新一代安全概念

新一代安全概念

1.统一的安全策略

安全策略是指构建安全防护系统中，要达到的安全程度、要采用的技术手段

和可以接受的代价。构建一个大型电信网络的时候，必须采取统一的安全策略，

才能事半功倍地保证系统和网络安全。

2.多层次的安全保护

网络系统由多个层次来构成，要在多个层次中实现安全保护，才能建立一个

安全的平台。当一个安全层次失效后，余下的安全层次仍然能够发挥作用，这样

整个系统的安全防护就不会失效。

网络安全层次

公开网络层：主要指以提供各种IP包通信为主的广域网(WAN)层。

公共服务网络层：主要指只开放某些Internet公共服务如DNS,E-mail,

WWW,RADIUS而限制其它TCP,UDP端口和某些网段基本安全层。

安全保密网络层：一般指重要敏感数据所在的重点安全保密的层。

以上各层在物理上是分布的，但在逻辑上是将各层划分明确，各层内又统一合为

一体。各层内可以自由通信，但不会出现安全高层的数据泄露到安全低层的问题。

主机安全层次

操作系统内核层：通过增强网络操作系统抵抗各种攻击行为的自身能力，分

割可能造成安全问题的超级管理员或者各级系统管理员的权限来实现。

操作系统网络层：通过增强网络操作系统对网络连接的控制和审计来实现。

操作系统用户层：通过增强网络操作系统对用户权限的控制和审计来实现。

操作系统完整性：对操作系统本身的完整性的审计。

数据库安全性：对专用大型数据库的安全性的审计和检查。

为了实现以上多个层次，梯次设防的安全体系结构。我们采用了多种安全技

术手段：

身份认证、访问控制、数据完整性、抗病毒技术、抗拒绝服务攻击、安全恢

复、安全事件检测和安全审计。

二、安全体系

基于****工程中客户强烈的安全意识和安全需求，以及未来网络的发展方

向，我们针对典型的电信运营网络的结构和客户的业务状况，建议采用如下图所

示层次保护的安全防护结构：

安

一

全

网络系统网管系统Billing)]WWW

层

次

6—FirewallFirewall/IDS

5统一认证系统(RSAACE)

4日志集中管理(LogServer)

SecurityServiceforSecurityServicefor

3

SWITCH/ROUTERHOST/WEB/DNS/DB/FTP/MAIL

2

安全维护(SecurityMaintenance)

1

安全管理(SecurityManagement)

