随着政企信息化建设的不断全面深入，各政府和企业对信息系统安全的要求日益提升，但是由于安全产品功能单一、IT安全人员缺乏、IT管理部门不完善等原因，当前安全技术手段和管理模式已无法满足新形势下信息系统安全防护需求，因此企业安全服务外包作为一种专业而经济的安全服务方式渐成趋势。

　　当前安全服务主要解决安全管理中存在的挑战：

　　如何发现可疑的网络行为：目前企事业单位中大多已经部署了入侵检测系统，但存在漏报和误报率较高的问题，因此仅仅依靠入侵检测系统难以实现实时的安全事件审计、预警功能，应利用安全设备自身的功能配合专业的安全服务来实现对网络安全事件的审计和预警。

　　如何加强对重要安全事件的迅速响应、快速处理：当发生严重的安全事件时，如：遭到恶意攻击、发生黑客入侵事故、网络意外中断等，仅仅依靠自身的技术力量难以应对复杂的安全形势，因此需要借助专业的应急处理服务来满足安全需求。

　　如何提高重要业务系统自身的安全性，抵御来自内部、外部的恶意攻击行为：由于企事业单位中部署了多个重要业务系统，面向大量用户提供服务，因此存在这些系统遭到恶意攻击的可能性。为了降低攻击行为造成的影响，应对业务系统进行全面的安全检查和优化，提高系统自身的安全性，修复存在的安全漏洞和安全隐患。

　　解决方案

　　针对政府企事业单位当前的安全需求，天融信提出通过建设安全运营中心，为用户提供安全服务。安全运营中心有四个系统组成：数据采集子系统、运营服务核心平台子系统、客户服务支撑子系统、专家团队子系统。

图表 23天融信可管理安全服务(MSS)方案图

　　平台部署

　　数据采集子系统部署在用户网络端，负责从客户网络的安全监控对象上采集日志数据，并将预处理后的数据信息以加密方式发送至“安全运营服务”核心平台进行分析。

　　运营服务核心平台子系统部署在电信机房，对采集到的日志信息进行智能分析，以安全风险管理为核心，实现安全对象管理、安全事件管理、系统脆弱性管理，将发现的高危安全事件生成预警信息通知到客户服务支撑系统。

　　客户服务支撑子系统定期向用户报送安全报表和安全通告，在发生高危安全事件时向用户提供预警，为用户提供专家级的安全解决方案和安全响应、安全咨询服务。

　　安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。安全专家团队负责对安全事件进行实时监控与分析，帮助用户发现真正有威胁的安全事件。

　　服务内容

　　服务内容 服务功能

　　安全对象管理服务

　　互联网连通性实时监控 通过远程监控方式对用户指定的IP地址进行5*8或7*24小时网络连通性实时监控，及时发现网络访问中断事件，保障系统可用性。

　　网络安全事件实时监控 对用户指定的安全设备和网络设备的日志信息进行5*8或7*24小时实时监控，及时发现非法访问、恶意攻击、病毒散播等可能给用户网络造成影响的安全事件。

　　应用系统安全事件实时监控 对用户指定的web应用系统的访问日志进行7X24小时实时监控，及时应用扫描、SQL注入攻击、XSS跨站攻击等可能给用户应用系统造成影响的安全事件。

　　安全事件信息存储 将收集到的原始日志信息及报警数据在一段时间内保存，有助于用户追溯安全事件，便于用户事后分析、审计与取证。

　　系统脆弱性管理服务

　　远程Web应用系统安全扫描 在用户指定的时间内通过远程扫描工具对用户指定的web应用系统进行一次性安全扫描。帮助用户发现信息系统中存在的安全漏洞和安全隐患，提供详细的扫描结果报告和安全整改措施建议。

　　Web应用系统安全检测 定时对用户的web应用系统进行安全检测，发现系统对外发布的信息中存在的敏感、低俗关键字，页面中被植入的木马程序及恶意代码，以及系统中存在的web安全漏洞，并定期提供安全检测报告，提供整改方案建议。

　　*每日1次：敏感、低俗关键字、网页挂马检测。

　　*每周1次：SQL注入漏洞、XSS跨站脚本漏洞等WEB常见漏洞检测

　　*检测页面数不超过100个。

　　远程渗透测试 安全专家模拟黑客攻击的方式对用户指定的IP地址采用工具和人工检查相结合的办法进行远程安全测试，发现目标系统的安全漏洞。

　　提供详细的渗透测试报告，并分析总结安全隐患，针对发现的安全漏洞提供安全整改方案建议。

　　安全风险管理服务

　　安全分析报表管理 每月统计用户网络中发生的安全事件，为用户分析总结网络安全状况及变化趋势，帮助用户掌握自身网络的整体安全状况，并提供合理的整改措施建议。

　　安全通告 每周总结最新的安全漏洞信息、黑客攻击方法、流行病毒信息、补丁信息、安全发展动态、重大安全事件、安全法律法规等安全资讯，以邮件的方式发送给用户，帮助用户集中了解最新的安全动态。

