目录
第一章 概述 ... 3
1. 项目目的 ... 3
2. 服务范围 ... 3
3.1 安全规划服务 ... 3
3.2 安全咨询服务 ... 3
3.3 运维管理体系建设服务 ... 3
3.4 安全风险评估服务 ... 4
3.5 网络及系统安全维护服务 .. 4
3.6 安全事件应急服务及体系建设服务 .. 5
3.7 安全培训服务 ... 6
第二章 安全规划服务 ... 7
第三章 安全咨询服务 ... 10
第四章 运维管理体系建设服务 .. 12
第五章 安全风险评估服务 .. 14
1 .风险评估的实现 ... 15
2. 风险识别 ... 16
3. 网络、服务器漏洞扫描 .. 18
第六章 网络及系统安全维护服务 ... 22
1. 网络、服务器安全加固 .. 22
2. 安全巡检与日志审计服务 ... 22
2.1 安全巡检服务目标 ... 22
2.2 安全巡检服务方式 ... 23
2.2.1 服务时间 ... 23
2.2.2 服务器巡检内容 ... 23
2.2.3 服务器病毒更新、查杀情况跟踪 .. 23
3. 安全设备巡检服务 .. 23
3.1 安全设备巡检服务目标 ... 23
3.2 安全设备及机房环境例行巡检 .. 24
3.2.1 例行巡检时间安排 .. 24
3.2.2 例行巡检内容 .. 24
3.2.3 巡检交付物 ... 24
3.3 安全设备策略维护 ... 24
3.3.1 安全设备策略审核标准 .. 24
3.3.2 安全设备应用模式审核标准 .. 25
3.3.3 安全设备软件审核标准 .. 25
3.3.4 安全设备管理审核标准 .. 25
3.3.5 安全设备日志审核标准 .. 25
3.3.6 安全设备最佳实践 .. 25
4. 安全公告 ... 26
第七章 安全事件应急服务及体系建设 ... 27
1. 应急处置体系 ... 27
1.1 黑客攻击时的紧急处置措施 ... 27
1.2 病毒安全紧急处置措施 ... 27
1.3 软件系统遭受破坏性攻击的紧急处置措施 ... 27
1.4 数据库安全紧急处置措施 .. 27
1.5 设备安全紧急处置措施 ... 28
2 、应急响应服务体系 .. 28
2. 提供安全事件分级与紧急响应服务 ... 28
2.1 事件分类 ... 28
2.2 事件分级 ... 29
2.3 紧急响应服务 ... 30
2.4 应急响应体系 ... 31
3. 技术支持服务 ... 32
3.1 技术支持能力 ... 32
3.1.1 技术服务支持 ... 32
3.1.2 技术服务支持模式 .. 33
第八章 安全培训 ... 37
第九章 项目时程计划与交付物 .. 38
第一章 概述
1. 项目目的
本项目目的是通过安全服务外包方式提高运维质量,做到设备资产清楚明晰、网络运行稳定有序、事件处理处置有方、安全措施有效到位、服务管理有章可循,进一步提升网络支撑能力,提高网络管理、安全管理和服务水平。
上海XXX于本项目中的定位为依据XXXX政务外网系统的实际情况,提供信息安全规划、咨询、体系建设、风险评估、培训等服务。协助XXXX科学技术委员会借助专业的安全服务团队,有效实施安全运维工作,合理增强各业务应用系统稳定性、可靠性和高效性,切实提升用户满意度,进一步促进电子政务的应用和发展。
2. 服务范围
本项目服务范围可分为七大项: 安全规划服务、安全咨询服务、运维管理体系建设服务、安全风险评估服务、网络及系统安全维护服务、安全事件应急服务及体系建设、安全培训服务。
3.1 安全规划服务
根据XXXX电子政务系统的实际情况,协助XXXX科学技术委员会进行网络与信息安全体系规划设计。在充分考虑已有及在建子系统的基础上,参照国际主流相关标准,提供科学合理、先进可行、经济实用的短期、中期及长期安全体系规划方案,并可以依据XXXX科学技术委员会规划要求,提供安全体系规划方案,有效指导XXXX电子政务系统网络与信息安全体系的建设和发展。
3.2 安全咨询服务
以信息安全助手与专家的身份为XXXX科学技术委员会提供电子政务系统日常运维及新建子系统时涉及安全方面的咨询服务。定期或不定期提供电子政务建设发展的安全分析建议及网络与信息安全的相关问题解答及解决方案等。
3.3 运维管理体系建设服务
服务提供方参照国际主流相关标准协助XXXX科学技术委员会进行电子政务系统运维管理体系建设及完善。研究制定安全管理制度及安全操作规范,设计策划运维人员(包括XXXX科学技术委员会运维人员和各种运维服务供应商技术人员)组织结构及职责分工,并进行考核体系建设,逐步实现安全风险管理与控制,确保运维工作优质有序进行,该服务至少包括以下几项内容:
(1)建立并完善健全规章制度、规范操作流程,包括制定各项安全管理规定、服务支持流程、安全管理流程等;
(2)设计运维岗位及职责分工等;
(3)建设并完善确立考核体系,包括XXXX科学技术委员会运维人员考核、各种运维服务供应商评价等。
3.4 安全风险评估服务
至少每季度立足于XXXX政务外网系统现状,从机房环境、硬件设备、系统软件、网络结构等多方面对系统进行整体安全风险评估,识别出面临的风险,并以风险度高低进行排序,使XXXX科学技术委员会充分了解安全风险状况,有利于在计划安全控制实施费用与安全故障而导致的业务损失之间取得平衡,以便更有针对性地确定安全需求,有效提高正确决策能力。
3.5 网络及系统安全维护服务
对目前XXX主要应用系统提供检测和技术支持。包括对新进应用系统的服务器安装、应用系统配置、网络设置进行整理,对应用系统开发商提供的安装介质、配置文档进行验收。在应用系统开发公司保修期后,技术外包公司能够处理系统或重新部署应用系统。
