网络与信息安全管理中心安全值守技术方案.docx
《网络与信息安全管理中心安全值守技术方案.docx》由会员分享,可在线阅读,更多相关《网络与信息安全管理中心安全值守技术方案.docx(86页珍藏版)》请在冰豆网上搜索。
网络与信息安全管理中心安全值守技术方案
1技术建议书
11.1服务方案
11.1.1项目概况
近几年来,信息安全的重要性逐步得到了各行业的广泛关注,国家相关部门也出台了多项政策、法规和标准,用以指导各行业的信息安全建设。
由于信息安全相关的标准和法规相对抽象,加之信安中心承担了管理和生产职能,在突发事件处置等方面人员储备不足,受限于人员配置和资源问题,部分安全工作需要大量安全工具及专人参与。
为保障中国公司结合自身情况制定长期、系统、有效的安全建设规划,提出驻场服务的需求。
11.1.2建设目标
1、为安全工作开展提供高质量的安全保障服务。
2、在发生网络调整,系统升级扩容,新系统上线等变更时,进行评估,给出明确的、可实施的安全建议及建设规划,配合相关安全工作开展。
3、在日常工作中,协助安全人员开展定期的自查评估工作,设备或系统上线时,实施上线前的安全评估和反馈相关的制度、规X和流程的落实情况。
4、保障日常工作中的网络安全。
5、应急响应及安全事件分析。
6、开展安全培训工作,提升相关人员的安全专业水平。
7、对重要系统(网络安全整合平台)进行协助运维和推广。
11.1.3服务方法
本次安全值守服务项目我们提供以下服务方法:
11.1.3.1日常安全工作
常态化漏洞扫描,弱口令检查,web业务系统渗透测试及相关文档、总结撰写
定期安全检查:
●全网扫描(X围)。
●根据目标主机数量制定扫描计划,每个月能保证至少完成一次对全部维护对象的安全扫描工作。
●出具安全扫描结果并和维护人员进行面对面沟通确认,督促维护人员进行整改和加固,加固结束后进行再次复查并出具复查报告,对于不能加固的漏洞提供安全解决建议。
系统上线安全检查:
对于新的业务系统上线前,值守人员配合完成上线设备的安全检查工作,安全检查包含以下几项工作:
Ø远程安全扫描
●通过使用现有远程安全评估系统对上线设备进行扫描,确保没有高、中等级的安全问题,对于低等级的安全问题,应确保该问题不会泄露设备敏感信息
Ø本地安全检查
●配合安全加固的checklist对上线设备进行检查,以确保上线设备已进行了必要的安全设置
●注:
若已制定相关的安全准入规X,将使用提供的checklist替代的checklist
Ø远程渗透测试
●对复杂的应用系统,如:
WEB系统,根据需求进远程渗透测试
11.1.3.1.1渗透测试概述
渗透测试(PenetrationTest)是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。
通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,对目标网络/系统/主机/应用的安全性作深入的探测,发现系统最脆弱的环节。
渗透测试能够直观的让管理人员知道自己网络所面临的问题。
作为一种专业的安全服务,类似于军队里的“实战演习”或者“沙盘推演”的概念,通过实战和推演,让清晰了解目前网络的脆弱性、可能造成的影响,以便采取必要的防X措施。
11.1.3.1.2渗透测试意义
从渗透测试中,客户能够得到的收益至少有:
◆协助发现组织中的安全短板
一次渗透测试过程也就是一次黑客入侵实例,其中所利用到的攻击渗透方法,也是其它具备相关技能的攻击者所最可能利用到的方法;由渗透测试结果所暴露出来的问题,往往也是一个企业或组织中的安全最短木板,结合这些暴露出来的弱点和问题,可以协助企业有效的了解目前降低风险的最迫切任务,使在信息安全方面的有限投入可以得到最大的回报。
◆作为信息安全状况方面的具体证据和真实案例
渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体证据,一份文档齐全有效的渗透测试报告有助于IT组织管理者以案例的形式向相关人员直观展示目前企业或组织的安全现状,从而增强员工对信息安全的认知程度,提高相关人员的安全意识及素养,甚至提高组织在安全方面的预算。
◆发现系统或组织里逻辑性更强、更深层次的弱点
渗透测试和工具扫描可以很好的互相补充。
工具扫描具有很好的效率和速度,但是存在一定的误报率和漏报率,并且不能发现高层次、复杂、并且相互关联的安全问题;渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确,可以发现系统和组织里逻辑性更强、更深层次的弱点。
◆从整体上把握组织或企业的信息安全现状
信息安全是一个整体工程,一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、人员或对象,有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响,进而采取措施降低因为自身的原因造成的风险,有助于内部安全的提升。
11.1.3.1.3渗透测试步骤
渗透测试实际就是一个模拟黑客攻击的过程,因此其的实施过程也类似于一次完整的黑客攻击过程,我们将其划分为如下几个阶段:
✧预攻击阶段(寻找渗透突破口)
✧攻击阶段(获取目标权限)
✧后攻击阶段(扩大攻击渗透成果)
如下图:
11.1.3.1.3.1预攻击阶段
预攻击阶段主要是为了收集获取信息,从中发现突破口,进行进一步攻击决策。
主要包括
✧网络信息,如网络拓补、IP及域名分布、网络状态等
✧服务器信息,如OS信息、端口及服务信息、应用系统情况等
✧漏洞信息,如跟踪最新漏洞发布、漏洞的利用方法等
其利用到的方法及工具主要有:
●网络配置、状态,服务器信息
✧Ping
✧Traceroute
✧Nslookup
✧whois
✧Finger
✧Nbtstat
●其它相关信息(如WEB服务器信息,服务器管理员信息等)
✧.netcraft.
