1、XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)方案 文檔編號 密級限制分發(fā) 版本編號V1.0 日期© 2021 綠盟科技 版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。 版本變更記錄時間版本說明修改人 適用性聲明本文為綠盟科技針對XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)項目編寫的安全建設(shè)方案，僅適用于綠盟科技與XXX企業(yè)相關(guān)人員使用。 目錄一. 建設(shè)目標(biāo)與依據(jù)11.1 建設(shè)目標(biāo)11.2 分階段實施11.3 參考標(biāo)準(zhǔn)1二. 方案設(shè)計22.1 總體安全規(guī)劃2

2、2.2 總體網(wǎng)絡(luò)安全規(guī)劃拓?fù)淙缦拢?2.3 安全設(shè)備部署說明32.3.1 抗DDOS系統(tǒng)32.3.2 防火墻（安全網(wǎng)關(guān)）32.3.3 入侵防護系統(tǒng)（IPS）42.3.4 安全審計系統(tǒng)（SAS）42.3.5 漏洞掃描系統(tǒng)（RSAS）42.3.6 入侵檢測系統(tǒng)（IDS）52.3.7 堡壘機系統(tǒng)52.3.8 安全配置核查系統(tǒng)62.3.9 網(wǎng)絡(luò)版殺毒62.3.10 補丁分發(fā)服務(wù)器62.3.11 安全中心6三. 等級保護管理體系建設(shè)63.1 安全管理機構(gòu)73.2 安全管理制度73.3 人員安全管理73.4 系統(tǒng)運維管理73.4.1 漏洞掃描服務(wù)83.4.2 安全加固服務(wù)93.4.3 應(yīng)急響應(yīng)服務(wù)103.

3、4.4 安全預(yù)警通告服務(wù)113.4.5 風(fēng)險評估服務(wù)113.4.6 安全培訓(xùn)服務(wù)11四. 項目組織機構(gòu)和人員培訓(xùn)124.1 項目實施機構(gòu)124.2 運行維護機構(gòu)144.3 人員培訓(xùn)方案15五. 分階段實施計劃185.1 第一期外網(wǎng)安全建設(shè)內(nèi)容：185.2 第一期內(nèi)網(wǎng)安全建設(shè)內(nèi)容：205.3 第二期外網(wǎng)安全建設(shè)內(nèi)容：215.4 第二期內(nèi)網(wǎng)安全建設(shè)內(nèi)容：22六. 方案特點246.1 以業(yè)務(wù)安全為核心246.2 滿足合規(guī)性要求246.3 多維度多角度防護246.4 以XXX企業(yè)的實際情況為導(dǎo)向24七. 綠盟科技的優(yōu)勢25- II -XXX網(wǎng)絡(luò)安全建設(shè)方案一. 建設(shè)目標(biāo)與依據(jù)1.1 建設(shè)目標(biāo)本方案的編

4、制是在國家等級保護文件、標(biāo)準(zhǔn)的總體框架體系指導(dǎo)下，同時充分考慮了XXX企業(yè)多個業(yè)務(wù)系統(tǒng)面臨的威脅，以及XXX企業(yè)網(wǎng)絡(luò)安全規(guī)劃、行業(yè)最佳實踐與安全新技術(shù)的引入，為出發(fā)點和重要基礎(chǔ)。在方案編制過程中，圍繞著信息安全等級保護管理辦法（公通字200743號），對信息系統(tǒng)安全等級保護基本要求（ GB/T 22239-2008 ）、信息系統(tǒng)安全等級保護 測評要求（送審稿）、信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求等等級保護標(biāo)準(zhǔn)進行了深入分析，在技術(shù)體系中，將等級保護標(biāo)準(zhǔn)的要求轉(zhuǎn)化為好理解的、具體的、方便實施的項目，使等級保護工作在XXX企業(yè)內(nèi)外網(wǎng)各個業(yè)務(wù)系統(tǒng)中進行推進和落地成為現(xiàn)實。方案遵從國標(biāo)信息系統(tǒng)安全等級保

5、護基本要求（ GB/T 22239-2008 ）。使得整個網(wǎng)絡(luò)安全建設(shè)方案設(shè)計即體現(xiàn)了指標(biāo)覆蓋的全面性，又考慮了最新成果的體現(xiàn)。1.2 分階段實施根據(jù)目前XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)的情況，符合三級等級保護要求的方案建設(shè)不可能一蹴而就，必須在XXX企業(yè)相關(guān)領(lǐng)導(dǎo)統(tǒng)一指揮下，統(tǒng)籌協(xié)調(diào)、分階段、分步驟實施，只有階段適當(dāng)、步驟清晰，才能推動XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)方案有序、有效地實施。1.3 參考標(biāo)準(zhǔn) 在本次方案設(shè)計中，參考的主要標(biāo)準(zhǔn)如下：ü 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（GB17859-1999）ü 信息系統(tǒng)安全等級保護基本要求（ GB/T 22239-2008 ） ü

6、信息系統(tǒng)安全保護等級定級指南（ GB/T 22240-2008 ） ü 信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求ü 信息安全等級保護實施指南（報批稿） ü 信息系統(tǒng)安全等級保護 測評要求（送審稿） 二. 方案設(shè)計2.1 總體安全規(guī)劃本方案的設(shè)計目標(biāo)是：落實GB 17859-1999、信息系統(tǒng)安全等級保護基本要求（ GB/T 22239-2008 ）對第三級系統(tǒng)的安全保護要求，(1)實現(xiàn)系統(tǒng)的自主訪問控制，使系統(tǒng)用戶對其所屬客體具有自我保護的能力；(2) 增加系統(tǒng)安全審計、客體重用等安全功能，并實施以用戶為基本粒度的自主訪問控制，使系統(tǒng)具有更強的自主安全保護能力；(3)通過