****安全解决方案图示

1.安全管理

合理的管理策略是安全运行的基础，我方提倡“管理为上”的安全理念。所

谓“管理为上”，也就是说，通过提高和培养系统管理员的技术层次和安全认识、

通过帮助客户制订有效的管理制度，在非技术层面上构建安全的管理体系。这种

理念，是安全体系的核心，也是一切构建与其上的安全服务的基础。

在具体的实现上，我们将帮助****系统的制订起完整而有效的安全管理方

案，包括从用户账号管理策略到备份和灾难恢复方案、从日常跟踪审计到细致的

日志分析，以至于各级管理员的职责划分、授权规则、直至日常安全工作规程的

制订。

2.安全维护

为了保证系统完整而稳定的运行，一个有效的安全维护计划显得尤为重要。

在安全体系的第二层，是我方提供的长期的日常安全维护服务。它是一套系统的

安全审计、维护与事件响应计划，具体包括有日常的安全审计、安全状况报告、

安全事件报告、漏洞修补服务以及安全信息的动态发布。

这两层，是安全体系的核心部分，也是我们的安全服务其核心价值所在。任

何缺乏这两层的安全服务，就仅仅只能算是安全产品的简单堆砌。

基于安全的管理体系和安全维护服务，在此之上，我们提供对主机和网络的

安全增强配置服务。

3.网络和主机安全增强

我们从统一的安全策略出发，我们着眼于****全网最基本的安全，即各种设

备的自身安全性，包括网络设备安全及其主机系统安全这两个方面。这个层次的

安全性是实现上层业务安全的基础，公司通过为这个层次提供各种设备及主机的

安全增强配置服务，来保证网络层及主机层的基本安全。其中包括网络设备中常

用的路由器、交换机和防火墙的安全增强配置，以及主机系统Unix、NT/2K等

操作系统的安全增强配置。

4.应用系统安全

在网络和主机基本安全性得到保证的基础上，我们着眼于整体，配置了log

server,将这些安全层次中由系统或设备本身产生的安全审计信息以及应用软件

产生的日志进行集中的存储和管理。同时，利用自行开发的日志分析工具对日志

进行分析，从而得出整个网络的安全状况报告，并以此制定相应的安全策略，提

供相应的安全服务。

为保护数据安全，我们建议部署数据备份系统，一方面高效存储数据，另一

方面提高故障恢复能力。

最后，从****将要开展的业务体系角度考虑我们的安全解决方案。主要针对

目前****的计费系统、网管系统和WWW系统等提供安全服务，利用某些安全

应用设备或软件，诸如：IDS、Scanner等，实现更高层次的应用安全。

以下我们将从网络设备及主机系统安全性、日志集中管理及其业务系统安全

保护这几个方面具体阐述我们对****二期工程的安全解决方案。

三、安全解决方案

客户网络节点业务系统部分网络拓扑如下图所示:

SymtiitecNelFruwler

Audi:Center

1.网络设备安全

网络层的安全是全网安全的基础，而其中的网络设备安全则是网络层安全的

基础，所以，我方认为保证网络设备的安全是非常重要的安全措施。目前，****

网中核心层、省内接入层及省中心共有4台骨干路由器、一台骨干交换机4006、

一台防火墙。我方将针对这些网络设备提供相应的安全增强配置服务，服务主要

对设备本身漏洞及其不合理配置造成的安全隐患实施相应的修补及重新配置，具

体服务内容见附录一。

2.主机系统安全

主机系统是全网提供服务、存放数据的中心环节，所以，提高主机系统自身

安全也是保证全网安全的重要一环。在****项目中，涉及到了各类主机系统，包

括Sun、SGI、NT系统，这些主机也随着应用不同分布在各个业务系统之中，其

中计费系统2台Sun,DNS1台Sun,认证系统2台Sun,WWW1台SGI,客户

自服务系统1台SUN,这些主机在全网中都有着重要的地位，我方将针对这些

主机系统都提供了安全增强配置服务，服务除了修补主机本身的漏洞外，也对相

应错误配置造成的安全隐患进行更新，具体的服务内容见附录二。

3.日志集中管理

在解决了主机和网络系统的基本安全的基础上，我们从全网层次上考虑安全

问题。为了能够有效的监控网络和主机系统的安全状况，以及安全设备及软件的

工作情况，我方建议放置日志服务器，logserver负责对中心内部以及全网日志

信息的收集，以实现分析全网范围内的安全信息，得出全网的安全状况报告，并

根据全网统一的安全策略来制定对策，提供服务。

4.动态扫描分析系统

网络扫描评估系统由一台或多台安全审计服务器构成。安全审计中心能够为

客户提供网络安全审计服务，从网络上对客户的服务器进行网络安全扫描，生成

安全状态的报表，并提交给客户。

网络扫描评估系统具有优良的特性，包括：

•详细的网络安全扫描评估报告，内容包括目前系统的安全隐患以及如何

修补安全隐患的信息。这些安全隐患包括：系统后门、拒绝服务、CGI

漏洞、防火墙漏洞、FTP漏洞、非授权远程访问、远程获得shell或root

shell.RPC漏洞、SMTP漏洞、SNMP漏洞、Windows系统远程漏洞等;

