前页
网络安全是一个动态的过程,随着新漏洞被不断发现,病毒不停增加、变种,单靠安全产品构筑成的技术保障体系已不能完全维持这种整体动态安全,而需要以安全管理体系和外部安全顾问服务相结合的方式进行。另外,在这个安全体系实施的过程中,实际上就是在充分借助专业安全咨询和服务的方式来进行,实际产品的集成,仅仅只是构建这个安全体系的一小部分。要持续保障一个动态网络的安全性,持之以恒的安全管理和专业的外部咨询顾问是必不可少的。一个固定的长期安全合作伙伴,就像企业的常年法律顾问和管理顾问一样,直接高效的帮助企业和单位完成安全目标,降低安全代价,从而使企业能更专心地运行其主要业务,获得更好的收益。
本公司在配合有关部门检查工作过程中,不少单位也提出了“安全服务外包”的迫切需求。强烈要求出现一支专业的,技术性强的网络安全服务队伍来解决这些问题。在广东省公安厅网监部门的指导和大力支持下,成立了《蓝盾安全评估服务中心》,获得《广东省计算机信息系统安全服务资质证》,近期在东莞、中山、佛山、肇庆、惠州、茂名、阳江、珠海、汕头等各地级市设立分中心。
蓝盾安全评估服务中心成立以来,已先后与上海证券交易所、省交通厅、阳江信息中心等 360 多个单位作了安全评估和服务,获得了良好的效果。
一、专业优势
作为首家获得《 广东省计算机信息系统安全服务资质证》的公司,蓝盾是国内最早从事网络安全服务的专业性公司之一,蓝盾通过多年来在安全产品的研发、客户服务中,逐步形成了一套完善的信息安全工程体系,它以专业理论和技术为支撑;以多种专业测试工具为手段(包含自主研发的安全检测工具);以国际和国家信息安全标准为实施规范。从总的来说,蓝盾安全服务有以下特点:
1、系统化
BDNS信息系统安全解决方案实施的过程也是一个系统安全工程,对一个具有高等级安全要求的网络系统,BDNS从多个层次提供安全防护保障,以系统、清晰和循序渐进的手段解决复杂的网络安全工程实施问题。
1). 《技术服务合同》;
2). 《信息系统现状报告书》;
3). 《信息系统人工访谈笔录》;
4). 《信息系统风险评估报告书》;
5). 《信息系统安全需求报告书》;
6). 《信息系统安全管理制度报告书》;
7). 《信息系统安全策略设置报告书》;
8). 《信息系统安全功能描述报告书》;
9). 《信息系统安全工程方案》;
10). 《技术服务验收单》。
2、专业化
蓝盾长期从事各种信息安全技术的研究,对安全评估技术、入侵检测、访问控制、密码技术、身份识别、计算机病毒等安全技术都有深入的了解,在安全评估、入侵检测和防火墙等方面更推出了自主研发的产品。任何一个参与安全工程的工程师,遇到任何问题,都有整个公司强大的技术支持为后盾,蓝盾为信息安全工程提供的工具、测试规范和整套实施流程是一般的安全公司和个人不可比拟的。
3、标准化
蓝盾在长期的实践中,形成了自己的安全服务体系BDNS,它是以国际和国家信息安全标准为指导,结合国际的安全标准及SSE-CMM安全体系,主要依据有:
BS 7799-2:2002:信息安全管理体系实施规范 ;
ISO7498-2 安全体系结构 ;
ISO 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 ;
SSE-CMM:系统安全工程能力成熟度模型 ;
GB 17859-1999 计算机信息系统安全保护等级划分准则;
ISO 15408:信息技术安全性评估准则 。
4、经验丰富
BDNS网络安全服务经历了近四年的历程。四年来,公司不断总结经验,并将多个安全工程中的工作方法固定成为流程。这些工程流程目前取得了良好的效果。
5、完善的保障体系
◇服务责任
用户与蓝盾签约后,蓝盾将根据合同条款对信息系统安全问题承担相应的责任。后续的技术支持与服务保障,都由合同进行约束。
◇应急响应服务
对于蓝盾已经实施的安全工程,根据合同要求承担服务期限内的应急响应工作,包括对意外事故的处理、非法入侵的处理和调查恢复、网络攻击的应急防护等。
◇连续性/定期测试。
为保障业务信息系统安全运行的连续性,蓝盾将提供定期的、连续的安全性测试等服务。
◇投诉与反馈
蓝盾已经建立起完善的用户反馈和处理机制,在整个服务年限内,随时接受用户对安全工程质量、技术和安全工程服务人员的投诉,并在限期内做出处理和答复。
二、服务标准
ISO 17799:2000 :
BS 7799-2:2002 ;
IETF/RFC2196 Site security handbook;
《电子政务信息系统安全保障评估准则》;
ISO 15408-1 Information technology – Security techniques – Evaluation criteria for IT security – Part 1:Introduction and general mode。
