基于灵畅信息漏洞、修补库和管理、配置策略库，针对用户网络、系统、数据库、管理策略进行安全控制措施实施，并有针对性地进行现有安全产品的配置优化，以低成本达到高级别的安全保障。加固依据一般基于风险评估结果之上。

安全加固流程

 

 

 

在对风险评估后，针对所涉及的网络环境、信息系统等本身特殊情况制定相对应的加固方案。

对制定的加固方案需要进行测试，反复修订加固方案，在确认无误后并做好备份、回退方案后再进行实施。

加固实施操作前，应向被服务方提交加固方案书，作为加固操作申请。在审核加固操作方案无误的情况下，安排人员配合加固工作。

实施加固和优化主要内容包含以下两个方面：

• 对涉及项进行加固
• 对加固后的涉及项进行测试验证

对有些涉及项会存在加固失败的情况，如果发生加固失败，则根据被服务对象的选择，要么放弃直接加固（选用其他降低风险的方法），要么重建系统。

加固完成后，对加固过的涉及项再次使用工具扫描，检查原有的安全威胁是否修复完成。

安全策略建立

根据用户行业内安全管理标准，遵守并贯彻国内外相关的法律法规，结合用户实际的安全管理需求，制定相应的安全管理策略。

 

 

安全策略框架

2.1安全方针

陈述信息安全的管理意图，提出企业或组织的信息安全安全目标，为今后目标明确、有组织、有计划的信息安全建设给出总体方向。

2.2安全组织体系和职责

在客户的管理体系中，设计专门进行信息安全建设和管理的组织管理体系。在体系中包括安全决策组织、决策人，安全管理组织、管理岗位和技术岗位等。设计安全组织和其他组织、部门中接口和协调关系，并对不同层次的组织和人员制定安全职责。

2.3信息安全规范、标准

信息安全标准文档是企业实施信息安全管理和技术工作的指导性标准文件，作为信息安全建设和管理的内部标准和规范。一般包括各个网络设备、主机操作系统和应用程序的应遵守的安全配置和管理的技术标准和规范；安全建设和日常管理和维护的规范。标准和规范将作为信息系统和安全系统的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，从而成为信息安全建设和管理的内部标准和规范。

2.4信息安全制度

信息安全制度和管理办法相关文档主要包括各类管理制度、管理规定、管理办法和暂行规定等。根据安全方针中规定的安全各个方面所应遵守的原则方法和指导性策略，引出的具体安全管理规定、管理办法和实施办法，这些文档必须具有可操作性，而且必须得到有效推行和实施的。

网络设备加固

根据安全策略中相关的网络安全策略，对已有的网络设备做加固措施。其策略的主要依据是根据前期安全策略的定制结果。灵畅信息的工程师在客户方确认安全策略后，在客户的协同下制定相应的加固方案。其主要包括：

• 访问控制加固
• 入侵防御、检测加固
• 反入侵、防篡改加固
• 防火墙设备加固
• 终端主机加固
• 灾难恢复及审计加固

网络结构调整

根据安全策略中相关的网络安全策略，结合网络结构的风险评估结果，对现有的网络结构做安全调整。其策略的主要依据是根据前期安全策略的定制结果。灵畅信息的工程师在客户方确认安全策略后，在客户的协同下制定相应的调整方案。

其主要包括：

• 设备冗余、链路冗余
• 安全边界防护
• 路由策略、防火墙策略调整
• 网络安全等级划分
• 网络管理措施等

系统加固

根据安全策略中相关的系统安全策略，对已有的网络系统做加固措施。其策略的主要依据是根据前期安全策略的定制结果。灵畅信息的工程师在客户方确认安全策略后，在客户的协同下制定相应的加固方案。其主要包括：

• 访问控制加固
• 反入侵加固
• 日志系统加固
• 灾难恢复及审计加固

数据库加固

根据安全策略中相关的数据库安全策略，对已有的网络数据库系统做加固措施。其策略的主要依据是根据前期安全策略的定制结果。灵畅信息的工程师在客户方确认安全策略后，在客户的协同下制定相应的加固方案。其主要包括：

• 访问控制加固
• 反入侵加固
• 日志系统加固
• 灾难恢复及审计加固

安全产品优化

根据安全策略中相关的安全产品策略，对已有的安全产品做加固措施，提升安全产品性能及其安全功能。其策略的主要依据是根据前期安全策略的定制结果。灵畅信息的工程师在客户方确认安全策略后，在客户的协同下制定相应的安全产品优化方案。其主要包括：

• 防火墙产品访问控制策略优化
• 入侵检测产品策略库优化
• 日志审计系统的优化
• 桌面终端产品的策略调整和优化

安全加固的意义

安全加固的主要意义在于确实解决风险评估中发现的技术性安全问题，经过加固后的项目应：

• 不存在高风险漏洞、中风险漏洞
• 确保用户满足安全基线要求
• 切实有效的加强加固对象的安全性能