区政府网站等保及安全运维方案.docx
《区政府网站等保及安全运维方案.docx》由会员分享,可在线阅读,更多相关《区政府网站等保及安全运维方案.docx(48页珍藏版)》请在冰豆网上搜索。
区政府网站等保及安全运维方案
区政府网站
等级保护预评估及安全运维
服务方案
1公司简介
上海络安自2008年03月份起进入信息安全服务领域,在短短的几年发展过程中,络安公司陆续参与了工信部统一安全接入试点、国家60周年庆信息安全保障、上海世博会信息安全保障应急响应支撑等工作,并取得国家科技部、发改委及市经信委等项目基金的支持。
目前与国家信息安全工程技术研究中心共同合作成立的‘网络恶意攻击行为研究实验室’,更为政府单和企事业单位提供长期有效的网络信息安全防护支撑。
上海络安严格遵循ITIL/ISO27001/ISO27002/ISO27005国际管理和实践标准,集网络安全技术、产品和综合安全运维服务为一体,向客户、合作伙伴提供增值、全面、完整的安全运维和托管服务。
并致力于为政府单位和企事业单位提供长远的、有效的信息服务解决方案,按需求提供高效的网络系统运维服务,不断降低政府单位的政务信息系统运行的风险水平。
上海络安正在快速发展成为拥有强大的后端技术支持平台、严格遵循服务流的工程团队、完善的监控服务的以提供全面IT咨询与网络运维服务为主的高科技企业。
1.1服务范围
针对信息系统的安全测试。
如脆弱性评、渗透测试、源代码安全性检测及压力测试等。
Ø信息系统安全集成。
如安全管理中心的建设、访问控制系统的部署等
Ø信息系统风险管理。
如安全评估、风险处置、安全加固、安全审计等。
Ø整体信息安全系统规划和建设、信息安全策略及作业规程制定、信息安全标准合规整改。
Ø信息安全事件和事故紧急响应。
如应急预案的制定、应急技术支持、应急响应培训。
Ø业务连续性计划开发和实施。
包括信息数据备份与回复、数据容灾建设、数据迁移。
Ø网站群7*24*365安全监控服务。
拥有自主知识产权的安全监控平台。
Ø依托IDC中心为用户提供的高质量托管及运维服务。
服务资质
Ø2008年公司获得高新技术企业和双软件企业证书;
Ø2009年获得工信部(工信部协[2009]42号)互联网安全接入试点工作的上海市试点
Ø工作任务承担单位;
Ø2009年获得上海世博会信息安全保障应急响应支撑单位;
Ø2010年获得工信部颁发的计算机信息系统集成资质
Ø2010年荣获上海世博会信息安全保障工作优秀集体(唯一一家企业单位)
Ø2010年公司荣获上海市创新型企业称号
Ø2010年公司获得工信部颁发的信息安全应急处理服务资质
Ø2010年公司获得中国信息安全测评中心颁发的信息安全服务资质
服务资质证书
2杨浦区网站安全现状
杨浦区门户网站作为用户对外沟通的重要载体,其已经成为区政府及其部门发布区政府信息、提供在线服务、与公众互动交流的重要平台和窗口。
在提高区行政效能、提升区政府公信力等方面发挥了重要作用。
杨浦区网站群的安全在电子政务网站的实际运行中,有一定的成效,但仍存在着技术防护手段、安全管理机制和安全运行维护体系方面的木桶短板。
信息安全形势依然不容乐观。
互联网黑色产业链的行程和逐渐壮大已经成为网络安全必须面对的问题。
而且数以万计的国际黑客和间谍对政府网站的攻击丝毫未有减弱。
根据上海市网络与信息安全协调小组办公室(简称“沪网安办”)关于进一步做好政府网站安全管理试点工作的通知,即沪网安办(2012)4号文。
同时根据《上海市政府网站安全保障指南》,要求各单位做好技术防护、安全管理机制和安全运行维护的有效结合。
2.1目的
通过对杨浦区网站进行关于可用性、性能和安全性方面的综合检测,发现杨浦区网站建设过程中在系统改造、技术升级和运行维护中存在的安全弱点。
以便在技术防护、安全管理和运行维护方面采取针对性的措施。