•易于理解的评估报告。网络扫描评估系统提供定制的中文形式的报告，

适合国内的电信运营商及IDC运营商使用；

•智能扫描，能够准确识别目标主机上运行的服务，并进行安全检查；这

个特性在目标主机上的服务运行在非标准端口上时非常有效；

•允许单个主机上的存在多个端口上运行的服务；通常的扫描器无法处理

这种情况；

•改进的中文支持，能够直接生成中文报表；

•改进的报告形式，能够生成TXT、HTML和PDF格式的报表；

•没有扫描限制，能够同时扫描无限制的主机系统或网络（根据网络速度

和硬件资源有实际限制）

我们将在北京网络中心布置一套网络扫描评估系统，城对系统中的网络设

备和主机系统定期的、自动的扫描，及时发现安全隐患，并针对安全隐患给予及

时修补。

5.业务系统安全

5.1计费系统安全

计费中心是集中式方案，计费中心的主要应用集中在客户节点，所以对此节

点的保护尤为重要。

计费系统前端已经部属防火墙系统，通过对防火墙作安全增强配置，保障计

费中心不被非法访问。同时，我方建议对所有的主机进行相应的系统安全增强配

置，主动抵抗针对主机和数据的攻击。同时也可以购买我方的入侵检测服务，对

已经发生的攻击及时一、有效的遏制。

另一方面，由于计费业务中的计费信息十分重要，所以需要对计费中心加强

保护。我方建议使用入侵探测系统IDS,如SymantecNetProwler系统，对通过

网络的流量进行实时监控，对不适当的网络访问进行报警和拦截，使用户可以在

系统被破坏之前自主地中断入侵获误操作。这种网络型的入侵探测系统不仅具有

实时性的优点，同时对可疑的数据分析和监控也不会影响数据在网络上的传输。

同时，由于记费数据的重要性，我方也建议在资金允许的情况下，存储记费数据

的数据库宿主机上安装主机型的IDS。主机型IDS一旦发现对主机的入侵，就可

以马上切断入侵用户进程，做出相应报警动作提醒管理员进行处理。

5.2接入系统安全

拨号接入设备及认证设备是本工程中的核心元素，为了保证拨号接入系统自

身的安全性，我方建议对所有的RADIUSServer都安装MarsecSTK并进行安全

增强配置服务，同时对接入设备进行安全增强配置。

为了防止身份欺骗，我方建议采用发放个人数字证书的方式来对用户进行身

份识别。

5.3用户自服务和WWW系统安全

WWW系统和用户自服务系统是基于Web的用户服务平台，提供以资费查询为

主的多项功能。

就主机系统而言，操作系统为Solaris和SGIIRIS,我们将为这些系统进

行Unix安全增强配置，安装安全增强软件包，确保底层操作系统的安全。

WWW系统中核心的软件为Web服务器和应用服务器。针对WEBSERVER的服

务特点，Isfocus小组从以下几点考虑对WEBSEVER的安全增强配置：

♦系统版本升级和对已知的服务器安全漏洞进行修补。

♦调整WWW服务器的核心参数，以适合高访问量下WWW服务器的安

全和性能。随着客户访问量的增加，会对系统资源产生较大的需求。商

用WEBSERVER,包括NES一般都采用线程的方式处理客户的连接请

求，这比自由软件用进程方式产生的系统开销要小。但是，服务器的能

力毕竟是有限的，不可能同时处理无限多的连接请求，优化核心参数，

保留一定的系统资源，对保证主机的稳定性，尤其在系统遭受DoS攻击

时的防御力非常重要。

♦限制使用80端口的权限。通常在Unix下使用80端口需要root权限，

但通常来说，httpd服务一般都存在安全漏洞，如果httpd服务遭到黑

客攻击，如此之高的系统权限极有可能对整个系统造成影响，因而安全

服务将就以上安全漏洞进行修补。

♦调整对系统的不当配置，避免自己的网站由于不当配置所造成的安全隐

，由a、o

令WEB内容文件，如HTML、图象、多媒体等等对WEB服务器是只

读的，出了内容的拥有者外，任何人对该目录和文件不能有写访问

权限。

令WEB不显示的任何目录或文件都不应该放到WEB内容目录中。

令任何动态内容生成程序，如CGI、Java,所生成的临时文件，都应放

到对该程序有写权限的子目录中。该目录必须位于WEB内容区外，

以保证应用程序内的错误不会将已有的内容文件删掉。

令编写程序时要注意防止用于非法输入产生的安全隐患。比如缓存溢

出、通过CGI调用系统命令等等。扫描用户的输入以检查输入是否

有不合法字符。

令避免用户恶意调用CGKJava等程序，在服务器端占用大量资源，

严重降低服务器的性能。

♦对网络信息的传输加密。比如使用SSL,避免信息的明文传输。

♦采用主页保护机制，对重要文件的非法篡改进行保护。

用户自服务系统作为联通接入服务的窗口形象，在公众形象以及对外宣传方

面都有着重要影响，在黑客攻击事件较多的今天，通过安全服务提高系统安全性

是非常有必要的，特别是日常运行维护中的安全性，所以我们还将针对用户自服

务系统的运维管理提供专业的安全服务。

5.4DNS系统安全

DNS服务器在整个省网的公众服务中起着重要的作用。如果这种应用系统

被入侵往往造成非常严重的影响。

在考虑综合成本以及安全优先级的前提下，我方建议，首先对DNS服务器

进行DNS系统安全配置，来全面增强DNS系统的安全性。使其能避免以下攻击:

