信息安全风险评估方案与对策

《信息安全风险评估方案与对策》由会员分享，可在线阅读，更多相关《信息安全风险评估方案与对策（30页珍藏版）》请在装配图网上搜索。

1、. .第一章 网络平安现状与问题1.1目前平安解决案的盲目性现在有很多公司提供各种各样的网络平安解决案，包括加密、身份认证、防病毒、防黑客等各个面，每种解决案都强调所论述面面临威胁的重性，自己在此面的卓越性，但对于用户来说这些面是否真正是自己的薄弱之处，会造成多大的损失，如评估，投入多大可以满足要求，对应这些问题应该采取什麽措施，这些用户真正关心的问题却很少有人提及。1.2网络平安规划上的滞后网络在面对目前越来越复杂的非法入侵、部犯罪、恶意代码、病毒威胁等行为时，往往是头痛医头、脚痛医脚，面对层出不穷的平安问题，疲于奔命，再加上各种各样的平安产品与平安效劳，使用户摸不着头脑，没有清晰的思路，其

2、原因是由于没有一套完整的平安体系，不能从整体上有所把握。在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下，平安规划显然未跟上网络管理式开展的趋势。第二章 网络动态平安防体系用户目前承受的平安策略建议普遍存在着“以偏盖全的现象，它们过分强调了某个面的重要性，而忽略了平安构件产品之间的关系。因此在客户化的、可操作的平安策略根底上，需要构建一个具有全局观的、多层次的、组件化的平安防御体系。它应涉及网络边界、网络根底、核心业务和桌面等多个层面，涵盖路由器、交换机、防火墙、接入效劳器、数据库、操作系统、DNS、MAIL及其它应用系统。静态的平安产品不可能解决动态的平安问题，应该使

3、之客户化、可定义、可管理。无论静态或动态可管理平安产品，简单的叠加并不是有效的防御措施，应该要求平安产品构件之间能够相互联动，以便实现平安资源的集中管理、统一审计、信息共享。目前黑客攻击的式具有高技巧性、分散性、随机性和局部持续性的特点，因此即使是多层面的平安防御体系，如果是静态的，也无法抵御来自外部和部的攻击，只有将众多的攻击手法进展搜集、归类、分析、消化、综合，将其体系化，才有可能使防御系统与之相匹配、相耦合，以自动适应攻击的变化，从而形成动态的平安防御体系。网络的平安是一个动态的概念。网络的动态平安模型能够提供应用户更完整、更合理的平安机制，全网动态平安体系可由下面的公式概括：网络平安

4、= 风险分析 + 制定策略 + 防御系统+ 平安管理+ 平安效劳动态平安模型，如以下图。网络平安策略安全标准范体系安全管理保障体系安全技术防御体系平安效劳支持体系动态平安体系动态风险分析从平安体系的可实施、动态性角度，动态平安体系的设计充分考虑到风险评估、平安策略的制定、防御系统、平安管理、平安效劳支持体系等各个面，并且考虑到各个局部之间的动态关系与依赖性。进展风险评估和提出平安需制定网络平安策略的依据。风险分析又称风险评估、风险管理，是指确定网络资产的平安威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种根本法：定性分析和定量分析。在制定网络平安策略的时候，要从全局进展考虑，

5、基于风险分析的结果进展决策，建议公司终究是加大投入，采取更强有力的保护措施，还是容忍一些小的损失而不采取措施。因此，采取科学的风险分析法对公司的网络进展风险分析是非常关键的。一旦确定有关的平安要求，下一步应是制定及实施平安策略，来保证把风险控制在可承受的围之。平安策略的制定，可以依据相关的国外标准或行业标准，也可以自己设计。有很多法可以用于制定平安策略，但是，并不是每一组平安策略都适用于每个信息系统或环境，或是所有类型的企业。平安策略的制定，要针对不同的网络应用、不同的平安环境、不同的平安目标而量身定制，各公司应该按照自己的要求，选择适宜的平安体系规划网络的平安。制定自己的平安策略应考虑以下三