　　安全评估 通过对信息系统价值、脆弱性、安全威胁等因素关联分析，采用定量和定性结合的风险分析办法判断安全事件一旦发生将会造成的损失。

　　向用户呈现安全风险分布，给用户提供安全方案优先级参考。

　　安全响应管理服务

　　安全事件预警 发现用户网络异常流量、蠕虫病毒、黑客入侵等重要安全事件时向用户电话发出预警信息，提供安全事件的详细信息，指导用户对安全事件进行处理。

　　安全应急响应 当用户自身网络遭遇突发安全事件而无法自行处理时，帮助用户分析事件原因，定位事件来源，恢复业务系统的连续性，防止安全事件给用户造成更大损失。

　　安全加固 根据安全评估报告对系统自身的安全漏洞进行修补。

　　提供安全加固报告。

　　接入方式

　　安全运营服务通过数据采集子系统实现客户业务接入。本业务提供三种接入方式供客户选择，包括代理服务器形式、软件安装形式和硬件采集设备形式。

　　代理服务器形式

　　在客户网络内一台“安全运营服务”专用服务器上安装代理软件，部署为监控代理服务器。通过配置后将客户网络内需要监控的网络设备、安全设备、应用系统等日志数据主动发送至监控代理服务器。

　　监控代理服务器须保证与监控对象间网络可达，与运营服务核心平台间网络可达。如下图所示：

图表 24 天融信MSS代理服务器方式客户接入图

　　软件安装形式

　　对于客户网络中不具备主动日志发送功能的监控对象，则需要在监控对象中安装代理软件，由监控代理软件将日志信息发送至运营服务核心平台。如下图所示：

图表 25 天融信MSS软件方式客户接入图

　　硬件采集设备接入

　　以旁路接入的方式部署于客户网络端的网络交换设备，并在网络交换设备中配置端口镜像，将监控对象所在网络端口的流量发送至硬件采集设备，硬件采集设备通过流量分析获取监控对象的监控数据，同时支持接收监控对象主动发送的日志信息，即可替换监控代理服务器使用。

　　硬件采集设备与运营服务核心平台间须保证网络可达。如下图所示：

图表 26 天融信MSS硬件方式客户接入图

　　方案优势

　　降低成本，实现安全事件的全天候监控

　　大多数企业的IT部门均实行5x8小时工作制，然而企业的对内或对外服务系统却需要提供7x24小时全天候服务，而大多数非法入侵者正是利用企业的非工作时间，安全响应较慢的阶段进行入侵尝试与破坏。

　　天融信安全监控服务为用户提供7x24小时的全方位实时监控服务，确保用户的网络在任何时间均处于安全监控之下。

　　消除或减少企业的安全风险，将损失降到最低

　　安全监控服务通过对企业安全设备及应用系统的实时监控，准确、及时地发现任何安全问题，确定事件源，在第一时间提供解决方案或对安全配置进行修改，将安全风险降到最低。

　　采用最新的安全策略，及时发现和解决安全问题

　　安全运维中心会对当前的各种系统漏洞、主要的病毒事件、主流的安全趋势等信息进行密切的关注与跟踪，针对高风险问题进行研究分析，及时为用户提供安全风险的防范措施，确保在该安全风险被利用前，为用户做好安全防护措施。

　　集中有限的IT资源，将精力投放到提高企业效率的工作中

　　安全监控服务能够准确地确定安全事件类型、事件源，帮助用户在第一时间进行响应，降低安全问题给企业带来的损失，减少企业IT人员的大量无谓、重复的工作，从而，使得企业的IT部门可以将更多的精力投入到提高企业效率的工作中去。

　　得到专业的安全趋势分析建议，做到安全的有的放矢

　　安全监控服务通过为用户提供日、周、月等安全性分析报告帮助用户发现应用系统中可能存在的安全隐患，如配置问题、补丁安装问题、访问量趋势分析等，为用户提出针对性的安全改进建议，从而，使得用户的任何安全保护措施都能做到有的放矢，有明确的针对性。

　　对日志信息进行存储和备份，使安全事件有据可查

　　安全监控服务利用安全运维中心的数据存储及备份机制，帮助用户对各类系统的日志信息进行合理的存储与备份，一方面使用户能够对已发生过的各类安全事件进行查询和分析，帮助用户了解和总结安全事件发生的原因、过程及产生的影响;另一方面，在发生重大安全事件后，用户可以对事件发生时的日志进行取证与分析，作为入侵行为的有效证据。

　　应用领域

　　IDC机房

　　随着IDC市场竞争的日趋激烈，IDC 已逐渐从资源出租型向应用服务型转移，因此需通过安全监控平台建设，快速开发IDC增值产品，完善IDC产品体系，利用IDC资源和服务优势，有效整合价值链，重点发展以网络安全为主的IT类增值产品，针对不同客户群提供全面优质的个性化服务。

　　当前天融信已为北京联通IDC机房成功实施本方案，并通过安全监控平台为政府、集团等客户提供7*24小时的安全监控服务，进一步提升了IDC的增值服务能力。

　　电信运营商

　　运营商作为为网络基础服务提供商，对于信息安全的要求除了既要保障国家安全需求，也应满足客户对信息安全的需求，同时更应满足自身运营安全需求。

　　随着当前电信全业务的开展，电信行业的竞争已经从传统的用户资源、资费方式的竞争，上升到以客户为核心的服务竞争。安全增值服务作为运营商新的业务增长点，运营商势必会结合自身强大的运营网络、客户资源和业务特点，为用户提供全程动态安全服务，并帮助用户建立起有效的信息安全保护机制。

　　当前天融信已协助中国电信集成公司建立了以北京为一级中心、江苏等省市为二级中心的安全运营服务体系，二级运营中心负责为区域内用户提供服务，并由一级中心统一管理，并实现全国业务的统一监管和知识共享。整个系统通过安全管理支撑平台实现对电信网络及主营业务系统、重点企业客户的网络及业务应用系统的安全监控、安全评估、安全加固等多项安全增值服务。当前约有一支200人的安全运营服务支撑团队，以支撑全国业务的开展。