé),增強(qiáng)普通用戶的安全意識(shí)。
☆ 安全基礎(chǔ)知識(shí)培訓(xùn),介紹信息安全基礎(chǔ)知識(shí)
??????☆ 系統(tǒng)安全管理培訓(xùn),介紹NT系統(tǒng)安全管理、Unix系統(tǒng)安全管理數(shù)據(jù)庫(kù)安全管理
??????☆ 安全攻防技術(shù)培訓(xùn),介紹黑客攻擊分析和防范技術(shù)
??????☆ 安全產(chǎn)品方案培訓(xùn),介紹防火墻、入侵檢測(cè)、漏洞掃描和CA等主流產(chǎn)品技術(shù)和方案
??????☆ 企業(yè)安全教育培訓(xùn),為員工提供安全意識(shí)培訓(xùn)
安全培訓(xùn)服務(wù) | 培訓(xùn)服務(wù)項(xiàng)目 | 服務(wù)代碼 |
安全基礎(chǔ)知識(shí) | 介紹信息安全基礎(chǔ)知識(shí) | IV-STS-SI |
系統(tǒng)安全管理 | NT系統(tǒng)安全管理 | IV-STS-SM |
Linux系統(tǒng)安全管理 | ||
數(shù)據(jù)庫(kù)安全管理 | ||
安全攻防技術(shù) | 黑客攻擊分析和防范技術(shù) | ?IV-SSS-AD |
安全產(chǎn)品方案 | 介紹防火墻、入侵檢測(cè)、漏洞掃描和CA等主流 產(chǎn)品技術(shù)和方案 | IV-SSS-PS |
企業(yè)安全教育 | 為員工提供安全意識(shí)培訓(xùn) | IV-SSS-EE |
IV:代表中和威(Intervision)
STS:代表安全培訓(xùn)服務(wù) (Security train Service)
SI:代表安全基礎(chǔ)(Security information)
SM:代表系統(tǒng)管理(System? Manage)
AD:代表攻防(Atack Dfend)
PS:代表產(chǎn)品方案( product? scheme)
EE:代表企業(yè)教育(enterprise? education)