启明星辰专业安全服务白皮书

1、启即屋辰启明星辰专业安全服务技术白皮书启明星辰信息技术有限公司VenusInformationtechnology2006年3月版权声明启明星辰信息技术有限公司2006版权所有，保留一切权力。未经启明星辰书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰信息技术有限公司所有并受中国知识产权法和国际公约的保护。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由启明星辰信息技术有限公司（下称“启明星辰”）更改或撤回。信息反馈如有任何宝贵意见，请反馈：信箱：北京市海淀区中关村南大街12号188信箱电话：0传真：

2、0免责条款根据适用法律的许可范围，启明星辰按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使启明星辰明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。出版时间本文档由启明星辰信息技术有限公司2006年3月制作出版。目录1概述错误!未定义书签。面临的问题错误!未定义书签安全服务的必要性错误!未定义书签关于启明星辰错误!未定义书签2启明星辰产品

3、化安全服务错误!未定义书签安全风险评估服务错误!未定义书签服务简介错误!未定义书签服务包错误!未定义书签安全管理与监控服务错误!未定义书签服务简介错误!未定义书签服务包错误!未定义书签安全管理咨询顾问服务错误!未定义书签服务简介错误!未定义书签服务包错误!未定义书签3启明星辰安全服务特点错误!未定义书签4服务和支持错误!未定义书签1概述11面临的问题在互联网时代，信息高速流动，信息成为组织的最重要的资产之一，因此信息安全被广泛重视。根据BS7799,信息安全就是保证信息的完整性、可靠性、可用性，这三种性能的程度是建立在企业或政府对于信息安全的需求情况，这种需求能够通过风险和相关分析得到，从某种

4、角度上讲，信息安全就是在可以管理的水平上对信息活动确立一种合适风险的技术、管理手段。信息安全的解决方式也有多种，可以请专业公司，也可以由自己公司的IT部门完成。随着信息安全的专业化发展和复杂程度提供，信息安全的技术门槛也提高了，更由于信息安全是个动态的过程，不可能一步到位，因此基于成本考虑和技术先进性考虑，信息安全外包成为一种趋势，专业安全服务是信息安全外包的一项最重要内容也被市场所接受。组织面临的普遍问题有：我是否应该设置专职的安全管理人员专职的安全管理人员安全产品应用能给我带来多大投资回报安全产品安全管理能否外包外包存在哪些风险外包厂商和集成商在安全建设中的地位厂商和集成商对组织的信息安全

5、负有一定的责任，尤其体现在规划设计和安全入网阶段。但是由于对安全的认知以及技术的局限性，单纯依靠生产企业自身的服务能力，实际上不大可能全部满足组织的安全需求。安全服务价值的如何衡量细致的风险评估可以客观地评价组织面临的风险，为用户的安全投入进行规划，保障安全的投资回报。1.2安全服务的必要性用户需要完整的企业安全解决方案和建立完整的企业信息安全策略，这是网络安全产品无法做到的。信息安全是一个动态的概念，不可能做到一劳永逸。信息安全是一个广泛而复杂的课题，一般的企业依靠自身的技术力量无法根本解决。各种类型的企业对信息安全有不同的需求，必须进行具体的分析才能制定出适合自身要求的总体信息安全解决方案

6、。专业安全服务应该适应安全管理的需要，提供包含从高端的全面安全体系到细节的技术解决措施。广义的专业安全服务包含信息安全管理咨询顾问、安全风险评估、安全管理与监控等几个方面。1.3关于启明星辰启明星辰信息技术有限公司成立于1996年，是一家由中国留学生创立的、在中国本土注册的、拥有网络安全自主知识产权产品的、提供整体安全解决方案与信息安全风险评估、安全管理与监控服务、管理咨询顾问服务和应急响应服务的专业网络安全公司。随着互联网应用的纵深演进，信息安全的概念已经不仅仅限于单一的安全产品和技术，而是涉及到企业和组织范围内网络体系各个层面的动态防护与安全管理。为了让客户能够充分了解到自身内部的安全威胁

7、和风险，以便能够进行完善的安全体系保障建设，启明星辰利用自己的安全技术和丰富的经验，为客户提供专业的安全服务。启明星辰公司被列入首批国家计算机网络与信息安全管理中心指定的13家国家计算机网络安全服务A类试点单位，并获得中国国家信息安全测评认证中心颁发的首批信息系统安全服务商资质认证。作为国内信息安全技术与产品的领先企业，启明星辰致力于利用自身的信息安全专业知识和经验，以帮助客户成功保障他们的信息安全。2启明星辰产品化安全服务启明星辰是一家致力于为客户提供全面信息系统安全解决方案与管理服务的高科技企业。启明星辰不仅向客户提供全面安全解决方案中所需项目实施管理，各项工具，包括在业界和市场技术最领先

