网络安全运维服务方案.docx
《网络安全运维服务方案.docx》由会员分享,可在线阅读,更多相关《网络安全运维服务方案.docx(37页珍藏版)》请在冰豆网上搜索。
网络安全运维服务方案
时间:
2021年7月
目录
一、项目概述 2
1.1项目背景 2
1.2项目现状 2
1.3项目目标 2
二、安全运维方案设计 3
3.1日常基础运维 3
3.1.1基础设施巡检服务 3
3.1.2基础设施运维服务 4
3.1.2日常技术支持和维护 5
3.1.3安全性维护 6
3.1.4安全整改 6
3.1.5其他相关配合服务 7
3.2网络安全运维服务 8
3.2.1安全咨询服务 8
3.2.2渗透测试及修复服务 9
3.2.3基线加固服务 14
3.2.4漏洞扫描服务 33
3.2.5新系统上线前安全评估服务 33
3.2.6网络安全应急响应服务 34
3.3安全运维驻场要求 35
一、项目概述
1.1项目背景
网络安全运维服务是企事业单位信息化建设和信息系统安全体系中不可或缺的一部分,是整个IT环境成熟度的一个衡量指标,完整的网络安全运维服务不仅能帮助单位解决现有的各类安全隐患,还能够帮助他们预计未来的趋势,规划信息系统安全、稳定的长期发展。
为响应国家网络安全等级保护的要求和2017年6月1日,《中华人民共和国网络安全法》正式实行,其中第二十一条:
国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改,全面的了解自身信息安全隐患,从物理、网络、主机、应用、数据及安全管理、安全运维各个层面分析系统可能存在的风险,判断系统所面临的安全威胁,加强信息系统的安全保障工作。
1.2项目现状
xxx局本身网络包含互联网、环境专网、电子政务外网3张网络,整体网络已参照网络安全等级保护制度要求进行了建设,基本能确保整体具有支持业务稳定、持续安全运行的能力。
整体网络和信息系统由xxx局网络信息科室自行提供安全运维和日常维护。
按照等保2.0的要求,xxx局在人员数量配备、专业技术能力方面尚存在一定的差距。
同时在“十四五”期间生态环境数字化转型将继续深化,基于智慧环保、生态环境大数据、物联网、数据共享、无纸化会议、视频会议等越来越多的信息化建设内容和维护需求,更是给日常运维及安全保障工作带来了巨大压力。
1.3项目目标
依托第三运维服务机构所提供的专业化运维服务和咨询建议,建立和完善安全运维及安全保障体系,增强信息化建设的安全防护能力、隐患检测能力和恢复能力,并确保信息化安全建设满足国家及行业相关政策要求,满足“事前可预防、事中可控制、事后可恢复”的网络安全保障需求,打造一个可信、可管、可控、可视的网络环境,确保重要信息系统、业务应用持续安全稳定的运行;经过有步骤有计划安全运维、安全整改和后期的安全建设,能保护组织核心业务不被网络攻击中断,保障组织核心业务数据不被窃取。
在对已知威胁有较强的防御能力外,对于未知威胁也具有一定的防御能力。
为xxx局业务的高效、顺利开展提供强有力技术支撑。
二、安全运维方案设计
3.1日常基础运维
3.1.1基础设施巡检服务
基础设施巡检和维护内容
序号
服务内容
常规
服务
时间
服务说明
服务要求
周期
次数
1
资产梳理
5*8
收集和梳理数据中心信息化资产信息,并建立归档。
根据梳理排查情况及采购人提供的服务功能、设备等信息,编制设备资产表。
设备资产表包括型号、数量、配置、功能、主机名称、IP地址、位置等信息。
有调整和变动时立即更新。
不固定
按需提供,不限次数
2
服务器健康巡检
5*8
利用数据中心现有监控设备或工具,定期对各服务器进行健康巡检;对发现的异常情况进行排查,并针对异常情况提出解决方案和建议。
每天
≥1
3
存储设备健康巡检
5*8
对存储设备系统的运行状态,包括设备指示灯、存储存储光纤链路等;对发现的异常情况进行排查,并针对异常情况提出解决方案和建议。
每天
≥1
4
数据库健康巡检
5*8
定期进行数据库健康巡检,监控内容包括数据库健康状态、数据库空间使用情况等;对发现的异常情况进行排查,并针对异常情况提出解决方案和建议。
每月
≥1
5
安全设备健康巡检
5*8
定期对安全设备病毒库和特征库更新情况检查;对安全设备异常/安全告警进行日志审核分析;对安全设备主机控制面板状态指示灯检查、CPU利用率、内存利用率、磁盘使用率、电源情况巡检;对异常情况进行排查,并针对异常情况提出解决方案和建议。
每天
≥1
6
核心网络设备健康巡检
5*8
定期对核心网络设备CPU利用率、内存利用率、电源状态、风扇状态巡检,对错误事件日志和异常情况进行分析和维护;提供巡检报告;对异常情况进行排查,并针对异常情况提出解决方案和建议。
