【IT168资讯】北京冠群金辰软件有限公司是一家拥有防护、监测、评估、响应全线安全产品的安全产品提供商。公司的安全服务早期建立在我们为客户提供产品的同时根据客户的需求提供了针对产品的延续服务。随着信息技术的不断发展及用户需求的日渐明确，我们提供的安全服务也日益完善。如今我们已经是一个能提供专业安全服务的公司。

　　公司提供的安全服务包括风险评估、策略制定、审计加固、教育培训、紧急响应、安全外包等。下面就这些服务的内容做具体的案例介绍。

　　风险评估云南省电信是云南省最重要的网络进出口，冠群金辰作为其安全服务商，提供了最全面的安全评估服务，我们从前期的需求分析、信息资产分类到漏洞审计加固培训为用户提供了一套完整的安全服务。通过本项目的工作使得云南省电信公司对项目范围内的信息资产及其风险得到很好的分析，对安全基础设施的建设提供全面的需求分析、功能分析、框架设计、部署和实施初步方案设计等。

　　本项目针对云南十一个地市及重点抽查的昆明市电信评估作为策略制定的依据，从管理、应用、系统、网络各个层面对用户进行了评估。在策略制定时我们根据用户的实际业务运行情况及时调整策略直到最终满足用户需求，同时协助用户采用技术手段和行政手段最终落实相关策略，在整个项目的评估过程中冠群金辰的工程师对所有实施的技术手段做有效的技术转移，技术培训穿插在整个评估服务的过程当中。

　　通过本项目，对于项目范围内的重要信息数据（比如，技术文档、源程序、企业运行数据、电子邮件、管理文档商业文档）的安全保护框架，以及承载这些数据的系统的安全保护框架进行全面的设计。在本项目中涉及的安全性涵盖：

　　• 完整性 Integrity

　　• 机密性 Confidential

　　• 可用性 Availability

　　• 可靠性 Reliability

　　• 正确性、真实性 Authentication

　　• 责任定位、可审计性 Accountability

　　策略制定

　　本项目对云南省电信网络所有涉及IT的策略进行全面的评估，以便使得所有策略能够共同确保信息安全策略的执行。对目前的安全政策、标准和指导方针进行评审。评估事件通知方法及事件危机程度汇报体系，以确定联系人。冠群金辰安全技术顾问和客户网络安全负责人及安全技术人员一起，对电信公司的业务和信息系统的具体情况进行充分分析后，提供一个《云南省电信信息系统安全策略评估结果说明书》。说明书详尽地分析云南省电信网络系统的具体安全需求。此说明书作为整个云南省电信网络系统进行安全管理的根据。针对管理、系统、应用、网络，冠群金辰公司为云南省电信提供了一系列完整的安全策略建议书，包括如下：

　　《信息安全总则制订》

　　《信息安全人员组织管理规章制定》

　　《信息安全需求分析和功能分析》

　　《信息安全管理总体纲要》

　　《信息安全评估准则》

　　《信息安全实施和管理指南》

　　《信息安全检查执行指南》

　　《信息安全紧急响应指南》

　　《信息安全保密等级制度》

　　《实施信息安全策略流程》

　　审计加固

　　整个安全评估历经60天，通过冠群金辰公司的安全顾问们检查客户网络的拓扑结构，根据网络的拓扑结构的特点，再结合网络中现有设备的安装，使用情况，做出安全分析，找出存在的安全漏洞；检查网络设备的安装、设置和使用情况，从而评估它们的安全性；检查操作系统的安全设置、漏洞修补和使用情况，根据这些情况对它们作出安全评估，找出安全隐患；针对网络设备和主机操作系统检测出来的漏洞进行相应的漏洞修补和系统升级。

　　本项目审计加固的内容包括：

　　• 各种不同品牌的交换路由设备的性能调整

　　• 宽带接入设备的安全加固

　　• 操作系统安全加固

　　• 数据库安全加固

　　• 网络安全产品优化配置

　　• 整体网络结构安全加固

　　操作系统加固优化

　　根据对操作系统安全评估所产生的安全评估报告，针对云南省电信操作系统平台所存在的安全问题（系统自身的安全漏洞，系统自身存在的安全配置问题等）和安全隐患（可能存在的病毒或者特洛伊木马等）进行有针对性的补丁加固，并在不影响系统正常工作的前提下，对系统性能进行优化。利用eTrust Access Control对关键系统进行重点固化。

