天融信安全运维服务-白皮书

TOC\o"1-5"\h\z\o"CurrentDocument"服务产生背景 2服务概述 2\o"CurrentDocument"服务方式 3\o"CurrentDocument"驻场值守方式 3\o"CurrentDocument"定期巡检方式 3\o"CurrentDocument"远程值守方式 3\o"CurrentDocument"应急响应方式 3\o"CurrentDocument"服务内容 3\o"CurrentDocument"健康检查服务 3\o"CurrentDocument"安全事件审计服务 .4\o"CurrentDocument"网络行为审计服务 .4\o"CurrentDocument"运维监控与分析服务 4\o"CurrentDocument"敏感问题预警与告警服务 5\o"CurrentDocument"终端安全监控与策略优化服务 5\o"CurrentDocument"等级保护合规性运维服务 5\o"CurrentDocument"应急响应服务 5\o"CurrentDocument"安全通告、漏洞分析服务 6\o"CurrentDocument"知识库维护服务 .6\o"CurrentDocument"服务器优化服务 .6\o"CurrentDocument"数据库维护服务 .6\o"CurrentDocument"功能性定制服务 .7报表定制服务 7关联分析规则定制开发 7设备解析定制服务 .7工单流程定制服务 .7\o"CurrentDocument"产品升级服务 .7\o"CurrentDocument"保修及延保服务 8服务价值 9\o"CurrentDocument"天融信优势 9天融信安全运维服务白皮书1 服务产生背景国际著名咨询调查机构Gartner集团的调查发现，在经常出现的问题中，源自技术或产品（包括硬件、软件、网络、电力失常及天灾等）方面的问题其实只占20%，而管理流程失误、人员疏失问题占80%。经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。因此，用户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全运维服务，逐步构建动态、完整、高效的用户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高用户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。用户安全运维中面临问题：＞信息管理部门的人员有限，员工的精力有限＞安全管理制度体系不完善，安全责任制落实不到位＞安全技术能力方面或多或少的存在一定的限制＞安全产品众多，维护、升级不及时＞海量安全事件无法及时处理＞异常操作行为无法及时预警＞处理大量安全事件经验不足＞外界新技术无法更快更好的应用到内网正是针对用户在运维管理中存在的弊端，天融信依靠长期从事信息安全运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL（最佳实践指导）、ISO/IEC27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准，建立了一整套信息安全运维管理的服务内容。服务概述天融信安全运维服务，是以“为客户或服务干系人提供服务交付和价值”为目标，以客户信息安全的总体框架为基础、以安全策略为指导，结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，为军工、政府、金融、企业等客户提供安全监控、应急处置、分析决策等运维保障服务。北京天融信科技有限公司天融信安全运维服务白皮书3 服务方式驻场值守方式安全运维团队根据合同约定，安全运维工程师在客户现场上班，遵守客户作息时间，负责或配合完成相关的服务内容；根据具体的需求在规定的时间内提供相应的服务报告：包括现场服务报告以及定期的服务总结报告等。定期巡检方式安全运维团队根据事先与用户约定的服务方式（现场检查，远程检查）、检查频次和检查内容，在保证系统安全的前提下，上门为用户提供巡检服务。远程值守方式远程值守方式是指用户通过电话、E-mail、QQ等方式向天融信公司寻求技术服务支持时，安全运维团队利用电话、E-mail和远程协作控制等工具为用户提供安全服务。应急响应方式应急响应方式是指用户在网络安全事件发生后,安全运维团队对用户问题进行应急响应处理，并按照准备、检测、抑制、根除、恢复、踉踪等一系列标准措施完成运维服务。