EPRO信息技术安全服务version.doc

网络安全服务目录 前言 2 企业信息与网络系统安全的检查与稽核 3 安全制度的制定 5 信息资产价值评定和资产风险界定 6 系统和网络安全风险评估 7 安全产品选型 9 安全加固和优化服务 9 安全设备日志风险审计 10 安全设备安装和配置 11 制定IT管理员安全管理手册 13 安全工程监理 14 前瞻性规划 15 安全管理和安全技术课程培训 15 安全咨询在线技术支持服务 17 远程监控和远程管理服务 18 紧急事件响应 19 现场技术支持服务 20 前言 网络发展到今天，原先独立分散的网络正逐步连成一片，并向 Internet全球互联网过渡，这时的网络已具有开放式系统结构，易互连、互通与互操作，但是，正是这些特点，从另一方面也增加了网络安全的脆弱性和复杂性，网络开放性必须具有可靠的信息安全为保证，信息安全是开放式网络的基础支柱。系统安全解决方案，能够及时发现系统安全隐患、消除隐患，并集成防火墙软件使整个网络安全解决方案具有先进性、可靠性、实用性能够为企业提供完整的安全保障体系。即可以防止由于外部互联网而造成的恶意入侵和数据盗用等，又可以为企业内部生产部门和其它部门的正常运转提供保障。 保护所有端到端或点到端的网络数据传送 实现通信双方主机或防火墙网关的身份认证 实现消息传输的必威体育官网网址性、认证性和完整性 抵抗IP欺骗、TCP序列号猜测等各种攻击技术 VPN技术的使用不会从根本上影响用户的通信效率 网络的安全功能对用户基本透明，不影响原有应用程序的正常运行 透明支持各种Internet网络服务和协议 用户可定义的网络信息过滤，禁止访问不健康的、反动的网络站点，采用了智能过滤、地址转换、透明代理、预警、用户认证和授权、易用性等相关技术。 　信息与网络系统的安全是一个多层次的系统工程，为了保证这样一个复杂、庞大的体系的有效运转，必须制定、实施安全工作的检查和稽核制度，而且必须从多个层次进行检查，以减少系统安全疏漏、隐患的存在。 　　信息与网络系统的安全性不是永恒不变的，作为一个曾经属于安全的网络信息系统，由于网络技术的进步，自身服务功能要求的增加、应用的扩展、还有一些由于在使用上的失误等环境发生变化，它的安全性是会随之改变的。同时也应该考虑，即使对一个信息网络系统的安全性要求很高，其安全方案也需要很严密，但是由于某些原因安全措施的落实不到位，要确保信息网络系统的安全性也是难以得到保障的。为了将信息系统的安全性在力所能及的条件下保持在最高的水平，需要对系统进行周期性的或不定期的稽核与检查。 　　通过大量的调查表明，有多数企业单位还没有建立安全稽核与检查制度，即使有也是往往留于形式上的检查，没能采用有效的技术方法来进行检查，甚至对检查的结果数据也没有统一的标准来衡量与评估等等，这是一个急待需要解决的问题。 一、安全检查与稽核　　稽核与安全检查是检验、监督信息系统的安全工作落实情况，是有利于保证统一安全策略的贯彻实施的有效方法与手段。从安全策略上，一般稽核与检查工作和安全基础设施建设工作，在组织、人员、技术、设备、系统等方面应该是分开的、相互制约的，只有这样才能保证稽核与检查工作的有效性，信息与网络系统的安全性才能得到维护。作为一个安全体系涉及到了从上层理论到具体细节的方方面面的内容，同样，稽核与检查工作也要包括这些内容。主要包括：安全策略的检查、完备性检查、可行性检查、准确性检查、安全机制的检查等。 安全策略的检查　　安全策略属于网络信息安全的上层建筑，是网络信息安全的灵魂和核心。安全策略为保证信息基础的安全性提供了框架，提供了管理网络安全性的方法，规定了要遵守的规范及应负的责任，使得信息与网络系统的安全有了切实的依据。安全策略的质量直接决定着安全防护工作的质量，所以必须重视对安全策略的检查。检查的内容是安全策略的完备性、可行性和准确性，其中重点是完备性。 完备性检查　　安全策略明确了要保护的内容和目标、事故责任，指明了采用的安全方法、事故响应措施，其中每一项都包括很多很细的内容，要根据具体情况逐项逐条检查，确保没有遗漏。比如要保护的内容和目标包含信息与网络系统中要保护的所有资产（包括硬件及软件），每件资产的重要性及其要达到的安全程度，那么对此进行检查时，就应该先根据信息资产的敏感性进行分类统计，逐条列出，而后再进行复查，建议由不同的人员分批次进行，确保所有要保护的资产都已经列出，最后将表单中的内容与安全策略中的内容进行对比，记录遗漏的和不一致的条目以便于以后的修补。其他几项的检查也应采用相似的方法进行，这些内容的检查在具体环境发生变化时很有必要。 可行性检查　　安全策略并非一个纯理论的东西，而是以实际为基础的，在设计安全策略时，必须考虑它的可行性，一个不能具体实施的安全策略只是一团废纸