服务提供方根据XXXX政务外网系统的实际情况,制定切实可行的安全维护计划并有效实施,确保网络与系统正常运行,至少包括以下几项内容:
(1) 网络、服务器漏洞扫描
由于安全是动态的,原来被认定为安全的系统也许会随着新的漏洞的出现而逐渐降低其安全性,所以服务提供方应每月为XXXX科学技术委员会提供至少一次网络、服务器漏洞扫描服务,及时发现存在的漏洞,并由安全专家对漏洞进行分析,提出相应的解决方案。
(2)网络、服务器安全加固
服务提供方根据需要不定期为XXXX科学技术委员会提供网络、服务器安全加固服务,针对系统中存在的安全隐患,采取相应改进措施,进行安全优化。
(3)安全日志审计
服务提供方每月为XXXX科学技术委员会提供至少一次安全日志综合审计服务,由安全专家对网络设备、安全设备、服务器和应用服务等日志进行客观深入分析,并产生相应的安全审计报告,如发现安全问题,应提出相关建议。
(4)病毒检测和响应服务
服务提供方每月为XXXX科学技术委员会提供至少一次病毒检测服务,并在发现病毒时进行病毒查杀,如杀毒软件无法清除此病毒,服务提供方将研制开发专杀工具,同时负责联系相关公司,尽快升级病毒库,以确保病毒问题的彻底解决。
(5)安全公告
服务提供方应根据需要不定期提交安全公告,及时告知XXXX科学技术委员会安全业界内最新的信息安全漏洞、病毒状况及发展趋势等,并提供相应的应对方案,避免由此引起安全事件的发生。
3.6 安全事件应急服务及体系建设服务
快速响应XXXX政务外网系统的紧急安全事件(包括黑客入侵、病毒大规模爆发、数据意外丢失等事件),在最短时间内解决问题,恢复正常工作,并积极采用预防措施和恢复控制相结合的方式,合理构建安全应急体系,以有效提高安全事件处理能力,缩短故障排除时间,最大限度减少由此引起的损失和不利影响,至少包括以下几项内容:
(1)设有7×24小时专用服务热线电话,对所有呼叫应在30分钟内响应,如需提供现场技术支持,2小时内到达现场作相应操作,处理完毕后出具分析报告、解决方案及防范措施;
(2)每月对所有应急安全事件的处理情况进行一次汇总、分析并提出相关建议;
(3)针对XXXX政务外网系统现状编制安全事件应急预案,后期进行维护与调整;
(4)每年对安全事件应急预案进行一次演练,并对应急预案演练的效果进行评估,对应急预案演练中存在的问题,应提出改进意见,如果问题突出,改进后重新进行演练。
3.7 安全培训服务
负责XXXX各区级机关信息化管理人员的安全培训,应包括三种不同级别的培训内容:
(1)管理员上岗培训(每年至少二次)
本培训适用于XXXX政务外网各接入单位的信息化管理人员。对其进行日常网络与信息系统管理工作培训及计算机基础安全技术培训,使管理人员具备基本信息化管理的知识和能力。
(2)安全中级技术培训(每年至少二次)
本培训适用于XXXX科学技术委员会信息化管理人员。通过此项培训,管理人员可以掌握常用的安全技术和手段,达到能够发现和处理常见安全故障的水平。
(3)安全高级技术培训(每年至少二次)
通过此项培训,管理人员能够深入了解各种安全管理标准、网络攻击技术及防御措施,能熟练分析及处理日常工作中遇到的绝大多数安全问题。
第二章 安全规划服务
本公司按照下图“规划框架”来开展信息系统整体规划的工作。
在该框架中,紧密整合了经营管理战略、业务需求、技术能力和管理规范,以战略和业务为先导,围绕未来信息系统的整体架构,深入分析和阐述了未来的应用系统和集成整合,并规划了对信息应用进行支持的基础软件和网络硬件系统以及安全管理策略;在此基础上,提出了信息系统的整体实施计划和信息技术管理规范。
图例:信息化建设战略规划框架
战略规划框架中各部分的主要内容包括:
1) 信息技术战略明晰
Ø 经营管理战略: 通过了解企事业单位整体的经营战略、管理模式和组织架构,理解发展面临的主要挑战和关键业务策略和计划,从而确保信息技术战略的制定从根本上符合企事业单位发展的长远目标。
Ø 现状需求分析: 了解企事业单位信息技术应用现状和目前的信息技术应用对业务和管理带来的限制,明确未来对信息技术应用的主要需求,并据此分析现状与需求的差距,为未来信息系统架构设计奠定基础。
Ø 信息技术战略: 根据企事业单位整体的经营战略和信息技术应用的现状和需求,明晰在信息技术应用上的整体战略,以使信息化建设能够按照既定的原则方向统一规划、统一实施。
2) 信息系统蓝图架构
Ø 信息系统架构: 根据企业信息技术整体战略和主要业务需求,规划企业未来的信息系统架构蓝图,明确各应用软件的角色和相互关系、以及对业务需求的匹配情况。
Ø 应用系统架构: 分析信息系统整体架构内各应用系统的主要功能和在企业中的相应作用,建议各应用系统的推行方式和主要套装软件的产品和供应商参考。
Ø 应用集成: 分析各应用系统之间的信息流流转衔接关系、信息和数据接口和集成关系,从而明确各应用系统之间的集成点和集成方式。
Ø 基础软件架构: 通过分析应用系统及其整合对操作系统、数据库等基础软件系统的技术要求,规划能有效支持信息应用的基础软件架构。
Ø 硬件网络架构: 通过分析应用系统的分布情况、信息用量、数据传输内容、可靠性、安全性和实时性的要求,规划和优化网络及硬件整体架构,以满足对稳定、可靠、可扩展的网络信息应用的需求。
Ø 网XXX全管理: 基于信息应用对网络管理和安全的需要,结合基础软件和网络硬件平台的技术要求,规划有效的网络管理和安全策略以及可以运用的相关技术和管理手段,以保障企事业单位各项信息应用的正常开展。
3) 信息系统实施规划
Ø 整体实施计划: 对规划中的应用系统的实施进行优先级排序,明确信息系统规划的整体实施时间、步骤和各阶段的主要工作任务;制定对现有系统进行迁移/转换的过渡阶段的工作和时间建议;同时对信息系统规划中各应用系统建设项目所需投入的整体资源和人力资源作初步的预计。通过整体实施计划的制定,为企业落实规划内容、推动信息化建设指明了行动计划。
