信息安全處理方案設計在第2章里，我們分別從網絡、應用、終端及管理四個方面對企業信息系統安全建設進行了風險及需求分析。同時依據第3章安全方案設計標準，我們將企業網絡安全建設分為以下多個方面進行了具體方案設計：邊界安全處理方案；內網安全處理方案；應用安全處理方案；安全管了處理方案；安全服務處理方案。下面我們分別針對這5個安全處理方案進行具體描述。邊界安全處理方案在第2章網絡安全風險及需求分析中，我們關鍵從外部網絡連接及內部網絡運行之間進行了風險分析。邊界安全處理方案就是針對和外部網絡連接處安全方面。網絡是用戶業務和數據通信紐帶、橋梁，網絡關鍵功效就是為用戶業務和數據通信提供可靠、滿足傳輸服務質量傳輸通道。就企業網絡系統來講，網絡邊界安全負責保護和檢測進出網絡流量；其次，對網絡中部分關鍵子系統，其邊界安全考慮是進出系統網絡流量保護和控制。針對企業網絡系統，來自外部互聯網非安全行為和原因包含：未經授權網絡訪問身份（網絡地址）欺騙黑客攻擊病毒感染針對以上風險分析及需求總結，我們提議在網絡邊界處設置防火墻系統、安全網關及遠程訪問系統等來完善企業邊界網絡安全保護。防火墻系統為在企業網絡和外界網絡連接處保障安全，我們提議配置防火墻系統。將防火墻放置在網絡聯結處，這么能夠經過以下方法保護網絡：為防火墻配置合適網絡訪問規則，能夠預防來自外部網絡對內網未經授權訪問；預防源地址欺騙，使得外部黑客不可能將本身偽裝成系統內部人員，而對網絡提議攻擊；經過對網絡流量流量模式進行整型和服務質量確保方法，確保網絡應用可用性和可靠性；能夠依據時間定義防火墻安全規則，滿足網絡在不一樣時間有不一樣安全需求現實需要；提供用戶認證機制，使網絡訪問規則和用戶直接聯絡起來，安全更為有效和針對性；對網絡攻擊進行檢測，和防火墻內置IDS功效共同組建一個多級網絡檢測體系。現在新型狀態檢測防火墻有效處理并改善了傳統防火墻產品在性能及功效上存在缺點，狀態檢測防火墻含有更高安全性、系統穩定性、愈加顯著功效特征和優異網絡性能，同時含有廣泛適應能力。在不損失網絡性能同時，能夠實現網絡安全策略正確制訂和實施，同時有效地抵御來自非可信任網絡攻擊，并含有對防火墻系統安全性能診療功效。其內置入侵檢測系統，能夠自動識別黑客入侵，并對其采取確切響應方法，有效保護網絡安全，同時使防火墻系統含有無可匹敵安全穩定性。我們能夠依據業務模式及具體網絡結構方法，不僅僅在內部網絡和外部網絡之間，同時在內部網絡和內部網絡之間和各子業務系統之間，考慮采取防火墻設備進行邏輯隔離，控制來自內外網絡用戶對關鍵業務系統訪問。防火墻技術布署說明（依據具體網絡情況描述）產品選型及功效介紹（依據具體產品描述）安全網關因為考慮到企業和互聯網（Internet）進行連接，所以我們提議在系統網絡和Internet接入處配置“安全網關”，布署位置靈活，可放置在接入路由器和防火墻之間，也可布署在防火墻和內部網絡之間。伴隨互聯網飛速發展和應用，計算機病毒已將互聯網作為其一個關鍵傳輸路徑。其中利用電子郵件傳輸病毒是最直接方法，統計顯示郵件傳輸方法占全部病毒傳輸90%以上。在過去一段時間內所發生幾起影響較大計算機病毒事件中，以Internet為關鍵傳輸路徑病毒占大多數，如Nimda、CodeRed等，和近幾年爆發Sobig.F、Swen、沖擊波、振蕩波等等。同時，因為病毒泛濫，垃圾郵件也越來越成為大家頭痛問題。依據國際領導市場調查機構RadicatiGroup統計，現在全部郵件中，超出50％是垃圾郵件，也就是說天天在國際上有超出150億封垃圾郵件被發送出去，使各類企業每十二個月遭受到200億美元以上因為勞動生產率下降及技術支出帶來損失，到垃圾郵件數量將上升到驚人2萬億封十二個月。經過上述風險及需求分析，在Internet接入處對病毒、垃圾郵件及惡意代碼進行控制，是實現接入安全最好方案。經過配置“安全網關”，我們能夠實現：確保全部關鍵Internet協議安全，包含HTTP、FTP、SMTP、POP3等信息在進入內部網絡前由安全網關進行查殺毒；過濾全部來自互聯網垃圾郵件；經過SMTP認證確保郵件服務器不會被黑客看成攻擊她人跳板等。產品選型及功效描述安全網關目標是在網絡邊界或Internet網關處提供全方面病毒防護，而該病毒防護設備是即插即用，不需要改變任何Internet設置，并對全部應用及服務透明。經過全方面阻截已知及未知病毒和防垃圾郵件功效和內容過濾功效達成針對企業網絡環境全方面防護。安全網關是一款高度可配置及提供負載均衡產品，為從中型到大型企業提供全方面處理方案，并對網絡流量透明。關鍵模塊防病毒模塊

能夠掃描最常見6種協議，阻止未知病毒和計算機蠕蟲進入企業網絡防垃圾模塊

安全網關經過其反垃圾郵件模塊檢驗進入企業全部郵件。信息被掃描而且被劃分成垃圾或非垃圾，在未被請求郵件抵達用戶信箱之前進行阻斷或修改這些信息專題內容過濾模塊

網頁過濾模塊許可管理員限制因特網訪問。能夠定義不受歡迎內容目錄，授權和非授權網頁。許可管理員控制企業網絡資源，而且阻斷非法，黃色或暴力網站內容，或只是不受歡迎內容進入企業。能夠建立VIP用戶列表，這些用戶不需應用上述限制關鍵特點：易于使用：安全網關是現在世面上最易于安裝及使用硬件網關產品，作為網絡信息傳輸橋梁而非需要重新路由網絡流量。安全：安全網關掃描6種網絡協議，而其它硬件網關產品僅能夠掃描2到4種網絡協議。在安全網關安裝在企業邊界上時，它實時掃描全部收入及發出郵件及其它網絡傳輸信息，而且含有防垃圾郵件功效和內容過濾功效表現性能：安全網關最大性能是能夠取得完全掃描及病毒防護。安全網關硬件及軟件性能經過特殊優化處理，能夠同時掃描6種網絡協議，而且完全對企業網絡透明。擴展性：安全網關專門針對自動負載均衡設計，使增加掃描速度及增加網絡防護能夠隨時達成。