　　网络设备安全加固和优化

　　依据对云南省电信网络设备的安全评估报告，对存在于网络系统中的网络设备进行安全加固和优化，包括：网络设备的安全配置，网络设备的安全加固，网络设备的优化配置等。
数据库系统加固优化

　　根据对云南省电信数据库和应用软件评估所产生的安全评估报告，对当前的数据库系统以及应用软件系统进行安全加固，主要包括加固安全补丁，修正具有安全隐患的应用软件系统，优化应用系统结构等。

　　网络结构安全加固和优化

　　根据先期对云南省电信网络的安全评估和整个信息系统的风险分析，提出网络结构加固和优化方案，主要包括：

　　•  更加合理的网络拓扑结构

　　•  提供分层次，全方位和多种保护手段的网络结构

　　• 更易于规划和管理的网络结构

　　紧急响应

　　冠群金辰提供完整的全面服务中包括当用户的网络发生任何异常情况的时候都可以请求冠群金辰的工程师到达现场做技术支持，本次项目中我们曾先后多次为云南省电信提供及时的紧急响应服务。以下简单描述一个响应过程。

　　7月12中午12：00，昆明市电信因发现网络无法正常访问向冠群金辰公司提出书面形式的一级紧急响应请求。

　　12下午2：00 公司当地技术人员首先到达现场，经过现场勘察发现照成网络堵塞主要原因是因为昆明市电信提供DNS服务的两台主机器不能提供正常的请求，查看主机后发现DNS服务器CPU资源占用率达到满负荷状态。造成整个昆明市域名解析停止正常服务，大量昆明用户无法正常访问互联网。

　　下午3：00经过冠群金辰公司远程技术指导，在主要事发网段接入网络监听设备EID，发现大量DNS并发请求，立即定位采集事发网段下相关数据包便于事后追查。

　　下午 5:00 经冠群金辰公司、昆明市电信、云南省电信三方技术协商紧急采用技术控制手段，对部分可疑地址进行封堵，情况得到有效控制。

　　晚上 8:00 冠群金辰公司安全工程师达到用户现场，并对部分网络数据做记录，根据冠群金辰公司安全服务部总部公司提出的解决方案配合用户进一步控制事态状况。

　　晚上 9:00 昆明市电信相关领导亲临现场进行工作协调及现场指挥。并向公安机关报案。

　　晚上 12:00 对封堵暂时开放，发现仍有持续攻击，于是恢复紧急封堵状态。DNS服务恢复正常。

　　7月13日上午8：30分，DNS服务再次中断，分析发现是攻击者改换IP再次发起攻击，进行封堵后，情况得到控制。

　　此后，情况趋于平静，局领导决定对此事进行调查，于是冠群金辰派出资高级安全顾问协助调查。

　　下午4：00，攻击者再次改换IP进行攻击，但已经得到控制并无任何影响。

　　晚上 8:00   冠群金辰公司高级安全顾问到达用户现场，会同三方工程师对事件进行记录分析，根据会议分析最终确定一实际IP地址目标为重点可疑对象。

　　晚上12:00  冠群金辰公司高级安全顾问根据先前到达的安全工程师提供的相关记录资料进行攻击事故分析，发现攻击者采用大量并发的DNS请求，来拒绝服务DNS主机导致CPU资源满负荷。同时发现该攻击曾有过试图冒充其他网段IP进行攻击的记录，由可以确定该攻击者是有计划有目的的一次攻击行为。通过大量记录数据的分析与比较，发现所有攻击请求包完全一样，且并发连接非常多，不是普通正常请求，同时根据TTL回应计算得出该IP为一个真实有效的地址，且证实攻击数据包来自该台主机。

　　次日协调公安追查攻击源头，事发第48个小时到达实际攻击发起源的地方并对现场进行勘察。相关攻击破坏人员已由公安机关立案调查。