每天
≥1
7
UPS、精密空调健康巡检
5*8
检查UPS主机、精密空调工作状态及各板件上指示灯的状态;对发现的异常情况进行排查,并针对异常情况提出解决方案和建议。
每天
≥1
8
月度汇报
5*8
按月对采购人整体基础设施巡检情况进行总结汇报。
每月
≥1
3.1.2基础设施运维服务
包括采购人工作人员桌面PC机、平板电脑、打印机、复印机的日常维护,包括桌面操作系统方面、办公网络方面的运维和故障处理工作。
具体服务内容如下:
基础设施运维服务内容
序号
服务内容
常规
服务
时间
服务说明
服务要求
周期
次数
1
硬件维护
5*8
负责采购人所有桌面电脑、平板电脑、打印机、复印机、网络设备等信息终端设备的维护工作。
主要包含设备安装调试、故障检测、配件更换(配件由采购人提供)、故障处置等。
涉及硬件维修的设备根据实际情况书面申请维修费用,经采购人同意后联系送修,维修完成后对设备进行测试,确定无故障后交还采购人并做好记录。
不固定
按需提供,不限次数
2
软件维护
5*8
负责桌面操作系统的安装和修复,常用软件、业务软件、防病毒软件安装(软件由采购人提供)等;处置操作系统升级、数据备份、系统故障、软件故障等问题;
不固定
按需提供,不限次数
3
网络维护
5*8
负责采购人办公区域网络故障的排查和处理。
不固定
按需提供,不限次数
4
信息资产清理和管理
5*8
配合采购人对终端计算机进行资产清理,包括型号、数量、位置、使用人等信息。
资产信息以电子表格的形式进行保存。
不固定
按需提供,不限次数
3.1.2日常技术支持和维护
1.日常技术支持:
对在建或新建的信息化系统提供服务器、存储、虚拟机、数据库、中间件、网络等基础IT环境的配合等服务;对于采购人日常发生的网络设备调试、安全设备调试、服务器调试、数据库调试、视频会议调试、终端系统调试等提供技术支持服务。
服务次数:
按需提供,不限次数;
常规服务时间:
5×8,应急服务时间:
7×8。
2.日常技术维护:
a)策略调优及优化:
依据资产情况、业务系统网络流向、日常安全监测情况、近期风险通报结果及安全设备实际策略配置情况,对安全设备协助开展策略配置调优,以持续提升安全运行和防护能力。
(安全设备包含但不限于防火墙、入侵防御、WAF、防病毒系统、安全网关等。
)
b)配置备份:
定期对核心交换机、汇聚交换机、防火墙、WEB应用防火墙、入侵防御系统等关键节点设备的系统配置和策略配置进行完整备份,在设备发生故障后提供配置快速导入等恢复措施。
服务期内按需提供,策略配置及系统配置备份每周一次。
c)安全设备软件及特征库更新升级:
依据巡检结果定期对可以进行特征库、病毒库、威胁情报库和漏洞库等特征库升级的安全设备进行更新升级。
(更新升级原则为同步产品厂商官网更新情况),针对已过授权许可时间的安全设备,提供处置建议。
服务期内按需提供。
(安全设备包含但不限于防火墙、入侵防御、WAF、防病毒系统、安全网关等。
)
3.故障处置支持:
a)对于采购人出现的各类故障情况,提供技术支持服务(非硬件层面);包括服务器系统故障、安全设备系统故障、核心网络设备系统故障、UPS、精密空调系统故障等;针对未过保的设备故障处置由供应商协调设备所属维护商进行维护,并跟进维修进度和效果及时向采购人汇报情况。
针对已过保设备的故障处置由供应商进行维护。
针对特殊情况下供应商无法维护的故障情况,供应商出具实际可行的解决方案和建议。
b)对于采购人出现的各类故障情况,提供技术咨询服务(硬件层面);未过保的各类硬件维修由供应商协调设备所属维护商进行维修,并跟进维修进度和效果。
已过保设备及不具备维修价值的硬件设备或部件,由供应商提供处理建议由采购人评估后,根据评估结果,按采购人要求对设备进行处理。
服务次数:
按需提供,不限次数;
常规服务时间:
5×8,应急服务时间:
7×8。
3.1.3安全性维护
按照《网络安全法》和《网络安全等级保护基本要求》(GB/T22239-2019)要求,为各信息系统的基础IT设施进行安全性维护,包括但不限于其提供操作系统升级、补丁更新、安全设备配置、合规性配置,针对风险事件提供安全整改建议等。
安全性维护服务内容及要求
序
号
服务内容
常规服
务时间
服务说明
服务要求
1
操作系统升级与补丁更新
5×8
对机房内现有,在运行的操作系统定期安全补丁更新提供配合和协助服务;配合采购人安装升级操作系统。
按需提供,不限次数
2
安全设备配置
5×8
根据采购人需求,对现有数据中心机房内的安全设备进行优化,其中包括安全设备构架层和安全设备策略层,并给出合理化的安全规划建议。
按需提供,不限次数
3
合规性配置
5×8
