信息安全服务学习资料.docx
《信息安全服务学习资料.docx》由会员分享,可在线阅读,更多相关《信息安全服务学习资料.docx(21页珍藏版)》请在冰豆网上搜索。
信息安全服务学习资料
信息安全服务
成都思科赛思通信技术有限公司
公司介绍
成都思科赛思通信技术有限公司成立于2003年,汇集了一批信息安全精英和电信增值业务产品开发人才、组成了信息安全服务事业部和IT代维外包事业部。
思科赛思专业安全服务,结合多年专注信息安全、专心服务客户的经验,结合国际国内安全标准,为客户提供一系列专业安全服务。
思科赛思IT代维外包服务,按照国际最佳实践ITIL来进行流程定制、规范服务,帮助系统管理者进行运营、管理和维护支持工作,按客户所需进行定制化的IT外包服务。
思科赛思长期和sans,cve,owasp等国际组织以及eeye,imperva,amaranten,等专业商业安全公司合作交流,开展技术共享,优势互补。
思科赛思专业安全服务团队由一批经验丰富,富有责任心和使命感的专业技术人员组成,多人拥有CISP、CISSP、CISA、NIIT、计算机信息系统集成项目经理、PMP认证及能力。
我们的服务理念和目标是:
“专注安全、专业服务、服务成就价值。
”
思科赛思能为您做什么?
思科赛思在多年协助客户实施信息安全规划、建设、运作、管理的过程中积累了大量经验,并已总结成为一整套科学规范的信息系统安全管理的实践方法。
思科赛思信息安全服务是一套针对企业信息安全规划、建设、运作、管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善企业系统架构,为企业的网上应用构建高度安全的运行环境,共同规划、设计、实施、运作、管理,从而保护企业信息系统的安全。
信息安全架构设计服务
问题与挑战:
管理和技术不能两全?
企业信息安全架构规划涉及到管理和技术两方面的内容,而不是单一系统或程序能实现的。
如果想凭借企业内部管理人员的经验、技术人员的执行力来完成架构规划,不仅需要大量的交流时间,更需要精力去不断地磨合与调整。
在资源有限的情况下,企业如何建立最符合企业现状的信息安全管理架构?
管理层在对企业进行信息安全架构规划时难免忽略技术需求,而技术人员的规划未必顾及到管理层面。
如果您已经制定了企业的信息安全架构规划,那么不妨根据下列问题对其全面性做出评估:
您的信息安全架构蓝图是依据各个部门的信息安全目标而制定的吗?
您的企业在执行信息安全加固项目时,是否有清晰的信息安全规划指导?
您的企业是否制定了清晰的风险管理流程?
您的企业是否有、并执行一些关键的信息安全管理流程?
您在日常业务流程中是否设置了与信息安全相关的组织与角色?
您的应用程序与信息环境都被评估过吗?
如果您的答案中存在“否”,那么,您现有的信息安全架构可能需要进一步规划完善。
应该如何选择一个最符合企业需求的信息安全管理体系,并逐步将该体系顺利地导入企业内部,让管理机制迅速运作起来?
思科赛思为您提供解决之道:
解决之道:
兼具咨询、建设、运维能力的团队协助您规划信息安全架构
在设计信息安全架构时,您应该遵循以下几个步骤:
根据企业的业务目标,明确信息安全管理体系的需求与期望,分析企业的现状,再融合企业文化制定差距弥补的手段,为您量身定做企业的信息安全架构方案,以确保架构的可操作性。
为了使信息安全管理的成本最小化,您需要在兼具咨询与运维能力的专业团队的协助下,将技术和管理完美地融为一体,使企业战略、信息安全标准、作业流程、信息安全组织、规范制度,甚至信息安全工具与实施手段等环环相扣,最终成功建立信息安全管理体系。
解决方案:
思科赛思企业信息安全架构设计规划服务
思科赛思在多年协助用户实施信息系统安全管理的过程中积累了大量经验,并已发展成为一整套完善的信息系统安全管理的实践方法。
思科赛思能够协助您建设符合企业现状的信息安全管理系统,包括信息安全的战略与标准、作业流程、管理机制与工具的使用,从而达到保护企业信息资产的目的。
思科赛思能够为您提供完善的信息安全架构设计服务:
在安全策略、规范、管理流程方面分析提取安全需求,指导企业信息安全方面的决策;通过定义合适的信息安全程序,为您的企业量身定做信息安全解决方案,协助贯彻执行信息安全规范与信息安全标准。
信息安全架构包括信息资产分类、企业信息安全战略、信息安全规范、相关的信息安全流程、管理与审计,以及信息系统架构、网络安全架构、相关的信息安全工具技术评估,等等。
其中,对信息安全架构进行全盘考虑与设计,是确保该架构顺利导入企业的第一步。
选择思科赛思企业信息安全架构规划服务,
您将获得的价值:
全面分析评估企业信息安全政策、标准和指南及其日常执行情况,衡量其是否能够有效保障公司的信息安全
制定核心信息安全管理流程,初步建立有效的信息安全体系
完善企业的信息安全架构蓝图及路线图
企业全体人员均得到了信息安全教育
信息安全风险评估服务
问题与挑战:
我的信息系统信息安全吗?
