001上海市某區政府政務外網資訊保安運維專案服務細則

神遊道者發表於2018-08-16

 

 

目錄

 

 


專案目的

本專案目的是透過安全服務外包方式提高運維質量,做到裝置資產清楚明晰、網路執行穩定有序、事件處理處置有方、安全措施有效到位、服務管理有章可循,進一步提升網路支撐能力,提高網路管理、安全管理和服務水平。

上海XXX於本專案中的定位為依據XXXX政務外網系統的實際情況,提供資訊保安規劃、諮詢、體系建設、風險評估、培訓等服務。協助XXXX科學技術委員會藉助專業的安全服務團隊,有效實施安全運維工作,合理增強各業務應用系統穩定性、可靠性和高效性,切實提升使用者滿意度,進一步促進電子政務的應用和發展。

 

服務範圍

本專案服務範圍可分為七大項: 安全規劃服務、安全諮詢服務、運維管理體系建設服務、安全風險評估服務、網路及系統安全維護服務、安全事件應急服務及體系建設、安全培訓服務。

安全規劃服務

根據XXXX電子政務系統的實際情況,協助XXXX科學技術委員會進行網路與資訊保安體系規劃設計。在充分考慮已有及在建子系統的基礎上,參照國際主流相關標準,提供科學合理、先進可行、經濟實用的短期、中期及長期安全體系規劃方案,並可以依據XXXX科學技術委員會規劃要求,提供安全體系規劃方案,有效指導XXXX電子政務系統網路與資訊保安體系的建設和發展。

3.2   安全諮詢服務

以資訊保安助手與專家的身份為XXXX科學技術委員會提供電子政務系統日常運維及新建子系統時涉及安全方面的諮詢服務。定期或不定期提供電子政務建設發展的安全分析建議及網路與資訊保安的相關問題解答及解決方案等。

運維管理體系建設服務

服務提供方參照國際主流相關標準協助XXXX科學技術委員會進行電子政務系統運維管理體系建設及完善。研究制定安全管理制度及安全操作規範,設計策劃運維人員(包括XXXX科學技術委員會運維人員和各種運維服務供應商技術人員)組織結構及職責分工,並進行考核體系建設,逐步實現安全風險管理與控制,確保運維工作優質有序進行,該服務至少包括以下幾項內容:

(1)建立並完善健全規章制度、規範操作流程,包括制定各項安全管理規定、服務支援流程、安全管理流程等;

(2)設計運維崗位及職責分工等;

(3)建設並完善確立考核體系,包括XXXX科學技術委員會運維人員考核、各種運維服務供應商評價等。

安全風險評估服務

至少每季度立足於XXXX政務外網系統現狀,從機房環境、硬體裝置、系統軟體、網路結構等多方面對系統進行整體安全風險評估,識別出面臨的風險,並以風險度高低進行排序,使XXXX科學技術委員會充分了解安全風險狀況,有利於在計劃安全控制實施費用與安全故障而導致的業務損失之間取得平衡,以便更有針對性地確定安全需求,有效提高正確決策能力。

網路及系統安全維護服務

對目前XXX主要應用系統提供檢測和技術支援。包括對新進應用系統的伺服器安裝、應用系統配置、網路設定進行整理,對應用系統開發商提供的安裝介質、配置文件進行驗收。在應用系統開發公司保修期後,技術外包公司能夠處理系統或重新部署應用系統。

服務提供方根據XXXX政務外網系統的實際情況,制定切實可行的安全維護計劃並有效實施,確保網路與系統正常執行,至少包括以下幾項內容:

(1)

由於安全是動態的,原來被認定為安全的系統也許會隨著新的漏洞的出現而逐漸降低其安全性,所以服務提供方應每月為XXXX科學技術委員會提供至少一次網路、伺服器漏洞掃描服務,及時發現存在的漏洞,並由安全專家對漏洞進行分析,提出相應的解決方案。

(2)網路、伺服器安全加固

服務提供方根據需要不定期為XXXX科學技術委員會提供網路、伺服器安全加固服務,針對系統中存在的安全隱患,採取相應改進措施,進行安全最佳化。

(3)安全日誌審計

服務提供方每月為XXXX科學技術委員會提供至少一次安全日誌綜合審計服務,由安全專家對網路裝置、安全裝置、伺服器和應用服務等日誌進行客觀深入分析,併產生相應的安全審計報告,如發現安全問題,應提出相關建議。

(4)病毒檢測和響應服務

服務提供方每月為XXXX科學技術委員會提供至少一次病毒檢測服務,並在發現病毒時進行病毒查殺,如防毒軟體無法清除此病毒,服務提供方將研製開發專殺工具,同時負責聯絡相關公司,儘快升級病毒庫,以確保病毒問題的徹底解決。

(5)安全公告

服務提供方應根據需要不定期提交安全公告,及時告知XXXX科學技術委員會安全業界內最新的資訊保安漏洞、病毒狀況及發展趨勢等,並提供相應的應對方案,避免由此引起安全事件的發生。

安全事件應急服務及體系建設服務

快速響應XXXX政務外網系統的緊急安全事件(包括駭客入侵、病毒大規模爆發、資料意外丟失等事件),在最短時間內解決問題,恢復正常工作,並積極採用預防措施和恢復控制相結合的方式,合理構建安全應急體系,以有效提高安全事件處理能力,縮短故障排除時間,最大限度減少由此引起的損失和不利影響,至少包括以下幾項內容:

(1)設有7×24小時專用服務熱線電話,對所有呼叫應在30分鐘內響應,如需提供現場技術支援,2小時內到達現場作相應操作,處理完畢後出具分析報告、解決方案及防範措施;

(2)每月對所有應急安全事件的處理情況進行一次彙總、分析並提出相關建議;

(3)針對XXXX政務外網系統現狀編制安全事件應急預案,後期進行維護與調整;