6、点容：1评估风险。2企业与合作伙伴、供应商及效劳提供者共同遵守的法律、法令、规例及合约条文。3企业为网络平安运作所订立的原那么、目标及信息处理的规定。平安管理贯穿在平安的各个层次实施。实践一再告诉人们仅有平安技术防，而无格的平安管理体系相配套，是难以保障网络系统平安的。必须制定一系列平安管理制度，对平安技术和平安设施进展管理。从全局管理角度来看，要制定全局的平安管理策略；从技术管理角度来看，要实现平安的配置和管理；从人员管理角度来看，要实现统一的用户角色划分策略，制定一系列的管理规。实现平安管理应遵循以下几个原那么：可操作性原那么；全局性原那么；动态性原那么；管理与技术的有机结合；责权清楚原那

7、么；分权制约原那么；平安管理的制度化。第三章 动态风险分析根据木桶原理，木桶所能容纳水的多少是由木桶壁中最短那块木头决定的，同样，一个网络系统中最主要的威胁是由最薄弱的平安漏洞决定的，往往解决最主要的平安问题可以使系统的平安性有很大提高。动态风险分析主要解决的问题就是系统的从错综复杂的用户环境中找出被评估系统中的薄弱之处，评估发生此类问题造成的损失，提供最正确的解决案，使用户清楚的知道被评估系统中面临的威胁是什麽，最主要的问题是什麽，防止在网络平安面的盲目性，获得最正确的投资效费比。如以下图所示定义问题的范围定义企业的平安策略进展风险评估进展风险管理要有什么信息及为什么？把企业的信息资产重新估

8、价把问题的关切程度顺序排好找出有什么威胁弄清楚企业的网络配置找出有那些漏洞顺序选出要实施的保障措施是否能承受所余下的风险实施选定的平安保障措施监控这些措施的有效性重新衡量现有状况继续保持现状新的业务需求不3.1定义围动态平安风险分析的第一步就是要确定被保护系统的围，即确定我们有什么资源、要保护什么资源，如：l 信息发布系统，系统等。l 办公系统，如Email系统、总部及分部办公系统等。其次是要定义用户对选定资源中各系统的关切顺序，不同系统遭受破坏后带来的损失是不一样的，如交易系统中的交易效劳器的重要程度应是最高的。3.2威胁评估与分析确定了风险管理围后，在充分分析系统现状的根底上，一面进一步分

9、析可能存在的平安威胁，及其传播途径，另一面通过对网络、系统等各个环节的脆弱性分析，验证这些威胁对系统的危害程度，找出主要平安问题。3.2.1现状调查与分析现状调查是风险管理的根底，根据用户的总体要求对用户环境和平安现状进展全面和细致的调查，可以准确理解用户平安需求。下一步进展的威胁分析及脆弱性分析将针对用户环境中的网络系统、效劳器系统、应用系统以及数据系统等展开平安分析工作，因此用户现状调查也必须针对这些面进展。用户现状调查的主要容如以下图所示。用户现状调查用户现状调查总结硬件和网络系统调查操作系统调查应用系统调查防火墙系统调查数据库系统调查用户其他平安现状接口系统发布系统资讯系统办公系统最后

10、生成用户现状调查总结是对用户现状调查过程的总结报告。它总结性描述我公司对用户现状及用户系统平安性的大概印象。包括以下容：l 用户环境中各个设备及所含系统的大致情况，主要针对与平安漏洞有关的工程。l 用户对平安策略的要求。l 对用户系统平安性的初步分析。3.2.2面临威胁种类由于政府业是个开放化、社会化的行业，其信息系统由封闭式系统逐步转向开放式系统，势必存在着诸多不平安风险因素，主要包括： 系统错误主要包括系统设计缺陷、系统配置管理问题等，如操作系统漏洞、用户名管理问题，弱身份认证机制等； 部人员作案个别政府职员利用自己掌握的部系统或数据信息，从事非法挪用资金、破坏系统等活动； 黑客攻击黑客主

11、要利用分部工作站、互联网等设备进展非法网络或查看、复制、修改数据，常见攻击手法有：后门由于设计、维护或者黑客的攻击而产生的计算机系统的一个平安漏洞，通过它一个隐藏的软件或硬件工具可以绕过平安系统的控制进展信息访问。缓冲区溢出大量的数据进入程序堆栈，导致返回地址被破坏，恶意准备的数据能够导致系统故障或者非授权访问的产生。口令破解通过工具对加密密码进展破解的法，系统管理员也可用来评估系统用户密码的强健性。网络监听通过监听网络上的数据包，来获取有关信息的行为，常见于以太网中。黑客可以使用它捕获用户名和密码，同时也被网络管理人员用来发现网络故障。欺骗出于一种有预谋的动机，假装成IP网络上另一个人或另一