针对各应用系统的不同需求,在服务对象中安全设备、网络设备等基础IT设施进行防火墙、堡垒机、日志审计等合规性配置。
按需提供,不限次数
3.1.4安全整改
运维服务期间,如上级部门、公安部门、信息化主管部门等单位对数据中心(不含信息系统软件本身)进行安全扫描,根据各方安全评估结果,协助修复安全漏洞、加固系统平台,防止系统破坏、数据泄露。
如安全整改经评估会对业务系统产生影响时,需提出整改建议方案(方案中需注明风险)经采购人签字授权后进行修复。
安全整改服务内容及要求
序号
服务内容
常规
服务
时间
服务说明
服务要求
周期
次数
1
修复安全漏洞加固系统防护
5×8
1、及时响应相关单位发出的安全漏洞通报。
2、针对风险等级为严重的漏洞,在收到报告后的三个工作日内修复解决或提出整改建议方案;针对风险等级为中、低的漏洞,须在收到报告后的两周内修复解决或提出整改建议方案。
3、针对紧急漏洞(比如勒索病毒),需相关单位发出的安全漏洞通报中的解决方案立即解决。
4、修复解决后提交安全整改报告(如遇到系统较大版本升级改动等特殊情况需要延期解决,须在安全整改报告中说明)
按安全通告或通知文件
按需提供,不限次数
3.1.5其他相关配合服务
按照采购人及上级主管单位要求,做好正版化检查、网络安全检查、保密检查、业务对接、区县单位技术支撑、采购人交办的其他相关事宜等配合服务。
。
服务次数:
按需提供,不限次数;
常规服务时间:
5×8,应急服务时间:
7×8。
3.2网络安全运维服务
3.2.1安全咨询服务
3.2.1.1日常安全问题咨询服务
服务内容
结合本单位的实际需求,参考国内外安全标准,提供日常安全咨询服务,主要包括大的网络安全规划、安全决策、安全事件处理等。
提供完整全面的处理方案,要求方案具有可操作性、能够指导采购人进行事件处理和应对。
服务次数:
按需提供,不限次数;
常规服务时间:
5×8,应急服务时间:
7×8。
交付成果
《日常安全问题咨询反馈记录》
3.2.1.2网络安全规划服务
服务内容
结合采购人的实际需求,参考国内外安全标准和国内新技术研究(如等保2.0、关键信息基础设施保护条例、商用密码体系、云计算、大数据、物联网、移动安全),对采购人网络安全方案设计,网络安全建设,包括网络安全结构设计、系统安全设计、其他网络安全方案设计,提供网络安全远景规划设计,为未来网络信息安全工作开展提供有力指导与支撑。
服务次数:
按需提供,不限次数;
交付成果
《安全远景规划建议书》
3.2.1.3等级保护咨询服务
服务内容
深化网络安全等级保护工作,基于对网络安全的深刻理解,在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系,对等级保护各个阶段的工作重点为客户提供全方位的支持和服务,协助完成定级备案、差距分析、安全整改或安全建议和协助对接等保测评工作。
服务次数:
按需提供,不限次数;
交付成果
《网络系统等级保护咨询记录》
3.2.2渗透测试及修复服务
3.2.2.1渗透测试服务
服务内容
针对渗透测试服务范围,结合等级保护合规性测评等各项检查工作的成果,采用外部渗透方式及内部渗透方式对应用系统进行非破坏性质的模拟入侵者攻击的测试,检测外部威胁源和路径,以便掌握系统的安全状况,寻找系统存在的漏洞和风险;并出具渗透测试报告;
测试方法
渗透测试完全模拟黑客的入侵思路与技术手段,黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。
以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。
针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法:
测试方法
描述
信息收集
信息收集是渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。
信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。
端口扫描
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。
通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
口令猜测
本阶段将对暴露在公网的所有登陆口进行口令猜解的测试,找出各个系统可能存在的弱口令或易被猜解的口令。
猜解成功后将继续对系统进行渗透测试,挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息,并评估相应的危害性。
猜解的对象包括:
WEB登录口、FTP端口、数据库端口、远程管理端口等。
远程溢出
这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。
对于在防火墙内的系统存在同样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。
本地溢出
本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法。
使用本地溢出的前提是首先要获得一个普通用户的密码。
也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。
多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击,就能获取不进行主动安全防御的系统的控制管理权限。
脚本测试
脚本测试专门针对Web服务器进行。
根据最新的技术统计,脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。
利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。
因此对于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。
权限获取
通过初步信息收集分析,存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息。
接下来尽最大努力取得超级用户权限、收集目标主机资料信息,寻求本地权限提升的机会。
这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。
测试内容
本项目渗透测试包括但不限于以下内容:
测试大类
测试项
测试目的
身份验证类
用户注册
检查用户注册功能可能涉及的安全问题
用户登录
检查用户登录功能可能涉及的安全问题
修改密码
检查用户修改密码功能可能涉及的安全问题
密码重置
检查忘记密码、找回密码、密码重置功能可能涉及的安全问题
验证码绕过
检测验证码机制是否合理,是否可以被绕过
用户锁定功能
测试用户锁定功能相关的安全问题
会话管理类
Cookie重放攻击
检测目标系统是否仅依靠cookie来确认会话身份,从而易受到cookie回放攻击
会话令牌分析
Cookie具有明显含义,或可被预测、可逆向,可被攻击者分析出cookie结构
会话令牌泄露
测试会话令牌是否存在泄露的可能
会话固定攻击
测试目标系统是否存在固定会话的缺陷
跨站请求伪造
检测目标系统是否存在CSRF漏洞
访问控制类
功能滥用
测试目标系统是否由于设计不当,导致合法功能非法利用
垂直权限提升
测试可能出现垂直权限提升的情况
水平权限提升
测试可能出现水平权限提升的情况
输入处理类
SQL注入
检测目标系统是否存在SQL注入漏洞
文件上传
检测目标系统的文件上传功能是否存在缺陷,导致可以上传非预期类型和内容的文件
任意文件下载
检测目标系统加载/下载文件功能是否可以造成任意文件下载问题
XML注入
测试目标系统-是否存在XML注入漏洞
目录穿越
测试目标系统是否存在目录穿越漏洞
SSRF
检测目标系统是否存在服务端跨站请求伪造漏洞
本地文件包含
测试目标站点是否存在LFI漏洞
远程文件包含
测试目标站点是否存在RFI漏洞
远程命令/代码执行
测试目标系统是否存在命令/代码注入漏洞
反射型跨站脚本
检测目标系统是否存在反射型跨站脚本漏洞
存储型跨站脚本
检测目标系统是否存在存储型跨站脚本漏洞
DOM-based跨站脚本
检测目标系统是否存在DOM-based跨站脚本漏洞
服务端URL重定向
检查目标系统是否存在服务端URL重定向漏洞
信息泄露类
errorcode
测试目标系统的错误处理能力,是否会输出详尽的错误信息
StackTraces
测试目标系统是否开启了StackTraces调试信息
敏感信息
尽量收集目标系统的敏感信息
第三方应用类
中间件
测试目标系统是否存在jboss、weblogic、tomcat等中间件
CMS
测试目标系统是否存在dedecms、phpcms等CMS
测试方式
透测试服务根据测试的位置不同可以分为现场测试和远程测试;根据测试的方法不同分为黑盒测试和白盒测试两类;
现场测试是指经过用户授权后,测试人员到达用户工作现场或接入用户工作内网,根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。
这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。