4 服务内容健康检查服务为了确保用户安全系统长期、稳定的工作，最大限度的降低系统的运行故障及延长系统设备的使用寿命，安全运维团队提供安全设备、业务系统的健康检查服务，可以根据事先与用户约定的服务方式（现场检查，远程检查）、检查频次和检查内容，在保证系统安全的前提下采集系统配置、流量信息、系统状态等安全信息，依照标准化流程，定期对用户的系统进行检查，了解系统的整体工作状态。由被动服务变主动服务，通过健康检查服务排除故障隐患，降低故障率。安全运维团队为用户提供详细、专业的运维服务报告。来帮助用户管理日益复杂的系统和应用平台，以减轻用户的压力，使用户公司以最优的性价比得到最有效的网络安全管理。北京天融信科技有限公司天融信安全运维服务白皮书安全事件审计服务随着网络规模的增长，用户网络中防火墙、防病毒软件、IDS、VPN等网络安全设备不断增加，庞大的日志数据令用户无从下手。随着网络设备越来越多，网络攻击手段越来越多样，攻击方法越来越隐蔽，单纯依靠某一种安全设备的事件来对网络安全情况进行评估和反应是远远不够的。安全运维服务团队提供对各类系统产生的安全日志实现全面、有效的集中收集、管理、审计服务。网络行为审计服务网络行为审计服务深入了解网络用户、网络设备和网络应用的历史和实时行为，基于用户使用网络的实际行为来优化和调整网络，实现了真正以用户为中心的行为分析，能够对典型的网络行为和用户行为进行实时的网络服务和网络管理。网络行为审计服务通过收集并分析用户网络行为数据，从而发现违反安全策略的行为。即当发生安全事故或者发生违反安全策略的行为之后，通过检查、分析、比较用户网络行为数据，从中发现违反安全策略行为的记录。该服务为用户完整地记录各种信息的起始地址和使用者，以利于事后追踪，为调查取证提供第一手的资料。运维监控与分析服务运维监控与分析服务以资产管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的安全管理与监控、实现对安全问题的统一监控与管理，对各类安全事件的集中管理和智能分析，最终实现对用户安全风险态势的统一监控分析和预警处理。通过安全运维工程师定期的分析，从海量的安全事件中提取出支持全局决策的信息。帮忙用户整理、分析网络中各类安全事件，量化安全问题，梳理运维流程。北京天融信科技有限公司天融信安全运维服务白皮书敏感问题预警与告警服务安全运维团队根据用户环境制定针对相关敏感问题而采取及时预警与响应，当监视到特定事件发生时，可以根据预先制定的规则予以及时响应，做出报警、联动等处理操作，及时有效的应对复杂的网络安全情况。定期根据用户的需求优化响应方式及响应规则，将工单、邮件、WINPOP、铃声等多种报警方式相结合，为用户提供立体式预警响应服务。终端安全监控与策略优化服务随着用户网络逐渐复杂，网络管理的难度将不断加大，多数企业、机构都缺乏有效的制度和手段管理网络，如：终端用户不及时升级系统补丁、升级病毒库，随意接入网络、私设代理服务器、私自访问保密资源、非法盗用他人地址帐号、利用非法软件获取利益等行为在企业中也比比皆是，综合管理效率和效果受到了很大影响。针对用户问题，安全运维服务团队集中帮助用户监控全网资源管理、梳理解决全网终端安全控制等问题、实时优化终端安全策略。定期检查用户的IP、MAC地址是否合法及终端安全状态，并根据对用户终端安全状态的检查结果制定接入控制策略，对不符合安全标准的用户进行系统补丁升级、病毒库升级等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以动态合理控制用户的网络权限，从而提升网络的整体安全防御能力、大大提升了用户网络的使用效率及管理效率。等级保护合规性运维服务大部分用户在信息管理部门的人员有限，员工的精力有限，而安全技术能力方面也或多或少的存在一定的限制，很难将等级保护日常管理工作彻底的贯彻执行到位。等级保护全规性运维服务帮助用户从物理环境、资产、介质、设备、系统安全、网络安全、恶意代码防范、系统变更、系统备份恢复、应急响应与安全事件处置等多方面，进行全方位的安全管理和安全技术支持，为用户有效地解决日常运维管理中的各类安全问题，同时满足用户的合规性需求。应急响应服务应急响应服务指当安全事件发生后，向用户提供一种发现问题、解决问题的快速、有效的响应服务。为用户快速恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。应急响应服务按照准备、检测、抑制、根除、恢复、踉踪等一系列标准措施为用户提供7X24小时的响应服务，保证网络安全无忧，预防危险发生。