并可支持到百兆。功效及優勢：性能高度優化病毒防護整合最新硬件及軟件技術，提供超乎平常優異性能，能夠在一個小時內掃描上萬封郵件，完全對企業網絡透明。性能高度優化垃圾郵件防護整合最新硬件及軟件技術，提供超乎平常優異性能，能夠在一個小時內掃描上萬封郵件，完全對企業網絡透明。拓展性及負載均衡因為安全網關高度可拓展性，安全網關適合中到大型企業，能夠依據網絡通訊流量調整掃描能力。負載均衡是完全自動，許可工作負載量能夠自動在不一樣工作單元間進行均衡，良好地保障了產品可拓展性及對企業邊界全方面防護。易于安裝及配置根據即插即用設計思緒，能夠很簡便地安裝在企業網絡中，不需要重新配置或重新路由Internet流量。一旦安裝完成，就開始不知疲憊地掃描全部網絡流量，保障網絡100％安全。保護全部廣泛使用網絡協議保護全部可能Internet相關威脅，完全掃描全部常見Internet協議，包含:HTTP,FTP,SMTP,POP3,IMAP,NNTP.內容過濾內容過濾預防未知病毒及蠕蟲進入企業網絡，大幅降低整體網絡資源占用及帶寬，預防可能惡意代碼進入到企業網絡。遠程管理能夠經過一個簡練、啟發式WEB管理控制臺遠程管理，讓企業網絡管理員經過企業內部任何一臺電腦管理該產品。每日自動病毒更新能夠每日自動病毒更新，意味著安全網關一直能夠防護全部最新病毒。具體匯報及可用戶化報警安全網關提供完整掃描匯報，并能夠用戶化在企業內部網絡病毒報警機制。實時系統監控安全網關提供網絡管理員對網絡病毒行為及網絡流量實時監控。遠程訪問安全依據前面風險及需求分析可知，企業在經過Internet互連及遠程訪問方面，關鍵存在著以下兩種類型：企業總部和分支機構之間遠程訪問及互連；企業和合作伙伴之間遠程訪問及互連。在總部和分支之間互連，通常要求將分支機構網絡接入到總部網絡。而和合作伙伴互連通常情況下合作伙伴訪問企業固定一些應用系統。同時，遠程應用中還存在著一個情況，即用戶出差或移動狀態中需要在遠程訪問安全方面，我們分別針對這兩類應用類型設計了對應VPN遠程訪問系統。分支和總部連接現在，因為VPN（虛擬專網）比租用專線愈加廉價、靈活，所以有越來越多企業采取VPN，連接在家工作和出差在外職員，和替換連接分企業和合作伙伴標準廣域網。VPN建在互聯網公共網絡架構上，經過“隧道”協議，在發端加密數據、在收端解密數據，以確保數據私密性。如在企業分部和企業總部之間，及企業職員和企業關鍵數據之間，全部可建立起端到端邏輯隧道(Tunnel)，所謂“隧道”是指其中所傳輸數據全部經過特殊包裝和加密處理，從而能和同一物理鏈路中其它數據區分開來，避免被不法用戶所竊取，只有在隧道始末兩端才可能添加和去除這些特殊包裝以得到真實數據。在經過公共網絡(如Internet)傳輸業務數據時，這項技術尤為必需。現在大多數遠程安全訪問處理方案是采取IPSecVPN方法，應用最廣泛組網結構是在站點到站點VPN組網方法。IPSec是網絡層VPN技術，表示它獨立于應用程序。IPSec以自己封包封裝原始IP信息，所以可隱藏全部應用協議信息。一旦IPSec建立加密隧道后，就能夠實現多種類型一對多連接，如Web、電子郵件、文件傳輸、VoIP等連接。而且，每個傳輸肯定對應到VPN網關以后相關服務器上。在設計上，IPSecVPN是一個基礎設施性質安全技術。這類VPN真正價值在于，它們盡可能提升IP環境安全性。IPSecVPN誘人之處包含，它采取了集中式安全和策略管理部件，從而大大緩解了維護需求。應用系統遠程訪問信息技術發展到現在，Web成為標準平臺已勢不可擋，越來越多企業開始將ERP、CRM、SCM移植到Web上。SSLVPN將是Web應用熱潮直接收益者，它被認為是實現遠程安全訪問Web應用最好手段。很多情況下，如采取SSLVPN能夠就是降低成本。即使購置軟件或硬件費用不一定廉價，但布署SSLVPN很廉價。安裝了這類軟件或硬件，使用者基礎上就不需要IT部門支持了，只要從其PC機上瀏覽器向企業網注冊即可。SSL連接也更穩定，據Infonetics最近發表匯報表明，SSL將不停取得吸引力。到，74%移動職員將依靠VPN（比增加15%），估計增加率關鍵來自SSL，這種IPSec以外方案避開了布署及管理必需用戶軟件復雜性和人力需求。最終用戶避免了攜帶電腦，經過和因特網連接任何設備就能取得訪問，SSL更輕易滿足用戶對移動連接需求。用戶經過和因特網連接任何設備實現連接，并借助于SSL隧道取得安全訪問。即使這需要在企業防火墻后面增添硬件，但企業只要管理一個設備，無須維護、升級及配置用戶軟件。SSLVPN將遠程安全接入延伸到IPSecVPN擴展不到地方，使更多職員，在更多地方，使用更多設備，安全訪問企業網絡資源，同時降低了布署和支持費用。SSLVPN正在成為遠程接入事實標準。SSLVPN能夠在任何地點，利用任何設備，連接到對應網絡資源上。SSLVPN通信運行在TCP/UDP協議上，含有穿越防火墻能力。這種能力使SSLVPN能夠從一家用戶網絡代理防火墻背后安全訪問另一家用戶網絡中資源。IPSecVPN通常不能支持復雜網絡，這是因為它們需要克服穿越防火墻、IP地址沖突等困難。鑒于IPSec用戶機存在問題，IPSecVPN實際上只適適用于易于管理或位置固定設備。SSLVPN是基于應用VPN，基于應用層上連接意味著（和IPSecVPN比較），SSLVPN更輕易提供細粒度遠程訪問（即能夠對用戶權限和能夠訪問資源、服務、文件進行愈加細致控制，這是IPSecVPN難以做到）。IPSecVPN和SSLVPN將在網絡組網中發揮各自優勢。在企業遠程訪問安全中，因為分別存在著這兩種情況，所以我們提議在方案中采取IPSec和SSLVPN相結合布署方法：總部和分支機構之間需要經過現有Internet進行互連，提供分支機構對總部網絡訪問。