切实保障杨浦区网站的安全和可靠的运行。
2.2目标
通过采用技术检测手段和现场访谈及审计,发现杨浦区门户网站安全防护措施的缺失,及时提供检测和防御措施。
实现“五防”即防攻击、防挂马、防篡改、防瘫痪、防泄密。
以下通过二大方面等保服务(管理层面)、运维服务(技术层面)予以实现。
一、等级保护部分
3等级保护服务概况
3.1等级保护建设模式
基于政府行业的实际需求,根据当前政府单位的信息运行环境和等保等级相应的对信息系统保护能力的要求。
首先,将政府单位的当前现状通过调研工作深入了解;其次,根据等级保护在管理方面和技术方面的基本要求,找出当前信息环境中存在的差距;最后,在获得客户的客观需求和要符合国家政策和标准的要求后,开始计划等级保护方案的设计。
等级保护在技术体系方面包括五大方面的基本要求:
分别是物理安全、网路安全、应用安全、主机安全和数据安全。
等级保护在管理体系方面也包括五方面的基本要求:
分别是安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。
通过信息安全管理方针、目标、策略、规程的开发和制定。
逐步让政府信息系统的运行和维护符合国家对信息安全保障能力的要求。
络安的等级保护建设模式如下图所示:
3.2等级保护建设目标
等级保护的建设目标就是通过在技术体系和管理体系的完善和加强后,使信息系统的防护能力达到相应的国家等级保护的要求。
关于等级保护的基本要求如下如所示:
3.3等级保护防御建设
根据国家等级保护的安全设计要求。
络安将帮助政府行业客户建设由安全管理中心统一管理,分别由通信网络、区域边界和计算环境组成的三层防御体系。
如上图所示:
等级保护建设流程
络安将完全参与到政府行业客户信息安全等级保护建设中,参与等保建设的各个环节。
各单位的信息等级工作已经于2008年基本完成。
4级以下的等保定级由政府单位自主定级。
四级及以上信息系统的定级方案需要国家信息安全评审委员会的评审。
络安将参与等保建设中的等保整改、安全威胁分析、等保方案的设计和安全体系的
部署并在测评期间配合测评结构完成对信息系统对象的测评工作。
等保建设流程如下图所示:
4等级保护实施的依据
《中华人民共和国计算机信息系统安全保护条例》
《国家信息化领导小组关于加强信息安全保障工作的意见》
《关于信息安全等级保护工作的实施意见》
《信息安全等级保护管理办法》
《信息安全技术信息系统安全等级保护实施指南》
《信息安全技术信息系统安全等级保护定级指南》
《信息安全技术信息系统安全等级保护基本要求》
《信息安全技术信息系统安全等级保护测评要求》
《信息安全技术信息系统安全等级保护测评过程指南》
《计算机信息系统安全保护等级划分准则》
5等级保护服务内容
上海络安通过自身的安全产品、安全服务,可协助用户完成等级保护各个阶段的建设,确保用户严格按照等级保护的过程规划并建设自己的安全保障体系,更好地支撑应用和业务的开展,具体服务内容如下:
服务名称
服务内容
等保定级咨询阶段
定级咨询服务
信息系统调查
定级对象分析
设计定级报告
协助定级备案
等保整改与安全建设服务阶段
等保差距分析服务
信息资产识别
安全技术差距分析
安全管理差距分析
系统运维差距分析
物理安全差距分析
等保安全风险评估服务
物理安全风险评估
网络安全风险评估
主机安全风险评估
应用系统安全风险评估
数据安全性风险评估
等保整改和安全建设规划服务
设计等保整改和安全建设方案
安全管理制度体系建设服务
信息安全策略建设总体规划和设计
完善安全管理制度体系
完善安全组织架构
规范人员管理
规范系统建设管理
环境管理
资产管理
介质管理
设备管理
网络与系统安全管理
系统安全管理
备份与恢复管理
恶意代码防范管理
变更管理
信息安全事件管理等
安全检测服务