BS 7799 Part2:2002
ISO 17799 ;
BS 7799-2:2002 ;
ISO 13335-1:IT安全管理概念和模块 ;
ISO 13335-2:管理和制定IT安全 ;
ISO 13335-3:IT安全管理方法 ;
AS/NZS 4360:风险管理(澳大利亚/新西兰国家标准);
ISO 15408:信息技术 安全性评估准则 ;
OCTAVE(The Operationally Critical Threat, Asset, and Vulnerability Evaluation),风险评估实施指南。
ISO 17799:2000:信息安全管理实施准则 ;
BS 7799-2:2002:信息安全管理体系实施规范;
ISO7498-2 安全体系结构 ;
ISO 15408:1999(GB/T 18336:2001)-信息技术安全性评估准则 ;
SSE-CMM:系统安全工程 能力成熟度模型;
GB 17859-1999 计算机信息系统安全保护等级划分准则 ;
ISO 17799:2000 ;
BS 7799-2:2002 。
本标准对信息安全的需求和信息安全系统的功能给予了总体的全面的描述。制定这个标准主要参考以下标准:
ISO 15408-2 Security functional requirements。
三、服务体系
(一) 安全工程的筹备
1. 安全需求分析
需求分析是安全工程建设有开始,直接关系到工程的质量好坏,而且一个好的需求分析可大大的降低工程资金,少走弯路。我们将分析客户要求、目标,以及客户业务、应用环境和已标识系统特征的上下文中的需求,从而为每个基本系统功能确定其功能上和性能上的安全要求。制定这个标准主要参考以下标准:
ISO 15408-2 Security functional requirements。
2. 安全控制管理制度
安全管理体系建设的依据 :
ISO 17799:2000:信息安全管理实施准则 ;
BS 7799-2:2002:信息安全管理体系实施规范 ;
建立安全控制的职责和责任并通知到组织中的每一个人。安全的某些方面能够在常规的管理结构中进行管理。
(二) 安全工程的实施
SSE—CMM将系统安全工程划分为风险过程(RISK PROCESS)、工程过程(ENGINEERING PROCESS)和保证过程(ASSURANCE PROCESS)三个基本的过程(如图1)它们相互独立,但又有着有机的联系。粗略地说来,风险过程识别出所开发的产品或系统的危险,并对这些危险进行优先级排序。针对危险所在地面临的安全问题,系统安全工程过程要与其它工程一起来确定和实施解决方案。最后,由安全保证过程建立起解决方案的可信性并向用户转达这和安全可信性。
SSE-CMM给出了系统安全工程需考虑的关键过程域,可用于指导安全工程从单一的安全设备设置,转向到考虑系统地解决安全工程的管理、组织和设计、实施、验证等多方面的问题。该模型同时提供了安全工程过程的能力的定义和能力成熟过程的方式。
目前,我们使用最新的SSE-CMM来指导我们的系统安全工程的实施。结合了ISO 9001国际标准、SSE-CMM(系统安全工程成熟度模型)以及中国信息系统安全服务资质要求,形成自己的安全工程实施体系。
蓝盾安全体系模型
在完整的控制过程中,我们会严格按照规划、实施、评估,维护四个过程对安全工程进行管理和控制。在一个具体的项目实施流程里,我们通过对项目进行前期评估分析来确定该具体项目的框架结构,在充分理解用户需求并提供恰当的输入和配置单元后,对该项目的费用计划进行预估。同时由项目实施人员维护该项目的知识库,质量监控部门配合项目管理人随时监控项目执行过程中发生的事件和变化,定期召开项目协调会议,对项目执行情况、计划完成度、执行进程中的环境、需求、运行变化进行沟通和调整。
(三) 安全态势监控
1. 监控风险、威胁、脆弱性
依据:
ISO 17799 ;
BS 7799-2:2002 ;
ISO 13335-1:IT安全管理概念和模块;
ISO 13335-2:管理和制定IT安全;
ISO 13335-3:IT安全管理方法;
AS/NZS 4360:风险管理(澳大利亚/新西兰国家标准);
ISO 15408:信息技术 安全性评估准则 ;
OCTAVE(The Operationally Critical Threat, Asset, and Vulnerability Evaluation),风险评估实施指南。
