1术语定义网络安全专家服务系统：是实现网络安全管理的技术支撑平台，以风险管理为核心作用，为安全服务和管理提供支撑。

监控对象：是对网络安全专家服务系统实施风险管理的对象的统称，包括：安全设备、网络设备、应用系统、主机、数据和信息。

安全事件：由计算机信息系统或网络中的各种计算机设备发现并记录下的可疑活动。

安全威胁：是对系统、组织及安全对象构成潜在破坏能力的可能性因素或事件。

脆弱性：存在于被威胁的客体上，可被威胁利用而导致安全性问题。

安全风险：即存在由一种特定的威胁利用脆弱性而引起信息丢失甚至损害一个或一组安全对象的可能性。

2网络安全专家服务产生背景2.1用户信息系统安全面临的挑战当今，几乎所有行业的用户业务都是建立在网络应用的基础之上。

互联网应用与业务的融合给用户带来了效率提升和持续竞争力，然而互联网与业务结合同样具有潜在的风险。

任何细微的变故，都有可能导致业务流程完全失效。

信息系统在给电子政务、电子商务带来了高效和便捷的优越性同时，同样给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。

黑客、蠕虫病毒、后门漏洞等安全威胁的存在，使得用户的关键业务暴露在危险之中。

其中问题集中体现在：⏹众多安全设备缺乏有效的统一管理⏹安全运维能力不足，5*8小时外的安全事件无暇顾及⏹信息安全产品更新太快，信息安全系统建设投入太大⏹缺乏专业的安全研究团队⏹突发安全事件的应急处理能力不足⏹海量日志需要统一存储审计2.2天融信网络安全专家服务的产生网络安全专家服务是天融信针对安全设备统一管理、5*8小时外的安全运维、突发安全事件处理等安全问题而推出的专业安全服务产品。

天融信与中国电信、中国联通合作，建立了安全监控运营中心，打造了一支专业化的安全运营团队，由经验丰富的安全专家为用户提供服务。

同时与国家计算机网络应急技术处理协调中心（CNCERT/CC）等权威单位合作，利用国家级监管单位及电信运营商独有的网络资源，为用户提供更高级别的服务。

3网络安全专家服务介绍3.1服务定义天融信网络安全专家服务，是利用天融信的安全运营服务系统，结合先进的技术平台、经验丰富的安全运营团队、成熟的服务管理体系，依托来自国家监管机构的权威分析数据，为政府、金融、企业等行业客户的广域网络和互联网接入（包括客户的安全设备、网络设备及应用系统在内）提供统一安全管理和安全保障服务。

3.2适用范围面向使用互联网接入业务的政企事业单位和金融机构客户。

可对广域网以及互联网接入的客户网络和重要应用系统设备进行安全事件实时监控管理、安全威胁分析处理，为客户提供整体安全防护体系，实现统一安全管理。

目前“网络安全专家服务”可监控管理的客户端设备包括：➢安全设备：防火墙、IPS/IDS、安全网关、安全审计、上网行为管理等；➢应用系统： WEB应用服务器、邮件服务器、数据库服务器；4网络安全专家服务功能4.1网络安全监控服务4.1.1服务说明天融信网络安全监控服务对用户网络中的安全设备、WEB应用系统的日志信息进行实时收集、监控与分析，对用户网络面临的安全威胁进行分析，及时、准确的发现DDoS攻击、蠕虫病毒、黑客入侵、扫描渗透、暴力破解、非法访问、非法外联等网络安全事件。

4.1.2服务内容4.1.3服务级别天融信网络安全监控服务提供基本服务包和增强服务包两种服务，如下表：4.1.4服务实现方式4.1.4.1系统架构天融信“网络安全监控服务”业务通过天融信安全运营中心的网络安全专家服务系统实现。

网络安全专家服务系统由四个部分组成：数据采集子系统、运营服务核心平台子系统、客户服务支撑子系统、专家团队子系统。

图1 网络安全专家服务系统（一）数据采集子系统部署在用户网络端，负责从客户网络的安全监控对象上采集日志数据，并将预处理后的数据信息以加密方式发送至“网络安全专家服务”核心平台进行分析。

具体部署方式参见下节“业务接入方式”。

（二）运营服务核心平台子系统部署在电信IDC机房，对采集到的日志信息进行智能分析，以安全风险管理为核心，实现安全对象管理、安全事件管理、系统脆弱性管理，将发现的高危安全事件生成预警信息通知到客户服务支撑系统。