7、實現(xiàn)基于安全策略模型和標(biāo)記的強制訪問控制以及增強系統(tǒng)的審計機制，使系統(tǒng)具有在統(tǒng)一安全策略管控下，保護敏感資源的能力。2.2 總體網(wǎng)絡(luò)安全規(guī)劃拓?fù)淙缦拢海裕?.3 安全設(shè)備部署說明2.3.1 抗DDOS系統(tǒng)在XXX企業(yè)互聯(lián)網(wǎng)接入交換機H3C 5100前，部署抗DDOS系統(tǒng)；通過部署該系統(tǒng)，可以解決由DDOS攻擊引起的以下問題：1、 網(wǎng)絡(luò)鏈路堵塞，導(dǎo)致互聯(lián)網(wǎng)服務(wù)器無法正常提供服務(wù)；2、 業(yè)務(wù)服務(wù)器癱瘓或響應(yīng)速度急劇下降；3、 網(wǎng)絡(luò)基礎(chǔ)設(shè)施（路由交換及防火墻設(shè)備）性能急劇下降，導(dǎo)致用戶上網(wǎng)受影響；2.3.2 防火墻（安全網(wǎng)關(guān)）在XXX企業(yè)辦公區(qū)域匯聚交換機CISCO 3750與核心交換機CISCO

8、 7606之間串聯(lián)部署防火墻（FW），通過部署防火墻，可以解決以下問題：1、對進出網(wǎng)絡(luò)的數(shù)據(jù)流進行控制，阻止惡意數(shù)據(jù)包進入網(wǎng)絡(luò)；2、對訪問行為審計，提供管理人員進行分析的數(shù)據(jù)或依據(jù)；3、對未授權(quán)的惡意訪問進行控制；4、對外封掉某些不安全的服務(wù)，避免不安全的服務(wù)被黑客利用。2.3.3 入侵防護系統(tǒng)（IPS）在XXX企業(yè)ALLOT流控設(shè)備與核心交換機CISCO 7606之間串聯(lián)部署入侵防護系統(tǒng)（IPS），在服務(wù)器區(qū)匯聚交換機CISCO 3750與核心交換機7606之間部署入侵防護系統(tǒng)（IPS），通過部署入侵防護系統(tǒng)，可以解決以下問題：1、 能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的攻擊及異常行為，使管理人員能夠了解

9、網(wǎng)絡(luò)中正在發(fā)生的問題；2、 對發(fā)現(xiàn)的攻擊向管理人員以多種形式報警，以便及時采取措施，終止攻擊行為；3、 發(fā)現(xiàn)攻擊以后根據(jù)配置的策略阻斷攻擊；4、 提供一段時間內(nèi)網(wǎng)絡(luò)攻擊狀況的統(tǒng)計分析報告。為管理人員的決策提供依據(jù)；5、 能夠發(fā)現(xiàn)蠕蟲的活動和來源、監(jiān)控內(nèi)部的異常攻擊行為。2.3.4 安全審計系統(tǒng)（SAS）旁路部署在核心交換機CISCO 7606上，審計互聯(lián)網(wǎng)、辦公區(qū)網(wǎng)絡(luò)、服務(wù)器區(qū)的安全事件，通過部署安全審計系統(tǒng)，可以解決以下問題：1、 內(nèi)部系統(tǒng)維護人員對業(yè)務(wù)應(yīng)用系統(tǒng)的越權(quán)訪問、違規(guī)操作，損害業(yè)務(wù)系統(tǒng)的運行安全；2、 企業(yè)重要業(yè)務(wù)數(shù)據(jù)庫，被員工或系統(tǒng)維護人員篡改牟利、外泄，給企業(yè)造成巨大的經(jīng)濟損失

10、；3、 員工隨意通過網(wǎng)絡(luò)共享文件夾、文件上傳下載、EMAIL等方式，發(fā)送重要敏感信息、業(yè)務(wù)數(shù)據(jù)，導(dǎo)致信息外泄事件發(fā)生；4、 員工在論壇發(fā)表敏感信息、傳播非法言論，造成惡劣社會影響；5、 等級保護要求。公安部國家電子政務(wù)等級保護、國家保密局BMB17-2006號文件中要求政府、涉密單位必須對與涉密敏感信息、業(yè)務(wù)系統(tǒng)相關(guān)的網(wǎng)絡(luò)行為進行安全審計。2.3.5 漏洞掃描系統(tǒng)（RSAS）在XXX企業(yè)核心交換機CISCO 7606旁路部署漏洞掃描系統(tǒng)，在通過部署漏洞掃描系統(tǒng)，可以解決以下問題：1、 能夠?qū)W(wǎng)絡(luò)中所有的設(shè)備和主機的安全狀況進行評估，給出當(dāng)前網(wǎng)絡(luò)的存在的安全漏洞；2、 對網(wǎng)絡(luò)安全狀況進行綜合分析