4) 信息技术管理规范
Ø 信息技术管理: 明确与信息系统配套的信息技术管理组织架构和部门的主要职责,并根据信息技术管理的主要流程,规划信息技术管理规范及标准操作手册,以推动企事业单位从技术和管理两个方面提高信息技术应用和管理的水平。
第三章 安全咨询服务
上海XXX将以信息安全助手与专家的身份为XXXX科学技术委员会提供电子政务系统日常运维及新建子系统时涉及安全方面的咨询服务。定期或不定期提供电子政务建设发展的安全分析建议及网络与信息安全的相关问题解答及解决方案等。
上海 XXX 凭借多年经营积累起来的信息安全培训体系和咨询服务体系,以充足而完备的内容和资源,将 ISO27001 、、 ISO13335 、 SSE-CMM 、 ITIL 、 CoBit 等最佳实践的精髓恰当地移植给用户单位,充分发掘用户真正的需求,提升企事业单位信息安全整体意识,增强相关人员的技术技能,巩固和完善企业信息安全管理体系,开拓 IT 服务管理的眼界和思维,建立稳妥的业务持续性计划,使信息安全和 IT 服务真正成为企业整体发展的助动之力。
随着业务支撑 IT 化不断深入,网 XXX 全虽然提高了,但是网 XXX 全并不意味着信息安全。信息安全除了要有硬件上的支持,还需要有管理上的保障。信息安全咨询服务(其中包括安全评估)从组织、管理、技术等多层角度剖析客户安全状况,并针对系统的安全状况提出一系列的安全解决方案,协助客户建立一套更加完善的安全管理体系。
Ø 服务成果:
上海 XXX 提供的信息安全咨询服务旨在帮助客户制定满足其全面的、多层次的、可行的、稳定性和灵活性兼顾的、并且遵循国际通行标准的信息安全管理体系。
策略体系涵盖的内容包括(不限于此):
人员安全策略
物理环境安全策略
硬件设备和基础设施安全策略
网络通信与操作管理策略
系统开发和维护策略
数据存储和使用策略
访问控制策略
备份策略
病毒防范策略
安全设备配置策略(防火墙、 IDS 、 VPN 等)
安全审计计划
风险评估程序
风险处理程序
变更管理程序
配置管理程序
应急响应计划
业务连续性和灾难恢复计划
第四章 运维管理体系建设服务
上海XXX将以“体系化”的思路构建一整套行之有效的“持续改善机制”,面向业务和应用、以服务为导向、创建创新性的政府IT运维管理体系。
IT 运维管理体系涵盖管理目标、组织管理模式、制度规范体系及技术支撑体系等四个层面的内容。
图: IT 运维管理体系四层架构模型
(1) 管理目标层: IT 运维管理体系的建立要面向业务,以业务需求和目标为出发点,制定 IT 运维管理的愿景、目标(长期和短期目标)和策略。确保在目标层面, IT 与业务的融合。
(2) 组织管理层:确定和规范 IT 运维管理体系运行的管理方式和与之相配套的人员岗责安排、机构设臵,将 IT 服务相关的全部活动进行统一决策与规划,形成集中统一的 IT 运维管理机制,实现对用户的端到端服务。在集中统一的 IT 运维管理模式下,按照 IT 运维管理任务科学设臵或调整组织机构,划分任务、角色、岗位,合理配臵 IT 运维管理资源,达到人、工具、流程的有机融合。
(3) 制度规范层:分别从管理与操作方面建立 IT 运维管理过程中各个参与要素(人、流程、工具)的行为准则与工作程序,从 IT 运维管理体系总体运行、流程执行和岗位职责三个层次建立考核评价体系,确定运维费用的组成与计算方式,规范运维费用的来源保障,实现 IT 运维管理的量化管理。具体内容包括管理制度的制定、管理流程的设计、评价考核体系的执行、运维费用的管理等。
(4) 技术支撑层:建立针面向业务用户的 IT 服务请求响应窗口和面向技术支持人员的体系运行管理窗口,建立负责 IT 运维管理流程运行的流程管理平台和负责 IT 基础设施和业务应用系统运行监控的集中监控管理平台,根据不同类型 IT 基础设施和业务应用系统的管理职能,建立技术管理子系统,建立知识库、配臵库、报表及日常操作等共享支持子系统和为业务管理提供服务的业务运维管理子系统。
第五章 安全风险评估服务
上海XXX的安全评估服务包括全面的风险评估服务、远程安全扫描、本地安全评估、应用安全评估和渗透性测试等多种方式,通过安全评估服务可以帮助企事业单位明确目前信息系统或者应用系统面临着什么样的信息安全风险,同时在业务发展过程中可能会遇到什么安全问题?安全风险可能导致的损失是多少?当前主要的安全威胁是什么,应如何划分安全区域和安全建设的优先级等一系列问题。
安全评估服务包括如下模块:
| 模块名称 | 模块说明 |
| 全面风险评估 | 全面风险评估是对信息系统的影响、威胁和脆弱性进行全方位评估,归纳并总结信息系统所面临的安全风险,为信息系统的安全建设提供决策依据。 |
| 远程漏洞扫描 | 利用安全评估系统对客户信息系统进行远程技术脆弱性评估。 |
| 本地安全检查 | 利用安全工具和人工服务对客户信息系统进行远程或本地的技术脆弱性评估。 |
| 应用安全评估 | 利用人工或自动的方式,评估客户应用系统的安全性并协助进行改善和增强。 |
| 渗透测试评估 | 利用各种主流的攻击技术对网络做模拟攻击测试,以发现系统中的安全漏洞和风险点。 |
对于一个完整的可运行的应用系统(通常为B/S结构或C/S结构)来说,一般由支持这个应用系统的网络环境(包括网络设备和线路)、操作系统、应用系统服务程序组成。因此广义的应用安全评估包括了对整个应用系统从应用系统网络结构、操作系统到应用程序设计与实现本身三个层次的评估;而狭义的应用系统评估则仅包括应用系统的程序设计与实现这一个层次的评估。
对于网络层次的安全评估更多的关注应用系统部署时所使用的网络环境的可用性和保密性,主要包括:
网络结构的合理性
网络冗余设计
网络访问控制设计
网络层次加密技术的应用
…….