物理安全检测
网络设备和网络边界安全检测
主机安全检测
应用系统安全检测
数据库安全检测
安全审计与分析服务
服务器日志审计
网络设备日志审计
门户网站日志分析与审计
数据库服务器日志审计
Web应用程序源代码审计
漏洞扫描服务
网络设备漏洞扫描
服务器漏洞扫描
数据库漏洞扫描
网站源代码扫描
web服务器漏洞扫描
安全加固服务
网络安全加固
数据库安全加固
web服务器安全加固
操作系统安全加固
应急服务体系建设服务
应急响应团队建设
应急响应流程规划
应急预案编制
应急响应演练
等保预测评服务阶段
等保预评估服务
协助客户进行等保自查工作
协助客户进行现场测评工作
等保复查服务阶段
等保复查服务
开展自查
协助客户进行每年的等保复查
6等级保护服务交付物
服务名称
服务内容
服务交付物
定级咨询服务
信息系统调查
确定定级指导委员会和定级工作项目组
提交信息系统调查表
提交定级报告并经专家审核
提交定级备案表
定级对象分析
设计定级报告
协助定级备案
等保差距分析服务
信息资产识别
安全技术差距分析
安全管理差距分析
系统运维差距分析
物理安全差距分析
资产清单列表
安全技术差距分析表
安全管理差距分析表
系统运维差距分析表
物理安全差距分析表
等保安全风险评估服务
物理安全风险评估
网络安全风险评估
主机安全风险评估
应用系统安全风险评估
数据安全性风险评估
物理安全风险评估报告
网络安全风险评估报告
主机安全风险评估报告
应用系统安全风险评估报告
数据安全性风险评估报告
等保整改和安全建设规划服务
设计等保整改和安全建设方案
等保整改和安全建设方案
安全管理制度体系建设服务
信息安全策略建设总体规划和设计
完善安全管理制度体系
完善安全组织架构
规范人员管理
规范系统建设管理
环境管理
资产管理
介质管理
设备管理
网络与系统安全管理
系统安全管理
备份与恢复管理
恶意代码防范管理
变更管理
信息安全事件管理等
相关管理文档
安全检测服务
物理安全检测
网络设备和网络边界安全检测
主机安全检测
应用系统安全检测
数据库安全检测
物理安全检测记录表
网络设备和网络边界安全检测记录表
主机安全检测记录表
应用系统安全检测记录表
数据库安全检测记录表
安全审计与分析服务
服务器日志审计
网络设备日志审计
门户网站日志分析与审计
数据库服务器日志审计
Web应用程序源代码审计
相关审计报告
漏洞扫描服务
网络设备漏洞扫描
服务器漏洞扫描
数据库漏洞扫描
网站源代码扫描
web服务器漏洞扫描
网络设备漏洞扫描报告
服务器漏洞扫描报告
数据库漏洞扫描报告
网站源代码扫描报告
web服务器漏洞扫描报告
安全加固服务
网络安全加固
数据库安全加固
web服务器安全加固
操作系统安全加固
网络安全加固报告
数据库安全加固报告
web服务器安全加固报告
操作系统安全加固报告
应急服务体系建设服务
应急响应团队建设
应急响应流程规划
应急预案编制
应急响应演练
应急响应团队建设规范
应急响应流程
应急响应预案
应急响应演练记录
等保预评估服务
协助客户进行等保自查工作
协助客户进行现场测评工作
按需
等保复查服务
开展自查
协助客户进行每年的等保复查
按需
二、检测及运维服务部分
7杨浦区网站安全检测方案
使用络安的webcare网站群警戒系统实现以下要求:
Webcare安全预警平台,可以7×24小时远程网站预警服务,通过不间断的远程值守,为用户网站提供远程性能监测、安全检测、实时响应和可用性报警,大大降低了网站出现性能、安全故障的风险,有效提升了工作效率。
7.1安全检测工作流程
络安采用基于B/S架构的网站群监测平台执行政府网站安全检测工作,以部署在英特网的探测节点对用户网站群进行监控,无需在用户内部网络部署任何硬件设备,其工作流程如下图:
图2.1-1:
网站群安全检测平台工作流程
7.2网站故障分析机制
图2.2:
网站故障分析机制
7.3安全检测服务项
网站群连通性监测
多接点探测:
调用多个互联网的监测节点对杨浦区的网站群实施连通性监测
监测类型:
监测类型包括DNS解析是否成功、DNS是否被劫持、网站是否响应超时、首页下载是否成功、中间件环境是否故障(如TOMCAT何IIS故障)、页面是否出现程序错误(如404、500等)
回调确认机制:
节点探测出杨浦区的网站故障后重新调用节点进行回测确认
连通性报警:
通过回调确认机制以及设置报警阀值对用户发出网站故障报警
报警类型:
故障报警、故障恢复报警、每日网站群运行情况一报
监测频率:
可对单个网站设置不同的监测频率,最低可监测频率为2分钟
故障分析:
提供网站故障的分析提供技术人员定位故障源
网站群性能评估
多接点探测:
调用多个互联网监测节点对杨浦区网站群实时性能监测
性能评估:
对杨浦区管辖的单个网站以及整个网站群进行性能评估,包括响应时间、域名解析时间、首页下载速率、首页打开时间4项性能指标
网站群安全扫描评估
服务器端口扫描:
对杨浦区网站服务器实施端口扫描,对非法端口进行预警
网站漏洞扫描:
采用基于网络的检测技术进行扫描,即部署在全国各地的外部网络节点通过网络的方式对杨浦区授权的门户或部门网站进行扫描
详细的扫描报告:
提供详细的关于杨浦区网站漏洞扫描报告,指出本区网站的漏洞页面和具体代码情况、定义危险级别并提出详细的解决方案。
站群报表
故障报表:
提供杨浦区网站群阶段时间内的故障统计
性能报表:
提供杨浦区网站群阶段时间内的性能评估统计
网站安全评估报表:
提供杨浦区网站群阶段时间内的安全扫描评估报表
站群综合报表:
提供杨浦区网站群阶段时间的综合故障、性能及安全的统计报表
8杨浦区网站安全运行维护服务
8.1安全运维服务概述
关于安全运行维护服务的描述,请参考表3-1:
序号
服务名称
服务描述
1
网站安全监控服务
对涉及网站性能的网站连通性(专用工具),系统资源、页面防篡改(购买第三方工具)、网站挂马(专用工具)和域名劫持情况进行实时监控(专用工具)。
2
安全巡检服务
对防火墙、IDS/IPS、防病毒网关、防篡改系统等安全设备的策略配置、安全管理和运行维护进行巡检,对网站服务器操作系统的安全配置、安全策略和补丁升级及恶意代码查杀等方面进行巡检,对网站系统平台插件和中间件安全策略有效性进行巡检。
3
网站源代码安全性检测服务
在新网站上线前和网站代码修改或变更后,使用专业的网站代码安全性检测系统对特定语言编写的代码进行弱点检测,并出具弱点整改和建议报告。
4
网站漏洞扫描服务
针对杨浦区门户或者部门网站进行每季度的网页漏洞扫描。
评估网站页面中存在的漏洞的风险。
凡网站代码变更或者网站服务升级的情况下,都将进行网站页面漏洞远程扫描。
(采用专业工具)
5
网站渗透测试服务
在获得杨浦区门户网站管理人员的书面授权下,尽可能完整的模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/主机的安全性深入探测,发现系统中最薄弱环节的过程。
直观的让管理人员知道自己网络所面临的安全问题。
应用“实战演练”或“沙盘推演”的概念,通过实战和推演,让用户清晰了解目前网络的脆弱性、可能造成的影响。
(人工+工具)
6
网站连续性计划
针对杨浦区的门户网站制定数据备份与恢复策略与计划;在无相关备份系统时,进行备份与恢复系统的规划和咨询。
在需要网站异地镜像容灾时,协助用户。
7
网站安全加固服务
提供扫描后发现的关于网站服务器系统和网站平台的弱点的修复和加固。
不提供网站页面代码的修改和测试。
8
网站应急响应服务
在有应急预案的情况下,完善和评审应急预案;在无应急预案的情况下,根据杨浦区网站实际管理情况制定应急预案。
