ImageVerifierCode 换一换
格式:DOCX , 页数:11 ,大小:125.77KB ,
资源ID:20419642      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/20419642.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(立足SOX法案的系列安全解决方案Word文档格式.docx)为本站会员(b****6)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

立足SOX法案的系列安全解决方案Word文档格式.docx

1、执行ISO 27001、符合ISO 27001,必须结合运营商的主业、从中观和微观角度加以落实。启明星辰公司为运营商提供立体的ISO 27001防御体系,涉及宏观规划和监控、中观整合加固、微观技术实现,每个层面上又纵深提供评估服务、应急服务、技术培训和技术支撑,真正做到将ISO 27001认证落实到安全运维人员每天可执行的技术、工具、平台、流程、规章等各个层次。收益启明星辰公司承诺所提供的安全认证、咨询服务针对运营商的不同系统量体裁衣,协助运营商除获得认证证书之外,落实并巩固安全认证成果,包括:制定切实可操作的安全规范与安全策略;实施网络安全优化方案;对系统进行深层次的安全评估并提交安全加固建

2、议;提供电信级应急响应服务;提供专业的安全管理和安全技术培训;实施全面的安全监控。二、安全域解决方案划分安全域的原则安全域是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或系统。启明星辰公司采用“同构性简化”的安全域划分方法,将复杂的大网络进行简化后设计防护体系,以便进行有效的安全管理。启明星辰公司安全域划分遵循以下原则:1、业务保障原则;2、结构简化原则;3、立体协防原则。以某运营商系统为例,我们通过对该系统进行数据流分析、网络结构分析,结合考虑现有的安全隐患,从资产价值、脆弱性、安全隐患三者间的关系出发,得到了整体的安全防护体系和各个业务系统自身的

3、安全防护体系,为进一步管理整合后的安全域做好了准备。基于安全域划分的最佳实践,该运营商的各个系统被分别划入不同的安全域,再根据每个安全域内部的特定安全需求进一步划分安全子域,包括:核心交换区、核心生产区、日常办公区、接口区、安全管理区、内部系统接入区、外部系统接入区。如下图所示:安全加固在划分安全域之后,我们对不同安全域内的关键设备进行安全加固,依据是:各安全域内部的设备由于不同的互联需求,面临的威胁也不同,因此其安全需求也存在很大差异。1、生产服务器:一般都是UNIX平台,资产价值最高,不直接连接外部网络,主要的安全需求是访问控制、账号口令、权限管理和补丁管理;2、维护终端:一般都是WIND

4、OWS平台,维护管理人员可以直接操作,其用户接入的方式也不尽相同(本地维护终端、远程维护终端),面临着病毒扩散、漏洞补丁、误操作、越权和滥用等威胁,其安全需求是安全策略的集中管理、病毒检测(固定终端)、漏洞补丁等;3、第三方:对业务系统的软、硬件进行远程维护或现场维护,其操作很难控制,面临着病毒、漏洞、攻击、越权或滥用、泄密等威胁,安全需求主要是接入控制,包括IP/MAC地址绑定、帐号口令、访问控制,以及在线杀毒、防毒墙、应用层的帐号口令管理、补丁管理等;4、合作伙伴:涉及到与其他系统的连接,面临着病毒、漏洞、入侵等威胁,安全需求是病毒防护、入侵检测、漏洞补丁等。5、互联网:面临着黑客入侵、病

5、毒扩散等威胁,主要的安全需求是入侵检测、病毒防护、数据过滤等。安全域与安全策略的结合在划分安全域、进行安全加固的基础上,还需要对网络边界和重点区域采取特定的安全措施。 边界安全对于任何安全域的保护,边界安全是最低的保护措施,通过对边界的控制能够保护安全域不受到来自其它区域的安全威胁。在上面的图例中,我们采用了以下技术:边界隔离、认证、监视、审计。具体的产品实现包括:MPLS VPN、VPN Lite、防火墙、接口主机、交换机VLAN、PVLAN、ACL等。 区域安全区域安全是通过在安全域内部设置监视、测量、清理、审计等技术手段,实现安全域内安全事件的及时响应和清除。安全域的区域安全以安全状况的