对于操作系统层次的评估主要集中在系统层次方面的漏洞,包括:
操作系统的补丁安装情况
操作系统对外提供的通用网络服务安全
操作系统的审计能力
操作系统的口令策略
其他安全漏洞
……
由于应用系统程序通常安装在通用操作系统上,因此保证操作系统自身的安全性,是保证应用系统安全性的重要基础。我们建议在对已经投入使用的应用系统进行评估时,尽量安排对操作系统安全性的评估。
另外该阶段完成管理上的文档的审核工作,审核的相关内容如下:
内部的安全管理制度;
管理组织架构;
各部门信息系统的工作性质;
不同部门之间的业务数据流;
工作人员的安全意识,安全知识;
曾经遇到的安全威胁及解决办法。
1 .风险评估的实现
工作流程
l 第一步:整理资产清单
l 第二步:对威胁进行识别
l 第三步:对脆弱性进行识别
l 第四步:对现有的、计划的防御措施进行识别
实现方法
l 调查问卷;
l 专家访谈;
l 漏洞扫描工具;
l 入侵检测工具;
l OCTAVE 方法;
输出文档
l 资产清单
l 威胁清单
l 脆弱性清单
l 防护措施清单
l 安全管理调查结果
2. 风险识别
各风险要素的识别工作,可以考虑从以下几个方面进行:
l 网络结构
n 网络主要包括子网的划分情况
n 边界出口情况。
n 内部工作人员对内部服务器和互联网的访问权限。
n 外部用户可以通过公共网访问内部服务器的权限。
n 网络设备对网络流量的适应情况,包括流量、并发连接等。
n 网络设备、服务器等对灾难的冗余情况。
n 对于公共网络的冗余情况
n 内部网络的VLAN划分情况
n 涉密网络和非涉密网络的隔离情况等
l 网络设备
n 网络设备配置是否安全;
n 交换机VLAN划分是否合理;
n 路由设置是否合理;
n 网络设备是否启用SNMP服务,如果启用,是否修改了缺省community string设置。
n 是否允许远程对网络设备进行管理,如果允许,是否使用安全隧道的方式。
n 各网络设备是否升级到了最新的系统版本,安装最新的补丁;
n 各网络设备操作系统是否存在安全漏洞;
n 各网络设备是否启用了不必要的服务,开放了不必要的端口;
n 登录方式中是否存在弱口令;
n 网络设备是否由专门的人员负责管理;
n 是否存在完善的日志功能。
l 安全设备
n 防火墙位置是否合理;
n 防火墙是否能够阻断未授权的访问;
n 防火墙是否能够阻断外部网络对未公开服务的访问;
n 防火墙是否错误的阻断了正常的网络访问;
n 防火墙是否能够有效的阻断DOS,DDOS攻击;
n 防火墙日志纪录是否安全,完善;
n 防火墙是否能够与其他安全设备进行有效的联动;
n 网络内是否设置了IDS设备;
n IDS 设置是否合理,能够有效的监测到可能的攻击;
n IDS 是否存在严重的漏报,误报现象;
n IDS 是否能够同时进行模式匹配和异常监测;
n IDS 是否设置了合理的报警策略;
n IDS 日志纪录是否完善;
n IDS 是否提供灵活,强大的查询和报表功能;
n 抗DDOS设置是否合理,能够有效的监测到可能的攻击;
n 抗DDOS是否能够抵御相应的攻击行为;
n 网络内是否存在防病毒系统;
n 是否有统一的防病毒策略;
n 是否能够有效的过滤包括邮件病毒,宏病毒,蠕虫病毒在内的各种病毒。
n 防病毒系统是否具有统一的升级策略;
n 是否存在统一的安全管理平台,安全审计平台。
l 主机系统
n 是否安装最新的补丁;
n 是否开启不必要的服务和端口;
n 是否存在不必要的用户和组;
n 是否有严格的权限管理;
n 是否存在弱口令;
n 是否起用了安全的远程管理方式;
n 是否存在不安全的配置;
n 是否每台主机都有明确的属主或管理者;
n 是否存在不安全的网络通路;
n 是否配置了合理的本地安全策略,审计策略,账户策略。
l 业务系统
n 了解业务系统数据流的方向;
n 了解业务数据的访问权限;
n 了解业务数据的存储方式;
n 了解业务数据的备份方式;
n 了解WEB服务器的工作方式;
n 了解邮件服务器的工作方式;
n 了解文件服务器的工作方式;
n 了解DNS服务器的工作方式;
n 了解数据库的工作方式;
3. 网络、服务器漏洞扫描
脆弱性扫描
使用漏洞扫描软件从受保护网络边界内部和边界外部,对网络上存在的主机和网络设备进行扫描,探测这些进行主机和网络设备可能存在的漏洞。(由于漏洞扫描存在漏报和误报现象,所获得的扫描结果的真实性,往往还需要本地风险评估和与用户进行沟通确认),为渗透性测试提供技术基础。
服务器安全扫描工具
| 服务内容 | 评估工具 |
| 网站数据库安全评估扫描 | Shadow Database Scanner /DAS-DBSCA |
| 服务器系统安全评估扫描 | NESSUS/Shadow Database Scanner/MBSA |
| 漏洞扫描 | 人工安全验证 |
| 服务器监控预警 | Webcare 基于业务架构的预警平台 |
漏洞扫描涵盖了的主体程序:
l 确定评估范围
l 检测评估范围内的主机和网络设备
l 检测开放的端口
l 检测系统中详细服务
l 检测相应服务的安全性
l 检测存在的系统帐号
l 检测帐号的口令强度
l 检测系统共享情况
l 检测系统未安装的补丁情况
l 核实漏洞扫描结果
主机系统风险评估内容
主机系统风险评估主要的程序(具体情况需要和 XXXXX 协商确定):
l 确 定评估范围和系统
l 检测开放的端口
l 检测系统中详细服务
l 检测相应服务的安全性
l 检测存在的系统帐号
l 检测帐号的口令强度
l 检测系统共享情况
l 检测系统安装的补丁情况
l 检测日志中的可疑记录
l 检测是否存在异常的文件访问
l 检测系统中是否存在可疑的进程
防火墙风险评估
防火墙风险评估的主要程序(具体情况需要和 XXXXX 协商确定):