(4)每年對安全事件應急預案進行一次演練,並對應急預案演練的效果進行評估,對應急預案演練中存在的問題,應提出改進意見,如果問題突出,改進後重新進行演練。

安全培訓服務

負責XXXX各區級機關資訊化管理人員的安全培訓,應包括三種不同級別的培訓內容:

(1)管理員上崗培訓(每年至少二次)

本培訓適用於XXXX政務外網各接入單位的資訊化管理人員。對其進行日常網路與資訊系統管理工作培訓及計算機基礎安全技術培訓,使管理人員具備基本資訊化管理的知識和能力。

(2)安全中級技術培訓(每年至少二次)

本培訓適用於XXXX科學技術委員會資訊化管理人員。透過此項培訓,管理人員可以掌握常用的安全技術和手段,達到能夠發現和處理常見安全故障的水平。

(3)安全高階技術培訓(每年至少二次)

透過此項培訓,管理人員能夠深入瞭解各種安全管理標準、網路攻擊技術及防禦措施,能熟練分析及處理日常工作中遇到的絕大多數安全問題。

 


本公司按照下圖“規劃框架”來開展資訊系統整體規劃的工作。

在該框架中,緊密整合了經營管理戰略、業務需求、技術能力和管理規範,以戰略和業務為先導,圍繞未來資訊系統的整體架構,深入分析和闡述了未來的應用系統和整合整合,並規劃了對資訊應用進行支援的基礎軟體和網路硬體系統以及安全管理策略;在此基礎上,提出了資訊系統的整體實施計劃和資訊科技管理規範。

圖例:資訊化建設戰略規劃框架

                                              undefined

 

戰略規劃框架中各部分的主要內容包括:

1)       資訊科技戰略明晰

Ø   經營管理戰略: 透過了解企事業單位整體的經營戰略、管理模式和組織架構,理解發展面臨的主要挑戰和關鍵業務策略和計劃,從而確保資訊科技戰略的制定從根本上符合企事業單位發展的長遠目標。

Ø   現狀需求分析: 瞭解企事業單位資訊科技應用現狀和目前的資訊科技應用對業務和管理帶來的限制,明確未來對資訊科技應用的主要需求,並據此分析現狀與需求的差距,為未來資訊系統架構設計奠定基礎。

Ø   資訊科技戰略: 根據企事業單位整體的經營戰略和資訊科技應用的現狀和需求,明晰在資訊科技應用上的整體戰略,以使資訊化建設能夠按照既定的原則方向統一規劃、統一實施。

 

2)       資訊系統藍圖架構

Ø   資訊系統架構: 根據企業資訊科技整體戰略和主要業務需求,規劃企業未來的資訊系統架構藍圖,明確各應用軟體的角色和相互關係、以及對業務需求的匹配情況。

Ø   應用系統架構: 分析資訊系統整體架構內各應用系統的主要功能和在企業中的相應作用,建議各應用系統的推行方式和主要套裝軟體的產品和供應商參考。

Ø   應用整合: 分析各應用系統之間的資訊流流轉銜接關係、資訊和資料介面和整合關係,從而明確各應用系統之間的整合點和整合方式。

Ø   基礎軟體架構: 透過分析應用系統及其整合對作業系統、資料庫等基礎軟體系統的技術要求,規劃能有效支援資訊應用的基礎軟體架構。

Ø   硬體網路架構: 透過分析應用系統的分佈情況、資訊用量、資料傳輸內容、可靠性、安全性和實時性的要求,規劃和最佳化網路及硬體整體架構,以滿足對穩定、可靠、可擴充套件的網路資訊應用的需求。

Ø   網XXX全管理: 基於資訊應用對網路管理和安全的需要,結合基礎軟體和網路硬體平臺的技術要求,規劃有效的網路管理和安全策略以及可以運用的相關技術和管理手段,以保障企事業單位各項資訊應用的正常開展。

 

3)       資訊系統實施規劃

Ø   整體實施計劃: 對規劃中的應用系統的實施進行優先順序排序,明確資訊系統規劃的整體實施時間、步驟和各階段的主要工作任務;制定對現有系統進行遷移/轉換的過渡階段的工作和時間建議;同時對資訊系統規劃中各應用系統建設專案所需投入的整體資源和人力資源作初步的預計。透過整體實施計劃的制定,為企業落實規劃內容、推動資訊化建設指明瞭行動計劃。

 

4)       資訊科技管理規範

Ø   資訊科技管理: 明確與資訊系統配套的資訊科技管理組織架構和部門的主要職責,並根據資訊科技管理的主要流程,規劃資訊科技管理規範及標準操作手冊,以推動企事業單位從技術和管理兩個方面提高資訊科技應用和管理的水平。

 


上海XXX將以資訊保安助手與專家的身份為XXXX科學技術委員會提供電子政務系統日常運維及新建子系統時涉及安全方面的諮詢服務。定期或不定期提供電子政務建設發展的安全分析建議及網路與資訊保安的相關問題解答及解決方案等。

上海 XXX 憑藉多年經營積累起來的資訊保安培訓體系和諮詢服務體系,以充足而完備的內容和資源,將 ISO27001 、、 ISO13335 SSE-CMM ITIL CoBit 等最佳實踐的精髓恰當地移植給使用者單位,充分發掘使用者真正的需求,提升企事業單位資訊保安整體意識,增強相關人員的技術技能,鞏固和完善企業資訊保安管理體系,開拓 IT 服務管理的眼界和思維,建立穩妥的業務持續性計劃,使資訊保安和 IT 服務真正成為企業整體發展的助動之力。

隨著業務支撐 IT 化不斷深入,網 XXX 全雖然提高了,但是網 XXX 全並不意味著資訊保安。資訊保安除了要有硬體上的支援,還需要有管理上的保障。資訊保安諮詢服務(其中包括安全評估)從組織、管理、技術等多層角度剖析客戶安全狀況,並針對系統的安全狀況提出一系列的安全解決方案,協助客戶建立一套更加完善的安全管理體系。

Ø    服務成果:

上海 XXX 提供的資訊保安諮詢服務旨在幫助客戶制定滿足其全面的、多層次的、可行的、穩定性和靈活性兼顧的、並且遵循國際通行標準的資訊保安管理體系。

策略體系涵蓋的內容包括(不限於此):

   人員安全策略

   物理環境安全策略

   硬體裝置和基礎設施安全策略

   網路通訊與操作管理策略

   系統開發和維護策略

   資料儲存和使用策略

   訪問控制策略

   備份策略

   病毒防範策略

   安全裝置配置策略(防火牆、 IDS VPN 等)

   安全審計計劃

   風險評估程式

   風險處理程式

   變更管理程式

   配置管理程式

   應急響應計劃

   業務連續性和災難恢復計劃

 

 

 

 


上海XXX將以“體系化”的思路構建一整套行之有效的“持續改善機制”,面向業務和應用、以服務為導向、建立創新性的政府IT運維管理體系。

IT 運維管理體系涵蓋管理目標、組織管理模式、制度規範體系及技術支撐體系等四個層面的內容。

undefined

圖: IT 運維管理體系四層架構模型

 

(1)         管理目標層: IT 運維管理體系的建立要面向業務,以業務需求和目標為出發點,制定 IT 運維管理的願景、目標(長期和短期目標)和策略。確保在目標層面, IT 與業務的融合。

(2)         組織管理層:確定和規範 IT 運維管理體系執行的管理方式和與之相配套的人員崗責安排、機構設臵,將 IT 服務相關的全部活動進行統一決策與規劃,形成集中統一的 IT 運維管理機制,實現對使用者的端到端服務。在集中統一的 IT 運維管理模式下,按照 IT 運維管理任務科學設臵或調整組織機構,劃分任務、角色、崗位,合理配臵 IT 運維管理資源,達到人、工具、流程的有機融合。

(3)         制度規範層:分別從管理與操作方面建立 IT 運維管理過程中各個參與要素(人、流程、工具)的行為準則與工作程式,從 IT 運維管理體系總體執行、流程執行和崗位職責三個層次建立考核評價體系,確定運維費用的組成與計算方式,規範運維費用的來源保障,實現 IT 運維管理的量化管理。具體內容包括管理制度的制定、管理流程的設計、評價考核體系的執行、運維費用的管理等。

(4)         技術支撐層:建立針面向業務使用者的 IT 服務請求響應視窗和麵向技術支援人員的體系執行管理視窗,建立負責 IT 運維管理流程執行的流程管理平臺和負責 IT 基礎設施和業務應用系統執行監控的集中監控管理平臺,根據不同型別 IT 基礎設施和業務應用系統的管理職能,建立技術管理子系統,建立知識庫、配臵庫、報表及日常操作等共享支援子系統和為業務管理提供服務的業務運維管理子系統。


上海XXX的安全評估服務包括全面的風險評估服務、遠端安全掃描、本地安全評估、應用安全評估和滲透性測試等多種方式,透過安全評估服務可以幫助企事業單位明確目前資訊系統或者應用系統面臨著什麼樣的資訊保安風險,同時在業務發展過程中可能會遇到什麼安全問題?安全風險可能導致的損失是多少?當前主要的安全威脅是什麼,應如何劃分安全區域和安全建設的優先順序等一系列問題。

安全評估服務包括如下模組:

模組名稱

模組說明

全面風險評估

全面風險評估是對資訊系統的影響、威脅和脆弱性進行全方位評估,歸納並總結資訊系統所面臨的安全風險,為資訊系統的安全建設提供決策依據。

遠端漏洞掃描

利用安全評估系統對客戶資訊系統進行遠端技術脆弱性評估。

本地安全檢查

利用安全工具和人工服務對客戶資訊系統進行遠端或本地的技術脆弱性評估。

應用安全評估

利用人工或自動的方式,評估客戶應用系統的安全性並協助進行改善和增強。

滲透測試評估

利用各種主流的攻擊技術對網路做模擬攻擊測試,以發現系統中的安全漏洞和風險點。

 

對於一個完整的可執行的應用系統(通常為B/S結構或C/S結構)來說,一般由支援這個應用系統的網路環境(包括網路裝置和線路)、作業系統、應用系統服務程式組成。因此廣義的應用安全評估包括了對整個應用系統從應用系統網路結構、作業系統到應用程式設計與實現本身三個層次的評估;而狹義的應用系統評估則僅包括應用系統的程式設計與實現這一個層次的評估。

對於網路層次的安全評估更多的關注應用系統部署時所使用的網路環境的可用性和保密性,主要包括:

    網路結構的合理性

    網路冗餘設計

    網路訪問控制設計

    網路層次加密技術的應用

    …….

    對於作業系統層次的評估主要集中在系統層次方面的漏洞,包括:

    作業系統的補丁安裝情況

    作業系統對外提供的通用網路服務安全

    作業系統的審計能力

    作業系統的口令策略

    其他安全漏洞

    ……

由於應用系統程式通常安裝在通用作業系統上,因此保證作業系統自身的安全性,是保證應用系統安全性的重要基礎。我們建議在對已經投入使用的應用系統進行評估時,儘量安排對作業系統安全性的評估。

另外該階段完成管理上的文件的稽核工作,稽核的相關內容如下:

    內部的安全管理制度;

    管理組織架構;

    各部門資訊系統的工作性質;

    不同部門之間的業務資料流;

    工作人員的安全意識,安全知識;

    曾經遇到的安全威脅及解決辦法。

 

.風險評估的實現

工作流程

l   第一步:整理資產清單

l   第二步:對威脅進行識別

l   第三步:對脆弱性進行識別

l   第四步:對現有的、計劃的防禦措施進行識別

l   調查問卷;

l   專家訪談;

l   漏洞掃描工具;

l   入侵檢測工具;

l   OCTAVE 方法;

l   資產清單

l   威脅清單

l   脆弱性清單

l   防護措施清單

l   安全管理調查結果

 