北京天融信科技有限公司天融信安全运维服务白皮书安全通告、漏洞分析服务对于网络管理人员，特别是复杂网络的管理人员，由于时间和工作关系，通常会遇到无法收集并分类相关的安全报告，使得网络中或多或少的存在被忽视的安全漏洞。而安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈，并同时涉及信息技术的众多领域。企业所掌握的安全知识的更新速度所受到的压力非常大。天融信凭借国内领先的安全研究能力，广泛的采集途径，以及完善的漏洞信息收集系统，使得我们能高质量，高效率的完成安全信息整理、分析、测试、分类等工作。将最新最严重的网络安全问题以最快的速度通报给用户公司，并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的压力。在多年服务经验的积累之上，将以安全通告的形式为用户提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总和安全知识库更新等，并通过安全运维人员对漏洞的定期分析，给出用户内部重要资产的安全现状和安全趋势。知识库维护服务针对用户知识库定期升级，为用户运维人员提供更多的安全知识，以提高知识库的文章的数量，保障用户的运维效果，提高安全运维效率。服务器优化服务通过多年的经验为用户提供服务器优化服务，根据用户的网络和业务的实际需要，对天融信软件系统服务器进行系统优化，包括应用程序服务器、事件采集器。＞代理模块优化＞应用模块优化＞数据库网关与数据库管理模块优化数据库维护服务针对天融信安全产品后台数据库进行监控与优化，提高服务器运行效率。＞监控数据库实时监控安全管理平台、终端安全产品、日志审计平台等天融信产品后台数据库指标，及时提醒异常、排除故障。保证数据库正常运行。重点监控如cpu负载、数据库连接和锁、磁盘IO、表空间，日志文件、事务和undo。＞优化数据库对安全管理平台、终端安全产品、日志审计平台等天融信产品后台数据库进行优化，北京天融信科技有限公司天融信安全运维服务白皮书以提高数据库的存储和数据分析速度，提高产品的运行效率。功能性定制服务报表定制服务开发数据分析报表，以不同的展现方式生成报告，提交上级领导供业务分析与管理决策。报表系统开发，根据用户对安全管理报表的需求，定制开发事件报表和综合报表模板。关联分析规则定制开发经过对各类事件的归一分析处理后，结合攻击状态机模型来抽象和描述攻击行为，与多种攻击关联场景进行模式匹配，有效地从大量安全事件中准确识别出真实的入侵行为，从而实现报警信息的精炼化、提高报警信息的可用信息量，减少报警信息中的无用信息，降低安全设备的虚警和误警。根据用户网络的实际情况，开发关联分析场景，实现对用户关联分析库的持续升级。设备解析定制服务根据用户需求对用户新增未支持设备（包括软件系统或硬件）的日志解析，开发并新增设备支持列表，增加天融信产品对用户新设备或系统的支持。工单流程定制服务工单响应流程定制服务，分析用户事件处理流程，将业务流程与运维相结合，定制符合用户需求的数据管理流程和工作业务流程，将业务流程变成可视化的工作流，在工作流的每一节点安排工程师进行处理，以达到梳理工作流的目的在一定条件下自动创建/派发工单，方便用户及时通知相关人员处理安全事件，提高安全响应效率，摆脱人工处理的弊端。产品升级服务针对网络中部署的天融信安全管理系统、终端管理系统、日志审计系统及网络、数据库审计系统的用户。根据用户新的需求和公司当前最新版本情况，有针对性的对原有天融信产品进行升级。更好的将公司新产品以服务的方式推广到用户，减少公司对老版本产品维护成本，更好的提高用户满意度。北京天融信科技有限公司天融信安全运维服务白皮书保修及延保服务为用户提供安全管理系统、终端管理系统、日志审计系统及网络、数据库审计系统保修及延保服务。作为专业的IT服务厂商，将先进的技术、经验丰富的实施团队以及科学的管理流程有效结合起来，通过标准的服务流程为用户提供专业的软、硬件保修及延保服务。通过远程或现场服务，在与用户约定的时间范围内对用户信息系统的软硬件问题进行及时的处理与修复，最大限度地保障用户信息系统的可用性，降低故障对业务运作的影响，并提供相应的服务报告，包括：《现场服务报告》、《故障处理报告》等。对于不属于免费保修范围的情况，天融信为您提供单次有偿维修服务，维修部件自动续保三个月。北京天融信科技有限公司,WORD格式--可编辑--专业资料.服务价值＞了解态势：客户可以及时了解安全态势，降低安全风险，轻松保障自身业务的可持续性;＞明了任务：直观体现信息业务系统安全现状，了解当前降低安全风险的初始任务；＞降低成本：最大限度的降低企事业安全运营成本，提高企业信息业务