我不知道。
目前国内网络安全基本上处于什么状态?
一个集成商在一个网络上把安全设备装上以后,防火墙,入侵检测,防病毒……
然后你再问他你这个专网的网络安全达到了怎样的程度?
解决多少安全问题?
遗留多少安全问题没解决?
将来最可能有什么安全问题?
!
@#$%^&*
如此这般,网络安全问题依然存在,因信息系统安全性不过关而遭遇系统崩溃、信息丢失、入侵事件等窘境的企业比比皆是。
您会是下一家被入侵的企业吗?
您会因信息安全问题困扰吗?
您的信息系统有足够的能力抵御风险吗?
在此,您可以根据下列问题对企业的信息安全防范能力做一次自我评估:
✧您的企业是否定义了信息安全保护级别?
✧您的企业领导是否清晰了解在信息安全方面应该做到什么程度?
✧您的企业是否评估过目前所采取的信息安全措施还存在哪些方面的问题?
✧您的企业是否有清晰的信息安全政策方面的文件?
✧如果您对上述问题不能做出肯定回答,那么,您的企业信息系统很有可能存在巨大的风险。
这种风险给企业信息安全带来的威胁可能是致命的。
如何能够迅速查知风险所在,并依照风险的严重程度拟定对策?
思科赛思为您提供解决之道
解决之道:
定期进行企业信息系统风险评估
企业运营永远存在各类风险因素,成功的企业能够预知风险所在,进而通过管理风险或是转移风险来提升自身的竞争力。
面对不断推陈出新的信息科技,如何能以最有效的资源及时掌握并控制新的风险因素,已经成为企业主管的重要挑战。
国内行业协会都会要求本行业内的企业定期进行信息系统安全评估,循序渐进地管理企业运营风险,从而达到保护企业信息资产的目的。
解决方案:
企业信息安全评估服务
在信息安全评估方面,思科赛思能够为您的企业提供包括业务目标及需求访谈调查、信息安全风险的评估与差异分析、建立信息安全政策等服务。
针对最关键的信息安全部分,思科赛思既能用短短几天的时间进行快速评估,也可以进行较为完整的评估,即通过信息资产与风险因素的评估与分析,结合企业现行的信息系统状况,制定出改善现状的优先顺序,让您的企业获得更大的投资效益。
思科赛思风险评估内容包括:
对您的企业信息安全进行评估后,思科赛思可以通过专项的规划工作,协助客户制订企业级的信息安全工作发展规划与蓝图,协助企业的信息安全工作的优先行动列表,思科赛思的信息安全评估步骤如图所示:
为了满足客户多样性和单一性需求。
思科赛思提供企业信息安全风险评估:
包括网络安全评估、系统、服务器安全评估,物理安全评估,无线网络安全评估,社交工程安全评估,web应用测试,弱点、漏洞测试等等。
通过思科赛思企业信息安全评估服务,
您将获得的价值:
了解企业信息安全现状与所面临的威胁
整合从业务层面到技术层面的需求,为安全方针,政策,策略正确导向。
清晰、明确地定义管理层的信息安全目标和要求,使全体人员能够一致遵守
评估企业信息安全政策、标准和指南是否能够有效保障公司的信息安全,以及日常执行情况
企业全体人员均得到了信息安全教育
信息安全加固服务
问题与挑战:
防,处处设防,仍然防不胜防。
企业业务对信息基础设施有较高的安全需求,事前预防比事后弥补的成本更低,保障企业信息安全必须做到未雨绸缪。
然而,面对着由网络、系统平台、数据库/数据、应用程序、使用者等多方面组成的庞大系统,企业单凭一己之力难以找出全部的潜在危险,网络和信息基础设施可能存在多种多样的漏洞,例如:
✧网络性能不稳定,时而发生阻塞现象,影响业务工作
✧系统受到频繁扫描,数据信息安全令人担忧
✧信息泄漏、信息污染、信息不易受控时有发生或可控
✧组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透等
✧侦测入侵日渐困难,一旦遭遇攻击,难以立刻响应
✧内部人员操作不当可能会造成严重后果
✧未能建立安全的IT基础平台,信息安全存在高风险
✧企业员工对保密标准与安全法规缺乏认识
✧…………
如果您的企业也存在以上的问题,那么全面提升企业信息安全水平已经势在必行。
您需要采取必要的补救与加固措施,消除由于操作、配置不当或缺乏更新而带来的安全漏洞。
受限于企业自身的有限资源,信息系统怎样才能跟上日新月异的IT技术的发展,让企业信息系统的安全等级能够达到要求的程度?