协助用户与进行网站应急演练,提供应急演练计划和应急演练评估报告。
对发生的网站安全事件进行应急分析和处置。
9
网站性能体验服务
对在内网和外网访问政府网站的性能指标进行检测和分析,发现性能瓶颈和差异,提供建议方案。
对存在断链和错链的页面进行重点分析。
对运营商网络性能,杨浦区门户网站内网架构的性能进行检测。
(采用专业工具)
10
网站内容安全服务
协助杨浦区用户建立适合实际情况的保密审查流程和相应管理规范。
协助用户部署泄密检查系统。
11
外包服务商评估
协助杨浦区用户选择在网站建设、网站运维和网站安全保障方面具备相应资质和能力的外包服务商。
12
网站托管咨询服务
协助杨浦区用户进行网站托管业务。
评审网站托管合同。
制定网站托管质量要求指标及服务级别协议。
13
安全运维监理服务
对外包服务商的服务质量进行监督,协助用户制定外包服务商的考核策策略和绩效指标。
8.2安全运维服务架构
针对杨浦区政府和事业单位各部门电子政府建设和发展的实际现状,上海络安根据国家信息安全等级保护建设的相关标准和上海市网安办的相关通知。
为上海市各杨浦区的门户网站量身定制了安全运维的一套服务。
具体架构如下:
图3.2-1:
常态型服务架构
图3.2-1描述的服务为周期性提供的安全运维服务。
旨在巩固安全状态和减少风险,通过发现问题并及时采取措施来解决问题,从而达到管理网站所面临的风险的服务过程。
络安提供上述两种服务外,还提供一种补充性的服务即按需服务。
指针对杨浦区门户网站安全环境建设的需要和需要技术支撑时能及时予以提供的服务。
这种按需提供性的服务同样由四部分构成,具体参见图3.2-2:
图3.2-2:
常态型服务架构
8.3安全运维服务方式
图3-3:
安全运维服务方式
在安全运维的实施工作中,将充分以专业安全检测和预警工具为支撑,以人工分析、验证和响应为辅助,再加协助用户集成必要的安全防护系统。
调试和优化安全系统策略和性能,从而有效保障网站群的安全。
8.4安全运维计划
在执行杨浦区门户网站安全运行维护项目时,将严格按照预先制定的网站安全运维计划并严格遵从SLA中定义的服务目录。
服务内容
服务规格
服务方式
网站安全预警
7×24小时远程网站预警服务,通过不间断的远程值守,为用户网站提供远程性能监测、安全检测、实时响应和可用性报警;对单个网站以及整个网站群进行性能评估,对网页挂马和网页篡改情况进行实时监控。
7小时*24天监控
安全巡检服务
对防火墙、IDS/IPS、防病毒网关、防篡改系统等安全设备的策略配置、安全管理和运行维护进行巡检,对网站服务器操作系统的安全配置、安全策略和补丁升级及恶意代码查杀等方面进行巡检,对网站系统平台插件和中间件安全策略有效性进行巡检。
1次/季
1次/季
1次/季
1次/季
1次/季
网站源代码
安全性检测
在杨浦区新网站或者网站代码更新上线前,采用专业的网站代码测试平台,以“白盒”测试的方式对网站源代码进行安全性检测,针对网站编码的脆弱性进行评估。
新网站上线(1次/年);网站代码变更(1次/年)
网络恶意代码
检测
采用便携式的僵尸木马检测系统,灵活对杨浦区网站各边界接口进行检测并对数据进行汇总分析。
1次/月
网站页面漏洞扫描
针对杨浦区门户或者部门网站进行每季度的网页漏洞扫描。
评估网站页面中存在的漏洞的风险。
凡网站代码变更或者网站服务升级的情况下,都将进行网站页面漏洞远程扫描。
主要针对SQL注入、跨站脚本攻击、溢出攻击、信息旗标泄露等进行扫描。
2次/年
网站服务器平台漏洞扫描
采用专用的网络隐患漏洞扫描系统对网站服务器上的操作系统弱点进行扫描并计算风险,对操作系统平台上安全的应用服务和平台插件进行脆弱性扫描。
人工对扫描结果进行分析和判断并汇总成报告,提供解决建议方案。
1次/季,一年4次
网站系统渗透测试