8、及最先进的产品，而且还为客户提供安全解决方案管理所需的管理决策平台、安全咨询、教育培训以及卓越的售后服务。启明星辰充分了解并开发客户的安全需求，帮助客户实施信息安全的完整安全体系，为不同行业提供符合国际规范的安全服务。启明星辰拥有一个掌握先进安全理念和成熟安全技术的安全服务队伍，有着丰富的安全咨询、安全系统集成、专业安全服务经验，并熟悉用户业务应用和了解安全隐患所在。启明星辰将竭其在信息安全领域的造诣，帮助用户评估信息系统的安全状况，指导用户进行信息安全体系建设，提高用户的安全意识和技术水平，实现业务安全目标。启明星辰依据多年的服务经验，将常见的安全服务以产品包的形式提供给客户。为客户提供的安

9、全服务类型如表21所示。服务类别产品名称说明安全风险评估服务SACS弱点评估通过调查表、人员访谈、现场勘查、文档查看等手段了解管理弱点；从网络、系统、应用三个层次通过工具扫描、人工审计和专家分析对信息系统的技术弱点进行评估，并给出弱点评估报告。渗透测试通过模拟实际攻击过程的方法，验证信息系统面临的风险，评价信息系统的安全性，并给出渗透测试报告。安全加固在弱点评估的基础上，通过专业人员的安全加固服务对信息系统进行安全性增强，消除信息系统弱点，并给出加固报告。风险评估管理系统RAMS产品建立了业务一系统一资产的评估对象模型，拥有权威并且完整的安全知识库：基于CNCVE的安全弱点库、安全威胁库和安全

10、控制库，通过对安全风险评估流程管理、工程项目管理和资产和安全信息数据的维护，将风险评估和管理与企业的业务运维结合起来，为企业提供实时、完整的风险视图安全管理与监控服务M2S脆弱性扫描服务通过工具对企业的相关服务器和网络边界设备进行漏洞扫描，并分析其可能的危害渗透测试服务通过专业的高级安全专家，对系统进行模拟黑客攻击，以更实际的攻击技术发现系统的安全隐患或安全漏洞安全监控服务提供7X24小时的实时安全监控，对网络边界的安全进行系统的监控安全管理服务对网络边界的安全防御产品和相关设备进行管理服务，以提高系统的安全性应急响应服务在系统发生安全问题时，及时进行安全应急服务系统加固服务提供系统的安全加固

11、服务，保证系统的没有高风险漏洞安全通告服务及时提供用户安全信息，使其多角度了解安全现状安全管理咨询顾问服务SMCSBS7799信息安全管理体系（ISMS）咨询服务基于ISO17799/BS7799风险管理理论，指导并协助组织建立科学的动态风险控制体系，保护组织关键信息资产，保护组织的安全投资，将信息风险控制在可接受的水平，保证信息的保密性、完整性和可用性。业务连续性咨询服务提供建立业务连续性框架和测试业务连续性计划两种形式的服务。为用户开发业务连续性管理程序，将预防和恢复控制相结合，将灾难和安全故障造成的影响降低到可以接受的水平。ITIL咨询服务按照ITIL管理体系为用户建立运行管理平台、管理

12、制度和流程，通过人员、技术和流程的有机结合，实现IT运维管理标准化和规范化，提高IT运营的整体水平。培训服务ISO17799/BS7799认证培训；CISSP认证咨询；ITIL培训1表2-1启明星辰安全服务体系21安全风险评估服务211服务简介安全风险评估服务，为组织：评估和分析在网络上存在的安全技术风险；分析业务运作和管理方面存在的安全缺陷；调查信息系统的现有安全控制措施，评价组织的业务安全风险承担能力;评价风险的优先等级，据此为组织提出建立风险控制安全规划的建议。212服务包启明星辰提供的主要安全风险评估服务包如下。详细内容可参考“启明星辰风险评估白皮书”安全弱点评估通过调查表、人员访谈、

13、现场勘查、文档查看等手段了解管理弱点。明确组织高层管理人员对组织重要资产的认识，对资产如何受到威胁的了解，以及资产的安全需求，现在已经采取得保护措施以及和保护该资产相关的问题。通过运作管理人员、组织职员进一步了解组织存在的弱点。从网络、系统、应用三个层次通过工具扫描、人工审计和专家分析对信息系统的技术弱点进行评估，并给出弱点评估报告。漏洞扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。利用安全扫描评估工具扫描网络中的核心服务器及重要的网络设备，包括服务器、交换机、防火墙等，以对网络设备进行安全漏洞检测和