l 检 测软件和硬件版本
l 检测防火墙策略
l 检测防火墙的配置(IP地址、应用的规则、NAT、代理、远程管理等)
l 检测操作系统的安全性(包括文件权限、用户帐号、安全补丁和热补丁)
网络设备风险评估
网络设备风险评估的主要程序(具体情况需要和 XXXXX 协商确定):
l 检测软件和硬件版本
l 检测交换机策略
l 检测交换机的配置(IP地址、VLAN划分、应用的规则、远程管理等)
l 检测操作系统的安全性(包括文件权限、用户帐号、安全补丁和热补丁)
渗透性测试
渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统,以发现操作系统和任何网络服务,并检查这些网络服务有无漏洞。 通过扫描、评估等方式发现安全漏洞,以及模拟黑客攻击对系统和网络进行非破坏性的攻击性测试。渗透测试可以发现逻辑性更强、更深层次的漏洞,并直观反映漏洞的潜在危害。
渗透测试主要程序包含以下内容:
l 信息收集
l 安全扫描
l 远程溢出攻击测试
l 口令攻击测试
l sql injection 攻击测试
l web 逻辑验证攻击测试
l 服务器应用系统攻击测试
l 权限提升测试
综合脆弱性扫描的结果,完成信息收集和分析结果后,选择合适的时间对所测试的服务器开始进行模拟攻击,攻击方式如下:
1) 利用sql injection技术进行检测和攻击
2) 利用弱点进行检测和攻击
3) 对权限设置不当的目录进行攻击测试
4) 利用欺骗技术尝试得到主机控制权,测试安全管理和安全意识的质量
5) 对关键服务器进行黑盒安全测试看有无敏感目录和文件
6) 在信息收集中判断出哪些是不应该泄露的敏感信息
7) 了解应用服务器的功能,评估出哪些功能会影响到服务器安全性
8) 根据扫描器扫描出的结果利用相关的黑客技术进行攻击
9) 根据服务器开放的服务在漏洞公告中查找是否出现了最新的或可利用的漏洞
10) 对身份登录表单进行远程口令暴力猜解
11) 对远程登录服务进行远程口令暴力猜解
12) 对服务器开放的服务程序的输入变量进行发送超大数据包看是否有安全问题
13) 如果得到了一台机器的控制权,就利用这台机的资源去攻击其他攻击,尝试扩大权限,发现更多的安全问题
14) 尝试远程溢出攻击
15) 尝试去利用口令破解软件去破解系统口令
提交文档
《安全风险评估调查表》
《工具扫描报告分析报告》
《手工检查分析报告》
《安全风险评估分析报告》
《安全加固建议》
第六章 网络及系统安全维护服务
1. 网络、服务器安全加固
| IT 基础构架以及优化 | ||
| 服务类别 | 服务项目 | 服务内容说明 |
| IT 基础构架以及优化 | 操作系统优化、升级、加固 | 针对各类操作系统的性能优化、补丁及安全配置加强 |
| 数据库优化、升级、加固 | 针对各类数据库的性能优化、补丁及安全配置加强 | |
| 网络设备的配置优化、系统加固 | 路由器、交换机的配置优化与系统升级 | |
| 安全管理优化 | 针对客户的安全管理制度,人员管理和运营流程进行优化设计 | |
| 网络体系结构的优化设计 | 整个网络体系的优化设计 | |
| IT 基础架构整体构建 | 根据用户需求,提供整体的IT解决方案 | |
2. 安全巡检与日志审计服务
2.1 安全巡检服务目标
每月对机房内的服务器进行巡检,达到服务器本身的安全
每月对服务器进行漏洞检测工作,保证服务器的系统补丁、安全更新无遗漏
针对服务器漏洞或弱点,进行针对性的安全加固
对服务器系统、数据进行备份策略的制定。保证数据的完整性
对服务器系统日志,病毒更新日志进行收集及分析
加强服务器监控能力
2.2 安全巡检服务方式
2.2.1 服务时间
| 服务内容 | 服务时间 | 交付物 | 备注 |
| 服务器巡检 | 1 次/每月 | 巡检报告 | |
| 服务器漏洞扫描 | 1 次/每月 | 漏洞扫描报告 加固方案 | |
| 数据备份服务 | 按备份策略自动实施 | | |
| 服务器监控 | 常态服务(实时) | 性能月报 | |
2.2.2 服务器巡检内容
l 服务器硬件状态:磁盘、CPU、Memory
l 服务器安全更新安装情况:微软更新、LINXUE更新、WEB应用更新
l 服务器防病毒定义更新状况
l 系统日志审计:系统日志、应用日志、安全日志
l 服务器安全策略检查:管理员帐号、密码策略、用户安全策略
l 应用安全检测:IIS、MSSQL或者其他类似应用系统
l 安全巡检报告范例如下
2.2.3 服务器病毒更新、查杀情况跟踪
基于防病毒系统平台,对于所有的管辖范围内的客户端、服务器、都可以根据自定义策略进行报告的制作。可以时时的,阶段性的跟踪哪些主机中毒频率比较高,病毒定义更新是否正常等状态。
3. 安全设备巡检服务
3.1 安全设备巡检服务目标
Ø 对机房内的完全设备及机房环境进行巡检
Ø 安全设备故障响应
3.2 安全设备及机房环境例行巡检
3.2.1 例行巡检时间安排
Ø 每月一次对安全设备及机房环境进行巡检
3.2.2 例行巡检内容
Ø 安全设备日志
Ø 安全设备硬件状况
Ø 安全设备策略
Ø 机房温度、湿度、电力、空气质量等检查
3.2.3 巡检交付物
Ø 网络设备检测报告
Ø 机房环境检测报告
3.3 安全设备策略维护
3.3.1 安全设备策略审核标准
Ø 安全策略应使用最小安全原则,即除非明确允许,否则就禁止
Ø 安全策略应包含基于源IP地址、目的IP地址的访问控制
Ø 安全策略应包含基于源端口、目的端口的访问控制
Ø 安全策略应包含基于协议类型的访问控制
Ø 安全策略可包含基于MAC地址的访问控制
Ø 安全策略可包含基于时间的访问控制
Ø 应支持用户自定义的安全策略,安全策略可以是MAC地址、IP地址、端口、协议类型和时间的部分或全部组