在获得杨浦区用户网站管理人员的书面授权下,尽可能完整的模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/主机的安全性深入探测,发现系统中最薄弱环节的过程。
直观的让管理人员知道自己网络所面临的安全问题。
应用“实战演练”或“沙盘推演”的概念,通过实战和推演,让用户清晰了解目前网络的脆弱性、可能造成的影响。
(人工+工具)
1次/年
网站应急响应
在有应急预案的情况下,完善和评审应急预案;在无应急预案的情况下,根据杨浦区门户网站实际管理情况制定应急预案。
协助用户进行网站应急演练,提供应急演练计划和应急演练评估报告。
对发生的网站安全事件进行应急分析和处置。
按需提供;分别按照
(1)应急预案制定;
(2)应急演练;(3)应急分析及处置。
三项子服务
网站性能体验
对杨浦区门户网站从内网和外网进行访问,对用户网站的性能进行检测和分析,对内网流量分析,发现性能瓶颈和差异,提供建议方案。
对存在断链和错链的页面进行重点分析。
对运营商网络性能,政府内网架构性能进行检测。
(采用专业工具结合人工现场和远程方式)
2次/年
安全公告
每月对当月互联网安全形势及威胁进行安全通告,内容有操作系统、数据库、常规应用系统补丁升级;网络安全漏洞、杀毒软件最新补丁包的更新信息;新病毒信息;信息安全管理体系新理念;新黑客技术;国际信息系统安全最新技术等信息等。
1次/月
技术支持
根据杨浦区用户需要提供必要的技术支持。
但不局限于以下技术支持范畴。
网络拓扑图完善和绘制
网络设备操作规范
服务器操作规范
网站系统故障排除
安全事件调查与取证
网络设备测试评估
24小时电话支持、一年不超过2次现场服务
安全加固
安全加固是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
在加固前,充分测试加固措施的可靠性,保证对网站环境组建的加固不会带来任何风险。
1次/季,一年4次;网站平台服务器加固、网站数据库服务器加固和网站中间件加固分别单独计算工作计划和工作量
审计与分析
根据杨浦区用户需要提供保障网站安全的以下内容:
网站应用日志分析
数据库操作行为审计
网络设备日志分析
操作系统关键日志分析
网站安全管理评审
网络设备配置审计
1次/季
安全培训
根据杨浦区用户需要定制特别的安全培训,包括常规安全主题培训但不限于以下培训:
网站安全管理培训
网站安全技术培训
信息安全意识培训
互联网安全态势培训
应急演练培训
3次/年
8.5杨浦区安全运维服务交付物定义
针对杨浦区门户网站安全运维工作中的每项工作,都保持有书面记录,以做到有跟踪、有监督、有改善、有反馈。
关于网站安全运维中的关键项工作,交付物例定义如下表。
序号
工作项
交付物名称
1
系统运维体系
运维体系文件
2
安全域规划
相应的规划书
3
主机安全整改
相应的整改报告
4
数据库安全整改
相应的整改报告
5
应用安全整改
相应的整改报告
6
网络安全整改
相应的整改报告
7
管理安全整改
相应的整改报告
8
主机安全整改
相应的整改报告
9
网站安全管理培训
培训教材和培训记录
10
网站安全技术培训
培训教材和培训记录
11
信息安全意识培训
培训教材和培训记录
12
互联网安全态势培训
培训教材和培训记录
13
应急演练培训
培训教材和培训记录
14
网站页面断链和错链检查
检查报告
15
网络恶意代码的检测
检测报告
16
网站源代码安全性检测
检测报告
17
网站页面漏洞扫描
漏扫报告
18
网站在授权下的渗透测试
授权书、计划、报告
19
安全设备的策略检查和状态分析
巡检报告
20
服务器操作系统的安全策略和安全状态检查
巡检报告
21
网站系统平台的安全配置和组件升级检查
巡检报告
22
升级会员 