12、台机器，以便进展非法访问。常见的欺骗有以下几种：DNS欺骗冒充其他系统的DNS，提供虚假的IP地址和名字之间的解析。路由欺骗向其它路由器提供虚假的路由，导致网络不能正常访问或者信息的泄露。IP劫持未经授权的用户对经过授权的会话(TCP连接)的攻击行为，使该用户以一个已经通过授权的用户角色出现，完成非授权访问。IP地址盗用非法使用未分配给自己的IP地址进展的网络活动。击键监视记录用户的每一次击键和信息系统反响给用户的每一个字符的活动。跳跃式攻击通过非法获得的未授权访问，从一个被攻击的主机上进展危及另一个主机平安的活动。恶意一种针对开放系统的含有恶意数据的电子，如果翻开，就会对系统产生破坏或导致信

13、息的泄露。逻辑炸弹成心被包含在一个系统中的软件、硬件或固件中，看起来无害，当其被执行时，将引发未授权的收集、利用、篡改或破坏数据的行为，如特洛伊木马。根工具包Rootkit一种黑客工具集合，可以截获被入侵计算机上传送的信息、掩饰系统已被入侵的事实或提供后门等。拒绝效劳一种通过网络来阻止一个信息系统的局部或全部功能正常工作的行为，常见的拒绝效劳如下。炸弹发送给单个系统或人的大量的电子，阻塞或者破坏接收系统。ICMP包泛滥攻击IP Smurf攻击者利用伪造的源IP地址，频繁地向网络上的播送地址发送无用的ICMP数据包，造成网络上流量的增大，从而阻碍了正常的网络效劳。数据拥塞(Spam)通过输入过分

14、大的数据使得固定缓冲区溢出，从而破环程序。或是，将一些无用的或不相关的信息灌入到某个人或某个新闻组的信箱，使其数据溢出。TCP连接拥塞SYN Flood大量的TCP SYN数据包拥塞被攻击机器，导致无法建立新的连接。蠕虫能在因特网上进展自我复制和扩散的一种计算机程序，它极大地消耗网络资源，造成拒绝效劳。拨号效劳查找器Wild Dialer通过MODEM拨号，在网中搜寻能提供MODEM拨号效劳的系统的工具。网络扫描一种通过发送网络信息，获得其它网络连接状态的行为。 病毒将自身连接到可执行文件、驱动程序或文件模板上，从而感染目标主机或文件的可自我复制、自我传播的程序3.2.3威胁产生途径面对上述种

15、种威胁，如果逐个分析每种威胁，就会陷入舍本逐末的工作中而无法自拔，对系统的平安建立没有实际指导意义，我们应将重点集中在可能发生的威胁及它将如发生这两个问题上来。先来分析威胁发生的途径，针对网络系统，其主要面对来自两面的威胁： 来自边系统的威胁政府信息系统在由封闭式系统逐步转向开放式系统的过程中，与外界的接口也在不断增多，由原来只与总部接口逐渐扩大到与电信接口、银行接口、与Internet接口等，在带来业务上开展同时，也带来可能遭受攻击的途径，包括：l 来自公司其他部门的危险因素l 来自Internet的危险因素即有多少接口就有多少威胁发生的途径。 来自部的威胁通过对网络已有犯罪案例的分析可以发

16、现，部犯罪一直以其重的危害性与相对较高的成功机率给网络带来巨大损失，其威胁途径根本是：来自本地网的部威胁指从本地一台主机通过部网对本地另一台主机的攻击。l 来自本地系统的部威胁 指直接对主机的非法行为，如侵袭者通过磁盘拷贝、电子等盗窃主机上的XX数据。3.2.4脆弱性分析在分析了威胁发生的途径后，就需要验证可能发生的威胁在系统上是否存在在这些面的薄弱环节，有可能使恶意行为通过这些法得逞。对系统的脆弱性评估应从以下三个角度进展：l 系统角度：采用系统分析工具对选定系统的分析；l 网角度：采用漏洞扫描工具从部网络进展扫描，采用渗透性测试，模拟已进入网的非法行为进展平安性测试；l 外网角度：从外部对