所以，采取基于IPSec站點到站點VPN接入是比較理想接入方法。出差用戶及遠程移動用戶訪問企業內部應用、及合作伙伴訪問一些特定業務應用系統，采取SSLVPN方法更能有效滿足應用需求。產品選型及功效說明（依據具體產品功效描述）入侵檢測系統依據之前安全風險和安全需求分析，在企業網絡中，因為直接接入Internet及內部網絡用戶眾多，可能面臨風險及威脅有：拒絕服務攻擊（DoS）：經過消耗網絡帶寬資源或網絡設備處理能力資源，使正常服務和數據通信對網絡傳輸質量要求得不到滿足。尼姆達（Nimda）病毒沖擊波（Blaster,Nachi）病毒就是很經典例子。信息竊聽資源濫用：內部人員訪問不妥站點、玩網絡游戲，浪費網絡資源，使正常服務和數據通信得不到保障。管理失控：經過竊取網絡設備管理權而使網絡失去安全性所以，我們在方案中提議在網絡中布署入侵檢測系統來入侵及濫用行為進行檢測及審計。經過在網絡中布署入侵檢測系統，能夠在安全保障上做到：檢測和發覺針對系統中網絡攻擊行為，如DoS攻擊。對這些攻擊行為能夠采取統計、報警、主動阻斷等動作，方便事后分析和行為追蹤。經過定義嚴禁訪問網站，限制內部人員對不良站點訪問。對部分惡意網絡訪問行為能夠先統計，后回放，經過這種真實地再現方法更正確了解攻擊意圖和模式，為未來更有效地防范類似攻擊提供經驗“入侵檢測系統”能夠提供強大網絡行為審計能力，讓網絡安全管理員跟蹤用戶（包含黑客）、應用程序等對網絡使用情況，幫助她們改善網絡計劃。對“入侵檢測系統”使用和使用人員管理一定要有專門制度。IDS最關鍵功效是對網絡入侵行為檢測，它包含一般入侵探測和服務拒絕型攻擊探測引擎，能夠自動識別多種入侵模式，在對網絡數據進行分析時和這些模式進行匹配，一旦發覺一些入侵企圖，就會進行報警。IDS也支持基于網絡異常情況檢測方法。IDS含有強大碎片重組功效，能夠抵御多種高級入侵方法。為了跟蹤最新入侵方法和網絡漏洞，IDS提供大容量入侵特征庫和方便升級方法，每一個漏洞全部提供了具體說明和處理方法，而且給出了相關Bugtraq、CVE和CAI等國際標準編號。IDS能夠基于時間、地點、用戶賬戶和協議類型、攻擊類型等等制訂安全策略。經過對安全策略調整，用戶能夠很方便地將IDS自定義成為符合自己組織需要入侵檢測系統。而且，經過IDS提供正則表示式，用戶能夠方便地對入侵特征庫進行擴充，添加需要入侵特征，而且能夠對入侵響應過程進行自定義。比如用戶需要在發覺某種特定類型攻擊方法時候開啟一段自己編寫程序以完成某項功效時候，就能夠利用IDS提供接口靈活而方便地進行配置完成。在抵御拒絕服務攻擊功效上，IDS不僅僅能夠進行攻擊報警，而且能夠主動切斷攻擊。由此產生大量日志能夠經過IDS含有強大工作區切換功效進行存放和轉發，大大提升了網絡入侵檢測系統本身抗攻擊能力。為了深入提升IDS抗攻擊能力，IDS還支持Stealth模式配置，就是無IP設置。這么攻擊者就無法訪問運行IDS安全工作站，也就無法對IDS進行直接攻擊。產品布署說明（依據具體網絡情況描述）產品選型及功效描述（依據具體產品描述）內網安全處理方案面對網絡信息安全多種風險，我們在邊界及網關處安全處理方案處理了很多安全問題。比如：在網絡邊界，經過防火墻對網絡連接和訪問正當性進行控制，經過網關過濾設備對數據流非法內容進行控制；在網絡傳輸上，經過入侵檢測監視黑客攻擊和非法網絡活動等。但針對于內部網絡我們仍然面臨著很多安全問題。傳統上，我們經過漏洞掃描發覺系統缺點；在主機設備，經過主機加固加強主機防護能力，經過防病毒、反間諜軟件預防惡意代碼等。然而伴隨網絡發展，病毒及惡意代碼本身技術越來越優異，其防護也越來越復雜。而且伴隨計算機技術及應用普及，桌面用戶行為也越來越超出網管員管理能力范圍。所以，在考慮內部網絡安全時，假如有效管理網絡及終端將是我們考慮關鍵問題。在此我們經過以下三種手段來完成基于終端安全管理：經過布署網絡防病毒系統來完善企業整體防病毒及惡意威脅能力；經過漏洞掃描或風險評定工具來發展漏洞、脆弱性及威脅，并經過補丁分發系統對漏洞及脆弱性進行立即矯正及補充；經過終端安全管理系統對桌面設備及用戶進行安全管理及規范，有效確保終端安全。企業防病毒系統現在企業網絡系統中并沒有一套完整防病毒策略和技術方案，工作站安裝防病毒軟件多種多樣，甚至有些服務器和工作站沒有安裝防病毒軟件，部分工作上使用防病毒軟件病毒特征代碼沒有立即更新，沒有對防病毒軟件進行統一管理。鑒于防病毒關鍵性和資源服務器系統網絡目前情況，需要建立一套完整防病毒系統，把病毒對網絡威脅降到最低。現在企業整體防病毒處理方案均已比較成熟。在此我們針對傳統企業防病毒系統布署強調以下幾點：全方面性：實施網絡防毒系統時，應該對網絡內全部可能作為病毒借居、傳輸及受感染計算機進行有效防護。避免有“遺忘角落”造成病毒傳輸源泉；功效及易用性：首先需要對多種病毒進行有效殺、防；其次，也要強調網絡防毒在實施、操作，維護和管理中簡練、方便和高效，最大程度地減輕使用人員和維護人員工作量；資源占用：防毒系統和企業現行計算機系統兼容性、防毒軟件運行效率及占用資源等是企業防病毒系統必需考慮問題。布署時考慮到企業現有計算環境及應用平臺，是否和需求資源相匹配；管理體系：為了確保防病毒系統一致性、完整性和自升級能力，還必需要有一個完善病毒防護管理體系，負責病毒軟件自動分發、自動升級、集中配置和管理、統一事件和告警處理、確保整個企業范圍內病毒防護體系一致性和完整性。防病毒策略：這個是企業防病毒系統最輕易被忽略地方。系統必需明確地要求保護等級和所需采取對策，并制訂系統防病毒策略和布署多層防御戰略，服務器防病毒、個人桌面計算機防病毒和全部防病毒產品統一管理，不要讓網絡系統中存在“木桶效應”。