14、分析，对识别出的能被入侵者利用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。安全审计评估服务启明星辰审计评估服务利用专业安全技术和相关知识,通过对主机或设备的操作与检查，收集并了解主机或设备目前的补丁或版本信息、系统配置以及日志纪录等内容，针对这些信息进行技术分析，从而能够了解到主机或设备目前的安全现状，并根据综合信息分析得到主机或设备的安全等级，以便客户能够采取具有针对性的安全保障措施。同时，启明星辰审计评估服务也可以分析安全产品以及安全应用的部署和实施情况，帮助客户了解安全产品和应用是否得到了正确的使用。渗透测试渗透测试是完全模拟黑客可能使用的攻

15、击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。安全加固在弱点评估的基础上，通过专业人员的安全加固服务对信息系统进行安全性增强，消除信息系统弱点，并给出加固报告。安全加固是针对主机操作系统、数据库、网络设备和常见网络服务的安全保护加强。综合风险分析综合风险分析包括资产评估和关键系统

16、识别、业务安全威胁分析、弱点评估、已有控制措施分析、可能性及影响分析、综合风险识别等几个阶段，通过在技术、管理和运作方面的深入评估、调查和分析，为组织揭露在技术上、管理上和运作上存在的各种安全风险，并排定风险优先等级，为组织进行安全规划和建设提供依据和参考方案。风险评估管理系统（RAMS）产品启明星辰风险评估管理系统RAMS是基于启明星辰安全评估咨询部行业化安全风险评估服务用户在风险评估管理方面的需求，设计并开发的用户化风险评估管理工具。它建立了业务一系统一资产的评估对象模型，拥有权威并且完整的安全知识库：基于CNCVE的安全弱点库、安全威胁库和安全控制库，通过对安全风险评估流程管理、工程项目

17、管理和资产和安全信息数据的维护，将风险评估和管理与企业的业务运维结合起来，为企业提供实时、完整的风险视图。2.2安全管理与监控服务221服务简介通过安全管理与监控服务，客户可以实现：全天24小时监控启明星辰的安全管理与监控中心（Monitor-Center）建立有稳定可靠的监控平台，对企业客户的信息系统执行全天候24小时的信息行为监控。实时分析每一个可疑事件，保障攻击行为或网络病毒的及时发现。全天24小时事件响应启明星辰作为国家CERT（中国计算机网络应急处理协调中心，ComputerEmergencyResponseTeam）的会员单位，建立有自己的CERT小组，随时为企业客户提供全天24小

18、时的时间响应服务。作为国内领先的信息安全技术公司，启明星辰的攻防实验室随时提供黑客性质的积极防御以及反攻击服务，有效阻止黑客的进一步攻击行为。专业的安全管理服务为进一步加强对企业客户信息安全保障，启明星辰配备了SOC（安全运营中心，SecurityOperationCenter），为企业客户提供统一信息设备管理、信息系统管理、统一的日志管理、安全服务流程与计划管理等等服务。222服务包启明星辰提供的主要安全管理与监控服务包如下。详细内容可参考“启明星辰安全管理与监控服务白皮书”安全监控服务提供7X24小时的实时安全监控，对网络边界的安全进行系统的监控。通过监控来达到安全事件检测、安全事件跟踪、

19、病毒检测、流量检测等等任务，进而通过检测的结果可以动态的调整各个安全设备的安全策略，提高系统的安全防范能力。安全管理服务对网络边界的安全防御产品和相关设备进行管理服务，以提高系统的安全性。M2S为客户提供全面的安全设备管理服务，这种管理服务包括设备的选择、部署、安装、配置、维护和升级等等一系列的任务。M2S的安全设备管理服务主要包括：防火墙管理、IDS管理、IPS管理、VPN管理、其它安全产品与软件的安全管理等等。应急响应服务在系统发生安全问题时，及时进行安全应急服务。安全事件指在客户信息系统中出现的影响业务正常运行的任何异常事件，以及安全咨询，病毒库升级，产品升级等事件。安全通告服务及时提供

20、用户安全信息，使其多角度了解安全现状。启明星辰提供了邮件通告、电话通告、短信通告等多种安全信息通告方式。2.3安全管理咨询顾问服务231服务简介通过安全管理咨询服务，启明星辰可以：确定组织对于信息安全各个方面的明确需求；识别组织安全现状，检查组织在业务系统、安全管理方面的安全弱点；整合信息安全系统资源，建立和维护信息安全管理体系；获得国家信息系统安全认证和国际信息安全认证，提高组织的竞争力。232服务包启明星辰提供的主要安全管理咨询顾问服务包如下。详细内容可参考“启明星辰安全管理咨询顾问服务白皮书”BS7799信息安全管理体系咨询服务依据信息安全管理标准BS7799，为组织建立和维护完整的信息