17、系统进展扫描及渗透性测试，如从Internet发起测试。3.3损失分析风险事故造成的损失大小要从三个面来衡量：损失性质、损失围和损失时间分布。损失性质指损失是属于公司品牌性质的、经济性的还是技术性的。损失围包括：重程度、分布情况。时间分布指损失的时间围，即遭受损失后可以在多长的时间恢复回来。对于损失的重程度，可以采用定量评估的式进展财产估价，针对业务系统的财产估价，主要通过估算每日平均交易额、分部开户数、分部平均开户金额等几个面估价。3.4风险评价上述工作是对各局部威胁逐一分析，而在风险评价阶段主要考虑单个风险综合起来的效果，及风险是否能被用户承受。主要工作分三步：i. 确定风险评价基准。指用

18、户对每一种风险后果的可承受水平，单个风险和整体风险都要确定评价基准。ii. 确定整体风险水平，它是综合了所有个别风险后确定的。iii. 将单个风险与单个评价基准、整体风险水平与整体评价基准比照，确定风险是否在可承受围，进而确定下一步应该进展的工作。由于威胁的程度很难用具体数字来表示，而为了尽可能明晰风险程度，我们采用下述风险评级的式进展标识：风险评级风险级别说 明极高5极有可能出问题很高4很有可能出问题高3有可能出问题一般2不会出大问题低1根本不会出问题3.5建议案对于发现的风险，一般有三种策略去处理它，具体选择哪一种取决于面临的风险形势： 承受风险评估后用户认为风险事件造成的损失在可容忍的围

19、之，可以把风险事件的不利后果承受下来。或有良好的组织管理及应急方案管理，当风险事件发生时可以马上执行应急方案。 降低风险降低风险发生的可能性或减少后果造成的不利影响，具体要到达的目标及采用的措施要根据上述分析结果中发现的问题及用户的期望来定。 转移风险即外包的式，借用合同或协议，在风险事故发生时将损失一局部转移到第三，一般在用户资源有限，不能实行降低风险策略时采用。第四章 网络平安策略平安策略是整体平安策略应包含三个层面：人、技术和行动。4.1与人相关的平安策略 培训针对具体岗位的知识需求开展基于角色的网络平安知识与技能培训。培训的投资回报比极高R.O.I=211:1。R.O.I=return

20、 on investment，数据来源于2001年CSI会议论文 意识培养培养全体工作人员以及用户的平安意识与自我保护水平R.O.I=872:1。 人事平安定义工作岗位、合理分配资源，减少部攻击事件发生的可能性。 物理平安物理平安较早便已引起了人们的关注，但实践说明，信息时代，物理平安恰恰是信息系统平安中最容易被无视然而却会造成巨大损失的环节。 平安管理要加强网络和信息平安管理，包括规章制度和操作流程的制定、相关法律法规的普及以及平安组织构造的建立。4.2与“技术相关的平安策略 网络可用性的保护在信息平安的三大属性XX性、完整性、可用性中，平安需求主要表达为可用性需求。因此，在“技术的层面上，

21、首先要保证网络可用。 接入保护接入访问用户是网络一个重要的业务，保障接入的平安性也是网络平安工作的重点。 行业标准的遵循行业标准作为技术性法规，是网络平安日常操作和工程实施的依据，作为生产任务重、执行上级公布的政府部门来说，更好地理解行业标准，并准确而有效地遵循，是非常重要的。 系统采购系统采购对平安工作的成败影响很大，在多面直接影响平安工作。 认证与授权认证与授权是实现网络行为可信、有序的根底，也是网络平安的前提。因此，除要在用户接入时实施认证技术外，还应注意部工作人员行为的授权以及与外界交流活动中的认证和授权。4.3与“行动相关的策略 防护应根据资产风险级别进展等级防护，并确定平安策略的执

