天融信安全运维服务-白皮书

目录

1服务产生背景 (2)

2服务概述 (2)

3服务方式 (3)

3.1驻场值守方式 (3)

3.2定期巡检方式 (3)

3.3远程值守方式 (3)

3.4应急响应方式 (3)

4服务内容 (3)

4.1健康检查服务 (3)

4.2安全事件审计服务 (4)

4.3网络行为审计服务 (4)

4.4运维监控与分析服务 (4)

4.5敏感问题预警与告警服务 (5)

4.6终端安全监控与策略优化服务 (5)

4.7等级保护合规性运维服务 (5)

4.8应急响应服务 (5)

4.9安全通告、漏洞分析服务 (6)

4.10知识库维护服务 (6)

4.11服务器优化服务 (6)

4.12数据库维护服务 (6)

4.13功能性定制服务 (7)

4.13.1报表定制服务 (7)

4.13.2关联分析规则定制开发 (7)

4.13.3设备解析定制服务 (7)

4.13.4工单流程定制服务 (7)

4.14产品升级服务 (7)

4.15保修及延保服务 (8)

5服务价值 (9)

6天融信优势 (9)

1 服务产生背景

国际著名咨询调查机构Gartner集团的调查发现，在经常出现的问题中，源自技术或产品(包括硬件、软件、网络、电力失常及天灾等)方面的问题其实只占20%，而管理流程失误、人员疏失问题占80%。经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。因此，用户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全运维服务，逐步构建动态、完整、高效的用户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高用户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。

用户安全运维中面临问题：

➢信息管理部门的人员有限，员工的精力有限

➢安全管理制度体系不完善，安全责任制落实不到位

➢安全技术能力方面或多或少的存在一定的限制

➢安全产品众多，维护、升级不及时

➢海量安全事件无法及时处理

➢异常操作行为无法及时预警

➢处理大量安全事件经验不足

➢外界新技术无法更快更好的应用到内网

正是针对用户在运维管理中存在的弊端，天融信依靠长期从事信息安全运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL（最佳实践指导）、ISO/IEC 27000系列服务标准及《北京市电子政务IT运维服务支撑系统规范》等相关标准，建立了一整套信息安全运维管理的服务内容。

2 服务概述

天融信安全运维服务，是以“为客户或服务干系人提供服务交付和价值”为目标，以客户信息安全的总体框架为基础、以安全策略为指导，结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，为军工、政府、金融、企业等客户提供安全监控、应急处置、分析决策等运维保障服务。

3 服务方式

3.1 驻场值守方式

安全运维团队根据合同约定，安全运维工程师在客户现场上班，遵守客户作息时间，负责或配合完成相关的服务内容；根据具体的需求在规定的时间内提供相应的服务报告：包括现场服务报告以及定期的服务总结报告等。

3.2 定期巡检方式

安全运维团队根据事先与用户约定的服务方式（现场检查，远程检查）、检查频次和检查内容，在保证系统安全的前提下，上门为用户提供巡检服务。

3.3 远程值守方式

远程值守方式是指用户通过电话、E-mail、QQ等方式向天融信公司寻求技术服务支持时，安全运维团队利用电话、E-mail和远程协作控制等工具为用户提供安全服务。

3.4 应急响应方式

应急响应方式是指用户在网络安全事件发生后,安全运维团队对用户问题进行应急响应处理，并按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施完成运维服务。

4 服务内容

4.1 健康检查服务

为了确保用户安全系统长期、稳定的工作，最大限度的降低系统的运行故障及延长系统设备的使用寿命，安全运维团队提供安全设备、业务系统的健康检查服务，可以根据事先与用户约定的服务方式（现场检查，远程检查）、检查频次和检查内容，在保证系统安全的前提下采集系统配置、流量信息、系统状态等安全信息，依照标准化流程，定期对用户的系统进行检查，了解系统的整体工作状态。由被动服务变主动服务，通过健康检查服务排除故障隐患，降低故障率。安全运维团队为用户提供详细、专业的运维服务报告。来帮助用户管理日益复杂的系统和应用平台，以减轻用户的压力，使用户公司以最优的性价比得到最有效的网络安全管理。

4.2 安全事件审计服务

随着网络规模的增长，用户网络中防火墙、防病毒软件、IDS、VPN等网络安全设备不断增加，庞大的日志数据令用户无从下手。随着网络设备越来越多，网络攻击手段越来越多样，攻击方法越来越隐蔽，单纯依靠某一种安全设备的事件来对网络安全情况进行评估和反应是远远不够的。安全运维服务团队提供对各类系统产生的安全日志实现全面、有效的集中收集、管理、审计服务。

4.3 网络行为审计服务

网络行为审计服务深入了解网络用户、网络设备和网络应用的历史和实时行为，基于用户使用网络的实际行为来优化和调整网络，实现了真正以用户为中心的行为分析，能够对典型的网络行为和用户行为进行实时的网络服务和网络管理。网络行为审计服务通过收集并分析用户网络行为数据，从而发现违反安全策略的行为。即当发生安全事故或者发生违反安全策略的行为之后，通过检查、分析、比较用户网络行为数据，从中发现违反安全策略行为的记录。该服务为用户完整地记录各种信息的起始地址和使用者，以利于事后追踪，为调查取证提供第一手的资料。

4.4 运维监控与分析服务

运维监控与分析服务以资产管理为基础，以风险管理为核心，以事件管理为主线，通过深度数据挖掘、事件关联等技术，辅以有效的安全管理与监控、实现对安全问题的统一监控与管理，对各类安全事件的集中管理和智能分析，最终实现对用户安全风险态势的统一监控分析和预警处理。

通过安全运维工程师定期的分析，从海量的安全事件中提取出支持全局决策的信息。帮忙用户整理、分析网络中各类安全事件，量化安全问题，梳理运维流程。