3.5.2 解决方案
1) 因特网网关处防毒软件:Trend InterScan VirusWall for Unix/Linux or NT
i) 针对企业自身网络
(a) 其中包括的模块:E-Mail viruswall、Web viruswall、FTP viruswall、 TVCS(Trend Virus Control System)agent。
(b) 作用:对从Internet上通过SMTP、HTTP、FTP标准协议传入的各类信息进行防毒处理。其中E-Mail viruswall还可对传出的信息进行防毒;FTP VirusWall还可用来保护内部的FTP服务器不受外部upload的信息的病毒侵扰(为实现该功能应将其安装在FTP服务器上或单独安装)。
(c) 安装建议:原则上在出现防火墙的网关处都应该部署VirusWall。InterScan VirusWall产品包中内含两个版本--标准版和CVP版。其中CVP 版是 专门针对与采用CVP协议的防火墙进行集成设置而设计的,InterScan完全遵从OPSEC规范(TREND公司是OPSEC联盟的成员之一)。如果企业部署的防火墙采用了CVP协议,建议使用InterScan的CVP版本。这样部署InterScan会更简便,并且能够更好地与防火墙协同工作。
(d) 购买使用许可证方式:按照子网内的客户工作站台数计算用户数量,按用户数计算总价格。
ii) 针对Internet接入的虚拟主机服务
(a) 如果虚拟主机放置于单独的子网内,电信企业可以考虑是否需要为其提供防毒服务。如果需要提供该服务,则应采用同上述类似的方式为该子网安装独立的InterScan VirusWall。
iii) 针对Internet接入的主机托管服务
(a) 由于各个客户的服务器单独放置,电信企业可以考虑为需要防毒的客户提供服务。原则上应把需要防毒的客户和不需要防毒的客户分在两个不同的子网内,对需要防毒的客户子网安装InterScan VirusWall。电信企业可以将其做为增值服务向客户收费或**提供。采用此种方式时,产品购买方式可与软件销售商进行商榷而定。
iv) 如果客户考虑Dedicated Server的模式,Trend公司可以为客户与软件产品一起提 供硬件平台。软硬件由Trend公司或集成商进行整体维护。
2) 企业内部网络防毒软件:Trend ServerProtect,Trend OfficeScan
i) ServerProtect for NT and NetWare
a) ServerProtect安装时分为三部分:普通服务器模块、信息分发服务器模块、管理控制台模块。
b) ServerProtect应安装在所有的NT和NetWare服务器上,其中的一台将做为信息分发服务器(Information Server),由它对所有服务器上的ServerProtect进行管理和控制。
c) 管理控制台模块可安装在win95/98/NT上,管理员可以在安装有控制台模块的机器上对整个ServerProtect系统进行中央管理。
ii) OfficeScan
d) OfficeScan是单机产品的企业版软件,整个软件只需安装在一台NT服务器上,客户机上的防毒模块可以自动地、透明地分发到各个客户机上,包括win3.x、win95/98、winNT/2000等平台的机器。所有客户机的防毒工作由服务器管理,管理员籍此可以实现对所有客户机防毒工作的集中管理和配置。
3) 防毒软件中央控制系统:Trend Virus Control System―― TVCS
i) 趋势科技的所有防毒产品都可以选装TVCS的客户端代理模块,一旦企业安装了TVCS系统,就可以实现不论何时何地都可以从某个WEB浏览器上对整个防毒系统进行管理和控制,为管理工作提供了极大的便利性。
4 吉通上海IDC信息安全策略解决方案
4.1 概述
惠普公司提供的安全服务符合安全体系结构的安全周期理论,安全周期是包含如下4个环节的循环过程:
评 估
策略
结构
实施
通过风险评估来客观地确定当前状况的安全状态,了解没有达到预期安全状态的地方,根据评估的结果以及相应的标准制定安全策略,明确安全的指导方针和各种行为的安全准则,在此基础上确定安全体系结构,并进行实施。由于网络状态以及其他安全因素的不断变化,安全评估需要定期进行,这就又启动了一个安全过程,上图所示的循环不断地重复,来保证安全在动态过程中的持续性和稳定性;就上述安全系统周期惠普公司提供了相应的安全服务。