6、监控为主,对于本安全域内部的安全事件及时响应和清除,是安全域的核心安全处置手段。具体采用的技术和产品包括:入侵检测、安全审计、漏洞扫描、病毒防护、访问控制、帐号管理、补丁管理、流量监控等。实现效益通过划分安全域实现等级保护,启明星辰公司把电信运营商复杂的安全问题化解成小区域的安全保护问题,从而在全网范围内实现大规模的等级保护。该方案不仅仅是从网络系统、技术层面和单一安全设备来看待问题,更是从网络建设的整体规划出发,全盘考虑,帮助电信运营商从根本上解决安全问题。从SOX内控审计的角度,安全域解决方案也将发挥其潜在的巨大优势,帮助电信运营商在SOX内控审计的过程中化繁为简,快速达到安全指标要求,与

7、国际接轨,为企业带来更大的市场和经济效益。三、4A统一安全管理平台解决方案4A统一安全管理平台解决方案结合了启明星辰天玥业务审计产品的优势,引入了SafeWord产品系列中的3A组件。4A包括统一用户账号(Account)管理、统一认证(Authentication) 管理、统一授权(Authorization)管理和统一安全审计(Audit)四要素。融合后的解决方案将涵盖单点登录(SSO)等安全功能,既能够为客户提供功能完善的、高安全级别的4A管理,也能够为用户提供符合萨班斯法案(SOX)要求的内控报表。为什么需要4A统一安全管理平台解决方案随着各大电信运营商的业务网发展,其内部用户数量持续

8、增加,网络规模迅速扩大,安全问题不断出现。而每个业务网系统分别维护一套用户信息数据,管理本系统内的账号和口令,孤立地的以日志形式审计操作者在系统内的操作行为。现有的这种账号口令管理、访问控制及审计措施已远远不能满足自身业务发展需求,及与国际业务接轨的需求。问题主要表现在以下几方面:1. 大量的网络设备、主机系统和应用系统分属不同的部门或业务系统,认证、授权和审计方式没有统一,当需要同时对多个系统进行操作时,工作复杂度成倍增加;2. 一些设备和业务系统由厂商代维,因缺乏统一监管,安全状况不得而知;3. 各系统分别管理所属的系统资源,为本系统的用户分配访问权限,缺乏统一的访问控制平台,随着用户数增

9、加,权限管理愈发复杂,系统安全难以得到充分保障;4. 个别账号多人共用,扩散范围难以控制,发生安全事故时更难以确定实际使用者;5. 随着系统增多,用户经常需要在各系统间切换,而每次切换都需要输入该系统的用户名和口令,为不影响工作效率,用户往往会采用简单口令或将多个系统的口令设置成相同的,造成对系统安全性的危害;6. 对各个系统缺乏集中统一的访问审计,无法进行综合分析,因此不能及时发现入侵行为。综上,由于缺乏统一的4A管理平台,在系统管理人员工作负担加重的同时,因各业务系统安全策略不一致,实质上也大大降低了业务系统的安全系数。启明星辰4A统一安全管理平台解决方案采用启明星辰4A统一安全管理平台解

10、决方案能够解决运营商当前在账号口令管理、访问控制及审计措施方面所面临的主要问题。该解决方案由5个子系统组成:统一的4A管理平台、统一的认证授权子系统、统一的账号管理子系统、统一的日志审计子系统、网络行为审计子系统,它们之间的协作关系如下图所示: 统一4A管理平台向其它四个子系统传递配置参数,包括认证参数、账号参数、审计策略参数等,而四个子系统则将自身的运行状态值传递给统一4A管理平台; 统一4A管理平台上各参数的变更,以及各告警值通过syslog的方式传递给统一日志审计子系统; 统一认证授权子系统对用户进行统一接入认证后,产生的认证记录通过syslog的方式发送给统一日志审计子系统; 统一账号

11、管理子系统对用户账号进行维护的操作通过syslog的方式发送给统一日志审计子系统; 网络审计引擎部件将采集到的日志信息通过syslog方式发送给统一日志审计子系统。统一日志审计子系统功能: 安全日志采集 安全日志多维分析 安全日志实时展现 报表分析 审计策略配置 数据存储统一认证授权子系统功能: 统一身份认证 集中账号口令管理 统一认证和授权- 网络设备的身份认证及授权- 主机系统的身份认证及授权- 远程接入或VPN接入用户的认证及授权- 数据库管理的身份认证及授权- 基于Web的运营系统的身份认证及授权- 基于C/S结构的业务系统的身份认证统一账号管理子系统功能: 单点登陆 账号同步 统一账

