安全服务建议书-Sample

XXXIDC安全服务建议书二○○三年四月XXXIDC安全服务技术建议书-1-目录1公司信息............................................................................................................错误!未定义书签。1.1简介............................................................................................................错误!未定义书签。1.2公司理念....................................................................................................错误!未定义书签。1.3信息安全服务资质.....................................................................................错误!未定义书签。1.4公司地址....................................................................................................错误!未定义书签。2XXXIDC安全服务需求...................................................................................................................22.1网络拓扑图...............................................................................................................................22.2安全服务需求............................................................................................................................22.3安全产品需求............................................................................................................................33安全服务内容...................................................................................................................................43.1严密的安全体系........................................................................................................................43.2专业的安全服务........................................................................................................................43.2.1安全审计服务....................................................................................................................53.2.2紧急安全响应服务..........................................................................................................123.2.3路由器安全增强配置......................................................................................................173.2.4防火墙安全配置..............................................................................................................183.2.5DNS应用系统安全配置.................................................................................................193.2.6WEB应用系统安全配置................................................................................................203.2.7MAIL应用系统安全配置...............................................................................................213.2.8安全培训服务..................................................................................................................224XXX公司安全服务质量控制与保证............................................................................................334.1技术基础.................................................................................................................................334.2人员保证.................................................................................................................................344.3安全服务规范..........................................................................................................................345合作提供安全服务的设想..............................................................................................................356结语.................................................................................................................................................35XXXIDC安全服务建议书第1页1公司简介包含公司有关资质、奖励等XXXIDC安全服务建议书第2页2XXXIDC安全服务需求XXXIDC是7×24小时不间断运行的系统，为保证XXXIDC系统安全可靠地运行，保守企业和用户秘密，维护企业和用户的合法权益，应该具有极高的可靠性和良好的安全性。通过完备的安全规范和策略建立一个配套的安全管理制度，利用业界最新的安全技术去建设一个环境安全和管理安全的安全体系，从而满足XXXIDC系统对安全的要求。2.1网络拓扑图网管系统3524...虚拟主机系统应用系统EID(入侵检测系统)防火墙INTERNET生产区（安全区，百M环境）笔记本电脑(运行远程安全评估软件，并可切入网络不同点进行审计)65093524入侵检测系统2950客户机器客户机器...防火墙日志服务器(出口千兆，终端百兆网络)客户安全区65092950应用系统网管系统2.2安全服务需求经过与XXXIDC的多次交流，我公司理解的本次安全服务需求如下：1）对10台服务器进行安全加固。Linux6.21台，运行Apache、PHP、MySql;Windows20009台；上面有IIS6台，IDS（1台），DB（SQLServer2000）2套，网管软件一套，BackupXXXIDC安全服务建议书第3页Server1台。2）安全审计的服务器数量30台3）对IDC主机做日志搜集和分析的要求也不大，只要有储存，不需要分析。4）IP规划中生产区和办公区没分开，共用一个网段。5）人员规模在40人左右，有自己的安全管理制度，补丁更新及时。6）备份系统为磁带库。对安全服务比较明确的要求是，在安全审计报告方面及时、详细、重点突出；在平时的工作日志中要做到详细，有案可查。XXXIDC系统的安全风险评估是针对已经建设的XXXIDC系统的策略、设计、和安全漏洞进行审计和检测。主要考察其：合理性：人员配置、设备配备、制度建设和执行可用性：系统的管理、操作、维护性能保密性：数据信息的加密等保护措施完整性：信息的完整性确定性：认证/防抵赖可追溯性：日志记录等2.3安全产品需求XXXIDC已有的安全产品是CA公司的EAC主机加固，EID的IDS，冰之眼扫描器。针对安全需求书中提到和比较急的安全需求，在附件中推荐了部分安全产品，主要用于系统安全加固、及时发现系统漏洞和对系统日志进行分析，产品如下：1）系统安全增强工具；2）安全审计中心；3）网络安全分析仪；4）日志分析中心。XXXIDC安全服务建议书第4页3安全服务内容3.1严密的安全体系针对IDC的特殊性，我公司建议从安全整体规划出发，建立一套完整、严密的安全服务体系，以便从统一安全策略出发，从上到下地严密控制可能产生的安全风险，在这套完整的安全体系下，您的网络的安全风险将是可见的、可控的、可管理的，达到将风险降到最低的目的。3.2专业的安全服务信息安全一向是一个交互的过程，使用任何一种“静态”或者号称“动态”防范的产品都不能解决不断新出现的安全问题，所以我公司针对安全问题的特点，提供针对IDC的全面的安全服务。在IDC的环境中：系统的安全性和操作系统提供商和软件提供商非常有关，作为网络的使用者，必须时刻和各种软硬件厂商的安全部门联系，获得最新的安全报告。防火墙并不能保护一切网络资源。防火墙能够保护经过严格规则设定的网络资源不泄漏，以及可以拒绝绝大多数的端口扫描和DenyofService(拒绝服务)攻击，但是传统的防火墙不能拒绝正当的连接中带的攻击行为以及来自内部网的攻击。网络实时入侵探测软件的报警功能的局限性。目前任何一种网络实时入侵探测软件都不能截获局域网上100％的数据包进行分析，因此存在着一定的漏报问题。人员的操作水平和系统的复杂性之间的差距。现有的系统管理员对目前先进、复杂的网络的管理能力有限。基于以上种种原因，我公司作为专业安全服务提供商，更专注于提供专业的安全咨询服务，我公司推出了系统安全服务，解决了日常运营维护中的系统安全问题对网络建设者和运营商的困扰。网络安全并不是按照说明书安装