11、，找出網(wǎng)絡(luò)的薄弱點，為決策提供參考，做到安全建設(shè)有的放矢；3、 對發(fā)現(xiàn)的安全問題給出詳細(xì)描述和解決辦法。幫助管理員及時地處理發(fā)現(xiàn)的問題；4、 通過升級最新的掃描插件，可以發(fā)現(xiàn)最新的安全漏洞，幫助預(yù)防以蠕蟲為代表的攻擊破壞行為；5、 制定周期評估計劃，獲得網(wǎng)絡(luò)安全狀況的變化趨勢，整個過程自動進行，減輕了管理人員的工作負(fù)擔(dān)，并大大提高工作效率。2.3.6 入侵檢測系統(tǒng)（IDS）把服務(wù)器區(qū)匯聚交換機CISCO 3750與辦公區(qū)匯聚交換機CISCO 3750處的出口流量鏡像到入侵檢測系統(tǒng)，通過入侵檢測系統(tǒng)（IDS），可以解決以下問題：通過部署入侵檢測，可以解決以下問題：1、 能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的攻

12、擊及異常行為，使管理人員能夠了解網(wǎng)絡(luò)中正在發(fā)生的問題；2、 對發(fā)現(xiàn)的攻擊向管理人員以多種形式報警；3、 提供一段時間內(nèi)網(wǎng)絡(luò)攻擊狀況的統(tǒng)計分析報告。為管理人員的決策提供依據(jù)；4、 能夠發(fā)現(xiàn)蠕蟲的活動和來源、監(jiān)控內(nèi)部的異常攻擊行為。2.3.7 堡壘機系統(tǒng)在XXX企業(yè)核心交換機CISCO 7606旁路部署堡壘機，可以解決以下問題：1、 賬號管理無序，暗藏巨大風(fēng)險，包括多個用戶混用同一個賬號或一個用戶使用多個賬號；2、 管理人員的權(quán)限授權(quán)粒度粗，無法基于最小權(quán)限分配原則管理用戶權(quán)限，難以與業(yè)務(wù)管理要求相協(xié)調(diào)；因此，出現(xiàn)運維人員權(quán)限過大、內(nèi)部操作權(quán)限濫用等諸多問題，如果不及時解決，信息系統(tǒng)的安全性難以充

13、分保證；3、 設(shè)備自身日志粒度粗，難以有效定位安全事件，由于各設(shè)備系統(tǒng)自身審計日志分散、內(nèi)容深淺不一，且無法根據(jù)業(yè)務(wù)要求制定統(tǒng)一審計策略；因此，難以通過系統(tǒng)自身審計及時發(fā)現(xiàn)違規(guī)操作行為和追查取證；4、 第三方代維人員帶來安全隱患，企業(yè)選擇將非核心業(yè)務(wù)外包給設(shè)備商或代維公司，需要通過嚴(yán)格的權(quán)限控制和操作行為審計，加強對代維人員的行為管理，從而達到消隱患、避風(fēng)險的目的；5、 合規(guī)的要求，為加強信息系統(tǒng)風(fēng)險管理，政府、金融、運營商等陸續(xù)發(fā)布信息系統(tǒng)管理規(guī)范和要求，如“信息系統(tǒng)等級保護”、“商業(yè)銀行信息科技風(fēng)險管理指引”、“企業(yè)內(nèi)部控制基本規(guī)范”等均要求采取信息系統(tǒng)風(fēng)險內(nèi)控與審計。2.3.8 安全配置

14、核查系統(tǒng)在XXX企業(yè)核心交換機CISCO 7606旁路部署安全配置核查系統(tǒng)，可以解決以下問題：1、 采用統(tǒng)一的安全配置標(biāo)準(zhǔn)來規(guī)范技術(shù)人員在各類系統(tǒng)上的日常操作，讓運維人員有了檢查默認(rèn)風(fēng)險的標(biāo)桿；2、 安全配置檢查及問題修復(fù)都需人工進行，對檢查人員的技能和經(jīng)驗要求較高；3、 做一次普及性的細(xì)致檢查耗費時間較長，而如果改成抽查則檢查的全面性就很差；4、 自查和檢查都需要登錄系統(tǒng)進行，對象越多工作越繁瑣，工作效率也不高；5、 每項檢查都要人工記錄，稍有疏漏就需要重新補測。2.3.9 網(wǎng)絡(luò)版殺毒在XXX企業(yè)內(nèi)部系統(tǒng)部署網(wǎng)絡(luò)版殺毒系統(tǒng)，定期對內(nèi)網(wǎng)或業(yè)務(wù)服務(wù)區(qū)進行病毒的查殺。2.3.10 補丁分發(fā)服務(wù)器在

15、XXX企業(yè)內(nèi)部系統(tǒng)部署補丁分發(fā)服務(wù)器（WSUS），定期對內(nèi)網(wǎng)或業(yè)務(wù)服務(wù)區(qū)進行補丁的分發(fā)。2.3.11 網(wǎng)管系統(tǒng)部署網(wǎng)管軟件針對網(wǎng)絡(luò)資產(chǎn)進行集中日志收集及運行狀態(tài)監(jiān)控，自動、準(zhǔn)確、及時地發(fā)現(xiàn)各類異構(gòu)復(fù)雜網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；可持續(xù)地監(jiān)視、報告網(wǎng)絡(luò)的運行情況；提供網(wǎng)絡(luò)運行狀態(tài)和性能的多角度分析與統(tǒng)計；攔截非法接入，保障網(wǎng)絡(luò)系統(tǒng)安全；監(jiān)控異常流量及ARP欺騙等病毒。三. 等級保護管理體系建設(shè)除了采用信息安全技術(shù)措施控制信息安全威脅外，安全管理措施也是XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)中必不可少的內(nèi)容，所謂“三分技術(shù)，七分管理”就是這個道理。安全技術(shù)措施和安全管理措施可以相互補充，共同構(gòu)建全面、有效的信息安全保障體系。