12、号管理与统一认证授权协作网络行为审计子系统功能: FTP/TELNET审计 XWINDOW审计 常用数据库的操作审计(ORACLE审计、DB2审计、SQL SERVER审计、SYBASE审计) 堡垒机跳转行为审计 NETBIOS审计 HTTP审计 SMTP审计 POP3审计 非正常网络行为的审计 各种协议的审计报表投资收益 统一认证、授权和审计,工作复杂度大幅度降低; 统一监管,安全状况尽在掌握; 避免多人共用相同账号,安全事故易于追踪; 单点登录(SSO)免去用户在各系统间切换时,需要再次输入用户名和口令的繁琐; 对各个系统进行统一的访问审计,利于综合分析,及时发现入侵行为 与萨班斯法案(S

13、OX)内控需求一致。四、面向业务保障的安全服务体系解决方案为了阻止黑客对电信级业务、应用系统的破坏,启明星辰公司在延用一系列传统安全产品(如防火墙、防病毒、入侵检测、入侵防御、漏洞扫描等)的同时,根据国际安全领域权威的ISO 17799/27001和最符合萨班斯(SOX)法案要求的COBIT等标准,推出了全新的、贴近电信市场需求的、面向业务保障的安全服务体系解决方案。业务系统安全解决方案启明星辰公司紧随世界发展,面对新一代市场挑战,提出了更具针对性的业务系统安全解决方案。以萨班斯(SOX)法案对内控系统的安全需求为根本,制定了全新的风险评估、应急响应、安全加固等服务,时刻以市场上的安全需求为导

14、向,更树立起全面的电信级安全服务解决方案。用专注、专业、专心的精神为电信运营商客户切实解决遇到的安全问题。启明星辰公司业务系统安全解决方案最佳实践内容服务类别子项说明萨班斯法案(SOX)安全评估服务管理评估通过调查表、人员访谈、现场勘查等方式,结合ISO 17799/27001和COBIT的要求,对被评估对象的安全控制、安全管理各个流程环节进行全面的穿越评估,并提供管理评估报告。技术评估漏洞扫描以资产识别为基础,采用安全扫描软件进行弱点扫描,对典型服务器进行控制台审计,结合与安全管理员的交流,对技术管理,配置和维护等方面进行技术性的检测和评估。主机审计参照检查列表(Check List)检查主

15、机设备操作系统存在的各种安全弱点,或采用脚本工具针对不同的系统列出检查的条目,挖掘配置和运行中的隐患。渗透测试通过模拟黑客实际攻击,验证信息系统面临的风险,评价信息系统的安全性。代码审核通过人工分析和审核业务系统源代码,查找软件编写过程中存在的漏洞,避免对业务系统可能造成的损失。安全加固在安全评估的基础上,通过专业人员的安全加固服务强化系统安全性,消除系统弱点,并给出加固报告。专家型应急响应服务客户系统遭受入侵时,由安全专家在第一时间实施阻断,反击入侵行为,恢复客户系统的完整性和可用性,彻底清除入侵行为对客户系统造成的影响,同时修补安全漏洞。并可根据客户需求对入侵活动全过程调查取证,获取相关证

16、据。安全管理监控服务安全监控服务基于安全监控平台,对网络设备、主机设备、安全设备提供实时安全监控,提高安全管理的可靠性和有效性。安全通告服务提供安全信息,使客户从多角度了解安全现状。安全管理监控闭环服务体系安全管理监控服务是网络与信息安全系统的委托管理与服务,是风险管理的过程化实施,是专业安全公司为企业提供的专家级服务体系。该体系以全面保护、实时监控、专家响应为基本元素,建立了一套闭环服务体系,这种全面的安全服务体系能完全使企业摆脱维护系统安全的烦恼,并从最大程度上提高投资回报率。在这个闭环中,依次执行以下6部分内容: 为了解系统本身的漏洞及潜在的风险,对系统进行风险评估; 针对评估出来的漏洞和风险提出准确的系统加固建议; 依据系统加固建议,有效地部署并配置安全设备; 对工作进程进行安全监控,确保其顺利进行; 如遇紧急事件,由资深安全专家做出及时响应,以解决问题; 根据客户信息系统中的信息资产情况,提供相应的安全信息通告,以邮件,电话或短信的方式发给客户,提供及时的修补和防御措施。此外,在整个管理监控过程中,对企业相关人员进行安全实践培训。为您带来的收益 最大限度降低安全运营成本; 建立强化的信息安全保障体系; 充分利用体系中已有的安全产品; 免除您在使用与维护安全产品时的烦恼; 降低企业信息安全人员的投入。

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1