文档介绍：AAA商业连锁股份有限公司
安全服务方案
湖南东软软件有限公司
2011年3月
文档控制
文档生成
拟制
戴开明
签字日期
审核
席斐
签字日期
会签
签字日期
签字日期
批准
曹鹏
签字日期
修改记录
序号
修改日期
人员
更新说明
1、

戴开明
文档新建
版本控制
版本
日期
备注

建立
目录
1. 项目背景 5
. 项目背景及概述 5
. 项目的范围和目标 5
. 项目的范围 5
. 项目的目标 6
. 评估原则和依据 7
. 评估原则 7
. 评估依据 8
2. 总体项目思路 9
. 参考模型 9
. P2DR模型 9
. PADIMEETM模型 10
. APPDRR模型 11
. 总体项目策略 12
3. 风险评估与加固方案 12
. 已有安全事件分析 12
. 网络安全评估与加固 13
. 网络架构分析 13
. 网络流量分析 14
. 网络设备安全漏洞检查 15
. 网络设备安全配置检查 15
. 设备安全加固 16
. 系统安全评估与加固 18
. 主机安全检查 18
. 主机安全加固 20
. 应用安全评估与加固 23
. 应用安全检查 23
. 应用安全加固 25
. 渗透测试 27
. 安全评估总结分析及规划建议 29
4. 安全培训方案 30
. 面向管理层的培训 30
. 面向技术人员的培训 31
. 面向普通员工的培训 34
5. 技术支持 35
. 应急响应服务 35
6. 东软信息安全服务资质 42
7. 案例介绍 43
项目背景
项目背景及概述
随着安全事件的不断增加,人们安全意识的不断提高,如何有效地选择安全措施,如何使安全产品发挥应有的作用,如何快速经济地提升系统的安全状况成为用户关心的问题。人们已不再满足于单纯地购买安全产品,开始寻找全面的、系统的解决方法。在这种环境下,安全服务逐渐被用户接受,成为贯穿安全工作各个阶段、渗透各个方面的重要措施。
安全服务是信息系统安全体系中不可或缺的一部分,是整个IT环境的成熟度的一个衡量指标,当整个产业的IT基础设施建设到一定程度后,在规避安全风险、控制安全成本及商业持续性保障需求的压力之下,就需要开始考虑如何制定符合自身的安全策略并使之与业务结合,这就是安全服务产生的基础。完整的安全体系不仅能帮助用户解决现有的安全问题,还能够帮助他们预计未来的趋势,规划安全的长期发展。
AAA集团为响应国家对信息安全的要求和AAA集团自身对信息安全的重视,全面的了解自身信息安全隐患,从物理、网络、系统、应用及管理几个层面分析可能存在的风险,将风险解决于发生之前,特进行此次安全评估项目。
项目的范围和目标
项目的范围
AAA集团此次安全评估服务项目涉及的范围主要是以下几个方面:
物理环境
网络架构
主机与网络设备
服务器
桌面主机
网络设备
业务与应用系统
通用应用服务(Web、FTP、Mail、DNS等)
专用业务系统
数据库
数据存储状况
通讯/数据传输状况
管理制度
人员意识与技能
组织结构
安全产品和技术应用状况
安全事件处理能力
项目的目标
AAA集团此次安全评估服务将在自身网络系统现有的安全策略和标准的基础之上,进一步明确安全策略、安全标准在 IT安全基础设施建设方面的地位和作用。并且,通过本项服务的工作使得AAA集团对服务范围内的信息资产及其风险得到很好的分析,对安全基础设施的建设提供全面的需求分析、功能分析、框架设计、部署和实施初步方案设计等。
通过本项服务,对于服务范围内的重要信息数据(比如,技术文档、源程序、企业运行数据、电子邮件、管理文档商业文档)的安全保护框架,以及承载这些数据的系统的安全保护框架进行全面的设计。
具体来讲,此次安全评估服务可以帮助AAA集团解决以下几个方面:
准确了解企业的信息安全现状
明晰企业的信息安全需求
制定企业信息系统的安全策略和安全解决方案
加固信息系统
指导企业未来的信息安全建设和投入
建立企业自身的信息安全管理框架
评估原则和依据
评估原则
保密性原则:
东软对安全服务的实施过程和结果将严格保密,在未经客户授权的情况下不会泄露给任何单位和个人,不会利用此数据进行任何侵害客户权益的行为;
标准性原则:
服务设