DNS欺骗、DNSsmurf攻击、域名劫持、远程缓冲区溢出、DNS的非法区传输

等。

四、专业安全服务

我方在前面的篇幅中已经详细地阐述了如何使用各种安全产品对系统的整

体安全性能作各方面的加强和防范。但是安全一向是一个交互的过程，使用任何

一种“静态”或者号称“动态”防范的产品都不能解决一直在发展的系统安全问

题，因为在现实环境中：

令系统的安全性和操作系统提供商和软件提供商非常有关，作为网络的使用

者，必须时刻和各种软硬件厂商的安全部门联系，获得最新的安全报告。

。防火墙并不能保护一切网络资源。防火墙能够保护经过严格规则设定的网络

资源不泄漏，以及可以拒绝绝大多数的端口扫描和DenyofService（拒绝服务）

攻击，但是传统的防火墙不能拒绝正当的连接中带的攻击行为以及来自内部

网的攻击。

。网络实时入侵探测软件的报警功能的局限性。目前任何一种网络实时入侵探

测软件都不能截获局域网上100%的数据包进行分析，因此存在着一定的漏

报问题。

。人员的操作水平和系统的复杂性之间的差距。现有的系统管理员对目前先

进、复杂的网络的管理能力有限。

基于以上种种原因，我方作为专业安全服务提供商，不仅仅局限于安全集

成，更专注于提供专业的安全咨询服务，我方在国内率先推出了系统安全服务,

解决了日常运营维护中的系统安全问题对网络建设者和运营商的困扰。

我方认为：网络安全并不是按照说明书安装几个流行的网络安全产品就能

解决问题的。它需要合适的安全体系和合理的安全产品组合，需要根据网络及网

络用户的情况和需求规划、设计和实施一定的安全策略以及其他多种安全服务。

目前我方针对****的客户需求以及实际情况，提供如下专业安全服务：

＜策略制定与规划

令安全审计服务

。日常维护服务

令入侵检测服务

令紧急响应服务

令安全培训服务

1.策略制定与规划

从长期的安全集成与安全服务中，我们得出如下观点，对于复杂的电信网络，

如果没有一套合理的安全策略以及与之配合的安全管理制度，那么即使花费了大

量的人力、物力所建设起来的安全基础设施，也只能成为摆设，而不能真正做到

保护系统安全的作用。

所以我方极为重视****二期建设中，全网安全策略的制定和规划，以求在一

开始就形成一个良好的网络安全环境。一方面，我们将根据客户在标书中提出的

安全需求制定相应的安全策略，规划相应的安全体系，并最终制定安全解决方案，

同时一，在未来网络的运行中，根据****的网络安全状况动态提出专业安全建议，

实时调整安全策略，从多方面、多层次及时提供给客户专业的安全顾问服务。

2.安全审计服务

安全审计服务是专业安全服务的重要组成部分。网络安全和系统安全是一个