22、行次序，有效地进展投资。 监控加强平安监控，提高风险管理能力，掌握网络状态，将平安事故控制在初期或一定规模之下。 响应和恢复逐步建立完善的应急响应体系，将平安事故的损失减小到最小。在平安建立的初期，可以将大局部专业平安效劳外包，但应逐步形成自己的应急响应力量。第五章 纵深防御体系平安不管攻击和防守总体来说都是过程。平安的成功与否关键在于我门对过程的把握。在这个过程中我们的防御层数越多，对网络资源进展未授权访问的难度就越大。这一战略通过提供冗余防御层来确保平安性，在某一层 - 或者在某些情况下多个层 - 被攻破时，冗余的防御层能够对资源进展保护。5.1边界平安边界：我们保护的系统和外界接口局部。

23、在我们防护的围的边界，是整个防护过程的开场。也是我们要防护的第一个堑壕。如把守这个堑壕，分为以下几个重点：从可能接触到系统的几个途径来分析。5.1.1边界接入网络设备平安router，firewall关注对流入和流出一个边界的数据进展有效的控制和监视。边界保护主要表达在对路由交换设备的保护以及防火墙系统的设置。在边界保护中主要采用的技术可以通过路由器和交换机上的各种策略配置实现，对于路由器可以采用关闭各种不必要的效劳和增加ACL的式，对交换机采用配置虚拟局域网的式。如果考虑对边界点的深入防的能力，还需要采用防火墙和入侵监测的辅助设备。5.1.2边界主机设备接入边界设备的途径：身份认证。5.1.

24、3边界信息点的平安。信息点的平安。5.2平台平安应用是搭建在平台上的，因此平台是我门要保护的的第二个堑壕。平台总体上分网络，系统平台。5.2.1网络平台的平安平安网络环境建立原那么：1 对原由系统平滑改造，不对原系统造成影响。2 采用不同等级的平安区域隔离式。3 对不同等级间的网络连接采用中间件或防火墙互联，并参加审计功能。对接入网络和核心网络进展平安监视。部网，(vlan划分，router、switch设置，及其本身的平安)5.2.2系统平台保障各种应用效劳和操作系统的可用性和平安性。 采用最小权限原那么启动效劳。 配置各类应用效劳自身的平安属性，及时升级各类应用效劳的平安补丁。 适当考虑负

25、载均衡措施。 制定标准的各类操作系统安装与初始化配置流程 制定应用软件的安装、升级与卸载规 按权限等级划分不同用户组，并格控制目录及文件的权限 及时安装系统补丁和应用程序补丁 配置操作系统日志功能，并做好日志的统计分析和平安备份 制定效劳器和网络设备的远程控制规1)windows系列，Novell系列，Linux系列 参照Windows NT和Windows 2000系统的标准平安配置案。 参照Novell系统的标准平安配置案 参照Linux系统的标准平安配置案2)sql server和 orcale 自身的平安 参照Ms SQL server，ORECAL数据库标准平安配置案5.2.3业务系

26、统开发的平安l 业务开发平安规定制相应的软件开发工程管理制度如：?软件阶段评审报告?软件测试记录单?软件变更记录单?软件产品升级意见单?应用业务上网操作规? 平安的开发程序培训l 业务开发的平安性测试不管是外购软件还是自编软件，我们都要对其进展验收平安测试，采取的法，业务应用完成后，搭建模拟环境，进展平安外围测试。自编软件源代码级平安风险分析和平安测试第六章 平安管理保障体系实践一再告诉人们仅有平安技术防，而无格的平安管理制度相配套，是难以保障系统平安的。我们必须通过制订完善的平安管理制度并且利用最新的信息平安技术对整个网络系统进展平安管理。平安保障管理系统平安管理内容1. 静态n 硬环境u

27、人员：教育和培训、平安XX协议u 机房：出入登记、隔离、etcu 设备：进货检验、运行维护、报废清理u etcn 软环境u 操作系统、数据库、应用软件的配置u 开发测试u etc2. 动态n 运行n 备份、恢复、审计n 防病毒、漏洞扫描n 应急响应n etc组织机构支撑1. 平安总监CSO2. 信息平安部3. 平安专员体系运行监视1. 每月检查2. 季度审核3. 年度会议体系更新维护1. 内容2. 形式本管理体系将分为三层构造：平安手册框架、运作程序文件包括作业指导书、操作表单记录。下层文件直接支撑上层文件。纲要程序、作业标准表单网络小组组长a病毒防护人员IP和机房管理入侵检测人员FW管理人员