一個良好防病毒處理方案需要做到“層層防護，四處設防”，全方位多層次布署防病毒體系。我們為企業網絡中提供一個穩定高效、技術一流、方便管理、服務周全病毒防護處理方案，滿足網絡系統對病毒防護系統設計業務需求，確保網絡系統能有效抵御多種病毒和惡意程序攻擊。在企業網絡中建立病毒防護管理服務器，全部防毒對象（工作站和服務器）均采取安裝代理方法來實現集中控管。防毒服務器全方面控制防毒代理運行、升級和刪除等權限。能夠經過防毒服務器自動分發防毒策略和防病毒升級特征庫，而整個防毒體系只需要網管和網絡安全管理中心防毒服務器去Internet自動獲取病毒庫升級就能夠自動完成全網升級工作。極大地提升了防毒工作效率。而且這種二層架構網絡防毒體系含有很好擴展性。產品選型及功效描述NOD32企業級防病毒安全套裝是一個高性能和穩定防病毒處理方案，它方便了對網絡中全部計算機保護配置和更新，這些計算機包含：工作站，文件服務器，Exchange和Domino郵件服務器，SMTP網關和邊界服務器。它不僅抵御病毒，蠕蟲和特洛依木馬，還防護新英特網攻擊，如垃圾郵件，間諜程序，撥號器，黑客工具和惡作劇，和針對系統漏洞，并提供保護阻止安全冒險。入侵防護采取了新一代防護技術，它比傳統檢測系統愈加智能化，能在第一時間發覺新威脅，并阻斷企圖越過傳統防病毒軟件未知病毒攻擊，不管該未知病毒是以下列何種方法傳輸：外圍設備、局域網共享資源、電子郵件E-mail、互聯網。入侵防護是市場上唯一一款集已知和未知威脅防護于一身入侵防護軟件，能最大程度地抵御病毒、木馬、蠕蟲等網絡威脅。入侵防護企業版關鍵特征包含：發覺并清除未知病毒：結合了多個惡意代碼程序檢測及阻斷技術，能有效發覺并清除未知病毒。緩沖區溢出防護：不僅能抵御已知安全漏洞攻擊，而且能防護未知攻擊。能在第一時間保護系統內緩沖區溢出漏洞不會被惡意代碼利用作為攻擊手段，即使還沒有任何針對該漏洞資料和補丁程序。防護性阻斷感染：能夠在網絡層預防病毒和蠕蟲在企業網絡中傳輸。安全政策定義：經過建立安全政策來控制計算機上運行程序可實施操作，使網管人員能對企業網絡內全部計算機進行整體控制管理、定義并干預正當及被嚴禁操作。新一代防護技術，能抵御全部類型互聯網威脅：包含病毒、木馬、蠕蟲等。無可比擬集中式布署：能不受地域限制，對企業組織中全部工作站進行用戶端分發和集中管理。占用資源最小化：是在低帶寬環境下保護筆記本電腦理想方案。基于通用標準技術：優化網絡內防病毒更新速度。友好直觀用戶界面：避免混淆和誤操作。終端安全管理在第2章里我們針對終端安全進行了具體風險及需求分析。終端安全是我們整體處理方案里不可或缺部分，因為終端安全是我們日常安全工作是最關鍵也是需要關注最多部分。所以對應終端安全處理方案必需做到：統一、靈活安全策略全部安全管理全部是經過策略集定制和分發來完成，支持集中安全管理，便于整個系統統一管理。安全策略分為用戶策略和全局策略兩類。通常情況下，用戶終端工作在網絡環境下，接收在線環境下用戶策略控制；對于移動辦公筆記本電腦等移動終端，接收脫機情況下全局策略保護。管理員可依據組織機構劃分管理權限，不一樣管理者含有不一樣權限和管轄范圍，支持系統清楚職權劃分。安全策略能夠分組分類，不一樣策略組所起控制作用和使用范圍也不一樣。為了簡化策略管理，我們將用戶根據角色來管理；對不一樣角色實施不一樣安全策略。策略包含多個層次：物理和環境、鏈路和操作、網絡、設備、系統、應用、數據、人員等各個層面安全策略制訂、布署和實施，幫助用戶有效實現網絡安全建設。策略層次以下圖所表示：多層面、全方位保護系統保護覆蓋了“系統內核-系統設備-應用程序”三個層面，提供了全方位保護。在系統內核層面，可自動、透明地幫助用戶加固操作系統、降低IT資源風險。終端用戶勿需含有專業安全知識便可將自己計算機終端加固到教授級程度，從而將精力關注于關鍵業務。在系統設備層面，嚴格限定用戶對硬件設備（比如：磁盤驅動器、CD-ROM、USB設備、打印機、網卡等）使用權限和網絡傳輸控制，確保該主機遭受攻擊或提議對外攻擊可能性全部極大降低，同時也預防數據信息泄露。在應用程序層面，嚴格限定用戶在指定電腦上正當行為和嚴禁行為，確保了用戶只能在正當范圍內正常使用電腦，避免了用戶對資源濫用，也避免了由此造成維護成本升高。智能化分析和異常檢測機制系統經過特有環境因子和用戶因子生成報警因子，并結合策略因子和歷史數據，共同輸入到決議引擎中；該引擎采取專有安全算法，綜合分析判定得出對某個事件是否報警。這么就避免了大量誤報給管理員帶來工作量。安全和管理相結合計算機終端生命周期管理過程中，既包含到安全保護，也涵蓋終端管理，這兩項工作內容全部服務于業務目標，目標是確保IT業務和辦公正常運行和健康發展。安全和管理完善結合，正是終端管理系統設計關鍵思想。產品選型和功效介紹IP-GUARD終端安全管理系統是為了應對現在終端面臨眾多安全威脅而設計一個安全管理產品，也是實現ELM策略關鍵技術手段。提供了對終端生命周期管理（ELM）策略全方面技術支撐，涵蓋了資產管理、終端保護、應用監管、審計分析等功效模塊。以計算機終端為關鍵，經過完整、靈活、適應用戶需求方法，提供終端安全處理方案。KSMS面向企業級用戶，它布署在網絡中每一臺計算機終端，實現對終端全方面保護，而且強調對網絡終端統一控制管理。象一個時刻守衛在用戶身邊安全管理員，提供有效安全保護，確保計算機安全使用和企業級統一管理。系統體系和結構由三個部分組成：策略服務器（KPS）、管理控制臺（KMC）、安全用戶端（KSA）。分布式體系結構系統采取分布式體系結構，布署在網絡內全部需要保護計算機終端，經過集中管理中心進行控制管理。KSMS提供靈活布署能力，含有良好擴展性。KSMS體系結構以下圖所表示：在上圖中，安全管理中心包含策略服務器、管理控制臺、日志和審計數據庫。