一般用于检测内部威胁源和路径。
远程测试与现场测试相反,测试人员无需到达客户现场或接入用户内部网络,直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。
这种测试往往是应用于那些关注门户站点和互联网应用的用户,主要用于检测外部威胁源和路径。
黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作,这种方式可以较好的模拟黑客行为,了解外部恶意用户可能对系统带来的威胁。
白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试,如:
目标系统的帐号、配置甚至源代码。
这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。
测试流程
服务频率
服务期内每年一次。
服务范围
国控系统、机动车尾气系统、大气预警平台、电子政务平台、OA系统。
交付成果
《渗透测试报告》
3.2.2.2渗透测试漏洞修复服务
服务内容
提供漏洞修复服务;依据渗透测试的结果,对发现的应用系统和应用系统承载设施存在的安全风险给出修复建议或协助修复。
服务频率
服务期内每季度一次
服务范围
国控系统、机动车尾气系统、大气预警平台、电子政务平台、OA系统。
交付成果
《渗透测试漏洞修复报告》
3.2.3基线加固服务
服务内容
安全加固服务,是指根据安全加固列表,对目标系统的安全漏洞对进行修复、配置隐患进行优化的过程。
加固内容包括但不限于系统补丁、防火墙、防病毒、危险服务、共享、自动播放、密码安全。
针对范围内主机提供基线安全加固服务,遵循基线安全加固技术标准对授权的设备进行基线安全加固。
使服务器具有基本的安全防护能力,能抵御对操作系统的直接攻击,能在发生攻击时限制影响范围。
基线加固内容
安全加固的操作系统包括Windows、Linux、AIX、HP-Unix、Solaris。
操作系统的加固内容如下表所示:
ØWindows基线安全加固标准:
控制点
1:
应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
目的
防止未授权访问
加固检查
查看登录是否需要密码
加固标准
数据库使用口令鉴别机制对用户进行身份标识和鉴别;
登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性。
控制点
2:
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
目的
防止弱口令
加固检查
查看安全策略是否启用
密码复杂性策略
密码最小长度
密码最短使用期限
密码最长使用期限
强制密码历史
加固标准
启用密码复杂性策略
密码最小长度为8位
密码最短使用期限0天
密码最长使用期限90天
强制记住密码历史0个
控制点
3:
启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
目的
防止恶意猜解账户口令
加固检查
查看安全策略是否启用
账户锁定时间
账户锁定阈值
重置账户锁定计数器
加固标准
账户锁定时间30分钟
账户锁定阈值5次无效登陆
重置账户锁定计数器30分钟之后
控制点
4:
对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
目的
RDP加密传输,防止身份鉴别信息在传输过程中泄露
加固检查
点击[开始]->[运行]输入:
gpedit.msc,点击[计算机配置]->[管理模板]->[Windows组件]->[远程桌面服务]->[远程桌面会话主机]->[安全],双击[远程(rdp)连接要求使用指定的安全层],选择已启用,安全层选择SSL(TLS1.0),点击确定;双击[设置客户端连接加密级别],选择[已启用],加密级别为[高级别],点击确定。
加固标准
安全层使用ssL加密,加密级别为高级别
控制点
5:
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
目的
防止账户滥用
加固检查
依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户];查看用户列表,询问每个账户的使用情况。
加固标准
无多人共用同一个账号的情况。
控制点
6:
系统敏感资源访问控制
目的
限制系统敏感资源的访问权限
加固检查
1)文件权限:
a)右键点击[开始],打开[资源管理器(X)],[工具]->[文件夹选项]->[查看]中的“使用简单文件共享(推荐
升级会员 