我国信息网络还处于发展阶段,安全管理水平较低,安全管理人员缺乏培训,安全管理组织不健全等问题还比较突出。促进信息安全服务行业的发展,走专业化、社会化的道路是提高我国信息安全管理水平的一个有效途径。
目前信息安全服务厂家提供的安全服务主要有安全评估、安全加固、渗透测试、实时监控、应急响应、远程紧急救援、安全资讯通报、现场定期维护、专属电话通道等多种方式。但这些方式都是静态的、被动的,只能针对个别信息系统和行业,只能是事后补缺,不能满足社会信息化对持续安全服务的需求,同时这些传统的安全服务企业由于人工成本太高,人工服务速度有限,缺乏定位准确、系统全面、持续动态的安全服务手段,不能有效解决用户面临的信息安全问题,不能为用户创造期望的价值。迫切需要第三方公共的信息安全服务平台,为用户持续提供专业的社会化的信息安全服务。
面对这一需求,中国联通基于已建的CA平台体系及安全管理控制平台体系(SOC),依托全国的基础网络服务、运营、技术支撑体系及先进的组织管理经验,为用户提供高效、经济、持续专业的安全服务,不论是着重于电子商务的企业还是更看重于电子政务应用的政府部门。中国联通将打造一个动态防御体系,涉及网络边界、网络基础设施、核心业务应用和桌面终端等多个层次,涵盖路由器、交换机、防火墙、接入服务器、操作系统、数据库、DNS、WWW、MAIL以及其它一些关键应用系统。通过统一的服务接口,采用安全管理控制体系架构(SOC)及数字证书技术,在用户原有信息安全系统的基础上构建一个集中管理、统一审计、统一监控、统一评估以及统一模拟诊断的综合的专业化的信息安全服务体系。
电子商务应用日益扩大,伴随其中的各类应用服务器访问安全问题也日益突出,最常发生的事件如网络钓鱼、账号丢失等都为普通使用者带来巨大的经济损失。解决此类问题,最有效的手段是使用数字证书,特别是应用于对外提供服务的IDC服务器。由联通公司平台提供的服务器数字证书,是组成Web服务器SSL安全功能的法律认可的数字标识。包含详细的身份验证信息,如服务器内容附属的组织、颁发证书的组织以及称为公开密钥的唯一的身份验证文件。这意味着服务器证书确保客户关于web服务器内容的验证,同时意味着建立安全的HTTP连接是安全的。最终可以实现数据的加密传输,防止数据在传输过程中被窃取或被恶意篡改。杜绝网站假冒并确认网站的真实身份、追查不法网站、保护网络用户的合法权益。
针对安全需求比较集中,并对网络有更高需求的IDC客户,中国联通以SOC为核心建立安全服务运营中心,建立一套可持续、动态的安全服务体系对用户信息系统提供长期的安全监控,定期的审计、实时响应、脆弱评估、系统加固、安全设备的部署与维护等一系列的服务。在这个服务体系中完成了对安全事件的事前监控、积极防御以及取证分析等任务,完全使用户摆脱维护系统安全的烦恼,并从最大程度上提高了用户的投资回报率。下述为联通IDC可提供的各类安全服务。
服务器证书
作为唯一拥有数字证书颁发资质的电信运营商,中国联通已形成服务范围覆盖全国的运营管理平台和PKI基础设施,在全国范围内广泛建设了服务运营支撑平台,能有效可靠安全的支撑网络用户访问IDC服务器。
安全设备租赁:
● 防火墙
防火墙租赁服务将为IDC客户提供防火墙产品的租赁使用服务,防火墙租赁服务所提供的防火墙产品针对不同的客户分别包括:10M防火墙、100M防火墙和1000M防火墙产品。
● 入侵检测(IDS)
入侵检测设备(IDS)租赁服务将为IDC客户提供入侵检测(IDS)产品的租赁使用服务,入侵检测设备(IDS)租赁服务所提供的产品针对不同的客户分别包括:100M入侵检测产品和1000M入侵检测产品
● 入侵防御(IDP)
入侵防御设备(IDP)租赁服务将为IDC客户提供入侵防御(IDP)产品的租赁使用服务,入侵防御设备(IDP)租赁服务所提供的产品针对不同的客户分别包括:200M入侵防御产品和2000M入侵防御产品。
● 流量清洗:
该服务对进入联通IDC客户网络的互联网流量进行实时监控,及时发现包括DDoS攻击在内的各种异常流量,在不影响正常业务流量的前提下过滤攻击流量,有效满足客户对互联网业务连续性的需求。同时,该服务通过事件通告、分析报表等服务内容增强客户网络流量和安全状况的可见性。
安全监控及审计:
● 全网安全监控服务:对用户信息系统提供7X24小时的实时安全监控。对于信息系统中关键资产、网络边界设备、以及边界安全防御设备提供重点监控;
● 定期审计服务:定期对信息系统的运行状况、在一定时期内发生的安全事件进行报告。对信息系统中的关键资产进行单独审计并提供独立的审计报告。
应急响应:
配合客户制订应急响应预案,参与和协助客户对预案进行演练;在第一时间内对客户所遭受的入侵以及紧急故障进行响应,尽可能在最短的时间内恢复客户信息系统运行,降低客户损失,并协助分析事故原因,追踪入侵来源,提交响应报告。
客户信息系统中突然出现的、影响业务正常运行的异常事件,由于安全事件爆发突然,危害影响大,波及范围广,影响核心网络正常运转。因此,应急的目标就是:终止危害、防止损失扩大、恢复正常工作。另外应急服务的有效总结是为安全服务体系中的专家知识库提供宝贵经验的重要环节。
基于信息系统脆弱性库、安全威胁库、安全控制库以及安全事件库建立完整的信息系统安全知识库,通过对安全风险评估流程管理、资产和安全信息数据的维护,将风险评估和管理与企业的业务运维结合起来,为企业提供实时、完整的风险监控并提供安全策略建议。
安全咨询:
安全咨询服务主要解答客户安全问题咨询,帮助客户解决安全疑难问题。
安全咨询的服务目标就是,结合用户应用系统和信息安全管理系统,将用户系统中的人员、技术、流程进行有机的结合,帮助用户建立起一套可执行的信息安全管理系统。同时,通过提供安全咨询和安全培训,帮助用户掌握自行运作和管理系统的能力。主要包括:
● 安全管理咨询:基于ISO17799/ISO27001的风险管理理论,指导并协助客户建立信息安全管理体系,建立科学的动态风险控制体系,保护组织关键信息资产,保护组织的安全投资。获得ISO27001认证,将信息风险控制在可接受的水平。
● 合规性审计咨询:遵循上市企业审计要求(SOX法案)、等级保护要求、大型企业风险管理要求等行业化评估和审计规范,为行业客户提供信息安全合规性审计咨询服务。
● 信息安全规划:依据信息安全风险评估和咨询的结果,为客户设计信息安全战略,规划信息安全总体架构,制定分步走的实施计划 