16、信息系統(tǒng)安全等級保護基本要求指出，安全管理體系主要從如下內(nèi)容考慮：u 安全管理機構(gòu)u 安全管理制度u 人員安全管理u 系統(tǒng)建設(shè)管理u 系統(tǒng)運維管理3.1 安全管理機構(gòu)信息系統(tǒng)安全等級保護基本要求在崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等方面對安全管理機構(gòu)提出了具體的要求。XXX企業(yè)應(yīng)該建立專門的安全職能部門，配備專門的安全管理人員，負(fù)責(zé)內(nèi)、外網(wǎng)各種應(yīng)用系統(tǒng)的信息安全管理工作，同時對安全管理人員的活動進行指導(dǎo)。3.2 安全管理制度信息系統(tǒng)安全等級保護基本要求在管理制度、制定和發(fā)布、評審和修訂等三個方面對安全管理制度提出了要求。XXX企業(yè)應(yīng)根據(jù)內(nèi)外網(wǎng)絡(luò)的實際情況，在信息安全領(lǐng)導(dǎo)小組

17、的負(fù)責(zé)下，組織相關(guān)人員制定和發(fā)布信息安全工作的總體方針、政策，說明信息安全工作的總體目標(biāo)、范圍、方針、原則和責(zé)任。并定期進行評審和修訂。3.3 人員安全管理人員安全管理要求在人員的錄用、離崗、考核、培訓(xùn)以及第三方人員管理上，都要考慮安全因素。ü 人員入職管理 從信息安全角度對在人員錄用過程中各流程提出安全需求。ü 人員在職管理 從員工信息安全守則、系統(tǒng)用戶信息安全考核、教育培訓(xùn)三個方面提高在職人員的信息安全意識。ü 人員離職管理 分析員工在離職過程中存在的信息安全風(fēng)險。ü 第三方人員安全管理 對第三方人員進行定義，闡述第三方人員管理中存在的信息安全風(fēng)險，

18、并需要采取的管理方法。3.4 系統(tǒng)運維管理信息系統(tǒng)安全等級保護基本要求在環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等13個方面對系統(tǒng)運維管理進行了詳細(xì)的要求，是等級保護管理體系建設(shè)最為重要的部分。系統(tǒng)運維管理方面，本方案建議通過內(nèi)部管理人員維護和采用專業(yè)安全廠商的安全服務(wù)相結(jié)合的方式來實現(xiàn)。在一定程度上說，安全服務(wù)是一種專業(yè)經(jīng)驗服務(wù)。安全服務(wù)提供商長期的服務(wù)經(jīng)驗積累、對行業(yè)的深刻理解、處理安全問題（事件）的最佳做法、科學(xué)的安全思維方式、正確的安全思維方法都是為用戶提供完善安全解決

19、方案的動力來源。考慮到XXX企業(yè)目前的實際，建議主要考慮漏洞掃描、安全檢查、安全加固、應(yīng)急響應(yīng)、安全通告、風(fēng)險評估服務(wù)和安全培訓(xùn)服務(wù)。3.4.1 漏洞掃描服務(wù)安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進行安全掃描，查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機、數(shù)據(jù)和用戶賬號/口令等安全對象目標(biāo)存在的安全風(fēng)險、漏洞和威脅。安全掃描項目包括如下內(nèi)容：表 3.1 安全掃描項目信息探測類文件服務(wù)后門程序網(wǎng)絡(luò)設(shè)備與防火墻域名服務(wù)其他服務(wù)RPC服務(wù)Mail服務(wù)拒絕服務(wù)(DOS)Web服務(wù)Windows遠程訪問其他問題CGI問題數(shù)據(jù)庫問題通過定期安全掃描，可以驗證各類操作系統(tǒng)的安全補丁情況，方

20、便及時地提示對操作系統(tǒng)的安全補丁進行更新，發(fā)現(xiàn)已有的補丁自動升級系統(tǒng)沒有進行升級的系統(tǒng)補丁，全面加強系統(tǒng)的補丁管理。為了確保掃描的可靠性和安全性，專業(yè)安全廠商應(yīng)根據(jù)XXX企業(yè)內(nèi)外網(wǎng)評估業(yè)務(wù)情況，與XXX企業(yè)相關(guān)人員一起確定掃描計劃。計劃主要包括掃描開始時間、掃描對象、預(yù)計結(jié)束時間、掃描項目、預(yù)期影響、需要對方提供的支持等等。安全掃描是利用安全評估工具對絕大多數(shù)評估范圍內(nèi)的主機、網(wǎng)絡(luò)設(shè)備等系統(tǒng)環(huán)境進行的漏洞掃描。但是，評估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略的弱點和部分主機的安全配置錯誤等并不能被掃描器全面發(fā)現(xiàn)，因此有必要對評估工具掃描范圍之外的系統(tǒng)和設(shè)備進行人工安全檢查。主機安全檢查服務(wù)是登錄到主機上進行