風險識別

各風險要素的識別工作,可以考慮從以下幾個方面進行:

n   網路主要包括子網的劃分情況

n   邊界出口情況。

n   內部工作人員對內部伺服器和網際網路的訪問許可權。

n   外部使用者可以透過公共網訪問內部伺服器的許可權。

n   網路裝置對網路流量的適應情況,包括流量、併發連線等。

n   網路裝置、伺服器等對災難的冗餘情況。

n   對於公共網路的冗餘情況

n   內部網路的VLAN劃分情況

n   涉密網路和非涉密網路的隔離情況等

 

n   網路裝置配置是否安全;

n   交換機VLAN劃分是否合理;

n   路由設定是否合理;

n   網路裝置是否啟用SNMP服務,如果啟用,是否修改了預設community string設定。

n   是否允許遠端對網路裝置進行管理,如果允許,是否使用安全隧道的方式。

n   各網路裝置是否升級到了最新的系統版本,安裝最新的補丁;

n   各網路裝置作業系統是否存在安全漏洞;

n   各網路裝置是否啟用了不必要的服務,開放了不必要的埠;

n   登入方式中是否存在弱口令;

n   網路裝置是否由專門的人員負責管理;

n   是否存在完善的日誌功能。

  

n   防火牆位置是否合理;

n   防火牆是否能夠阻斷未授權的訪問;

n   防火牆是否能夠阻斷外部網路對未公開服務的訪問;

n   防火牆是否錯誤的阻斷了正常的網路訪問;

n   防火牆是否能夠有效的阻斷DOS,DDOS攻擊;

n   防火牆日誌紀錄是否安全,完善;

n   防火牆是否能夠與其他安全裝置進行有效的聯動;

n   網路內是否設定了IDS裝置;

n   IDS 設定是否合理,能夠有效的監測到可能的攻擊;

n   IDS 是否存在嚴重的漏報,誤報現象;

n   IDS 是否能夠同時進行模式匹配和異常監測;

n   IDS 是否設定了合理的報警策略;

n   IDS 日誌紀錄是否完善;

n   IDS 是否提供靈活,強大的查詢和報表功能;

n   抗DDOS設定是否合理,能夠有效的監測到可能的攻擊;

n   抗DDOS是否能夠抵禦相應的攻擊行為;

n   網路內是否存在防病毒系統;

n   是否有統一的防病毒策略;

n   是否能夠有效的過濾包括郵件病毒,宏病毒,蠕蟲病毒在內的各種病毒。

n   防病毒系統是否具有統一的升級策略;

n   是否存在統一的安全管理平臺,安全審計平臺。

n   是否安裝最新的補丁;

n   是否開啟不必要的服務和埠;

n   是否存在不必要的使用者和組;

n   是否有嚴格的許可權管理;

n   是否存在弱口令;

n   是否起用了安全的遠端管理方式;

n   是否存在不安全的配置;

n   是否每臺主機都有明確的屬主或管理者;

n   是否存在不安全的網路通路;

n   是否配置了合理的本地安全策略,審計策略,賬戶策略。

n   瞭解業務系統資料流的方向;

n   瞭解業務資料的訪問許可權;

n   瞭解業務資料的儲存方式;

n   瞭解業務資料的備份方式;

n   瞭解WEB伺服器的工作方式;

n   瞭解郵件伺服器的工作方式;

n   瞭解檔案伺服器的工作方式;

n   瞭解DNS伺服器的工作方式;

n   瞭解資料庫的工作方式;

 

網路、伺服器漏洞掃描

脆弱性掃描

使用漏洞掃描軟體從受保護網路邊界內部和邊界外部,對網路上存在的主機和網路裝置進行掃描,探測這些進行主機和網路裝置可能存在的漏洞。(由於漏洞掃描存在漏報和誤報現象,所獲得的掃描結果的真實性,往往還需要本地風險評估和與使用者進行溝通確認),為滲透性測試提供技術基礎。

伺服器安全掃描工具

服務內容

評估工具

網站資料庫安全評估掃描

Shadow   Database Scanner /DAS-DBSCA

伺服器系統安全評估掃描

NESSUS/Shadow   Database Scanner/MBSA

漏洞掃描

人工安全驗證

伺服器監控預警

Webcare 基於業務架構的預警平臺

      

漏洞掃描涵蓋了的主體程式:

l   確定評估範圍

l   檢測評估範圍內的主機和網路裝置

l   檢測開放的埠

l   檢測系統中詳細服務

l   檢測相應服務的安全性

l   檢測存在的系統帳號

l   檢測帳號的口令強度

l   檢測系統共享情況

l   檢測系統未安裝的補丁情況

l   核實漏洞掃描結果

 

主機系統風險評估內容

主機系統風險評估主要的程式(具體情況需要和 XXXXX 協商確定):

l   定評估範圍和系統

l   檢測開放的埠

l   檢測系統中詳細服務

l   檢測相應服務的安全性

l   檢測存在的系統帳號

l   檢測帳號的口令強度

l   檢測系統共享情況

l   檢測系統安裝的補丁情況

l   檢測日誌中的可疑記錄

l   檢測是否存在異常的檔案訪問

l   檢測系統中是否存在可疑的程式

 

防火牆風險評估

防火牆風險評估的主要程式(具體情況需要和 XXXXX 協商確定):

l   測軟體和硬體版本

l   檢測防火牆策略

l   檢測防火牆的配置(IP地址、應用的規則、NAT、代理、遠端管理等)

l   檢測作業系統的安全性(包括檔案許可權、使用者帳號、安全補丁和熱補丁)

 

網路裝置風險評估

網路裝置風險評估的主要程式(具體情況需要和 XXXXX 協商確定):

l   檢測軟體和硬體版本

l   檢測交換機策略

l   檢測交換機的配置(IP地址、VLAN劃分、應用的規則、遠端管理等)

l   檢測作業系統的安全性(包括檔案許可權、使用者帳號、安全補丁和熱補丁)

 