安全服务包括:
l 风险分析服务:用于使企业能够在信息系统安全方面作出正确的投资决定和安全措施,此项服务分析企业当前的信息系统面临的风险,以及由此而带来的经济损失,从而达到作出正确安全措施和合理投资决策的目的。
l 系统与应用的安全加固:协助企业以及企业所属的客户对网络中的重要操作系统、应用程序进行安全配置加固。
l 安全策略配置服务:通过业务需求和相应的法律以及法规,协助企业编写安全策略,定义安全组织结构,以及相应的安全操作流程和人员分工。协助企业将其安全策略下发以保证安全策略在整体组织内具体实现。
l 安全意识规范化咨询服务:协助企业在企业内部实施安全教育,帮助企业员工建立良好的安全意识,推动企业安全策略的贯彻执行。
4.2 风险分析服务
鉴于吉通IDC当前的系统情况,建议首先采取惠普公司提供的风险分析服务,协助客户定位系统中的漏洞及其出现的可能性,从而估计对业务产生的影响。惠普公司的风险分析服务,使用标准的表格和向关键人员提供问卷的方式搜集基础数据,进行评估工作,以用于漏洞和业务影响分级,惠普公司的技术顾问将完成下列工作:
l 分析企业信息系统的资产状况,确定其分类,价值以及问题发生后对业务造成的影响。
l 分析从不同的角度企业信息系统面临的威胁。
l 分析在企业信息系统,安全策略和操作流程中的漏洞。
l 风险分析,确定关键信息系统资产的保护级别。
l 选择安全控制措施以降低风险到可以接受的水平。
4.3系统与应用的安全加固服务
系统与应用的安全是网络运行过程中最基本的安全要素,但往往客户在使用安装系统与应用软件时忽略了这一部分的安全或者没有充分考虑到它们的不安全因素,因此惠普的技术顾问通过专门的评估系统或风险评估工具对重要的操作系统及应用程序进行安全加固配置,把操作系统与应用程序的风险降到安全策略中定义的等级。惠普公司的技术顾问为客户完成以下工作:
l 获得风险评估的结果;
l 根据不同的操作系统及应用程序提出安全漏洞分析报告;
l 与客户相应的管理人员协商,进行系统与应用的漏洞配置及安全配置工作;
l 提供配置后的系统与应用的安全状况分析及相关报告。
4.4安全策略配置
4.4.1 安全策略创建
大多数信息系统在设计时,没有考虑到安全的问题。通过技术手段得到的安全性是有限的,必须得到相应的管理手段和操作程序的支持,才能得到真正的安全。如果对安全需求说明和设计过程进行整体考虑时,信息安全控制是相当经济和有效的。惠普公司的安全技术顾问采用国际通用的标准方法,对应用于用户网络的信息资产进行安全保护。该方法考虑到了客户的商业需求、安全规则、风险评估、法律以及企业特有的安全需求,保证与客户商业目标和法律要求相一致的安全策略。惠普公司的技术顾问为客户完成以下工作:
? 协助企业在高级管理层中确定安全策略项目负责人;
? 协助企业明确现有的信息安全策略及执行状态;
? 根据国际通用的标准和方法制定安全策略的大纲,并通过召开策略设计专题研讨会,确定每个安全项目的职能与责任;
? 创建策略文件并确定最终策略文件;
? 安排和准备组织结构、市场及执行计划专题讨论会;
? 向最高管理层介绍结果及完成的目标。
4.4.2安全策略实施
信息安全策略实施的目的是保证企业所有的行为与制定的安全策略一致。不同的任务会在策略实施过程中定义,该过程存在于所有的企业安全策略中。除策略之外,信息安全的所有要素都必须放置在企业的适当的位置。惠普公司的技术顾问为客户完成以下工作:
l 与企业合作组建安全策略实施小组,定义安全小组及其成员的责任、义务;
l 提供策略实施所需的资源计划;
l 召开安全策略培训专题研讨会;
l 为企业提供基于安全策略的安全调查问卷;
l 为调查结果做出评价,分析企业当前策略执行状态与应达到状态的差距,并形成文件,定义需要实施的内容;
l 信息小组监督安全策略实施内容在各个安全要素的执行情况;
l 与企业合作形成实施文档。
4.4.3 安全策略内容
依照国际通用的安全标准作为制定组织专用的指导原则的起点。通用的安全标准中的指导原则和控制措施并非全部适用。因此,还可能需要包括的其它控制措施,各控制措施之间相互参照很有用,有利于审计人员和业务伙伴检查是否符合安全指导原则。
安全策略的主要内容包括以下几个方面:
l 关于信息安全、风险评估、风险管理、安全策略的定义;
l 建立企业的安全组织,包括安全论