21、安全管理体系，实现动态的、系统化的、制度化的信息安全管理模式，根据风险和用户安全目标进行成本效益分析，制定风险控制方案，将风险控制在可接受的水平内，从而保证业务连续性,实现持续的、不断提高的信息安全管理。业务连续性咨询服务提供建立业务连续性框架和测试业务连续性计划两种形式的服务。为用户开发业务连续性管理程序，将预防和恢复控制相结合，将灾难和安全故障造成的影响降低到可以接受的水平。启明星辰安全管理技术以国际实践为基础，是对启明星辰安全管理BCA（业务连续性分析）和启明星辰安全管理BCM（业务连续性管理）方法支持的启明星辰安全管理系统SRC的延伸。ITIL咨询服务按照ITIL管理体系为用户建立运行

22、管理平台、管理制度和流程，通过人员、技术和流程的有机结合，实现IT运维管理标准化和规范化，提高IT运营的整体水平。提供的ITIL顾问咨询服务包括但不限于ITIL差距分析、ITIL框架开发与设计，包括事件管理、配置管理、变更管理等。安全认证培训咨询服务BS7799信息安全认证咨询BS7799标准是由英国标准协会（BSI）制定的信息安全管理标准，并已经被ISO组织接受成为国际标准，是目前国际普遍认可的信息安全管理体系标准。通过建立和维护组织的信息安全管理体系（ISMS）,组织可以保护技术和业务机密，保障信息的完整性和可用性，保持组织的业务连续性。启明星辰BS7799信息安全认证咨询服务帮助企业建立

23、和维护文档化的信息安全管理体系，获得BS7799信息安全管理体系认证并进行证书维护。CISSP认证咨询CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力，提升其专业可信度。本培训课程针对ISC2颁布的CISSP认证考试所涉及的10个信息安全知识域，我们的目的在于，借助5天高强度、全面而系统的专业培训，帮助CISSP报考者通览考试范围，抓住考试重点，最终通过考试。ITIL培训IITIL是面向全球IT经理、运用IT技术部门的最佳实践，在进行系统培训和专门考核后所颁发的项目资格认证。我们提供基于ITIL的培训服务包括ITIL基础认证、ITIL应用认证。3启明星辰安全服务特

24、点全面的信息安全服务资质启明星辰已经获得了如下安全服务资质：国家信息化工作领导小组计算机网络与信息安全管理工作办公室的计算机网络安全服务试点单位、中国信息安全产品测评认证中心的信息安全服务资质、北京市信息安全测评中心的信息安全服务资质等。众多的信息安全服务资质表明了国家相关信息安全管理部门对启明星辰公司信息安全服务能力和信誉的认可。启明星辰参与制订了国内几乎所有风险评估标准规范（如公安部、国家测评认证中心、保密局、国信办）的制定工作，因此使得风险评估等安全服务工作最大程度上符合相关的评估标准规范，符合我国政策的相关要求。专业化服务队伍，丰富的工程实施经验启明星辰拥有一个掌握先进安全理念和成熟安

25、全技术的安全服务队伍，拥有CISSP、BS7799LA、CISP、CCIE、CCNP等专家，具有30多人的专业安全服务队伍，有着丰富的安全咨询、安全系统集成、专业安全服务经验，并熟悉用户业务应用和了解安全隐患所在。启明星辰将竭其在信息安全领域的造诣，帮助用户评估信息系统的安全状况，指导用户进行信息安全体系建设，提高用户的安全意识和技术水平，实现业务安全目标。启明星辰安全防御实验室研究世界先进的安全技术和安全产品，不断跟踪最新的黑客工具和黑客攻击技巧，有近20位攻防研究人员构筑成安全服务队伍的强大技术后盾。众多案例，丰富的安全服务经验启明星辰是国内最早从事专业评估的公司之一，自2000年起承接过众多大型评估项目，具有大量的成功案例，如：中国电信IP网风险评估、中国移动BOSS系统风险评估、广东移动全网业务评估、CNCERT安全监控服务、央视国际安全监控服务、华奥星空安全监控服务、马来西亚电信安全评估、中国银河证券深圳总部风险评估、国家统计局风险评估、新华社风险评估、多家商业银行风险评估、海尔集团总部风险评估等，积累了非常丰富的安全服务经验。启明星辰成立了国内第一家专业安全管理咨询公司，具有国内外20多个管理咨询