不断发展的新事物，从网络安全的技术构成上来说，黑客和系统管理员之间的斗

争是一个时间和耐力的赛跑。在前面所阐述的网络安全整体规划和解决方案中，

我方已经为网络安全的整体实现打下了坚实的基础，但是必须通过专业的安全审

计服务，使用一定的安全工具，自动或者手动检测网络和系统的实际安全状况，

对客户的网络安全情况进行综合评估。评估的范围很广，从系统的漏洞扫描到系

统管理员的机房管理制度以及流程上的一些疏漏，这些疏漏也许就有可能成为网

络安全的一个致命点。

我方拥有一流的安全专家，在安全项目实施过程中，通过对网络进行安全审

计，得出整个网络安全状态的评估报告，找出网络的安全漏洞和隐患，并据此进

行安全项目的集成，以保障大型和复杂网络环境的网络安全。同时，在网络运行

维护过程中，我方还会对系统进行日常的安全审计服务，动态监控整个系统的安

全状况，以此实时解决安全问题。

我方安全审计服务遵循以下服务流程：

Zo

用户确认？

Operation&Fix

在上述流程中，由于某些扫描工具对系统有损伤性或者潜在损伤性，必须估

计扫描风险代价和制切实可行的扫描方案。根据扫描的结果，和客户制定一个修

补系统的方案。

3.日常维护服务

系统的安全不是一堆安全产品的堆积，我方认为，系统安全是在整个安全方

案实施过程中，一方面根据客户要求，进行安全集成的工作，更为重要的是，在

网络运行过程中，实时监控系统安全状况，制定或调整安全策略，在系统运营中

解决随时出现的安全问题，这是安全服务的重要组成部分。

我公司在客户系统日常运行中提供诸多安全维护服务，我们的日常维护服务

绝对不是针对某种安全产品来实施的，我方将通过对整个网络的运行情况进行监

控，采取对策，来保障整个网络的安全。如果客户选择了我们的日常维护服务，

将会得到如下明细的服务项目：

。日常安全审计(GeneralAudit)：我方会按照安全审计服务中所述的规范和

流程，在客户系统日常运行过程中，对客户系统实施专业的安全审计。

。安全状况报告(StatusReport)：我方通过对系统运行日志以及日常安全审

计的结果报告进行分析，依靠公司安全专家长期安全服务经验，发现系

统中存在的漏洞，找出安全隐患，得出整个系统在一段时期内的安全状

况报告。

。安全事件报告(EventReport)：根据系统日志及审计报告，提交给管理人

员记录曾经发生过的系统安全事件及其解决策略。

令漏洞修补服务(SystemFix)：根据安全审计的结果报告，分析系统中存在

的漏洞，对系统中的安全隐患作漏洞修补，对于系统修补，我们遵循以

下的修补流程：

1一百菌蛋藁备豆藕苔1

：增弓星素疏妄荃的建面务案;