其中，日志和審計數據庫可采取獨立服務器，也可安裝布署在管理控制臺。需要保護管理計算機終端包含企業網絡環境中工作多種PC、筆記本電腦、PC服務器等。接收保護和管理終端節點會產生多種安全審計信息，可集中傳輸并存放到日志審計數據庫，管理控制臺能夠訪問和管理審計信息并進行統計分析。系統組成策略服務器策略服務器保留并分發安全策略。KPS負責系統認證授權、策略管理后臺支持，負責整個系統策略公布和保留。支持分布式布署，能夠適適用于大規模網絡環境應用。管理控制臺KSMS管理控制臺實現系統集中管理控制。負責用戶終端管理、策略定義和應用、系統設置、日志查詢和報表分析，為系統管理提供統一平臺，并支持用戶分權管理。安全用戶端安全用戶端接收控制臺管理，實施安全策略。KSA布署在需要保護用戶PC和服務器上，保護計算機終端安全使用、約束用戶操作行為，系統將多種安全信息和日志傳輸到控制臺供管理員統一分析處理。關鍵功效資產管理企業級資產管理功效，幫助管理員和信息主管充足掌握企業范圍內IT信息資產情況，為加強IT管理提供依據。設備管理管理員可充足掌握分散計算機終端硬件配置及其變更情況（比如主板、CPU、內存、硬盤等），統籌管理，避免資產流失。軟件管理管理員可立即掌握用戶端安裝軟件及改變情況（比如操作系統、版本、補丁、所安裝應用軟件等），便于監督管理。用戶管理職員用戶是企業資產關鍵組成部分。提供基于按組織劃分用戶角色管理，管理員可在線查詢用戶終端操作系統、進程、設備情況、性能狀態等多個信息。資產識別對非法終端、設備資產真實性識別可經過綁定IP、MAC、用戶方法實現。終端保護KSMS企業級強制安全策略，提供基礎架構保護和資產保護功效，經過多個手段全方位保護計算機終端安全使用。基礎架構保護關鍵包含：終端網絡訪問控制、惡意程序綜合防范；資產保護關鍵包含：設備使用限制、數據文件保護。終端網絡訪問控制經過IP地址、IP/TCP/UDP/ICMP/IGMP協議、服務端口等控制，預防遭受外來黑客攻擊，而且預防內部終端對外（或內部網絡其它終端）提議攻擊。惡意程序綜合防范采取多個方法綜合防范惡意程序破壞。經過端口控制，可阻止特定蠕蟲攻擊；經過限制程序實施，控制未知病毒發作；經過注冊表保護，預防惡意代碼篡改；經過補丁管理，可立即通知補丁信息，填補漏洞；經過和KILL及多種主流防病毒軟件聯動，集成實現防病毒管理。設備使用限制經過限制串口/并口、軟驅/光驅、USB磁盤、多種形式打印機、PCMCIA卡、紅外、1394接口、多網卡/無線網卡、Modem/ADSL等設備使用，有效預防設備濫用、一機多網使用、信息經過設備泄露現象發生，同時為加強IT制度管理提供技術保障。數據文件保護經過數據訪問權限控制等方法，保護數據、預防破壞和信息泄露。應用監管經過多個方法對計算機終端應用情況和用戶行為進行監控管理。非法外聯控制經過網絡設備限制、網絡程序/連接控制等手段，限制終端非法外聯，對職員隨意訪問外部網絡行為進行管理，同時避免從不安全網絡引入安全風險。另外，還可經過聯動方法，控制終端必需經過統一認證才能經過濾網關連接到外部網絡。網絡準入控制可經過檢測發覺并預防非法終端（非KSMS用戶端）接入網絡，以此保護企業網絡資源；另外，還可和交換機聯動，經過802.1x協議方法將非法終端隔離在網絡之外。程序限制可限制網絡程序，對QQ、MSN、網絡沖浪等行為進行管理；對游戲及業務無關行為進行技術限制；確保工作效率。網頁過濾預置上百萬條分類URL網站（暴力、色情、賭博、邪教等）黑名單，可完全嚴禁訪問；另外可經過自定義黑白名單、關鍵字方法過濾非法網站和網頁，限制對嚴禁網頁訪問。遠程維護當終端計算機用戶需要現場技術支持時，管理員可經過遠程幫助功效幫助用戶處理技術問題，在特權許可情況下對用戶端進行遠程維護和屏幕監控，大幅提升工作效率。審計分析提供系統日志、認證日志、報警日志等等多個水晶報表格式統計分析匯報，為管理員提供安全分析依據。日志劃分為7個等級（緊急、警報、嚴重、錯誤、警告、通知、提醒），可選擇多個告警方法（聲音、郵件、Windows消息等）。應用安全處理方案在第2章里，我們對應用安全風險及需求進行了具體分析和定義。在我們整體處理方案中從以下兩個方面來完善應用安全處理方案。身份認證安全管了處理方案在第2章安全管理風險及需求分析中，我們關鍵從技術層面和行政層面兩個方面來進行了敘述。實際上，安全管理是一個復雜而漸進過程，因為作為管理能力，是需要經過不停改善和提升。在企業安全管了處理方案中，我們先從技術和行政這兩個層面正確安全管理進行一個基礎設計，先建立一個基礎安全管理平臺，然而我們會深入怎樣建立有效安全管理體系（SOC），實現可管理安全進行初步敘述。安全管理平臺建立技術層面作為信息安全管理平臺所要求高效和安全應用，是離不開尖端計算機技術作為基礎，當然也離不開企業行政管理手段，因為沒有系統管理方法，那么再新技術也無法在系統中得到愈加好應用。在技術方面經過專業網絡綜合管理系統來建立一個基礎安全管理中心技術平臺。經過專業網絡綜合管理系統來實現對網絡設備、主機設備、安全設備和應用系統安全管理。因為企業信息系統建設是分步進行，網絡設備、應用系統和安全設備、用戶平臺等含有多樣性，所以對管理平臺或系統要求也比較高，必需采取專業網絡綜合管理系統，對網絡中全部設備和系統平臺全部能夠統一集中管理，獲取全部設備工作狀態和網絡負載狀態，同時能夠看到網絡活動日志信息，用它來對網絡狀態進行分析，提供更有效安全策略，同時網管系統能夠監測用戶端系統狀態，能夠接管用戶端系統，當網絡中么一用戶系統出現問題而自己卻無法診療，這時能夠經過網管系統進行遠程接管，來幫助用戶處理問題。行政層面在行政層面企業必需成立信息安全管理小組，經過小組會議確立信息安全政策總則、信息安全管理政策、信息安全審計考評及信息安全政策。