公司网络信息系统安全加固服务内容及方案.docx 8页

公司网络信息系统安全加固服务内容及方案服务范围安全加固服务范围包括各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。详细如下表所示：加固分类加固范围详细描述网路设备加固主流网络设备、安全设备：Cisco、华为、Juniper等路由器Cisco、华为、Juniper等交换机其他厂商设备：防火墙、入侵检测、入侵防御设备、防毒墙、垃圾邮件等主机操作系统加固主流主机操作系统：微软Windows系列操作系统，Windows 2000/2003/2008等各类Linux系列操作系统，Redhat、Ubuntu、Debian等各类Unix系列操作系统，Solaris、AIX、HP-UX、BSD等数据库加固主流数据库：微软MSSQL系列网站安全加固，SQL Sever 2000/2005/2008等甲骨文Oracle系列，Oracle 9i/10g/11g等其他数据库，MySQL、DB2、Sybase、Informix等常见中间件及网络服务加固常见中间件及网络服务应用：Web服务类，IIS6.0、IIS7.0、Apache、Tomcat、Weblogic、Nginx、WebSphere等DNS服务类，Bind 8、Bind 9等FTP服务类，ServU、MS IIS FTP等其他常见网络服务，MAIL、Proxy、POP3、SMTP等服务内容安全加固服务并非直接的服务过程，需要通过前期对系统的资产调查、扫描、人工检查和分析等过程，才可执行安全加固。

安全加固前需提出系统的安全加固方案，在加固过程中可能产生对系统的不同程度、不同方面的影响，因此，安全加固的方案内容需综合考虑实际情况，针对不同的风险选择不同的策略。安全加固服务的一般性内容如下：网络设备加固内容网络设备安全加固包含但不限于以下内容：OS升级帐号和口令管理认证和授权策略调整网络与服务加固访问控制策略增强通讯协议、路由协议加固日志审核策略增强加密管理加固设备其他安全配置增强……主机操作系统加固内容主机操作系统安全加固包含但不限于以下内容：系统漏洞补丁管理帐号和口令管理认证、授权策略调整网络与服务、进程和启动加固文件系统权限增强访问控制管理通讯协议加固日志审核功能增强防DDOS攻击增强剩余信息保护其他安全配置增强……数据库加固内容数据库安全加固包含但不限于以下内容：漏洞补丁管理帐号和口令管理认证、授权策略调整访问控制管理通讯协议加固日志审核功能增强其他安全配置增强……中间件及常见网络服务加固内容中间件及常见网络服务安全加固包含但不限于以下内容：漏洞补丁管理帐号和口令管理认证、授权策略调整通讯协议加固日志审核功能增强其他安全配置增强……服务流程为了保证客户信息系统的可用性，安全加固服务会按照科学、合理的流程实施，依据安全检查和漏洞扫描结果和安全建议，结合信息系统的实际运行情况，写出具有实际可操作性、可行的安全加固方案。

具体加固方案和加固实施，会反复进行多次评估其可行性，不会对原有系统的稳定性造成影响，方会实施加固。在保障可用性的基础上，尽可能的提高系统的安全性，逐个加固项都会有加固对象和影响范围和回退方案。回退方案是业务正常运行的必要步骤，必要时会在实验环境的条件下，进行加固实验，把握最小影响原则、规范性原则、整体性原则。在具体实施过程中，一旦发现出现异常，则进行回退操作。最后会进行加固项的统计，对不能加固的项，则采取其他措施来实现安全互补，或者默认接受并记录在案。具体安全加固服务工作流程如下：服务报告安全工程师在实施安全加固服务过程中，严格按照安全加固服务的流程，在现场进行安全加固方案实施后，会在两个工作日内出示一份安全加固报告（根据加固数量需按实际情况调整）。加固报告是向用户提供完成网络与应用系统加固和优化服务后的最终报告。一般名称为：《××系统安全加固报告》或《××设备安全加固报告》，其中包含以下内容：对加固过程的完整记录对加固系统安全审计结果有关系统安全管理方面的建议或解决方案报告中，会对此次安全加固服务的范围进行一个整体概述，并详细记录每一个加固项及加固结果。对于未能实施加固的项进行详细说明，并提出安全补救措施和安全专家建议。