3.3.2 安全设备应用模式审核标准
Ø 对于内部网络访问外部网络应采用NAT转换形式
Ø 不能设置为透明模式
3.3.3 安全设备软件审核标准
Ø 软件应为最新版本且通过官网的测试
3.3.4 安全设备管理审核标准
Ø 管理应具备完善的访问审核机制
Ø 远程维护应该通过VPN进行管理
Ø 远程IE维护界面应开启SSL安全设置,关闭TELNET功能
Ø 用户必须按照权责规范,实行权限最小化原则,给予合适的访问运维管理策略
3.3.5 安全设备日志审核标准
Ø 应记录所有相关日志,并且有日志收集服务器
Ø 日志记录级别应该从最低级别开启,记录相关操作内容
Ø 日志传输应该通过VPN或SSL通道进行收集备案
3.3.6 安全设备最佳实践
| 序号 | 审核项目 | 审核步骤方法 | 审核结果 | 补充说明 |
| 1 | 安全策略审核 | 检查安全策略的设置是否合理: 1、 检查是否只开放了必须要开放的端口 2、 检查是否禁止了所有不必要开放的端口 3、 检查是否设置了防 DOS 攻击安全策略 4、 检查是否设置了扛扫描安全措施 | | |
| 2 | 应用模式安全审核 | 采用何种应用模式(透明、 NAT 、路由),是否采用了必要的 NAT 、 PAT 措施隐藏服务器及内部网络结构 | | |
| 3 | 软件检查 | 检查操作系统是否为最新版本、是否安装相应的安全补丁 | | |
| 4 | 管理检查 | 1、 检查过什么方式进行管理,是否为安全管理方式 2、 检查是否根据权限不同进行分局管理 3、 检查口令设置情况,口令设置是否满足安全要求 | | |
| 5 | 日志检查 | 1、 检查日志设置是否合理,是否有所有拒绝数据包的记录日志 2、 检查日志保存情况,所记录的日志是否有连续性 3、 检查防火查看情况,网 XXX 全管理员是否按照防火墙管理制度对安全设备进行日常维护 | | |
4. 安全公告
上海XXX根据需要不定期提交安全公告,及时告知XXXX科学技术委员会安全业界内最新的信息安全漏洞、病毒状况及发展趋势等,并提供相应的应对方案,避免由此引起安全事件的发生。
除了定期书面或电子文档的安全公告通知外,上海XXX另提供公众化服务平台 ,提供各种信息安全风险公告与业界动态新闻。
第七章 安全事件应急服务及体系 建设
1. 应急处置体系
1.1 黑客攻击时的紧急处置措施
Ø 当有网页内容被篡改,或通过入侵检测系统发现有黑客正在进行攻击时,首先应将被攻击的服务器等设备从网络中隔离出来,同时向领导汇报情况。
Ø 妥善保存有关记录及日志或审计记录。
Ø 技术人员立即进行被破坏系统的恢复与重建工作。
1.2 病毒安全紧急处置措施
Ø 当发现计算机感染有病毒后,应立即将该机从网络上隔离出来。
Ø 对该设备的硬盘进行数据备份。
Ø 启用反病毒软件对该机进行杀毒处理,同时进行病毒检测软件对其他机器进行病毒扫描和清除工作。如发现反病毒软件无法清除该病毒,应立即向领导报告。
Ø 经技术人员确认确实无法查杀该病毒后,应作好相关记录,同时立即向信息技术人员报告,并迅速研究解决问题。
Ø 如果感染病毒的设备是服务器或者主机系统,经领导同意,应立即告知各下属单位做好相应的清查工作。
1.3 软件系统遭受破坏性攻击的紧急处置措施
Ø 重要的软件系统平时必须存有备份,与软件系统相对应的数据必须有多日备份,并将它们保存于安全处。
Ø 一旦软件遭到破坏性攻击,应立即向技术人员、网络管理员报告,并将系统停止运行。
Ø 网站维护员立即进行软件系统和数据的恢复。
1.4 数据库安全紧急处置措施
Ø 各数据库系统要至少准备两个以上数据库备份。
Ø 一旦数据库崩溃,应立即向技术人员报告,同时通知各下属单位暂缓上传上报数据。
Ø 信息安全员应对主机系统进行维修,如遇无法解决的问题,立即向上级单位或软硬件提供商请求支援。
Ø 系统修复启动后,将第一个数据库备份取出,按照要求将其恢复到主机系统中。
Ø 如因第一个备份损坏,导致数据库无法恢复,则应取出第二套数据库备份加以恢复。
Ø 如果两个备份均无法恢复,应立即向有关厂商请求紧急支援。
1.5 设备安全紧急处置措施
Ø 小型机、服务器等关键设备损坏后,有关人员应立即向相关技术人员通知。
Ø 相关技术人员应立即查明原因。
Ø 如果能够自行恢复,应立即用备件替换受损部件。
Ø 如果不能自行恢复的,立即与设备提供商联系,请求派维修人员前来维修。
2 、应急响应服务体系
2. 提供安全事件分级与紧急响应服务
事件的分类分级,用于信息安全事件的防范与处置,为事前准备、事中应对、事后处理提供一个整体事件防范与处置的基础。
2.1 事件分类
根据信息安全事件发生的原因、表现形式等,可将各信息安全事件归纳为六大类。
Ø 恶意程序事件:
包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、攻击程序事件、网页内嵌恶意代码事件和其它有害程序事件等7个第二层分类。
僵尸网络是指网络上受到黑客集中控制的一群计算机,它可以被用于伺机发起网络攻击。
Ø 网络攻击事件:
包括 拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件等7个第二层分类。
Ø 信息内容安全事件:
包括 网页篡改、伪造网站等2个第二层分类。
Ø 灾害性事件:
是指由于不可抗力对信息系统造成物理破坏而导致的信息安全事件。
Ø 其他信息安全事件:
指不能归为以上5个基本分类的信息安全事件。
2.2 事件分级
对信息安全事件的分级可参考下列三个要素:信息系统的重要程度、系统损失和社会影响。系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织和国家所造成的损失,其大小主要考虑恢复系统正常运行和消除安全事件负面影响所需付出的代价。