思科赛思为您提供必要的支持保障
解决之道:
多层次,多技术全面弥补安全漏洞
针对信息系统安全受到的威胁,您需要运用计算机技术、网络技术、通信技术、密码技术、信息安全技术以及信息论等多种技术和理论,并充分借鉴其他组织的信息系统安全保护经验,才能有效发现问题的根源所在,进而找出解决方案。
为了快速找出现有系统的漏洞,采取专业的补救措施,您可以委托思科赛思这种专业安全服务公司为企业提供检测与加固服务,以节省您的宝贵精力。
考虑到解决方案的系统性和可靠性,您需要一家能够提供整体规划和长期服务、兼具咨询与集成能力、实现信息安全技术转移的公司来协助您提升企业信息基础设施的安全水平。
解决方案:
思科赛思企业信息安全加固服务
思科赛思企业信息安全加固服务通过良性入侵检测和第三方工具,对网络、宿主系统、应用系统及数据库等进行检测或审计,并结合企业现行的网络架构、系统架构、数据架构、应用架构,乃至系统运营和实体环境,提出系统加固建议方案供客户选择。
客户可依据自身的预算、资源以及对信息安全等级的要求,选择适合自己的解决方案。
思科赛思企业信息安全加固服务包括:
思科赛思为客户的各种操作系统、网络设备、数据库和应用系统、安全设备进行安全加固,在满足客户实用的基础上尽量增加其安全性。
我们汇集了多种安全技术手段。
一批经验丰富的安全专家,可以为您现有的各种网络和应用系统进行安全加固,也可以为您提供最合理化的安全加固建议。
信息安全加固包括网络安全加固,操作(宿主)系统安全加固,应用系统安全加固,数据库安全加固,安全设备安全优化等。
网络设备安全加固
包括:
主流网络设备——CISCO、F5、华为等
网络架构安全加固
包括:
网络拓扑分析、路由配置安全性评价、网络接入、流量清洗等。
宿主系统安全加固
包括:
windows系统——Windows2000Server、windows2003Server、Windows2008等
主流UNIX/Linux系 统——Solaris、AIX、HP-UX、RedHat-linux、BSD。
应用系统安全加固
包括:
IIS、Apache、Exchange,OCS等常见应用安全性加固,及业务系统软件的架构性调整建 议。
数据库安全加固
包括:
主流的数据库系统MSSQLServer、Oracle。
安全设备加固
包括:
主流的防火墙设备NetScreen、checkpoint、CiscoPIX、MicrosoftISAServer等。
思科赛思企业信息安全加固服务,
您将获得:
增强技术设施抵抗非法攻击的能力
集中精力维护信息系统的持续可用
提高技术人员对信息安全的认识
快速发现企业的信息安全漏洞,通过有效的防护方法,提升信息安全水平
加强信息基础设施的安全水平,降低安全风险
维持企业形象、赢取客户信任
应急响应服务
问题与挑战:
网络环境更加复杂,安全威胁更加严重,发生安全事件后如何快速反应,定位,修复,控制成了企业的一块心病
计算机环境、应用更加复杂,安全威胁更加严重,病毒、黑客、垃圾邮件等频繁困扰着计算机用户。
漏洞攻击、黑客大战、拒绝服务、网络钓鱼、间谍软件等都让安全威胁变得无处不在,令人防不胜防。
如何对安全事件进行有效规避,防止,修复,以及在事件发生后及时响应客户信息系统的安全紧急事件,保证事件的损失降到最小。