信息安全政策總則關鍵是確定企業信息安全總體標準，明確以后安全目標，有組織、有計劃為信息安全建設給出總體方向，是其它政策和標準依據。信息安全管理政策關鍵是制訂信息安全政策和標準步驟、管理規范、推廣實施、定時維護；設置安全組織管理體系結構；要求領導層對信息安全責任、考評。信息安全策略關鍵是明確企業內部全部用戶、全部應用明確安全細則，它是作為企業領導對全部用戶考評依據。其具體信息安全政策應包含以下內容：安全事件監測和響應職員信息安全管理開發維護內部軟件數據和文檔管理商業軟件購置和維護網站、電子郵件硬件設備和物理安全信息系統訪問控制網絡、系統操作和管理防御病毒和防御攻擊信息安全審計指定審計和考評標準目標是為了考察信息安全政策和標準實施情況，立即發覺問題，糾正問題。這有利于信息安全政策改善和完善。政策中應該包含審計考評標準、審計考評時間、方法、結果處理。在行政層面部分內容，如信息系統安全策略設計、具體安全策略制訂等能夠經過外部專業安全咨詢企業進行咨詢，然后結合企業信息安全建設來制訂。此部分內容我們將在下一部分安全服務處理方案里進行深入敘述。安全運行中心（SOC）信息安全管理發展，伴隨安全需求提升也不停發展。近幾年以來，安全運行中心（SOC）概念及技術發展也越來越成熟。部分涉足比較早企業和服務商已經有了比較成功實施案例。在企業安全管了處理方案中，我們在基礎安全管理平臺之上，也提出相關建立有效安全運行中心（SOC），實現可管理安全服務。SOC基礎傳統安全管理方法是將分散在各地、不一樣種類安全防護系統分別管理，這么造成安全信息分散互不相通，安全策略難以保持一致，這種傳統管理運行方法所以成為許很多多安全隱患形成根源。安全運行中心（SecurityOperationCenter）是針對傳統管理方法一個重大變革。它將不一樣位置、不一樣安全系統中分散且海量單一安全事件進行匯總、過濾、搜集和關聯分析，得出全局角度安全風險事件，并形成統一安全決議對安全事件進行響應和處理。總體來說SOC根本模型就是PDR模型，而SOC系統就是實現其中D（Detection，檢測）和R（Response，響應）。SOC需求關鍵是從以下多個方面得到表現：大系統管理通常安全系統是分別獨立逐步建立起來，比如防病毒系統、防火墻系統、入侵檢測系統等，各個系統全部有單獨管理員或管理控制臺。這種相對獨立布署方法帶來問題是各個設備獨立配置、各個引擎獨立事件報警，這些分散獨立安全事件信息難以形成全局風險見解，造成了安全策略和配置難于統一協調。這種對于大規模系統安全管理也正是SOC需求根源，就是說只有大系統、擁有復雜應用系統才有SOC需求。海量信息數據伴隨安全系統建設越來越大，除了需要協調各個安全系統之間問題之外，因為安全相關數據量越來越大，有些關鍵安全信息和告警事件常常被低價值或無價值告警信息所淹沒，部分全局性、影響重大問題極難被分析和提煉出來。為了從大量、孤立單條事件中正確發覺全局性、整體安全威脅行為，需要SOC這么一個平臺使得整個安全體系檢測能力愈加正確，愈加集中于影響重大焦點問題。信息安全目標我們知道傳統信息安全有7個屬性，即保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真實性（Authenticity）、不可否認性（Nonreputiation）、可追究性（Accountability）和可控性/可治理性（Controllability/Governability）。信息安全目標是要確保全局掌控，確保整個體系完整性，而不僅限于局部系統完整性；對于安全問題、事件檢測要能夠匯總和綜合到中央監控體系，確保可追究性是整個體系可追究性。SOC出現就是為了確保對全局掌控，實現全方面支撐信息安全管理目標。全局可控性可控性是信息安全7個屬性中最關鍵一個，可控性最關鍵表現是全局監控、預警能力和應急響應處理能力。全局預警就是要建立全局性安全情況搜集系統，對于新安全漏洞和攻擊方法立即了解，針對體系內局部發生安全入侵等事件進行響應。我們通常見水桶效應來描述分布式系統安全性問題，認為整個系統安全性取決于水桶中最微弱一塊木條。SOC就像是這個水桶箍，有了這個箍，水桶就極難瓦解，即使出現部分漏洞，也不至于對整個體系造成災難性破壞。SOC充足利用所掌握空間、時間、知識、能力等資源優勢，形成全局性資源協調體系，為系統全局可控性提供有力保障。SOC基礎實施相關SOC基礎實施，不一樣供給商和實施方全部有著不一樣了解，其實施具體方法和結果均不盡相同。在此我們結合啟明星辰SOC理論來進行安全管理運行處理方案敘述。SOC體系結構這里安全管理運行處理方案是由“四個中心、三個平臺”組成統一安全管理平臺。“四個中心”是弱點評定中心、事件監控中心、風險管理中心和應急響應中心；“三個平臺”是策略和配置平臺、知識管理平臺和資源管理平臺。四個中心事件監控中心監控各個網絡設備、操作系統等日志信息，和安全產品安全事件報警信息等，方便立即發覺正在和已經發生安全事件，比如網絡蠕蟲攻擊事件、非授權漏洞掃描事件、遠程口令暴力破解事件等，立即協調和組織各級安全管理機構進行處理，立即采取主動主動方法，確保網絡和業務系統安全、可靠運行。弱點評定中心經過弱點評定中心能夠掌握全網各個系統中存在安全漏洞情況，結合目前安全安全動態和預警信息，有利于各級安全管理機構立即調整安全策略，開展有針對性安全工作，而且能夠借助弱點評定中心技術手段和安全考評機制能夠有效督促各級安全管理機構將安全工作落實。風險管理中心整個風險管理中心運作能夠經過事件監控中心和弱點評定中心所掌握全網安全動態，有針對性指導各級安全管理機構做好安全防范工作，尤其是針對目前發生頻率較高攻擊做好預警和防范工作。