Ø 重大事件(Ⅰ级) :
指能够导致严重影响或破坏的信息安全事件,使重要信息系统遭受重大的系统损失,即造成系统长时间中断或瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,对于事发组织是无可承受的;或使重要信息系统遭受特别重大的系统损失。
Ø 较大事件(Ⅱ级) :
指能够导致较严重影响或破坏的信息安全事件。使重要信息系统遭受较大的系统损失,即造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是可以承受的;或使重要信息系统遭受重大的系统损失、一般信息信息系统遭受特别重大的系统损失。
Ø 一般事件(Ⅲ级) :
一般事件是指能够导致较小影响或破坏的信息安全事件,会使重要信息系统遭受较小的系统损失,即造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
2.3 紧急响应 服务
上海 XXX 透过内、外网自动监控手段并辅以人工测试方式,可将前文所列的各类事件的严重等级及通告时限进行划分定义,说明如下:
| 等级 | 分类等级说明 | 相关事件 | 事件响应时效要求 |
| Ⅰ 级 | 属于重大安全事件 | 1. 挂马 2. 恶意代码 3. 跨站脚本 4. 病毒事件 5. 网页篡改 6. 域名挟持 7.DDoS 攻击 8. 钓鱼 / 伪造网站 9. 长时间网站无法访问 | 立即通报信息委,并配合网站管理员及运营商进行事件紧急响应处理及追踪。 |
| Ⅱ 级 | 属安全隐患性的较大事件 | 1. 可疑开放端口 2.SQL 注入漏洞 3. 扫描发现的系统及 Web 应用漏洞。 | 半 小时内作出响应,一个工作日内完成详细安全风险评估报告及解决方案提交网站管理员,并配合网站管理员对漏洞进行安全加固服务。 |
| Ⅲ 级 | 属一般告警事件,此类事件发生时,对网站系统运行的影响较小或影响性是短暂的 | 1. 网站出现瞬间中断 2. 域名解析故障 | 持续观察并记录发现问题的时间与不同症状,每日以文档记录形式发送通报网站管理员。 |
n 各级故障事件的最晚响应时间为:
| 响应时间 | 一级故障事件 | 二级故障事件 | 三级故障事件 |
| 15 分钟 | 技术服务人员 技术支持专家 | | |
| 45 分钟 | 技术支持专家 | 技术服务人员 | |
| 1 小时 | 事业部总经理 分管副总经理 | 技术支持专家 | 技术服务人员 |
| 2 小时 | 总经理 | 事业部总经理 分管副总经理 | 技术支持专家 |
n 排障时间
‐ 优先级I:1 小时内提交解决方案,在数据中心同意的情况下控制状态,保证运营系统能提供基本服务。12小时内完全解决事故或明确故障原因;
‐ 优先级II:2小时内提交解决方案,在数据中心同意的情况下控制状态,保证受影响系统能提供基本服务。24小时内完全解决事故或明确故障原因;
‐ 优先级III:12小时内提交解决方案,在数据中心同意的情况下控制状态,保证受影响系统能提供基本服务。24小时内完全解决事故或明确故障原因;
2.4 应急响应体系
按照安全服务体系,我们首先将为客户制订应急响应规划,在充分了解数据中心的现状和安全需求后,分析数据中心可能发生的紧急事件,并制订一套应急响应规划。
应急响应规划为用户提供了一套行为的指南,当紧急事件发生时,系统管理员可以及时的确定如何采取措施应对紧急事件,提高对紧急事件的处理效率。
3. 技术支持服务
3.1 技术支持能力
秉着“ IT 服务中国”的服务宗旨,我公司多年来不断改进服务体系,努力提高服务质量,为用户提供全方位的安全系统服务。
我公司的服务体系主要由客户服务呼叫中心、项目管理部、客户服务部、技术服务中心等部门组成。在本项目中,我公司将针对用户实际情况,我公司将成立专门的项目小组,在人员和技术上给予此项目最大支持和保障。
3.1.1 技术服务支持
技术中心是 XXX 公司的技术服务支持部门,向客户提供技术服务,用专业化的 IT 技术和服务精神为客户提供全面的、规范化的、高品质的技术服务。技术响应中心( Call Center )是技术中心面向客户的售后技术服务部门,并且是技术服务的统一窗口,根据客户故障问题的情况调动技术中心资源来解决客户的问题。
我公司技术支持体系向客户提供三级的技术服务支持,统一客户技术服务窗口,利用客服电话、直线电话、 Web 、 Email 、传真等受理方式对客户进行技术服务,及时响应以及解决客户的问题。
3.1.2 技术服务支持模式
为了使得技术服务支持更方便于客户以及保证服务质量,我公司建立了一整套较为完善的技术服务支持模式: Call Center + Case 跟踪系统。
技术响应中心工作流程 :
我们的技术服务体系支持模式集 Call Center 和 Case 跟踪系统优势于一体。
Ø 集中受理客户的问题,便于统一管理,有效监控服务进程。
Ø 响应的及时性和连续性,座席和工程师7*24小时值班响应及时,并且工程师专门处理客户的问题达到问题处理的连续性
Ø 统一调配技术资源,根据客户信息资料,分配合理资源,提高工作效率,快速解决客户的问题。
Ø 保证7*24小时全天候15分钟内工程师快速响应服务。
Ø 保证1小时内现场响应服务。
Ø 用Case跟踪系统进行Case跟踪管理和监控,保证服务质量。对每个Case都有相应的回访,记录客户对服务的反馈,反馈情况将作为工程师绩效考核的重要依据。
Ø 跟踪系统记录全部Case处理过程,可以收集问题的处理解决办法,总结归纳成知识库,处理过程技术共享,更好地为客户服务。
Ø Case 全程计算机管理和监控,自动提示和自动报警,督促Case的处理和问题的解决。