]网络—荃设讦务■案；

Firewall

OperationFix

reconfiguration

实施结果报告

主机系统网络系统应用系统数据系统防火墙

实施报告实施报告实施报告实施报告检查报告

筌字验收

令安全动态信息①ynamicInformation)：每天世界上有非常之多的安全信息

产生，从主机系统或网络设备的漏洞，新的病毒的产生，或者某种新的

安全产品的出现，都是作为系统运营维护人员关心的事情。但是，在工

作量极大的系统维护工作中，要做好有用信息，特别是与自己系统有关

的信息收集，就成为系统管理员一项非常繁琐的工作。我公司在为客户

进行安全集成过程中，本身对于客户的系统环境非常了解，而作为专业

网络服务公司，对于安全信息的跟踪比一般的管理员要迅速的多，也更

为专业，所以，我方本着为客户服务的原则，为客户量身定制所需要的

安全信息，在获得安全信息之后，按照客户需求以及实际系统情况，通

过多种方式，诸如：邮件形式，论坛形式或电话方式及时通知有用的安

全信息。

4.紧急响应服务

在客户运行维护系统过程中，作为客户方的技术人员由于时间和精力的问

题，常常对于这些紧急事件缺乏有效的处理，这样往往会对系统正常运转造成重

大影响。如果用户选择了我们的紧急响应服务，那么在服务期间，一旦客户系统

发生紧急事件，我们就将派出专业安全工程师，到现场快速响应安全事件，解决

安全问题，并根据出现的问题及时调整安全策略，帮助用户在以后的维护中正确

解决问题。

5.安全拯救服务

这项服务与紧急响应服务有所不同，当客户没有选择紧急响应服务时，一旦

遇到系统中的突发事件，可以向我方实时选择该项服务，我方将派出专业安全工

程师，到现场快速响应安全事件，解决安全问题，并根据出现的问题及时调整安

全策略，帮助用户在以后的维护中正确解决问题。

6.安全培训服务

从现在国际上黑客入侵案件的分析和系统安全专家保护网络的案例来看，系

统安全其实就是系统管理员和黑客头脑和计算机知识的战斗。因为人员的安全观

念，系统管理员的实际安全知识直接影响到整个系统安全方案的实施。而一个安

全的网络系统的保护不仅和系统管理员的系统安全知识有关，而且和领导的决

策、工作环境中每个员工的安全操作等都有关系。我们系统安全培训方案根据用

户的不同类型分为三种：面向系统管理员的培训、面向经理人员的培训和面向普

通工作人员的培训。

面向系统管理人员的培训

系统管理员是直接和系统打交道的高级计算机工作者，在整个网络中的地位

非常重要。国内系统安全面临的最大问题是有着丰富系统安全经验尤其是主动发

现黑客的系统管理员非常少，系统管理员在和黑客交锋的战斗中经常吃亏。由于

和黑客的战斗是一场智力的斗争，也是计算机网络知识的交锋，所以需要迫切地

给各种系统管理员进行有效的系统安全培训，掌握计算机安全的高级知识，了解

黑客使用的流行手段。我方的系统安全设计方案中有很大一个部分就是完整的针

对实际环境的全培训体系。从最简单的系统安全概念介绍到非常专业化的黑客攻

击手法介绍及其防护技巧，良好的实验环境让系统管理员身临和黑客搏斗的现

场,我们也精心制作了CDROM,使系统管理员得到最实用的安全工具和各种系

统安全文档，满载而归。在某些重要课程的理解和掌握环节上，会根据学员的实

际情况，采取各种方式进行考核。我们的系统管理员安全培训教程一共分安全策

略和管理、UNIX系统安全教程、网络安全和防火墙设计以及黑客防范教程四个

部分。

安全策略和管理UNIX系统安网络安全和防火黑客防范教程

全教程墙设计

层次初级中级高级高级应用

目标增强系统管理员系统管理员应了W-Internet防使系统管理员掌

的安全意识，基本该能够独立地火墙的基本概握黑客进攻的手

了解系统安全和在刚刚安装过念，基本原理和段、原理和方法；

网络安全的实际的没有经过安基本的设计方并能在实际工作

概念，在实际的工全保护的系统法。能够对系统中保护系统的安

作中能够分辨出中编译并且配防火墙作H常维全性。