21、安全檢查分析，并提出安全檢查報告。3.4.2 安全加固服務(wù)網(wǎng)絡(luò)安全是動態(tài)的，需要時刻關(guān)注最新漏洞和安全動態(tài)，制定更新的安全策略以應(yīng)付外來入侵和蠕蟲病毒等威脅。針對XXX企業(yè)各臺服務(wù)器的漏洞和脆弱性，定期的進行安全加固，可以使系統(tǒng)有效的抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)。安全加固是針對進行評估后的主機的漏洞和脆弱性采取的一種有效的安全手段，可以幫助系統(tǒng)抵御外來的入侵和蠕蟲病毒的襲擊，使系統(tǒng)可以長期保持在高度可信的狀態(tài)。通常對系統(tǒng)和應(yīng)用服務(wù)的安全加固包括如下方面：u 安裝最新補丁u 帳號、口令策略調(diào)整u 網(wǎng)絡(luò)與服務(wù)加固u 文件系統(tǒng)權(quán)限增強u 日志審核功能增強u 安全

22、性增強常規(guī)加固工作流程如下： 圖 3.2 安全加固流程3.4.3 應(yīng)急響應(yīng)服務(wù)目前XXX企業(yè)自身尚沒有足夠的資源和能力對安全事故作出反應(yīng)。網(wǎng)絡(luò)安全的發(fā)展日新月異，無法實現(xiàn)一勞永逸的安全，所以當(dāng)緊急安全問題發(fā)生，一般技術(shù)人員又無法迅速解決的時候，及時發(fā)現(xiàn)問題、解決問題就必須依靠專業(yè)的應(yīng)急響應(yīng)服務(wù)來實現(xiàn)。在第一時間內(nèi)對客戶信息系統(tǒng)面臨的緊急安全事件進行應(yīng)急響應(yīng)。緊急安全事故包括：大規(guī)模病毒爆發(fā)、網(wǎng)絡(luò)入侵事件、拒絕服務(wù)攻擊、主機或網(wǎng)絡(luò)異常事件等。服務(wù)內(nèi)容：u 接到客戶應(yīng)急響應(yīng)請求時迅速啟動響應(yīng)預(yù)案；u 接到客戶遠程應(yīng)急響應(yīng)請求發(fā)出30分鐘內(nèi)指派工程師進行處理，無論能否解決問題每天都會返回處理情況簡報

23、，直到此次響應(yīng)服務(wù)結(jié)束；u 在遠程應(yīng)急響應(yīng)2小時后還不能解決問題，則立即執(zhí)行本地應(yīng)急響應(yīng)流程，在本地應(yīng)急響應(yīng)請求發(fā)出后，工程師應(yīng)在2小時內(nèi)到達事故現(xiàn)場，協(xié)助現(xiàn)場人員進行問題處理；u 響應(yīng)服務(wù)完成后，安全廠商的服務(wù)人員應(yīng)整理詳細(xì)的事故處理報告，內(nèi)容包括事故原因分析、已造成的影響、處理辦法、處理結(jié)果、預(yù)防和改進建議等提交給客戶相關(guān)人員；u 遠程應(yīng)急響應(yīng)和本地應(yīng)急響應(yīng)提供7×24響應(yīng)。3.4.4 安全預(yù)警通告服務(wù)安全問題目前正以每周新增幾十甚至幾百例的速度在全世界得到反饋，同時涉及信息技術(shù)的眾多領(lǐng)域，用戶所掌握的安全知識的更新速度所受到的壓力非常大。安全預(yù)警提供最新的安全動態(tài)、技術(shù)和定制的

24、安全信息，包括實時安全漏洞通知、定期安全通告匯總、臨時安全解決方案和安全知識庫更新等。3.4.5 風(fēng)險評估服務(wù)風(fēng)險評估對現(xiàn)有網(wǎng)絡(luò)中的網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)協(xié)議、系統(tǒng)、數(shù)據(jù)庫等資產(chǎn)安全現(xiàn)狀進行了解，確定在系統(tǒng)的具體環(huán)境下到底存在什么安全漏洞和安全隱患，一旦這些脆弱性被黑客利用會造成什么樣的資產(chǎn)風(fēng)險和影響。在此基礎(chǔ)上，具體實施的過程中再對實施流程進行規(guī)劃：即針對XXX企業(yè)的具體情況制定適合于自身的安全目標(biāo)和安全級別，然后根據(jù)所要達到的安全目標(biāo)和安全級別，在充分考慮安全性的基礎(chǔ)之上選擇和實施相應(yīng)的安全建設(shè)方案。建議在部署基本的安全系統(tǒng)并運營一段時間后，定期通過完善的風(fēng)險評估服務(wù)檢查整個系統(tǒng)面臨的危險并根據(jù)評

25、估結(jié)果對網(wǎng)絡(luò)加以調(diào)整和優(yōu)化。3.4.6 安全培訓(xùn)服務(wù)根據(jù)信息安全技術(shù)的發(fā)展和不同層面的信息安全人才需求，本方案建議為XXX企業(yè)相關(guān)人員提供如下三類的信息安全培訓(xùn)課程：u 信息安全意識培訓(xùn)：面向非技術(shù)類用戶。目的是通過大量的當(dāng)前典型安全事件導(dǎo)入，從感性認(rèn)知層面對目前的信息安全威脅給予直觀、形象的描述，使用戶能對當(dāng)前的信息安全威脅有一個深刻的認(rèn)識。同時通過案例介紹的方式對用戶日常工作、生活中經(jīng)常用到的一些客戶端應(yīng)用工具、系統(tǒng)的安全威脅進行分析，并闡明具體的防范措施，最終協(xié)助建立起適合個人、企業(yè)的用戶行為基準(zhǔn)。u 信息安全技術(shù)培訓(xùn)：面向信息安全技術(shù)類用戶，例如系統(tǒng)管理員、安全技術(shù)員等。目的是通過培訓(xùn)