28、系统小组组长b漏洞弥补人员效劳开关管理系统运行管理设备进出网络开发小组组长c分析设计文档编码测试联调应用部署维护平安设计文档平安总监CSO经理一人：与副经理制定策略；协调本部门的工作；协调各职能部门的工作副经理二人：审计检查实施策略平安专员X人：网络小组二人，组长a;系统小组二人，组长b;开发小组二人，组长c;职能部门平安专员X人：每个职能部门一人，如总裁办、财务部、投资银行等各有一人。职责：1、在本部门推行、检察平安策略和制度的执行；2、本部门征求并反映本部门建议和意见；3、给出本部门每个员工的平安分数作为奖惩依据。6.1平安管理组织架构在网络总部设立平安管理专职机构平安管理部组，设置平安管

29、理专门负责人平安总监，以负责对公司平安进展统一管理当然也包括网上交易的平安管理。在全国各个分部的电脑部设立平安专员，受平安管理部垂直领导，负责分部日常平安管理工作，负责保持与总部的联系。平安管理部具有以下职能： 平安资源管理对各种软硬件平安资源包括人员统一管理，包括购置、登录、保管包括异地备份、标识、分类、分级等。 平安监察评估不定期/定期月末督查、测试和评估公司平安状况技术和管理两面，发现问题予以解决。 平安事件响应对公司发生的各种平安事件迅速响应，抢修恢复，调查事故原因，划分责任，撰写事故调查分析报告，采取纠正和预防措施，收集证据，为处分或起诉提供客观依据。 平安管理体系维护对公司平安管理

30、体系的动态变更进展操作和管理。 平安设施维修对公司平安设施主要是通讯线路、效劳器、防火墙等硬件进展定期检修、保养。 平安课程培训组织和协调对新、老员工定期开展公司根本平安知识、技术、上岗技能等面的培训、考核。 制订平安策略协助平安总监制订公司平安策略，定义公司的平安事件和审计事件的种类和级别。 业界平安动态跟踪对网络的平安技术和管理面的最新开展状况进展关注和跟踪，为更新和增强公司的平安策略提供建议。平安总监的职责： 制订平安战略负责制订公司平安战略和平安策略，推动公司实施平安策略，对公司平安负责。 监控平安管理体系主持建立、运作和保持平安管理体系工作。 报告公司平安状况定期以书面报告向总经理汇

31、报公司平安状况，并提出相应问题解决案。 处理最大平安事故主持处理公司重大平安事故，并解决与客户的平安纠纷。 跟踪信息平安的最新进展保持对外联络和协调工作，跟踪信息平安的最新进展，适时向公司总经理提出提升公司平安的案或建议。6.2平安管理体系运行管理公司对平安管理体系的执行情况需要进展定期监视审核，保证体系运行的有效性，主要分为三个层次的活动。1每月的平安督查由平安管理部经理主持，由平安管理部组织实施，作为日常监视活动，主要以询问和查看记录为主，最后出具督查报告。2每季的平安审核由平安总监主持，组织专门人员成立审核组，事先发放审核方案，准备书面检查表，逐个部门进展审核。审核结果必须获得部门经理的

32、认可。最后形成审核报告，经平安总监审批后予以发放。3每年的平安会议由总经理主持，平安总监组织筹划，平安管理部负责会议记录，会议出席对象是总部部门经理、分部总经理以及电脑部经理。会议对公司平安管理体系的年度执行情况进展报告，评估，提出问题和对策。会议最后形成年度平安报告，经总经理审批后予以发放6.3平安技术管理为了能使网络对整个网络平安状况有一个全局性把握，我们建议用户建立集中的平安技术管理体系，主要包括以下两面容：6.3.1分布式部署、分级管理、与集中监控 所谓分级管理，是从纵向上加强总部的集中监控能力，并保持各分部一定的灵活性，即在总部设立整个网络的平安管理中心，在各分部设立平安管理子控制中