系统中存在的安置安全系统;具护；能够根据系

全问题。有比较强的编统需求，作出相

译程序的能力；应的防火墙安全

在没有防火墙设计；能够对现

的情况下将一有防火墙（安全

台Solaris系统产品）有一定的

的计算机得到了解。

真正的保护。

内容基本系统安全、网SunSolaris系防火墙的基本概TCP/IP协议和

络安全及增强安统的实际安全念和原理、防火传统Socket编

全意识的重要性、策略，掌握各种墙的作用与重要程、IPSpoofing

网络安全的特征、流行安全工具性、防火墙的局的详细剖析、

主要网络安全威的使用，在实验限性、防火墙的StackOverflow

胁、网络安全层环境中实际编分类、防火墙安的详细剖析、其

次、网络安全度译、配置、使用全策略、常见的他流行进攻方法

量、网络安全问各种安全工具防火墙设计、防的解释、并配有

题、主机安全、黑火墙自身的安全实验

客进攻步骤、安全与日常维护、安

防范措施、商用安全产品的分类及

全产品分类等代表产品

课程天数2557

安全策略与管理

教学概况：简要介绍系统安全的基本概念、案例、各种漏洞等。

学员要求：具有UNIX系统管理知识，熟练使用UNIX基础命令；掌握TCP/IP基础理论；

能进行基本的系统管理和维护工作。

课程天数：2天

课程内容：基本系统安全、网络安全及增强安全意识的重要性、网络安全的特征、主要网络

安全威胁、网络安全层次、网络安全度量、网络安全问题、主机安全、黑客进攻步骤、安全

防范措施、商用安全产品分类等。

简要章节：计算机安全绪论、计算机系统的安全和访问控制、病毒、系统安全性规划和管理、

数据加密、网络通讯和安全

课程效果：增强系统管理员的安全意识，基本了解系统安全和网络安全的实际概念，在实

际的工作中能够分辨出系统中存在的安全问题。

UNIX系统安全教程

教学概况：Solaris系统安全策略，系统安全操作实例、系统安全工具的获得等

学员要求：具有UNIX系统管理知识，熟练使用UNIX基础命令。掌握TCP/IP基础理论；掌

握网络系统安全概念；网络攻击手段及保证网络安全的措施；C语言编译知识。

课程目的：修完本课程应具备：独立维护UNIX系统安全，发现系统不安全因素，并能主动

采取措施，合理安装使用各种安全工具。

课程天数：5天

课程内容：SunSolaris系统的实际安全策略，掌握各种流行安全工具的使用，在实验环境中

实际编译、配置、使用各种安全工具。

简要章节：网络安全概述、网络安全策略、UNIX网络不安全的因素、UNIX系统安全的基

本概念、以网络黑客的身份检查UNIX系统的安全性、如何提高UNIX系统的安全性、网络

安全工具、其他的儿个已知的UNIX安全漏洞、如何查看系统是否已被侵入、系统被攻破后

应采取的措施

课程效果：系统管理员应该能够独立地在刚刚安装过的没有经过安全保护的系统中编译并

且配置安全系统：具有比较强的编译程序的能力；在没有防火墙的情况下将一台Solaris系

统的计算机得到真正的保护。

网络安全与防火墙设计

教学概况：防火墙的介绍，各种防火墙的策略配置原则等

学员要求：参加过我方的初中级Internet安全培训，具有基本UNIX、TCP/IP的知识，了解

网络设计常识

课程天数：5天

课程内容：防火墙的基本概念和原理、防火墙的作用与重要性、防火墙的局限性、防火墙的

分类、防火墙安全策略、常见的防火墙设计、防火墙自身的安全与日常维护、安全产品的分

类及代表产品。

简要章节：TCP/IP基础、Internet上的危险和安全策略、防火墙的基本概念、堡垒主机、数

据包过滤、代理系统、因特网服务配置、防火墙测试、身份认证和数据加密、防火墙的选购

课程目的：通过学习本课程，了解Internet防火墙的基本概念，基本原理和基本的设计方法。

能够对系统防火墙作日常维护；能够根据系统需求，作出相应的防火墙安全设计；能够对现

有防火墙(安全产品)有一定的了解。

黑客防范教程(Anti-hackingSkillTraining)