本中心是從檢測到響應中樞步驟，匯總和分析也是在這里實現。應急響應中心僅僅立即檢測到安全事件是不夠，必需做出即時、正確響應才能確保網絡安全。應急響應中心作為安全管理運行處理方案關鍵組成部分之一為應急響應服務實現工具化、程序化、規范化提供了管理平臺。應急響應中心關鍵是經過工單管理系統來實現。應急響應中心接收由風險管理中心依據安全威脅事件生成事件通知單，并對事件通知單處理過程進行管理，將全部事件響應過程信息存入后臺數據庫，并可生成事件處理和分析匯報。三個平臺策略和配置管理平臺網絡安全整體性要求需要有統一安全策略管理。經過為全網安全管理人員提供統一安全策略，指導各級安全管理機構因地制宜做好安全策略布署工作，有利于在全網形成安全防范協力，提升全網整體安全防御能力，同時經過安全管理運行處理方案策略和配置管理平臺建設能夠深入完善整個IP網絡安全策略體系建設，為指導各項安全工作開展提供行動指南，有效處理現在因缺乏口令、認證、訪問控制等方面策略而帶來到安全風險問題。知識管理平臺統一安全策略、安全知識庫信息等信息公布，不僅能夠充足共享多種安全信息資源，而且也會成為各級安全管理機構之間進行安全經驗交流平臺，有利于提升全網安全技術水平和能力。足夠安全知識和信息是各個角色正確工作基礎。資源管理平臺資源管理平臺關鍵包含兩個方面：人力資源管理和資產管理。人力資源管理確保在需要時候，能夠找到適宜人。資產管理關鍵是管理安全管理運行處理方案監控范圍各個系統和設備，是風險管理、事件監控協同工作和分析基礎。SOC功效特點實時事件關聯分析事件監控中心對來自不一樣安全系統報警信息進行實時關聯分析，關聯分析整個過程全部是在內存中進行，并依據威脅程度大小對安全事件進行排序，對不一樣威脅程度安全事件經過不一樣顏色來著重顯示。多樣化顯示方法事件監控中心提供了多個實時顯示方法，如網絡拓撲方法、雷達方法、柱形圖等，直觀將安全威脅數據展現給用戶。豐富直觀報表SOC安全管理運行處理方案提供了豐富報表模板供用戶選擇，除了文字總結還能夠用清楚直觀圖形化方法將報表展現給用戶。廣泛平臺支持SOC安全管理運行處理方案支持從多種主流安全系統搜集安全事件數據，并能夠和網管系統實現結合管理。能夠支持產品：防火墻系統：CheckpointNG/NGAIandProvider-1,CiscoPIX,Netscreen,SecureComputingSidewinderG2.入侵監測系統：啟明星辰天闐IDSEnterasysDragon,ISSRealSecure,CiscoSecureIDS,Snort,SymantecManhunt,nCircleIP360.防病毒系統：SophosSymantecCorporate(Norton)McAfeeePOTrendMicro.漏洞掃描系統：啟明星辰天鏡ScannereEyeRetinanCircleIP360NessusISSScannerFoundstoneFoundscan.網管系統：HPOpenView,MicroMuseNetCool,CAUniCenter.其它：WindowsEventLogUNIXSyslogTripwireSNMPSNMPTraps.定制化：基于日志數據源通常能夠在一周左右定制化完成弱點評定管理SOC安全管理運行處理方案弱點評定中心經過人工審計和漏洞掃描工具兩種方法，搜集整個網絡弱點情況并進行統一管理，使得管理人員能夠清楚掌握全網安全健康情況。弱點評定管理含有統一可視界面，顯示各個系統安全漏洞分布情況，包含以下內容：該漏洞相關鏈接信息，包含CVE編號、漏洞描述、受影響系統類型和漏洞處理方案等信息；統計信息，即給出漏洞分布、數量等統計信息。SOC全管理運行處理方案支持多個漏洞掃描工具，包含啟明星辰天鏡漏洞掃描系統、ISSScanner、eEyeRetina、Nessus、FoundstoneFoundscan等。應急響應管理SOC安全管理運行處理方案應急響應管理是經過工作流系統實現。該系統是專門針對安全事件處理過程，依據具體安全響應步驟進行定制。事件監控中心監測到安全事件后有專員生成新工單，首先有專員會經過系統報警方法收到通知并在要求時間內對工單進行接收，并進入對安全事件處理階段，其次工單跟蹤模塊會對工單被派發后整個過程進行跟蹤，進行工單收回、重新派發等工作。工單處理結果可能有兩種可能：一個是安全事件被處理，這個工單就被關閉，同時工單內容被保留到知識庫中，作為歷史統計和以后參考用；另一個情況是安全事件因為一些原因沒有被根本處理，這個工單所包含問題會被重新處理考慮，生成新工單，進入新工單處理步驟。應急響應管理完善了從防護到檢測再到響應一個安全事件處理過程閉環。全方面知識管理SOC安全管理運行處理方案知識管理平臺既提供通常知識管理功效，比如安全知識庫、培訓和人員考評等，也提供了強大漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫等。SOC實現綜合以上相關SOC理論、體系及功效實現，能夠了解到SOC是安全管理平臺更高級發展，建設SOC目標是提升企業安全管理能力，也是深入提升企業信息化水平及能力。從整體上來講是提升企業管理能力。實現可管理服務。現在市場上SOC處理方案并不是很成熟，國際中國也沒有成熟SOC體系或標準。所以，企業是建設本身SOC平臺時，對市場處理方案及本身管理水平要有充足認識，選擇合理適宜安全管了處理方案，這么才能深入提升企業信息化管理能力。安全服務處理方案在整體信息安全體系建設中，除了針對具體安全風險及問題進行基于產品和技術處理方案后，需要對信息安全管理平臺進行建設，以期達成對應安全目標。這一點我們在上節安全管了處理方案里已經進行了描述。需要指出是，整體信息安全體系建設中，僅僅依靠本身力量進行安全方案建設、安全管理建設等，均不能夠充足安全保障。