26、讓其在系統(tǒng)及應(yīng)用層面上了解常見通用操作系統(tǒng)架構(gòu)以及其安全性，掌握相關(guān)系統(tǒng)的安全配置和管理能力；在網(wǎng)絡(luò)層面上了解常見的網(wǎng)絡(luò)安全協(xié)議掌握網(wǎng)絡(luò)安全協(xié)議以及路由交換常見安全配置；同時通過實驗了解常見的網(wǎng)絡(luò)攻擊技術(shù)原理，掌握常見的攻擊防護方法。u 信息安全產(chǎn)品培訓(xùn)：通過詳細(xì)介紹系列安全產(chǎn)品的工作原理、安裝部署和調(diào)參排錯方法，同時結(jié)合一些產(chǎn)品實驗加強對產(chǎn)品的了解，使相關(guān)人員能靈活利用這些安全產(chǎn)品解決組織的實際安全問題。四. 項目組織機構(gòu)和人員培訓(xùn)4.1 項目實施機構(gòu)為了有效的控制項目的進度和保證項目的質(zhì)量，本次項目采用如下的項目結(jié)構(gòu)：圖 4.1 綠盟科技項目組結(jié)構(gòu)圖1. 項目總體管理委員會þ 對

27、項目進度、工程質(zhì)量進行宏觀指導(dǎo)；þ 項目過程中重要階段評審；þ 對項目出現(xiàn)的重大問題進行協(xié)調(diào)和指導(dǎo)。2. 項目管理組（項目經(jīng)理，技術(shù)負(fù)責(zé)人）þ 控制項目的總體實施進度；þ 負(fù)責(zé)項目組之間的協(xié)調(diào)和溝通；þ 定期召開審查會議，及時解決關(guān)鍵問題；þ 定期向項目總體管理委員會、總集成商、監(jiān)理報告項目的實施進度。3. 網(wǎng)絡(luò)主機組 þ 負(fù)責(zé)主機（客戶端、服務(wù)器）調(diào)研、記錄工作；þ 負(fù)責(zé)主機評估工作；þ 負(fù)責(zé)網(wǎng)絡(luò)設(shè)備調(diào)研、記錄和評估工作；þ 負(fù)責(zé)配合其他小組，提供相應(yīng)的調(diào)研評估報告。4. 應(yīng)用系統(tǒng)組þ

28、; 負(fù)責(zé)應(yīng)用系統(tǒng)調(diào)研工作；þ 負(fù)責(zé)應(yīng)用系統(tǒng)安全評估工作；þ 負(fù)責(zé)應(yīng)用系統(tǒng)開發(fā)安全規(guī)范和部署安全規(guī)范撰寫工作；þ 負(fù)責(zé)安全設(shè)備配置規(guī)則和安全設(shè)備運行維護制度撰寫工作；þ 根據(jù)網(wǎng)絡(luò)主機組提供的報告，撰寫信息安全體系現(xiàn)狀及需求分報告；þ 負(fù)責(zé)配合其他小組，提供相應(yīng)的調(diào)研評估報告。5. 管理分析組þ 負(fù)責(zé)信息安全管理制度調(diào)研及訪談工作；þ 負(fù)責(zé)信息安全體系管理制度現(xiàn)狀分析報告；þ 負(fù)責(zé)信息安全保障總體規(guī)劃撰寫；þ 負(fù)責(zé)安全管理組織結(jié)構(gòu)規(guī)劃的撰寫；þ 負(fù)責(zé)項目的安全管理規(guī)范、項目等級保護管理內(nèi)容的實施；&

29、#254; 負(fù)責(zé)安全管理制度的撰寫；6. 產(chǎn)品實施組 þ 協(xié)調(diào)本項目產(chǎn)品及服務(wù)集成商，按時保質(zhì)完成產(chǎn)品實施工作；þ 協(xié)調(diào)本項目產(chǎn)品及服務(wù)集成商，在工程現(xiàn)場向工程相關(guān)人員提供必要的現(xiàn)場技術(shù)培訓(xùn)；þ 將工程中出現(xiàn)的問題及時反映項目經(jīng)理；þ 詳細(xì)記錄實施內(nèi)容，形成必要的工程文檔。7. 工程培訓(xùn)組 þ 負(fù)責(zé)培訓(xùn)計劃的細(xì)化和落實；þ 負(fù)責(zé)培訓(xùn)大綱的編寫，提供中文培訓(xùn)教材；þ 提供日常運維培訓(xùn)、認(rèn)證培訓(xùn)和高級安全培訓(xùn)，根據(jù)實際情況，提供有效的培訓(xùn)內(nèi)容。8. 安全服務(wù)組 þ 項目執(zhí)行期間，現(xiàn)場技術(shù)支持，解決用戶常見安全問題；&#