（三）客户服务支撑子系统定期向用户报送安全报表和安全通告，在发生高危安全事件时向用户提供预警，为用户提供专家级的安全解决方案和安全响应、安全咨询服务。

（四）安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。

安全专家团队负责对安全事件进行实时监控与分析，帮助用户发现真正有威胁的安全事件。

4.1.4.2接入方式天融信网络安全监控服务通过数据采集子系统实现客户业务接入。

本业务提供三种接入方式供客户选择，包括代理服务器形式、软件安装形式和硬件采集设备形式。

1、代理服务器形式在客户网络内一台“网络安全监控服务”专用服务器上安装代理软件，部署为监控代理服务器。

监控代理服务器硬件要求：内存2G 以上，空闲磁盘空间100G以上，intel双核处理器主频2.4GHz以上，1000M以太网卡。

软件要求：windows xp/2000/2003企业版或支持Java的商业版Linux操作系统，需配备1.6及以上版本java虚拟机（JVM）。

客户网络内需要监控的安全设备、应用系统等如具备主动日志发送功能，则在监控对象上进行相应配置，由监控对象主动将日志发送至监控代理服务器。

如监控对象不具备主动日志发送功能，则需要采用后两种接入方式为用户提供服务。

监控代理服务器须保证与监控对象间网络可达，与运营服务核心平台间网络可达。

如下图所示：图2 代理服务器方式客户接入2、软件安装形式对于客户网络中不具备主动日志发送功能的监控对象，则需要在监控对象中安装代理软件，由监控代理软件将日志信息发送至运营服务核心平台。

如下图所示：图3 软件方式客户接入3、硬件采集设备接入由天融信提供硬件采集设备，以旁路接入的方式部署于客户网络端的网络交换设备，并在网络交换设备中配置端口镜像，将监控对象所在网络端口的流量发送至硬件采集设备，硬件采集设备通过流量分析获取监控对象的监控数据，同时支持接收监控对象主动发送的日志信息，即可替换监控代理服务器使用。

采集设备具有1个流量分析端口和1个管理端口，流量分析端口与镜像端口连接，用以分析网络流量；管理端口直接与网络交换设备连接，用以接收监控对象主动发送的日志信息和设备管理信息。

硬件采集设备与运营服务核心平台间须保证网络可达。

如下图所示：图4 硬件方式客户接入一般情况下，数据采集子系统采集的监控数据通过Internet加密通道的方式安全上传至运营平台子系统。

如下图所示：图5 Internet加密监控通道4.1.5服务流程4.1.6产品服务特征天融信网络安全监控服务具有部署灵活、快速，可扩展性好，服务范围广泛，可视化程度高等特征，能够满足不同层次用户的安全需求。

（一）部署方式灵活网络安全专家服务系统部署方式非常灵活。

系统核心平台和数据采集系统分布式部署，既可以保证核心系统的稳定，又可以支持复杂的网络环境。

采集器部署在客户端，采用软硬件多种方式，可在不影响用户网络环境、不进行网络配置重大变更的情况下实现。

（二）可扩展性高网络安全专家服务系统支持分布式部署方式，可根据业务规模灵活扩展。

核心平台为全国客户提供远程服务，在全国不同区域可采用分级部署的方式建立多级平台，实现不同等级的事件管理与响应；采集器功能集成为软硬件两种方式，已实现自动化管理，可根据用户需求在用户网络中灵活部署。

（三）服务范围广泛网络安全专家服务系统以标准化接口方式实现了对多厂商设备的管理，在统一的系统架构和数据模型下，将各项管理数据的共享集中，互通互融，能够综合量化企业安全状态和企业业务的总体安全问题，从而更加彻底地保证业务系统的正常运行,降低运维成本，提供安全事件监控、资产运营管理、事件管理等的综合统一管理平台。

（四）服务可视化程度高网络安全专家服务系统可提供基于不同视角的视图管理，从地理区域上提供区域视图，从设备角度上提供设备视图。

可视化过程包括在线和离线两种方式，“在线”是通过实时风险的综合计算和可视，表达当前信息系统的安全态势；“离线”则通过对安全事件的数据挖掘，可视化输出统计分析的结果，帮助用户分析信息系统某一事件段内的安全态势。

4.2安全巡检服务4.2.1服务说明本服务的目的是尽可能发现用户网络中的网络设备、安全设备、WEB应用系统等存在的安全漏洞和安全隐患，根据对客户信息系统安全评估的结果，制定安全加固方案，提出对客户的主机系统、应用系统、网络设备、安全设备的加固建议，完成策略调整和加固措施，全面提升客户信息系统的安全保障能力。

4.2.2服务内容4.2.3服务级别4.2.4服务实现方式4.2.4.1工具扫描为了充分了解本项目中各业务系统当前的网络安全现状及其安全威胁，因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估，对象包括各类主机系统、网络设备等，扫描评估的结果将作为整个评估内容的一个重要参考依据。

扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。

网络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。

4.2.4.2人工评估依据对特定系统平台的标准化的安全审计列表（安全基线），检查和分析系统平台存在的安全问题。

人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。

人工评估是根据相关安全检查核对表内容，逐项检查系统的各项配置和运行状态。

核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专家的经验知识而制定，它主要包括有以下几个方面：●安全配置检查：系统管理和维护的正常配置，合理配置，及优化配置。

例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。

●安全机制检查：安全机制的使用和正常配置，合理配置，及优化配置。

例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权及访问控制等。

入侵追查及事后取证：检查与发现系统入侵，攻击或其它危害，尽可能追查及取证。

例如日志被毁坏篡改或删除，数据被删除，遭受DOS攻击，系统被监听，控制或安装后门等。

4.2.5服务流程4.3渗透测试服务4.3.1服务说明渗透测试也叫白客攻击测试，它是一种从攻击者的角度来对主机系统进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。

渗透测试通常能直观的反映出系统的安全现状，该手段也越来越受到国际/国内信息安全业界的认可和重视。