33、心，由总部制定全局平安策略，制定能由计算机、路由器等设备实施的平安措施的规那么和约束，不能由计算机等自动实施的平安策略由平安管理制度等手段实施。分部在总部统一平安策略的指导下，实施符合本地特点的局部可执行平安策略，即分布在各端系统、中继系统和应用系统中的平安策略，从而做到牵一发而动全身的目的。分布式部署，指网络为降低风险，在整个公司所采用的平安措施与平安产品，能够在公司总部统一策略管理下，分布部署在各分部。集中监控，是指分部本地的平安策略与平安状况监控集中在分部平安控制中心，所有分部的平安策略与平安状况监控集中在总部平安管理中心。管理中心办公网管理中心分部管理中心管理控制台管理效劳器平安代理平

34、安代理管理效劳器管理控制台平安代理管理效劳器管理控制台6.3.2各管理层面的平安资源管理平台所谓平安资源管理平台是在横向上加强对平安产品及措施的管理与互动分析，以便于制定统一的平安策略与平安情况的深度分析，由于网络平安涉及加密、认证、防病毒、防黑客等多个层面，所以总部与分部的平安管理中心，应搭建一个管理平台，覆盖防黑客、病毒、私密系统、认证系统等多个层面，可以从时间上，掌握最近一个时段的活动状况，分析数据，支持更准确的分析及判断，进而进展统一的平安策略的管理及实施。我们认为通过纵向上的分级管理与横向上的平安管理平台的搭建，根本可以建立起一套平安技术管理体系，做到一面大的平安问题没有遗漏，另一面

35、便于总部的集中监控与管理。第七章 平安效劳支持体系对于网络平安这新兴的课题，由于其本身涉及的层面较为广泛，其复杂程度超出一般人的想象。网络平安作为支撑网络经济的一个独特而重要的基，需要强有力的效劳支持。要求每一位网络管理人员或网络技术人员在精通网络技术的同时又是一位合格的、全面的平安专家是不现实的。因此，我公司公司提供由网络平安专家、专业的网络平安工具和平安管理策略组成的多种可以选择的平安效劳。7.1定期平安评估 根据我公司政府风险分析模型，我公司将定期为网络提供平安性评估，我公司的风险分析模型是由我公司数名博士结合网络实际情况及目前国际先进平安标准体系总结出来，根据上文所提出的五个层次结合风

36、险点进展分析，而不仅仅使用某种系统或网络分析工具它只能发现某一层次问题，从整体上帮助网络管理者及时发现网络中的平安隐患，并提出切实可行的防措施。7.2平安日志分析 很多券商虽然安装各种网络平安设备，但苦于平安设备操作的复杂性及网管人员缺乏，不能充分发挥平安设备的作用，我公司可根据券商需要，在远程或现场协助分析日志文件，以帮助券商确定平安风险，减轻券商管理负担。7.3漏洞修补与平安配置鉴于系统很多问题是由网络设备、操作系统、应用程序漏洞和配置问题造成的，而用户缺乏专业人员且在平安面欠缺经历，故我公司可结合平安评估为券商提供漏洞修补及平安配置面的效劳。7.4常规与紧急响应对于用户由于遭受非法入侵、

37、恶意攻击等网络犯罪行为，需要专业人员协助恢复系统、追查肇事者的要求，我公司可以根据事件的紧急情况，提供常规或紧急响应的平安效劳。7.5基于角色的网络平安培训基于角色的网络平安培训是我公司信息技术XX新推出的一套完整的网络平安技术培训体系。该体系针对不同受训角色提供相应的培训容，涵盖了从领导决策层、技术管理层到一般网络使用者等各层次人员所需了解或掌握的网络平安知识和技术。在容的编排上，做到一样容不同讲解，没有网络平安知识的人员可以选择网络平安的根底知识，使他们能够从中理解网络平安的概念，从而明白网络平安的重要性；网络管理员及中层技术部门负责人可以选择网络攻防原理、病毒原理、UNIX、WINDOWS NT系统平安以及密码和认证等技术性课程，通过这些课程的培训，使他们能够更加系统地学习网络平安的知识，从而理论结合实际，对企业的网络进展全位、深层次的平安管理，使本单位的网络系统尽可能小地遭受攻击。对于企业的领导有着极其重要的意义，他们通过选择法律法规及网络平安管理课程培训，能够完整地承受全新的平安理念，从而主动地从全局的角度来审视本单位网络系统的整体平安性，同时也能够对网络平安解决案有深刻的认识。动态风险分析. .word.zl.