安全服务

ego

安全行业新兴、热门话题 ：）

1. 预备技能：

1.1 技术层面：
常用UNIX系统、Windows系统、网络设备技术脆弱性评估技能
常用UNIX系统、Windows系统、网络设备安全加固技能
渗透测试（可选）
紧急响应（根据经验，最好对网络基础知识和应用系统熟悉）
会使用大厂商安全产品（企业防毒、防火墙、IDS、扫描器、RSA、ISA等）
对应用系统（SQL SERVER、EXCHANGE、域控等）会使用

1.2 安全管理
评估：管理脆弱性、机房制度、业务流程、资产等
管理标准：BS7799

2. 预期达到的目标
长期服务中以及服务期后将要达到的安全目标？

3. 服务范围限定
做好分内工作，完成安全服务工作
不能无止境的满足客户需求，避免项目镀金

4. 质量控制及保证

5. 服务确认

以上，睡觉前随便写了一些，很多地方还有待推敲，欢迎斧正。抛砖引玉，大家一起讨论讨论：）

hcjia

不算是热门话题了！而且所有的技能都是安全中低层次的！真正的安全服务可不止这些！比如，安全的应急服务，那就要求你的水平很高了！

ego

大家理解的角度不同吧，我这里想讨论的是大型企业安全服务构架

不知道楼上的朋友是否对行业熟悉，从今年起，各大安全厂商纷纷组建安全咨询和服务部门

ayazero

hcjia's remarks

ego只是从不同层面来概括，所以“中低层次”这个词用在这里不恰当

应急响应也不是水平高就能做好的，不涉及商业机密的话，不妨说说你观念中的高水平是什么样子的？！

bizzar

服务的目标很重要啊：应急响应里首先是要找出问题的原因，确定是哪一方面，最好能能确定是哪一个安全问题；其次是恢复和修补，恢复可能被破坏的系统，修补造成问题的原因；最后向用户确认该类问题不会再发生。

后面2点很难做，完全看服务人员的水平和经验，有些不可清除的木马什么的，还要说服他们重装系统

西门飞

做起来真的好难
特别是对像我这样的菜鸟哈
我觉得监控和恢复很重要
大虾指点哈

ego

从经验来看，紧急响应至少有一半情况首先需要从网络层（3层）入手，真正调查后门，尤其是rootkit的情况很少。因为如果是被职业入侵者入侵，一般是没有痕迹的，管理员当然更不可能寻求紧急响应

另外，我觉得讨论不一定非要局限在技术层面把

bizzar

调查后门无非有这么几种：
1、确实被入侵，发现一堆软件后门，有明显的漏洞和日志
2、确实被入侵，日志或进程等无法确定后门的位置
3、可能被入侵，机器出现异常，但是没有明显的证据是被入侵
后2种在响应的时候很麻烦，无法使用户彻底的放心

网络层面可以追查入侵的来源，但是需要isp或其他地方的配合。

你说的非技术层面指些什么呢？

ego

以上，除了1.1，其他都不是单指技术阿

ego

比如做服务计划的时候，是应该把责任明确些还是把责任说的含糊些，如何利用有限的资源进行工作，又能让客户比较满意？