滲透性測試

滲透測試是為了證明網路防禦按照預期計劃正常執行而提供的一種機制。滲透測試有時是作為外部審查的一部分而進行的。這種測試需要探查系統,以發現作業系統和任何網路服務,並檢查這些網路服務有無漏洞。 透過掃描、評估等方式發現安全漏洞,以及模擬駭客攻擊對系統和網路進行非破壞性的攻擊性測試。滲透測試可以發現邏輯性更強、更深層次的漏洞,並直觀反映漏洞的潛在危害。

滲透測試主要程式包含以下內容:

l   資訊收集

l   安全掃描

l   遠端溢位攻擊測試

l   口令攻擊測試

l   sql injection 攻擊測試

l   web 邏輯驗證攻擊測試

l   伺服器應用系統攻擊測試

l   許可權提升測試

 

綜合脆弱性掃描的結果,完成資訊收集和分析結果後,選擇合適的時間對所測試的伺服器開始進行模擬攻擊,攻擊方式如下:

1)    利用sql injection技術進行檢測和攻擊

2)    利用弱點進行檢測和攻擊

3)    對許可權設定不當的目錄進行攻擊測試

4)    利用欺騙技術嘗試得到主機控制權,測試安全管理和安全意識的質量

5)    對關鍵伺服器進行黑盒安全測試看有無敏感目錄和檔案

6)    在資訊收集中判斷出哪些是不應該洩露的敏感資訊

7)    瞭解應用伺服器的功能,評估出哪些功能會影響到伺服器安全性

8)    根據掃描器掃描出的結果利用相關的駭客技術進行攻擊

9)    根據伺服器開放的服務在漏洞公告中查詢是否出現了最新的或可利用的漏洞

10) 對身份登入表單進行遠端口令暴力猜解

11) 對遠端登入服務進行遠端口令暴力猜解

12) 對伺服器開放的服務程式的輸入變數進行傳送超大資料包看是否有安全問題

13) 如果得到了一臺機器的控制權,就利用這臺機的資源去攻擊其他攻擊,嘗試擴大許可權,發現更多的安全問題

14) 嘗試遠端溢位攻擊

15) 嘗試去利用口令破解軟體去破解系統口令

《安全風險評估調查表》

《工具掃描報告分析報告》

《手工檢查分析報告》

《安全風險評估分析報告》

《安全加固建議》

 

 


網路、伺服器安全加固

IT 基礎構架以及最佳化

服務類別

服務專案

服務內容說明

IT 基礎構架以及最佳化

作業系統最佳化、升級、加固

針對各類作業系統的效能最佳化、補丁及安全配置加強

資料庫最佳化、升級、加固

針對各類資料庫的效能最佳化、補丁及安全配置加強

網路裝置的配置最佳化、系統加固

路由器、交換機的配置最佳化與系統升級

安全管理最佳化

針對客戶的安全管理制度,人員管理和運營流程進行最佳化設計

網路體系結構的最佳化設計

整個網路體系的最佳化設計

IT 基礎架構整體構建

根據使用者需求,提供整體的IT解決方案

 

 

 安全巡檢與日誌審計服務

安全巡檢服務目標

  每月對機房內的伺服器進行巡檢,達到伺服器本身的安全

  每月對伺服器進行漏洞檢測工作,保證伺服器的系統補丁、安全更新無遺漏

  針對伺服器漏洞或弱點,進行針對性的安全加固

  對伺服器系統、資料進行備份策略的制定。保證資料的完整性

  對伺服器系統日誌,病毒更新日誌進行收集及分析

  加強伺服器監控能力

 

 

 

 安全巡檢服務方式

 服務時間

服務內容

服務時間

交付物

備註

伺服器巡檢

1 次/每月

巡檢報告


伺服器漏洞掃描

1 次/每月

漏洞掃描報告

加固方案


資料備份服務

按備份策略自動實施



伺服器監控

常態服務(實時)

效能月報


 

  伺服器巡檢內容

l     伺服器硬體狀態:磁碟、CPU、Memory

l     伺服器安全更新安裝情況:微軟更新、LINXUE更新、WEB應用更新

l     伺服器防病毒定義更新狀況

l     系統日誌審計:系統日誌、應用日誌、安全日誌

l     伺服器安全策略檢查:管理員帳號、密碼策略、使用者安全策略

l     應用安全檢測:IIS、MSSQL或者其他類似應用系統

l     安全巡檢報告範例如下

 

 

伺服器病毒更新、查殺情況跟蹤

基於防病毒系統平臺,對於所有的管轄範圍內的客戶端、伺服器、都可以根據自定義策略進行報告的製作。可以時時的,階段性的跟蹤哪些主機中毒頻率比較高,病毒定義更新是否正常等狀態。

 

 安全裝置巡檢服務

安全裝置巡檢服務目標

Ø   對機房內的完全裝置及機房環境進行巡檢

Ø   安全裝置故障響應

 

安全裝置及機房環境例行巡檢

例行巡檢時間安排

Ø    每月一次對安全裝置及機房環境進行巡檢

 

  例行巡檢內容

Ø    安全裝置日誌

Ø    安全裝置硬體狀況

Ø    安全裝置策略

Ø    機房溫度、溼度、電力、空氣質量等檢查

 

  巡檢交付物

Ø    網路裝置檢測報告

Ø    機房環境檢測報告

 

安全裝置策略維護

  安全裝置策略稽核標準

Ø    安全策略應使用最小安全原則,即除非明確允許,否則就禁止

Ø    安全策略應包含基於源IP地址、目的IP地址的訪問控制

Ø    安全策略應包含基於源埠、目的埠的訪問控制

Ø    安全策略應包含基於協議型別的訪問控制

Ø    安全策略可包含基於MAC地址的訪問控制

Ø    安全策略可包含基於時間的訪問控制

Ø    應支援使用者自定義的安全策略,安全策略可以是MAC地址、IP地址、埠、協議型別和時間的部分或全部組

 

安全裝置應用模式稽核標準

Ø    對於內部網路訪問外部網路應採用NAT轉換形式

Ø    不能設定為透明模式

 