思科赛思专业安全技术团队将在您无助时提供一系列专业、高效的应急响应服务。
解决之道:
渗透测试和应急响应
渗透测试:
模拟黑客入侵测试。
在入侵者意图攻击我们之前,我们将自己的弱点、漏洞发现并且补救,让入侵者无机可乘,或者加大入侵者的攻击成本,实现一定程度上的安全保障。
应急响应:
参照应急响应标准,结合思科赛思应急响应经验。
对您的IT系统突发安全事件进行预案、响应、处理、恢复、跟踪等。
解决方案:
思科赛思渗透测试和应急响应服务
思科赛思应急响应服务包括:
拒绝服务响应
当网络遭受大量通信访问而造成我们正常业务无法提供服务的时候,必须采取措施,将恶意访问抵挡在业务范围之外。
数据破坏响应
当服务器的相关环节,包括文件服务器,网站服务器,数据库服务器等的数据被恶意破坏,导致无法正常提供服务,并且此类现象可能还会重现。
病毒蠕虫响应
当网络遭受到病毒蠕虫的攻击,导致正常办公网络瘫痪无法正常实施业务,必须采取根治措施,去除恶意影响。
其他应急响应
包括恶意窃听,代码攻击,网络欺骗,泄密等,需要进一步找到攻击根源,去除漏洞等。
思科赛思应急响应流程
判定安全事件类型
从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。
查明安全事件原因,确定安全事件的威胁和破坏的严重程度。
查明安全事件原因,确定安全事件的威胁和破坏的严重程度。
抑制事态发展
抑制事态发展是为了将事故的损害降低到最小化。
在这一步中,通常会将受影响系统和服务隔离。
这一点对保持系统的可用性是非常重要的。
排除故障
针对发现的安全事件来源,排除潜在的隐患,消除安全威胁,彻底解决安全问题
恢复系统、网络等
在根除问题后,将已经被攻击设备或由于事故造成的系统损坏做恢复性工作,使网络系统能在尽可能短的时间内恢复正常的网络服务。
安全加固
对系统、网络、应用中发现的漏洞进行安全加固建议,消除安全隐患。
后评估
重新评价客户系统的安全特性,确保在一定的时间范围内,不发生同类的安全事件。
信息安全产品集成服务
问题与挑战:
不断投入,安全产品效果始终无法达到企业目地
针对企业和组织的有目标的攻击大幅增多。
虽然大中型企业都已经部署了防火墙、防毒软件、IDS等安全产品,以抵御恶意软件的入侵和侦测,但是信息安全问题并未因此而杜绝,也并未随着企业在信息安全产品上的投入增加而相应减少,信息安全产品的安装效果无法达到企业的最初目的。
您的信息安全产品部署令人满意吗?
您不妨做一下自我评估:
您的信息安全产品之间是否建立了有机联系?
您的信息安全产品应用是否已列入了企业安全管理制度?
您的员工是否能够理解信息安全产品的效果?
您是否对所选的信息安全产品进行了测试?
您是否认为信息安全产品的应用效果已经得到了最大化实现?
您的信息安全产品与企业实际业务之间是否存在冲突?
上述问题的核心在于信息安全产品的部署是否合理,如果您对这些问题无法给予肯定的回答,那么您的企业在信息安全产品的选型、实施与管理过程中可能存在某些层面上的问题,企业的信息安全水平有待进一步提升。
如何能全面地对信息安全产品进行集中部署,使信息安全产品的应用既能满足企业的安全防护需求,又能融入企业的现有安全管理制度、运维流程?