30、254; 負(fù)責(zé)信息系統(tǒng)上線時的安全評估；þ 負(fù)責(zé)整個工程一期信息系統(tǒng)驗收前的全面安全評估；þ 負(fù)責(zé)信息安全等級保護咨詢工作；þ 負(fù)責(zé)安全加固工作；þ 負(fù)責(zé)應(yīng)急響應(yīng)工作；þ 由技術(shù)負(fù)責(zé)人負(fù)責(zé)，組成臨時質(zhì)量檢查小組，對其他小組的進度、工作質(zhì)量進行檢查和整改；þ 負(fù)責(zé)項目驗收后的售后服務(wù)工作。4.2 運行維護機構(gòu)為了保障項目的長期延續(xù)，綠盟科技公司的運行維護服務(wù)自公司組建之初就已經(jīng)規(guī)劃并搭建完善，并由客戶中心具體實施完成。綠盟科技運行維護服務(wù)體系如下圖所示：圖 4.2 綠盟科技運行維護服務(wù)體系1、運行維護服務(wù)支持機構(gòu)綠盟科技運行維護服務(wù)組織

31、體系在總部客戶支持中心設(shè)立客戶服務(wù)臺，北京、廣州、上海、沈陽、成都、西安、武漢七個分公司作為二級技術(shù)支持平臺，同時在全國范圍內(nèi)的20余家辦事處建立三級技術(shù)支持，完全能夠滿足項目的服務(wù)支持。客戶支持中心會根據(jù)具體項目情況組建特定的項目運行維護服務(wù)團隊和專業(yè)服務(wù)團隊。通過各服務(wù)團隊為用戶提供運行維護服務(wù)，為項目提供不間斷的技術(shù)支持。4.3 人員培訓(xùn)方案（1）培訓(xùn)目的針對XXX企業(yè)相關(guān)人員的培訓(xùn)包括兩大目的：a) 安全意識培訓(xùn)使從業(yè)人員了解安全的意義，能夠自覺守法、安全可靠的工作。為了確保用戶意識到信息安全的威脅和利害關(guān)系，并具有在日常工作過程中支持組織安全方針的能力，應(yīng)對用戶進行安全程序和正確使用

32、信息處理設(shè)備的培訓(xùn)，以盡量降低可能的安全風(fēng)險。b) 安全知識培訓(xùn)使從業(yè)人員了解、掌握有關(guān)安全理念、安全保障體系、安全功能、安全保證、安全操作、安全關(guān)聯(lián)，為成為合格和稱職的安全工作人員奠定基礎(chǔ)。（2）培訓(xùn)內(nèi)容培訓(xùn)對象主要包括機關(guān)各級領(lǐng)導(dǎo)、機關(guān)公務(wù)員、機關(guān)電子政務(wù)專業(yè)技能部門主管和技術(shù)人員。培訓(xùn)內(nèi)容主要集中于電子政務(wù)部分和信息技術(shù)基礎(chǔ)部分。針對培訓(xùn)對象的不同，可以采取分層次、多元化的培訓(xùn)手段，開展不同內(nèi)容的培訓(xùn)。對軟件的使用人員進行系統(tǒng)應(yīng)用功能的培訓(xùn)，使他們能熟練的掌握管理信息系統(tǒng)的應(yīng)用，達到管理的需要。使系統(tǒng)維護員了解并掌握管理信息系統(tǒng)應(yīng)用功能和基本原理，熟練使用維護工具完成系統(tǒng)的維護，解決一般

33、系統(tǒng)故障。全面掌握管理信息系統(tǒng)管理，主要包括系統(tǒng)集成、軟件版本管理、系統(tǒng)安全管理、系統(tǒng)設(shè)置等。培訓(xùn)方式采用集中培訓(xùn)、現(xiàn)場培訓(xùn)、網(wǎng)上培訓(xùn)、視頻會議、熱線支持和發(fā)放宣傳材料等相結(jié)合的方式。（3）培訓(xùn)對象本培訓(xùn)計劃主要針對如下人員：Ø 安全決策者安全政策制定者、業(yè)務(wù)領(lǐng)導(dǎo)。Ø 安全管理者管理人員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、應(yīng)用管理員。主要技術(shù)和業(yè)務(wù)主管。Ø 安全審計者審計員、安全員。Ø 安全操作者業(yè)務(wù)操作人員、業(yè)務(wù)維護人員。（4）培訓(xùn)機制安全培訓(xùn)計劃的制定是對XXX企業(yè)安全體系設(shè)計的進一步貫徹和執(zhí)行，根據(jù)XXX企業(yè)涉及的有關(guān)人員的不同需求，定制化的進行安全知識培訓(xùn)

34、。XXX企業(yè)結(jié)合自身機關(guān)辦公人員隊伍實際情況，制定本單位的培訓(xùn)計劃，并設(shè)專人負(fù)責(zé)具體培訓(xùn)實施。培訓(xùn)計劃應(yīng)包括培訓(xùn)內(nèi)容、培訓(xùn)對象、培訓(xùn)時間、培訓(xùn)方式、培訓(xùn)課程等。以下為培訓(xùn)課程內(nèi)容示例。表 4.1 安全培訓(xùn)內(nèi)容序號培訓(xùn)名稱培訓(xùn)內(nèi)容簡單描述日常運維方面培訓(xùn)課程1安全系統(tǒng)整體日常運維培訓(xùn)通過實際案例和安全事件，表述信息安全對于個人生活、工作、學(xué)習(xí)無處不在的事實，同時闡明安全問題并非孤立、遙遠的技術(shù)，在此基礎(chǔ)上按照一般的安全技術(shù)的劃分深入淺出地描述信息安全所包含的各個領(lǐng)域，以及這些領(lǐng)域和日常工作、生活的密切聯(lián)系，對常見客戶端應(yīng)用工具/系統(tǒng)的安全問題進行分析，采用實證方式闡明OE、IE、Foxmail、