所以在這里，我們引入了安全體系建設中關鍵一環，即安全服務建設。實際上安全服務能夠簡單了解為，有效引入外部專業服務資源，為企業提供更高等級安全服務能力。在完善本身安全建設同時，幫助企業提升安全管理能力。在此，我們依據企業安全建設整體情況，提供了以下6類最基礎安全服務內容：安全咨詢服務；安全評定服務；安全加固服務；日常維護服務；應急響應服務；安全培訓服務。安全咨詢服務企業現在缺乏一個企業總體范圍、負責制訂和實施安全管理機制部門，難以確保安全制度建立和實施及決議層安全決議有效性和一致性。信息安全管理職能分散在各個部門，缺乏一個強有力直接向最高領導負責職能部門，協調整個企業內部信息安全工作，所以安全政策實施可能會缺乏力度，安全事件處理依據和結果可能會不一致。由此可見，企業急需在專業安全服務廠商幫助下，建立起適合本身企業特點和管理運作方法網絡安全管理職能部門，來負責協調、管理整個企業業務網絡安全問題。在此基礎上，由安全服務廠商在對現有業務步驟和管理制度做充足調研基礎上，幫助企業制訂一套操作性強安全策略體系，用以指導企業各個業務單位日常網絡安全工作。咨詢服務內容制訂企業網絡安全管理組織架構，幫助企業建立企業內網絡安全管理小組，并制訂小組組員職責文檔；制訂企業網絡安全管理策略體系，提供一系列主策略及子策略管理文檔；依據企業相關部門人員不一樣角色提供不一樣等級安全培訓，提升相關人員整體安全意識和網絡安全技術水平；設計組織架構及安全策略時參考規范ISO/IEC17799-《信息安全管理實用規則》ISO/IEC13335《信息技術安全管理指南》ISO7498-2《信息處理系統開放系統互連基礎參考模型-安全體系結構》SSE-CMM《系統安全工程能力成熟模型》GB/T18336-《信息技術安全技術信息技術安全性評定準則》GB/T17859-1999《計算機信息系統安全等級保護劃分準則》其它國家法律、法規等安全評定服務安全評定模型安全風險模型建立來自于BS7799思想，它是整個風險評定方案主導。信息資產因為本身脆弱性，使得威脅發生成為可能，從而形成風險。一旦安全事件發生，就會造成多種不一樣影響。換句話說，風險分析過程實際上就是對影響、威脅和脆弱性分析過程，但它們全部緊緊圍繞著資產為中心。在風險評定階段，資產價值、資產破壞后造成影響、威脅嚴重程度、威脅發生可能性、資產脆弱程度全部成為風險評定關鍵原因。在風險模型中，資產評定關鍵是對資產進行相對估價，而其估價準則就是依靠于對其影響分析，從資產相對價值中表現了威脅嚴重程度。這么，威脅評定就僅僅成了對資產所受威脅發生可能性評定。脆弱性評定是對資產脆弱程度評定。安全風險評定就是經過綜合分析評定后資產信息、威脅信息和脆弱性信息，最終生成風險信息。圖1：安全風險模型安全評定步驟安全風險評定步驟是安全風險模型表現，所以首次整個評定過程能夠分為以下多個階段：第一階段確定評定范圍階段，調查并了解企業網絡系統業務步驟和運行環境，確定評定范圍邊界和范圍內全部網絡系統應用；第二階段是資產識別和估價階段，對評定范圍內全部資產進行識別，并調查資產破壞后可能造成影響大小，依據影響大小為資產進行相對賦值；第三階段是安全威脅評定階段，首先經過問卷調查和IDS取樣等方法識別出資產所面臨每種威脅，并評定它們發生可能性；第四階段是脆弱性評定階段，包含從技術和管理方面進行脆弱度檢驗，尤其是技術方面，以安全掃描、手動檢驗、滲透測試等眾多技術手段進行評定；第五階段是風險分析階段，即經過分析上面所評定數據，進行風險值計算、區分和確定高風險原因；第六階段是風險管理階段，這一階段關鍵是總結整個風險評定過程，制訂相關風險控制策略，建立風險評定匯報，實施一些緊急風險控制方法（如安全修補和加固）。風險評定標準整個安全風險評定項目，將關鍵依據相關信息安全標準提供指導，并遵照了相關國家法律法規政策。我們采取國際信息安全管理標準BS7799風險管理思想作為貫穿整個風險評定過程關鍵指導規范，為最終建立完善、全方面企業網絡系統安全管理體系提供依據。另外，在風險等關鍵原因評定方面，我們還參考了SSE-CMM、ISO15408和ISO13335標準。同時，SSE-CMM指導了此次項目標工程實施，ISO15408、ISO13335在安全方案制訂等方面全部提供了規范化指導。其中在評定過程中包含到部分技術細節問題，我們將嚴格遵照和實施相關國家法律法規政策。安全加固服務安全加固服務是指依據先期安全評定結果，制訂統一安全策略，對網絡及應用系統進行管理加強、環境優化增強及安全域計劃和系統加固等工作，經過安全加固及增強服務后，使整個網絡及應用系統安全情況提升到一個較高水平。安全加固標準我們依據安全評定結果，結合多種操作系統安全特征，對加固對象進行修補加固。利用修補和加固處理在安全評定中發覺多種技術性安全問題，基礎確保在客觀環境許可情況下被加固對象應不再存在高風險漏洞和中風險漏洞(依據CVE標準定義)，對于因為業務環境原因無法進行修補漏洞，我們會分析漏洞對系統安全性影響并提出對應處理提議，同時統計在遺留問題統計中，以備后續參考。另外，在修補和加固完成后應不影響修補加固對象原有功效和性能。其中，在加固方案設計和加固實施過程中將遵照以下標準：標準性標準：加固方案設計和實施應依據中國或國際相關標準進行；規范性標準：工作中過程和文檔，含有很好規范性，可方便于項目標跟蹤和控制；可控性標準：加固方法和過程要在雙方認可范圍之內，加固服務進度要跟上進度表安排，確保企業網絡系統對于加固工作可控性；整體性標準：加固范圍和內容應該整體全方面，包含安全包含各個層面，避免因為遺漏造成未來安全隱患；最小影響標準：加固工作應盡可能小影響系統和網絡正常運行，不會對正在運行和業務正常提供產生顯著影響；保