如今的企业面临着信息安全产品集成方面的新要求。
思科赛思能够协助您实现这一目标。
解决之道:
提供管理制度相对应的信息安全产品,企业的安全防护水平可以获得提升;将信息安全产品与企业的安全运维中心相结合,则能够简化企业安全管理的复杂度,并提高信息安全产品的使用效果。
解决方案:
思科赛思信息安全产品集成服务
思科赛思结合自身信息安全的最佳实践与安全产品的安装运营经验,向客户提供全面的信息安全产品集成服务。
我们将在对安全需求的理解,以及企业现有管理制度深入解读的基础上,与企业讨论安全技术架构的设计,协助企业进行相应安全产品的选型与测试。
在实际的安全产品安装过程中,思科赛思将制定符合企业需求的产品安全规则,并对规则进行测试,使安全防护范围尽可能地扩大,同时又不影响企业应用的正常进行。
我们还将协助客户实施相关的管理制度,确保满足客户目前及未来的业务需求。
思科赛思信息安全产品集成服务的范围是:
遵循国际国内标准,对企业的安全防护水平进行评估
分析企业的安全需求及现有的安全管理制度
协助企业设计或优化安全技术架构
协助企业进行产品选型及功能性能测试
调整安全运维流程
仔细考虑当前的环境,减少实施时对当前IT环境的影响
制订恢复、备份计划
考虑到时间限制的服务流程
制订培训计划,并建议培训的课程
制订、实施详细的测试计划,包括设备、连接、功能级的测试,并记录、分析测试结果
安全产品代理【流量整形、流量清洗、抗DDOS防火墙、web应用防火墙、弱点测试软件等】
通过思科赛思信息安全产品集成服务,您将获得的价值有:
清晰了解企业的安全需求
建立适合企业的安全技术架构
整合部署与企业的业务需求与管理制度
相对应的安全产品
平滑适当的实施安装流程
全面的恢复、备份、培训、测试计划,
实现优质的安全产品使用效果
最优化的安全产品搭配
安全产品功能的最大实现
信息安全培训
思科赛思安全培训针对用户的网络与信息安全工程建设过程中涉及的安全知识、应用、操作。
提供有针对性的整体培训体系,对技术工程师和工作人员进行有效的提升。
基础信息安全培训目标是:
帮助技术人员树立安全意识、建立计算机防御的技术基础,并且具有监察、响应和维护各种安全产品的能力,同时能进行一般性的计算机紧急事件的应急响应、安全处理并最终恢复正常状态。
高级信息安全培训目标是:
提供最优秀的培训课程,帮助培训对象完成解决信息安全问题的技术积累,经过培训提高培训对象技术能力;跟踪最新的安全热点问题,与安全机构和产品厂商保持密切联系,保证课程内容的技术含量;选用系列安全书籍或重要文献作为参考资料,精心准备有针对性的培训讲稿;授课教师有丰富的培训经验,从事信息安全工作多年,具有多年授课经验;以实际发生的安全事件或行业经典解决方案、产品成熟用户等案例,配合具体的实验加深理解。
信息安全培训课程
课程编号
课程名称
课程内容
课程介绍
基础课程
信息安全基础
信息安全介绍
信息安全历史、主要技术、研究方向,培养安全意识
基础课程
安全攻防
黑客攻击原理
黑客历史介绍,主要黑客组织、常见攻击原理
攻击手法和技术
高级课程
信息安全保障体系和标准
信息安全模型
信息安全模型、标准介绍,以及相关应用
信息安全标准
标准实例应用
高级课程
密码技术
密码学基础
密码学的原理、发展过程、主要加密技术
PKI/CA
体系结构、主要用途、建设过程
VPN
VPN概念介绍、基本原理、相关应用
高级课程
网络与通信安全
网络与通信基础
TCP/IP协议体系、TCP/IP的脆弱性、TCP/IP攻击
网络与通信安全
TCP/IP协议各层安全防护、常见的安全技术
高级课程
恶意代码
计算机病毒技术
反病毒技术
病毒的发展过程、病毒的原理、病毒案例介绍、病毒的发展趋势、病毒的防护、病毒的简单处理
高级课程
系统安全
Windows安全管理
系统介绍、脆弱性、安全配置、Toolkit应用
UNIX安全管理
系统介绍、脆弱性、安全配置、Toolkit应用
数据库安全管理
数据库介绍、脆弱性、安全配置、Toolkit应用
管理课程
信息安全工程
物理安全
保密规范与物理安全、机房建设、设备与介质要求
安全工程
安全工程标准、安全工程建设过程控制
管理课程
信息安全管理
安全管理体系
ISO27001与企业安全规范、等级保护等安全规范。
风险评估
风险评估原理、常见评估方法、过程、评估案例介绍
业务连续性计划
应急响应、存储备份、业务持续性计划、案例介绍