35、MSN/QQ、P2P工具等的安全設(shè)置，對Windows操作系統(tǒng)存在的安全問題進行敘述和演示。同時，就日益猖獗的病毒、木馬等威脅進行必要的描述，并闡明具體的防范措施，最終協(xié)助建立起適合個人、企業(yè)的用戶行為基準(zhǔn)。2安全系統(tǒng)故障應(yīng)急處理培訓(xùn)本講從將結(jié)合應(yīng)急響應(yīng)演練，通過多個應(yīng)急響應(yīng)經(jīng)典案例，對應(yīng)急響應(yīng)預(yù)案等核心步驟進行清晰的分析和描述，并且對在多個系統(tǒng)上對入侵痕跡的調(diào)查，易消失證據(jù)的獲取進行詳解介紹和演示安全管理方面培訓(xùn)課程1信息安全事件以及安全威脅培訓(xùn)通過大量典型的安全事件導(dǎo)入，反映當(dāng)前安全形勢的極端惡化，從感性認(rèn)識層面對安全威脅給予直觀、形象的描述，并形成一定的安全現(xiàn)象/知識沖擊結(jié)果，分析、強調(diào)

36、漠視信息安全的嚴(yán)重后果，以及安全威脅的發(fā)展趨勢：速度更快、范圍更廣、影響更深刻。2系統(tǒng)使用人員的安全意識培訓(xùn)從ISO 7498-2模型出發(fā)，結(jié)合CBK領(lǐng)域、BS 7799領(lǐng)域劃分，對信息安全中涉及到的標(biāo)準(zhǔn)、協(xié)議、技術(shù)手段、工具/產(chǎn)品、過程方法等，通過對安全領(lǐng)域和知識的清晰劃分和描述，最終能夠形成一張信息安全的知識結(jié)構(gòu)圖。3信息安全管理人員的防入侵技術(shù)提高培訓(xùn)介紹一般的黑客攻擊途徑，著重描述當(dāng)前流行的攻擊技術(shù)和防御手段，從踩點掃描著手，重點分析網(wǎng)絡(luò)嗅探、病毒與木馬攻擊、拒絕服務(wù)攻擊、SQL Injection原理、XSS跨站腳本攻擊等，并闡明相應(yīng)的防御措施，通過一次完整、完美的黑客攻擊過程的實踐

37、展示，首先對黑客攻擊的一般步驟進行分析，闡明黑客攻防的基本思路，并按照步驟順序?qū)ζ渲猩婕暗降墓ぞ摺⑵脚_、弱點、手法進行敘述，對黑客的慣常思維方式進行歸納總結(jié)。4常見操作系統(tǒng)安全培訓(xùn)從Windows以及Unix的安全結(jié)構(gòu)入手，對windows安全子系統(tǒng)中的重要組件如SAM、LSA、GINA等進行詳細(xì)分析，分別闡明帳戶安全、文件系統(tǒng)安全、注冊表安全，對于Windows的常見應(yīng)用（如IIS、Netbios、Terminal Server等）的安全性加以分析。針對Unix系統(tǒng)，則對帳號安全、文件系統(tǒng)安全、常見應(yīng)用安全的討論，強調(diào)Unix系統(tǒng)本身安全配置的同時，還將重點描述Unix主要應(yīng)用服務(wù)（Mail

38、、HTTP等）的安全問題。五. 分階段實施計劃根據(jù)等級保護的要求和XXX企業(yè)現(xiàn)網(wǎng)的實際情況，綠盟科技從安全技術(shù)體系建設(shè)和安全管理體系建設(shè)兩個方面入手進行了整個安全體系的規(guī)劃和設(shè)計。在技術(shù)體系的建設(shè)上，推薦在不同的層次部署相關(guān)的安全產(chǎn)品：安全計算環(huán)境：應(yīng)用系統(tǒng)安全改造、漏洞掃描系統(tǒng)； 安全區(qū)域邊界：防火墻；安全通信網(wǎng)絡(luò)：網(wǎng)絡(luò)入侵防護、WEB應(yīng)用防護；安全管理中心：安全審計系統(tǒng)。在安全管理體系的建設(shè)上，重點介紹了系統(tǒng)運維管理階段。推薦通過內(nèi)部運維和專業(yè)的安全服務(wù)相結(jié)合來實現(xiàn)系統(tǒng)的運維管理。包括漏洞掃描、安全檢查、安全加固、應(yīng)急響應(yīng)、安全通告、風(fēng)險評估和安全培訓(xùn)等服務(wù)。六. 方案特點6.1 以業(yè)務(wù)安全為核心 本次項目安全體系建設(shè)是圍繞系統(tǒng)所承載的業(yè)務(wù)。對信息系統(tǒng)進行安全保障的根本目的不僅是保護系統(tǒng)的信息資產(chǎn)，而且是信息系統(tǒng)所承載的業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)，這種以業(yè)務(wù)為核心的思想將貫穿XXX企業(yè)整個體系建設(shè)的各個階段。 6.2 滿足合規(guī)性要求 方