教学概况：UNIX系统的StackOverFlow的漏洞的详细解释IPSniff：Sniff,DenyofService,

ConnectionKilling,IPhijacking等。

学员要求：参加过我方初、中级Internet安全培训；掌握计算机网络协议的概念；TCP/IP协

议的原理；UNIX操作系统的原理；2年左右的UNIX环境C语言实际编程经验；具备相当

的Internet实际操作知识。

课程天数：7天

课程内容：TCP/IP协议和传统Socket编程、IPSpoofing的详细剖析、StackOverflow的详细

剖析、其他流行进攻方法的解释、并配有实验。

简要章节：安全面临的威胁、黑客行径分析、口令安全、拒绝服务的攻击、扫描、网络监听、

缓冲区溢区、程序攻击、WEB欺骗的攻击和对策、利用处理程序错误的攻击、一些网络服

务的安全问题、电子邮件攻击、IP欺骗及其防备对策、针对攻击的处理对策。

课程目的：使系统管理员掌握黑客进攻的手段、原理和方法；并能在实际工作中保护系统的

安全性。

辅助工具：提供CD一张，包括有安全文档和常用的安全工具

备注：每位学员需保证不对网络进行破坏、盗用等国家法律不允许的行为。

面向经理人员的培训

教学概况:信息在国民经济中的地位日益重要，信息的安全对于一共企业乃至国家的重要性,

企业的决策者对于信息安全应该具有如何的看法等。

学员要求：经理人员和系统管理员

课程天数：1天

课程内容：信息战己经走进我们的生活中，什么是黑客，黑客为什么能够进攻“很安全”的

网络，系统安全的概念，怎么样建立一个安全的计算环境等。

课程目的：安全的网络结构，了解防火墙及网络安全概念。增强企业主管的信息安全意识。

面向普通工作人员的培训

教学概况：企业的网络是•个完整的不停运作的有机整体，而外部攻击的攻击只占有总攻击

的20%左右，普通员工的安全操作也非常重要。

学员要求：无

课程天数：1天

课程内容：普通用户上网守则，口令和帐号，桌面计算机的信息安全保护，防范特洛伊木马

和病毒等。

课程目的：主要流行操作系统使用，了解防火墙及网络安全概念。增强普通用户的安全意识。

7.管理制度顾问服务

我方会在工程施工结束帮助用户建立一套完善的安全管理制度。

7.1.安全管理制度

合理的管理策略是安全运行的基础，我方提倡“管理为上”的安全理念。所

谓“管理为上”，也就是说，通过提高和培养系统管理员的技术层次和安全认识、

通过帮助客户制订有效的管理制度，在非技术层面上构建安全的管理体系。这种

理念，是安全体系的核心，也是一切构建与其上的安全服务的基础。

在具体的实现上，我们将帮助****的制订起完整而有效的安全管理方案，包

括从用户账号管理策略到备份和灾难恢复方案、从日常跟踪审计到细致的日志分

析，以至于各级管理员的职责划分、授权规则、直至日常安全工作规程的制订。

其涉及的内容主要包括物理安全管理和逻辑安全管理。

7.1.1物理安全管理

物理安全一直是安全领域重要一环。在运营系统中，物理安全主要体现在针

对物理基础设施、物理设备和物理访问的控制，在本项目的网络环境中，全网物

理安全主要通过机房物理安全来体现。Isfocus小组将针对****提供一些机房管

理制度建议，同时在运营过程中与运维部门协作不断完善这些制度。

•机房参观访问制度

该制度将从参观介绍人和参观对象、参观申请及审批、参观批次和人数、

机房参观流程、参观级别定义及其资料管理等方面，为****在运营过程中的

客户参观提供安全管理依据。

•机房设施巡检制度

该规范规定****机房的机电设施、设备、网络巡查事项，适用于运维部

全体员工。规范将从巡查范围、巡查安排、电力系统巡检内容、空调系统巡

检内容等方面提供巡检管理措施。

•机房施工管理制度

Isfocus小组将结合以前项目中安全管理的经验，为****制定机房施工

管理制度，运维部门也可以结合各机房情况改进该管理制度，以求充分切合

实际。

•运营值班管理制度

值班管理制度是机房管理制度中较为核心的内容，Isfocus小组将配合

****运维部门从值班基本守则、值班工作内容、值班中常见问题处理等多方

面提供运维值班管理建议。

•运营故障处理制度

为保证****网络的安全运行，保障全网的服务质量，Isfocus小组提供

运营故障处理的建议。建议将从故障发现、故障处理流程、故障级别、故障

汇报和故障报告等多方面提供网络故障处理解决的方法。

•其他运维管理制度

针对运维实际，Isfocus小组从设备使用管理、设备文