安全裝置軟體稽核標準

Ø    軟體應為最新版本且透過官網的測試

 

安全裝置管理稽核標準

Ø    管理應具備完善的訪問稽核機制

Ø    遠端維護應該透過VPN進行管理

Ø    遠端IE維護介面應開啟SSL安全設定,關閉TELNET功能

Ø    使用者必須按照權責規範,實行許可權最小化原則,給予合適的訪問運維管理策略

 

安全裝置日誌稽核標準

Ø    應記錄所有相關日誌,並且有日誌收集伺服器

Ø    日誌記錄級別應該從最低階別開啟,記錄相關操作內容

Ø    日誌傳輸應該透過VPN或SSL通道進行收集備案

 

安全裝置最佳實踐

序號

稽核專案

稽核步驟方法

稽核結果

補充說明

1

安全策略稽核

檢查安全策略的設定是否合理:

1、    檢查是否只開放了必須要開放的埠

2、    檢查是否禁止了所有不必要開放的埠

3、    檢查是否設定了防 DOS 攻擊安全策略

4、    檢查是否設定了扛掃描安全措施



2

應用模式安全稽核

採用何種應用模式(透明、 NAT 、路由),是否採用了必要的 NAT PAT 措施隱藏伺服器及內部網路結構



3

軟體檢查

檢查作業系統是否為最新版本、是否安裝相應的安全補丁



4

管理檢查

1、    檢查過什麼方式進行管理,是否為安全管理方式

2、    檢查是否根據許可權不同進行分局管理

3、    檢查口令設定情況,口令設定是否滿足安全要求



5

日誌檢查

1、    檢查日誌設定是否合理,是否有所有拒絕資料包的記錄日誌

2、    檢查日誌儲存情況,所記錄的日誌是否有連續性

3、    檢查防火檢視情況,網 XXX 全管理員是否按照防火牆管理制度對安全裝置進行日常維護



 

 

 

安全公告

上海XXX根據需要不定期提交安全公告,及時告知XXXX科學技術委員會安全業界內最新的資訊保安漏洞、病毒狀況及發展趨勢等,並提供相應的應對方案,避免由此引起安全事件的發生。

除了定期書面或電子文件的安全公告通知外,上海XXX另提供公眾化服務平臺 ,提供各種資訊保安風險公告與業界動態新聞。

 

 

 

 

建設

應急處置體系

 駭客攻擊時的緊急處置措施

Ø   當有網頁內容被篡改,或透過入侵檢測系統發現有駭客正在進行攻擊時,首先應將被攻擊的伺服器等裝置從網路中隔離出來,同時向領導彙報情況。

Ø   妥善儲存有關記錄及日誌或審計記錄。

Ø   技術人員立即進行被破壞系統的恢復與重建工作。

 病毒安全緊急處置措施

Ø   當發現計算機感染有病毒後,應立即將該機從網路上隔離出來。

Ø   對該裝置的硬碟進行資料備份。

Ø   啟用反病毒軟體對該機進行防毒處理,同時進行病毒檢測軟體對其他機器進行病毒掃描和清除工作。如發現反病毒軟體無法清除該病毒,應立即向領導報告。

Ø   經技術人員確認確實無法查殺該病毒後,應作好相關記錄,同時立即向資訊科技人員報告,並迅速研究解決問題。

Ø   如果感染病毒的裝置是伺服器或者主機系統,經領導同意,應立即告知各下屬單位做好相應的清查工作。

 軟體系統遭受破壞性攻擊的緊急處置措施

Ø   重要的軟體系統平時必須存有備份,與軟體系統相對應的資料必須有多日備份,並將它們儲存於安全處。

Ø   一旦軟體遭到破壞性攻擊,應立即向技術人員、網路管理員報告,並將系統停止執行。

Ø   網站維護員立即進行軟體系統和資料的恢復。

資料庫安全緊急處置措施

Ø   各資料庫系統要至少準備兩個以上資料庫備份。

Ø   一旦資料庫崩潰,應立即向技術人員報告,同時通知各下屬單位暫緩上傳上報資料。

Ø   資訊保安員應對主機系統進行維修,如遇無法解決的問題,立即向上級單位或軟硬體提供商請求支援。

Ø   系統修復啟動後,將第一個資料庫備份取出,按照要求將其恢復到主機系統中。

Ø   如因第一個備份損壞,導致資料庫無法恢復,則應取出第二套資料庫備份加以恢復。

Ø   如果兩個備份均無法恢復,應立即向有關廠商請求緊急支援。

裝置安全緊急處置措施

Ø   小型機、伺服器等關鍵裝置損壞後,有關人員應立即向相關技術人員通知。

Ø   相關技術人員應立即查明原因。

Ø   如果能夠自行恢復,應立即用備件替換受損部件。

Ø   如果不能自行恢復的,立即與裝置提供商聯絡,請求派維修人員前來維修。

 

、應急響應服務體系

 提供安全事件分級與緊急響應服務

事件的分類分級,用於資訊保安事件的防範與處置,為事前準備、事中應對、事後處理提供一個整體事件防範與處置的基礎。

 事件分類

根據資訊保安事件發生的原因、表現形式等,可將各資訊保安事件歸納為六大類。

Ø   惡意程式事件:

包括計算機病毒事件、蠕蟲事件、木馬事件、殭屍網路事件、攻擊程式事件、網頁內嵌惡意程式碼事件和其它有害程式事件等7個第二層分類。

殭屍網路是指網路上受到駭客集中控制的一群計算機,它可以被用於伺機發起網路攻擊。

Ø   網路攻擊事件:

包括 拒絕服務攻擊事件、後門攻擊事件、漏洞攻擊事件、網路掃描竊聽事件、網路釣魚事件、干擾事件和其他網路攻擊事件等7個第二層分類。

Ø   資訊內容安全事件:

包括 網頁篡改、偽造網站等2個第二層分類。

Ø   災害性事件:

是指由於不可抗力對資訊系統造成物理破壞而導致的資訊保安事件。

Ø   其他資訊保安事件:

指不能歸為以上5個基本分類的資訊保安事件。

 事件分級

對資訊保安事件的分級可參考下列三個要素:資訊系統的重要程度、系統損失和社會影響。系統損失是指由於資訊保安事件對資訊系統的軟硬體、功能及資料的破壞,導致系統業務中斷,從而給事發組織和國家所造成的損失,其大小主要考慮恢復系統正常執行和消除安全事件負面影響所需付出的代價。

:

指能夠導致嚴重影響或破壞的資訊保安事件,使重要資訊系統遭受重大的系統損失,即造成系統長時間中斷或癱瘓,使其業務處理能力受到極大影響,或系統關鍵資料的保密性、完整性、可用性遭到破壞,恢復系統正常執行和消除安全事件負面影響所需付出的代價巨大,對於事發組織是無可承受的;或使重要資訊系統遭受特別重大的系統損失。

:

指能夠導致較嚴重影響或破壞的資訊保安事件。使重要資訊系統遭受較大的系統損失,即造成系統中斷,明顯影響系統效率,使重要資訊系統或一般資訊系統業務處理能力受到影響,或系統重要資料的保密性、完整性、可用性遭到破壞,恢復系統正常執行和消除安全事件負面影響所需付出的代價較大,但對於事發組織是可以承受的;或使重要資訊系統遭受重大的系統損失、一般資訊資訊系統遭受特別重大的系統損失。

:

一般事件是指能夠導致較小影響或破壞的資訊保安事件,會使重要資訊系統遭受較小的系統損失,即造成系統短暫中斷,影響系統效率,使系統業務處理能力受到影響,或系統重要資料的保密性、完整性、可用性遭到影響,恢復系統正常執行和消除安全事件負面影響所需付出的代價較小。

 緊急響應 服務

上海 XXX 透過內、外網自動監控手段並輔以人工測試方式,可將前文所列的各類事件的嚴重等級及通告時限進行劃分定義,說明如下:

等級

分類等級說明

相關事件

事件響應時效要求

屬於重大安全事件

1. 掛馬  

2. 惡意程式碼

3. 跨站指令碼

4. 病毒事件

5. 網頁篡改  

6. 域名挾持  

7.DDoS 攻擊  

8. 釣魚 / 偽造網站

9. 長時間網站無法訪問

立即通報資訊委,並配合網站管理員及運營商進行事件緊急響應處理及追蹤。

屬安全隱患性的較大事件

1. 可疑開放埠

2.SQL 注入漏洞  

3. 掃描發現的系統及 Web 應用漏洞。

小時內作出響應,一個工作日內完成詳細安全風險評估報告及解決方案提交網站管理員,並配合網站管理員對漏洞進行安全加固服務。

屬一般告警事件,此類事件發生時,對網站系統執行的影響較小或影響性是短暫的

1. 網站出現瞬間中斷

2. 域名解析故障

持續觀察並記錄發現問題的時間與不同症狀,每日以文件記錄形式傳送通報網站管理員。

n    各級故障事件的最晚響應時間為:

響應時間

一級故障事件

二級故障事件

三級故障事件

15 分鐘

技術服務人員

技術支援專家



45 分鐘

技術支援專家

技術服務人員


1 小時

事業部總經理

分管副總經理

技術支援專家

技術服務人員

2 小時

總經理

事業部總經理

分管副總經理

技術支援專家

n    排障時間

  優先順序I:1 小時內提交解決方案,在資料中心同意的情況下控制狀態,保證運營系統能提供基本服務。12小時內完全解決事故或明確故障原因;

  優先順序II:2小時內提交解決方案,在資料中心同意的情況下控制狀態,保證受影響系統能提供基本服務。24小時內完全解決事故或明確故障原因;

  優先順序III:12小時內提交解決方案,在資料中心同意的情況下控制狀態,保證受影響系統能提供基本服務。24小時內完全解決事故或明確故障原因;

  應急響應體系

按照安全服務體系,我們首先將為客戶制訂應急響應規劃,在充分了解資料中心的現狀和安全需求後,分析資料中心可能發生的緊急事件,並制訂一套應急響應規劃。
應急響應規劃為使用者提供了一套行為的指南,當緊急事件發生時,系統管理員可以及時的確定如何採取措施應對緊急事件,提高對緊急事件的處理效率。

undefined

 

 

  技術支援服務

 技術支援能力

秉著“ IT 服務中國”的服務宗旨,我公司多年來不斷改進服務體系,努力提高服務質量,為使用者提供全方位的安全系統服務。

我公司的服務體系主要由客戶服務呼叫中心、專案管理部、客戶服務部、技術服務中心等部門組成。在本專案中,我公司將針對使用者實際情況,我公司將成立專門的專案小組,在人員和技術上給予此專案最大支援和保障。

3.1.1   技術服務支援

技術中心是 XXX 公司的技術服務支援部門,向客戶提供技術服務,用專業化的 IT 技術和服務精神為客戶提供全面的、規範化的、高品質的技術服務。技術響應中心( Call Center )是技術中心面向客戶的售後技術服務部門,並且是技術服務的統一視窗,根據客戶故障問題的情況調動技術中心資源來解決客戶的問題。

我公司技術支援體系向客戶提供三級的技術服務支援,統一客戶技術服務視窗,利用客服電話、直線電話、 Web Email 、傳真等受理方式對客戶進行技術服務,及時響應以及解決客戶的問題。

undefined

 

3.1.2   技術服務支援模式

為了使得技術服務支援更方便於客戶以及保證服務質量,我公司建立了一整套較為完善的技術服務支援模式: Call Center + Case 跟蹤系統。

 


undefined

 

