启明星辰专业安全服务技术白皮书V3.0启明星辰信息技术有限公司VenusInformationtechnology2006年3月安全源自未雨绸缪,诚信贵在风雨同舟启明星辰信息技术有限公司地址:北京市海淀区中关村南大街12号188信箱网址:电话:010-62149966传真:010-621467781版权声明启明星辰信息技术有限公司©2006版权所有,保留一切权力。未经启明星辰书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰信息技术有限公司所有并受中国知识产权法和国际公约的保护。信息更新本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终用户提供信息,并且随时可由启明星辰信息技术有限公司(下称“启明星辰”)更改或撤回。信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区中关村南大街12号188信箱电话:010-62149966传真:010-62146778免责条款根据适用法律的许可范围,启明星辰按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使启明星辰明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。出版时间本文档由启明星辰信息技术有限公司2006年3月制作出版。安全源自未雨绸缪,诚信贵在风雨同舟启明星辰信息技术有限公司地址:北京市海淀区中关村南大街12号188信箱网址:电话:010-62149966传真:010-621467782目录1概述...........................................................................................................................................31.1面临的问题.......................................................................................................................31.2安全服务的必要性...........................................................................................................41.3关于启明星辰...................................................................................................................42启明星辰产品化安全服务.......................................................................................................52.1安全风险评估服务...........................................................................................................62.1.1服务简介...................................................................................................................62.1.2服务包.......................................................................................................................72.2安全管理与监控服务.......................................................................................................82.2.1服务简介...................................................................................................................82.2.2服务包.......................................................................................................................92.3安全管理咨询顾问服务.................................................................................................102.3.1服务简介.................................................................................................................102.3.2服务包.....................................................................................................................103启明星辰安全服务特点.........................................................................................................124服务和支持.............................................................................................................................14安全源自未雨绸缪,诚信贵在风雨同舟启明星辰信息技术有限公司地址:北京市海淀区中关村南大街12号188信箱网址:电话:010-62149966传真:010-6214677831概述1.1面临的问题在互联网时代,信息高速流动,信息成为组织的最重要的资产之一,因此信息安全被广泛重视。根据BS7799,信息安全就是保证信息的完整性、可靠性、可用性,这三种性能的程度是建立在企业或政府对于信息安全的需求情况,这种需求能够通过风险和相关分析得到,从某种角度上讲,信息安全就是在可以管理的水平上对信息活动确立一种合适风险的技术、管理手段。信息安全的解决方式也有多种,可以请专业公司,也可以由自己公司的IT部门完成。随着信息安全的专业化发展和复杂程度提供,信息安全的技术门槛也提高了,更由于信息安全是个动态的过程,不可能一步到位,因此基于成本考虑和技术先进性考虑,信息安全外包成为一种趋势,专业安全服务是信息安全外包的一项最重要内容也被市场所接受。组织面临的普遍问题有:我是否应该设置专职的安全管理人员?专职的安全管理人员安全产品应用能给我带来多大投资回报?安全产品安全管理能否外包?外包存在哪些风险?外包厂商和集成商在安全建设中的地位?厂商和集成商对组织的信息安全负有一定的责任,尤其体现在规划设计和安全入网阶段。但是由于对安全的认知以及技术的局限性,单纯依靠生产企业自身的服务能力,实际上不大可能全部满足组织的安全需求。安全服务价值的如何衡量?细致的风险评估可以客观地评价组织面临的风险,为用户的安全投入进行规划,保障安全的投资回报。安全源自未雨绸缪,诚信贵在风雨同舟启明星辰信息技术有限公司地址:北京市海淀区中关村南大街12号188信箱网址:电话:010-62149966传真:010-6214677841.2安全服务的必要性用户需要完整的企业安全解决方案和建立完整的企业信息安全策略,这是网络安全产品无法做到的。信息安全是一个动态的概念,不可能做到一劳永逸。信息安全是一个广泛而复杂的课题,一般的企业依靠自身的技术力量无法根本解决。各种类型的企业对信息安全有不同的需求,必须进行具体的分析才能制定出适合自身要求的总体信息安全解决方案。专业安全服务应该适应安全管理的需要,提供包含从高端的全面安全体系到细节的技术解决措施。广义的专业安全服务包含信息安全管理咨询顾问、安全风险评估、安全管理与监控等几个方面。1.3关于启明星辰启明星辰信息技术有限公司成立于1996年,是一家由中国留学生创立的、在中国本土注册的、拥有网络安全自主知识产权产品的、提供整体安全解决方案与信息安全风险评估、安全管理与监控服务、管理咨询顾问服务和应急响应服务的专业网络安全公司。随着互联网应用的纵深演进,信息安全的概念已经不仅仅限于单一的安全产品和技术,而是涉及到企业和组织范围内网络体系各个层面的动态防护与安全管理。为了让客户能够充分了解到自身内部的安全威胁和风险,以便能够进行完善的安全体系保障建设,启明星辰利用自己的安全技术和丰富的经验,为客户提供专业的安全服务。启明星辰公司被列入首批国家计算机网络与信息安全管理中心指定的13家国家计算机网络安全服务A类试点单位,并获得中国国家信息安全测评认证中心颁发的首批《信息系统安全服务商资质认证》。作为国内信息安全技术与产品的领先企业,启明星辰致力于利用自身的信息安全专业知识和经验,以帮助客户成功保障他们的信息安全。安全源自未雨绸缪,诚信贵在风雨同舟启明星辰信息技术有限公司地址:北京市海淀区中关村南大街12号188信箱网址:电话:010-62149966传真:010-6214677852启明星辰产品化安全服务启明星辰是一家致力于为客户提供全面信息系统安全解决方案与管理服务的高科技企业。启明星辰不仅向客户提供全面安全解决方案中所需项目实施管理,各项工具,包括在业界和市场技术最领先及最先进的产品,而且还为客户提供安全解决方案管理所需的管理决策平台、安全咨询、教育培训以及卓越的售后服务。启明星辰充分了解并开发客户的安全需求,帮助客户实施信息安全的完整安全体系,为不同行业提供符合国际规范的安全服务。启明星辰拥有一个掌握先进安全理念和成熟安全技术的安全服务队伍,有着丰富的安全咨询、安全系统集成、专业安全服务经验,并熟悉用户业务应用和了解安全隐患所在。启明星辰将竭其在信息安全领域的造诣,帮助用户评估信息系统的安全状况,指导用户进行信息安全体系建设,提高用户的安全意识和技术水平,实现业务安全目标。启明星辰依据多年的服务经验,将常见的安全服务以产品包的形式提供给客户。为客户提供的安全服务类型如表2-1所示。服务类别产品名称说明安全风险评估服务SACS弱点评估通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点;从网络、系统、应用三个层次通过工具扫描、人工审计和专家分析对信息系统的技术弱点进行评估,并给出弱点评估报告。渗透测试通过模拟实际攻击过程的方法,验证信息系统面临的风险,评价信息系统的安全性,并给出渗透测试报告。安全加固在弱点评估的基础上,通过专业人员的安全加固服务对信息系统进行安全性增强,消除信息系统弱点,并给出加固报告。风险评估管理系统RAMS产品建立了业务-系统-资产的评估对象模型,拥有权威并且完整的安全