除此之外，加固人员还将结合具体应用提出深层次的安全建议，为管理人员的后期维护提供参考。服务注意事项安全加固中的可能风险步骤安全加固过程中可能带来的风险的步骤有如下几个方面：网络设备升级OS：可能导致网络设备无法正常工作（事先需对OS、配置文件进行备份，一旦发现问题立即退回）；根据安全要求配置访问列表：可能导致某些用户无法访问、管理复杂度上升（改回即可恢复）；关闭不必要的服务：可能导致部分相关服务不可用，改动前需经网络管理员确认（改回即可恢复）；对路由协议进行安全配置：可能导致网络连接不正常（改回即可恢复）；主机操作系统安装Patch：可能会导致某些特定的服务不可用甚至主机崩溃（尽量采用可卸载的Patch安装方式，如无法卸载则我司根据以往的经验以及被加固主机的应用特点提出的建议，由管理员最终确认）；修改配置文件禁止某些默认用户登陆：可能导致某些特定服务不可用（改回配置文件即可恢复）；停掉某些不必要的系统服务：可能导致某些应用程序不可用，需管理员事先确认（重新启动服务即可恢复）；对主机上的某些应用程序进行升级或对配置文件进行调整，以增强安全性：可能导致应用程序运行不正常（改回配置即可恢复）；文件系统加固，调整重要系统文件的安全属性和存取权限：可能导致某些程序无法正常运行（改回属性和权限即可恢复）；数据库针对系统平台选择安装数据库Patch：可能导致数据库无法正常工作，其他依赖于数据库的应用程序也将受到影响（根据我司的实施经验由实施工程师提出建议，由数据库管理员进行确认，必要时可咨询厂商技术人员）；将数据库某些帐户的密码改为强壮的密码：可能导致某些登陆数据库的应用程序需要重新设置（加固前通知相关应用系统管理员，同时设置应用程序）；禁止数据库系统使用不必要的网络协议：可能导致某些依赖于相关协议的应用程序无法正常工作（改动前需由数据库管理员进行确认）；正确分配数据库相关文件的访问权限：可能导致被遗漏的用户无法访问相关文件（重新设置即可）；删除无用的存储过程或扩展存储过程：可能导致数据库的某些功能无法使用，实施前需经数据库管理员确认。

中间件及常见网络服务针对系统平台选择安装中间件或网络服务Patch：可能导致中间件或网络服务无法正常工作，其他依赖于这些中间件的应用程序也将受到影响（根据我司的实施经验由实施工程师提出建议，由系统管理员进行确认，必要时可咨询厂商技术人员）；修改某些默认的安全配置：可能导致某些关联的程序不可用，需管理员事先确认（修改回原来的配置即可恢复）。安全加固中的风险规避手段安全加固服务是一项有风险的实施活动，安全加固不当可能导致被加固目标发生服务无法使用、影响其可用性。安全加固服务已经对原有的系统配置进行了改变，可能会与原有的管理发生冲突，这些可以在加固方案确定前进行沟通和交流，以此降低风险。加固实施的时间选择，最好避免业务高峰期和重要时期等。通过以下手段实行风险规避，降低服务过程中的各种风险。充分的交流在确定加固方案之前，会与客户进行方案的深层次沟通，让客户知晓每一个安全加固项可能会给系统带来的影响，并结合实际情况和丰富的安全服务经验，确定安全加固实施的时间和范围。加固方案验证在将具体的安全加固方案提交给客户前，加固人员会进行必要的验证，确保加固项不会导致加固目标工作异常。数据加密客户提供的任何信息以及加固人员测试所获得的数据均属于客户的机密数据，有义务保护好这些数据，不将其泄露给第三方个人或组织。

为了保证客户信息的安全性，所有加固人员获得的客户数据（包括客户联系方式、被加固目标的相关信息，如应用、加固内容等）均采用加密方式存储，并且仅在项目范围内扩散；所有与客户之间的数据交互（电话除外）均采用SSL加密传输，包括电子邮件、直接U盘拷贝等。管理监控为了确保加固人员严格按照《秘密保护管理办法》执行客户相关信息的保密工作，公司安排了专门的人员实时负责监督和纠正加固人员工作中可能出现的危害的客户信息安全的行为。操作记录加固人员会对项目过程中的每一个关键环节进行详细的记录，包括什么时候收到客户信息、什么时候进行了哪些工作等等，以便出现意外后进行追查。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!