风险、威胁、脆弱性是网络安全中最敏感的问题。我们作为专业的网络安全服务公司,在这方面有着丰富的经验,我们运用自己开发的安全评估系统和第三方的软件对客户做全面的检测。查找可能影响当前安全状态有效性的任何变化,不管这种影响是正面的还是负面的。任何系统所实现的安全应该与威胁、脆弱性、影响和风险相关联,因为它们与系统内部和外部环境有关。这些因素没有一个是静态的,而变化既影响有效性,也影响适应性。必须监控所有因素的变化,并分析这些变化以评估它们对安全有效的意义。
2. 分析事件的记录
对于网络攻击事件的求证、取证就必须进行安全事件记录的分析,来确定黑客的情况。既检测安全相关信息的历史和事件记录(包括安全日志、系统日志、其它日志等)。通过多条记录中的相关事件所用元素,应该能识别安全攻击事件。然后多条事件记录可被融入到单个事件中。
3. 安全响应
网络安全的发展日新月异,谁也无法实现一劳永逸的安全。因此当紧急安全问题发生,一般技术人员又无法迅速解决的时候,及时发现问题、解决问题就需要响应服务来进行支持。
我们在处理紧急事件时,通常先尝试通过远程接入的方式定位并解决问题,如果条件不允许或不能解决问题,将尽可能快的赶赴事件现场进行处理。
作为一个规范的网络安全服务商,蓝盾安全小组有一整套紧急响应机制,同时也具备处理各种紧急事件经验的工程师。我们可以为客户处理的紧急事件包括:
*网络入侵事件;
*拒绝服务攻击;
*主机或网络异常事件。
4. 突发事件的识别
现有的网络攻击技术趋向于多元化,多变化。一般技术人员很难识别出是客户的正常访问还是黑客的恶意攻击(如漏洞扫描和漏洞攻击)。我们蓝盾安全小组有着丰富的安全维护经验,前建有突发事件信息识别库。将及时的根据客户所反馈的信息,在第一时间确定事件的性质,向您提出合理的解决方案。如果客户不能提供完整的信息或突发事件的特殊性。我们将在最快的时间内赶赴现场。
5. 防护系统的有效性
现在的安全产品可以说是“百家争鸣”时代,网络安全技术人员也往往被广告词所迷惑,所以,作为一个要求安全性比较高的公司,如果选择的安全产品有漏洞,那后果就可想而知了。蓝盾安全小组作为国内首个防护系统检测服务商,有着丰富的经验和整套的检测工具,我们将模拟黑客的真实攻击,以矛对盾,真实的检测防护系统的有效性。
6. 审核系统安全态势
作为企业的领导,可能最想知道自己的网络所处的安全等级,最想知道网络管理员对网络的管理、配置是否合理、得当,最想知道网络的抗黑能力。我们作为一规范的网络安全服务商,蓝盾安全小组当从网络的部署、设备、配置、管理等多方面。进行全面的检测。将给出总合检测评估报告、安全等级和解决方案。
7. 保护记录数据
在网络攻击中,如果有一个技术高深的黑客专注于对一个网络进行攻击,无论你的网络安全当时做的多么好,不总有一天,那个网络会被攻破。这是个实时,所以保护好记录数据对网络安全的加强和以后的取证是至关重要的。作为一个一般的技术人员,是不能够保护好记录数据是否被修改和删除,蓝盾安全小组将采用多元的保护方式保证记录数据的完整性。
(四) 安全加强
1. 工具的提供
自1999年蓝盾安全小组成立以来,就建立了国内最早,也是最大的安全工具库,安全工具囊括了网络扫描、网络审核、日志工具等,并且有专人专职维护。并且公司有庞大的开发团队,可以及时的开发出适合于突发事件的工具。
我们首先将采用网上下载的方式向客户提供,如果在工具库中找不到或不能满足客户的需求,我们将按客户的要求进行开发。
2. 安全提示
在网络安全中,漏洞是时刻出现,而网络管理人员,特别是复杂网络的管理人员,因为多方面的原因,可能不能及时得到最新的资料。我们作为专业的网络安全公司,有专人负责信息的收集和整理。能及时的提醒客户。我们在这方面向客户提供的有下以内容:
1)、 安全公告:最近的漏洞、病毒信息等;
2)、 安全周刊:我们的专业期刊,包括新闻、漏洞、工具介绍等;
3)、 安全预测:根据最近出现的漏洞预测出将出现什么样的攻击。
3. 体系的优化
合理的体系结构将可以阻挡百分之九十以下的攻击,蓝盾安全小组将根据客户以前所采用的体系结构(包括安全设备、网络系统、操作平台等),按照BS7799 ISO17799(信息安全管理纲要)GB17859-1999(计算机信息安全保护等级划分标准)的标准对网络的各部分进行优化。
我们在这方面向客提供的服务包括:
1)、 安全设备的优化;
2)、 网络的优化;
3)、 操作系统的优化;
4)、 数据存蓄设备的优化。
(五) 安全培训
1、 培训内容
具体安排:上课内容
上午:计算机网络安全技术理论 下午:黑客常见攻击与防范;
上午:防火墙理论和蓝盾防火墙 下午:防火墙安装与配置实验 ;
上午:系统安全漏洞和安全检测 下午:安全检测实验 ;
上午:建设一个安全网站 下午:入侵检测。
2、 师资力量
授课人员有着丰富实际操作和培训讲解经验,在网络安全研究和工程项目上颇有成就。将由国内网络安全资深专家教授徐汉超主教,国内网络安全资深专家和学者组成。 |
.jpg)
.jpg)