我們的技術服務體系支援模式集 Call Center Case 跟蹤系統優勢於一體。

Ø   集中受理客戶的問題,便於統一管理,有效監控服務程式。

Ø   響應的及時性和連續性,座席和工程師7*24小時值班響應及時,並且工程師專門處理客戶的問題達到問題處理的連續性

Ø   統一調配技術資源,根據客戶資訊資料,分配合理資源,提高工作效率,快速解決客戶的問題。

Ø   保證7*24小時全天候15分鐘內工程師快速響應服務。

Ø   保證1小時內現場響應服務。

Ø   用Case跟蹤系統進行Case跟蹤管理和監控,保證服務質量。對每個Case都有相應的回訪,記錄客戶對服務的反饋,反饋情況將作為工程師績效考核的重要依據。

Ø   跟蹤系統記錄全部Case處理過程,可以收集問題的處理解決辦法,總結歸納成知識庫,處理過程技術共享,更好地為客戶服務。

Ø   Case 全程計算機管理和監控,自動提示和自動報警,督促Case的處理和問題的解決。

Ø   Case 歷史記錄的查詢和統計,全面瞭解客戶問題的情況,以公司整體實力和行為,及時發現問題和解決問題,而不是依賴於個別工程師的能力來解決問題。

當碰到技術問題或發生安全事故時,除了 IDC 機房現場常駐的 2 名運維技術人員外,,還可以透過客服電話並根據實際情況派遣專案組其他工程師到現場協助處理。由於我們公司在上海有常駐工程師,能保證在 2 小時內到達客戶現場。從接到客戶的呼叫新開相應的 Case ,坐席人員都在跟蹤 Case 的處理情況,並根據處理的程式彙報相關的負責人。


安全培訓內容:

序號

培訓

描述

培訓物件

培訓時間


1

資訊保安技術基礎培訓

進行計算機基礎安全知識培訓,規範電腦保安使用、提高安全意識、介紹安全問題及解決措施。

技術維護人員、安全技術維護人員

1


2

Internet 應用安全培訓

透過對 Internet 幾種主流應用: Web DNS 的分析,著重講述了它們的安全配置及使用方法。針對常見的攻擊手段,提出了相應的防禦措施。

技術維護人員、安全技術維護人員

0.5



3

防病毒技術培訓

針對病毒起源、危害性進行介紹,並對病毒概念、原理、功能培訓、我方所提供產品的特點、常見病毒的清除辦法,及提供相關資訊的網站介紹

技術維護人員、安全技術維護人員

0.5



4

常見駭客攻擊手段技防護技術培訓

對常見的駭客攻擊原理、技術進行培訓,熟悉IP碎片攻擊及其防範、源路由欺騙攻擊及其防範、PING FLOODING、SYN FLOODING攻擊、Trojan、Sniffer攻擊防範、D.o.S攻擊剖析及其防範、D.DoS攻擊剖析及其防範技能

技術維護人員、安全技術維護人員

1


5

日誌審計技術培訓

介紹日誌審計的原理、審計的方法和日誌審計的好處。併為我方所提供產品的特點、使用、配置進行培訓

技術維護人員、安全技術維護人員

0.5


6

WEB 應用的安全指令碼

透過對WEB指令碼的編寫的規範的指令碼介紹目前WEB可能存在的隱患及防範方法,提出常用的一些防範措施。

技術維護人員、安全技術維護人員

1


 


 

 

任務內容

任務描述

任務實施

場所

任務實施方式

實施週期

交付物/成果

安全風險評估服務

資產識別

現場/遠端

問卷調查

專案啟動~2011年12月初

資產清單

威脅識別

現場訪談

威脅清單

脆弱性識別

漏洞掃描

脆弱性清單

管理體系識別

入侵檢測

防護措施清單

木馬病毒/殭屍網XXX全檢測


安全風險評估分析報告

專家座談會


現場


2011 年12月


安全規劃與諮詢服務

提供電子政務系統日常運維及新建子系統時涉及安全方面的諮詢服務。定期或不定期提供電子政務建設發展的安全分析建議及網路與資訊保安的相關問題解答及解決方案

現場

現場訪談

2011 年01月

整體安全策略、審計計劃、管理程式;
  資訊科技與管理諮詢報告。(按需)

運維管理體系建設服務

依據等級保護等國家相關安全標準,有效指導網路與資訊保安管理體系的建設和發展。

現場

現場訪談

2011 年01月

資訊保安整體運維管理策略;
  管理規範細則;
  技術規範細則;
  第三方服務考核策略.

網路及系統安全維護服務

網路、伺服器漏洞掃描

現場/遠端

現場訪談

每月

掃描報告分析報告

漏洞掃描

人工檢查分析報告

入侵檢測

安全風險評估調查表


安全加固建議

網路、伺服器安全加固

針對各類作業系統的效能最佳化、補丁及安全配置加強

現場

現場實施

每月

安全加固實施報告

針對各類資料庫的效能最佳化、補丁及安全配置加強

路由器、交換機的配置最佳化

安全巡檢服務

機房環境

現場

現場實施

每月

機房環境巡檢報告

伺服器巡檢:
  執行狀態/硬體狀況/安全日誌/安全策略/資源耗用/病毒更新/補丁更新

伺服器安全巡檢報告

安全裝置巡檢:
  硬體狀況/安全策略/安全日誌

網路裝置檢測報告

應急處置體系建設

針對各類惡意攻擊/軟硬體失效/資料庫失效/應用失效的災備及應急處置體系建設

現場

現場訪談

專案初期
  (2011年12月前)

應急響應及處置措施管理文件

應急響應服務

針對不同級別安全事件提供分級響應服務

現場/遠端

緊急響應服務

按需

事件響應與處理報告

技術支援服務

提供技術諮詢/技術支援服務                                                                                                          

現場/遠端

技術支援服務

按需

技術支援服務報告

安全培訓

資訊保安技術基礎培訓

現場

安全人員現場培訓

1 天/次

培訓

Internet 應用安全培訓

0.5 天/次

防病毒技術培訓

0.5 天/次

常見駭客攻擊手段技防護技術培訓

1 天/次

日誌審計技術培訓

0.5 天次

 

 

 


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31550410/viewspace-2200210/,如需轉載,請註明出處,否則將追究法律責任。

相關文章