Ø Case 历史记录的查询和统计,全面了解客户问题的情况,以公司整体实力和行为,及时发现问题和解决问题,而不是依赖于个别工程师的能力来解决问题。
当碰到技术问题或发生安全事故时,除了 IDC 机房现场常驻的 2 名运维技术人员外,,还可以通过客服电话并根据实际情况派遣项目组其他工程师到现场协助处理。由于我们公司在上海有常驻工程师,能保证在 2 小时内到达客户现场。从接到客户的呼叫新开相应的 Case ,坐席人员都在跟踪 Case 的处理情况,并根据处理的进程汇报相关的负责人。
第八章 安全培训
安全培训内容:
| 序号 | 培训 | 描述 | 培训对象 | 培训时间 | |
| 1 | 信息安全技术基础培训 | 进行计算机基础安全知识培训,规范计算机安全使用、提高安全意识、介绍安全问题及解决措施。 | 技术维护人员、安全技术维护人员 | 1 天 | |
| 2 | Internet 应用安全培训 | 通过对 Internet 几种主流应用: Web 、 DNS 的分析,着重讲述了它们的安全配置及使用方法。针对常见的攻击手段,提出了相应的防御措施。 | 技术维护人员、安全技术维护人员 | 0.5 天 | |
| | |||||
| 3 | 防病毒技术培训 | 针对病毒起源、危害性进行介绍,并对病毒概念、原理、功能培训、我方所提供产品的特点、常见病毒的清除办法,及提供相关信息的网站介绍 | 技术维护人员、安全技术维护人员 | 0.5 天 | |
| | |||||
| 4 | 常见黑客攻击手段技防护技术培训 | 对常见的黑客攻击原理、技术进行培训,熟悉IP碎片攻击及其防范、源路由欺骗攻击及其防范、PING FLOODING、SYN FLOODING攻击、Trojan、Sniffer攻击防范、D.o.S攻击剖析及其防范、D.DoS攻击剖析及其防范技能 | 技术维护人员、安全技术维护人员 | 1 天 | |
| 5 | 日志审计技术培训 | 介绍日志审计的原理、审计的方法和日志审计的好处。并为我方所提供产品的特点、使用、配置进行培训 | 技术维护人员、安全技术维护人员 | 0.5 天 | |
| 6 | WEB 应用的安全脚本 | 通过对WEB脚本的编写的规范的脚本介绍目前WEB可能存在的隐患及防范方法,提出常用的一些防范措施。 | 技术维护人员、安全技术维护人员 | 1 天 | |
第九章 项目时程计划与交付物
| 任务内容 | 任务描述 | 任务实施 场所 | 任务实施方式 | 实施周期 | 交付物/成果 |
| 安全风险评估服务 | 资产识别 | 现场/远程 | 问卷调查 | 项目启动~2011年12月初 | 资产清单 |
| 威胁识别 | 现场访谈 | 威胁清单 | |||
| 脆弱性识别 | 漏洞扫描 | 脆弱性清单 | |||
| 管理体系识别 | 入侵检测 | 防护措施清单 | |||
| 木马病毒/僵尸网XXX全检测 | | 安全风险评估分析报告 | |||
| 专家座谈会 | | 现场 | | 2011 年12月 | |
| 安全规划与咨询服务 | 提供电子政务系统日常运维及新建子系统时涉及安全方面的咨询服务。定期或不定期提供电子政务建设发展的安全分析建议及网络与信息安全的相关问题解答及解决方案 | 现场 | 现场访谈 | 2011 年01月 | 整体安全策略、审计计划、管理程序; |
| 运维管理体系建设服务 | 依据等级保护等国家相关安全标准,有效指导网络与信息安全管理体系的建设和发展。 | 现场 | 现场访谈 | 2011 年01月 | 信息安全整体运维管理策略; |
| 网络及系统安全维护服务 | 网络、服务器漏洞扫描 | 现场/远程 | 现场访谈 | 每月 | 扫描报告分析报告 |
| 漏洞扫描 | 人工检查分析报告 | ||||
| 入侵检测 | 安全风险评估调查表 | ||||
| | 安全加固建议 | ||||
| 网络、服务器安全加固 | 针对各类操作系统的性能优化、补丁及安全配置加强 | 现场 | 现场实施 | 每月 | 安全加固实施报告 |
| 针对各类数据库的性能优化、补丁及安全配置加强 | |||||
| 路由器、交换机的配置优化 | |||||
| 安全巡检服务 | 机房环境 | 现场 | 现场实施 | 每月 | 机房环境巡检报告 |
| 服务器巡检: | 服务器安全巡检报告 | ||||
| 安全设备巡检: | 网络设备检测报告 | ||||
| 应急处置体系建设 | 针对各类恶意攻击/软硬件失效/数据库失效/应用失效的灾备及应急处置体系建设 | 现场 | 现场访谈 | 项目初期 | 应急响应及处置措施管理文档 |
| 应急响应服务 | 针对不同级别安全事件提供分级响应服务 | 现场/远程 | 紧急响应服务 | 按需 | 事件响应与处理报告 |
| 技术支持服务 | 提供技术咨询/技术支持服务 | 现场/远程 | 技术支持服务 | 按需 | 技术支持服务报告 |
| 安全培训 | 信息安全技术基础培训 | 现场 | 安全人员现场培训 | 1 天/次 | 培训 |
| Internet 应用安全培训 | 0.5 天/次 | ||||
| 防病毒技术培训 | 0.5 天/次 | ||||
| 常见黑客攻击手段技防护技术培训 | 1 天/次 | ||||
| 日志审计技术培训 | 0.5 天次 |
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/31550410/viewspace-2200210/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/31550410/viewspace-2200210/
扫一扫
396
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