✧.internic.
✧visualroute.visualware.
✧google、、baidu等搜索引擎获取目标信息
✧企业组织名称、个人XX、、生日、XX、电子等等……(、论坛、社交工程欺骗)
●常规扫描及漏洞发现确认
✧NMAP端口扫描及指纹识别
✧利用各种扫描工具进行漏洞扫描(ISS、Nessus等)
✧采用FWtester、hping3等工具进行防火墙规则探测
✧采用SolarWind对网络设备等进行发现
✧采用nikto、webinspect等软件对web常见漏洞进行扫描
✧采用如AppDetectiv之类的商用软件对数据库进行扫描分析
●应用分析(web及数据库应用)
✧采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具进行分析对Web服务进行分析检测
✧用webscan、fuzzer进行SQL注入和XSS漏洞初步分析
✧某些特定应用或程序的漏洞的手工验证检测(如sql注入、某些论坛的上传漏洞、验证漏洞,某些特定软件的溢出漏洞等)
✧采用类似OScanner的工具对数据库进行分析
✧用Ethereal抓包协助分析
11.1.3.1.3.2攻击阶段
攻击阶段是渗透测试的实际实施阶段,在这一阶段根据前面得到的信息对目标进行攻击尝试,尝试获取目标的一定权限。
在这一阶段,主要会用到以下技术或工具:
●账号口令猜解
口令是信息安全里永恒的主题,在以往的渗透测试项目中,通过账号口令问题获取权限者不在少数。
有用的账号口令除了系统账号如UNIX账号、Windows账号外,还包括一些数据库账号、账号、FTP账号、MAIL账号、SNMP账号、CVS账号以及一些其它应用或者服务的账号口令。
尤其是各个系统或者是应用服务的一些默认账号口令和弱口令账号。
大多综合性的扫描工具都有相应的弱口令审核模块,此外,也可以采用Brutus、Hydra、溯雪等比较专业的账号猜解工具。
●缓冲区溢出攻击
针对具体的溢出漏洞,可以采用各种公开及私有的缓冲区溢出程序代码进行攻击,如下图:
●基于应用服务的攻击
基于web、数据库或特定的B/S或C/S结构的网络应用程序存在的弱点进行攻击,常见的如SQL注入攻击、跨站脚本攻击、一些特定论坛系统的上传漏洞、下载漏洞、物理路径暴露、重要文件暴露等均属于这一类型,特定的对象及其漏洞有其特定的利用方法,这里就不一一举例。
11.1.3.1.3.3后攻击阶段
后攻击阶段主要是在达到一定的攻击效果后,隐藏和清除自己的入侵痕迹,并利用现有条件进一步进行渗透,扩大入侵成果,获取敏感信息及资源,长期的维持一定权限。
这一阶段,一般主要进行3个工作:
1)植入后门木或者键盘记录工具等,获得对对象的再一次的控制权
在真实的黑客入侵事件中,这一步往往还要进行入侵行为的隐藏比如清楚日志、隐藏后门木马服务、修补对象漏洞以防止他人利用等,但在渗透测试实例中却不需要如此,往往需要保留对象相应的日志记录,可以作为渗透测试的相关证据和参考信息。
2)获得对象的完全权限
这一步主要以破解系统的管理员权限账号为主,有许多著名的口令破解软件,如L0phtCrack、JohntheRipper、Cain等可以帮助我们实现该任务。
3)利用已有条件,进行更深入的入侵渗透测试
在成功获取某个对象的一定权限后,就可以利用该成果,以此对象为跳板,进行进一步的入侵渗透。
在这一步会重复预攻击阶段和攻击阶段的那些操作,因为前提条件的变化,可能实现许多先前不可能实现的渗透任务。
此外,还这个阶段,还有一些有用的攻击方法也是比较有效的,比如Sniffer嗅探、跳板攻击、IP欺骗、ARP欺骗与MITM(中间人)攻击等,都可以帮我们实现某些特定渗透结果。
11.1.3.1.4渗透测试流程
渗透测试与安全风险评估、安全加固等安全服务一样,在具体实施中都有可能带来一些负面风险,因此一个严格的有效的实施流程是保证渗透测试正常实施的关键,安全渗透测试服务严格遵循以下的项目实施流程:
11.1.3.1.4.1制定方案并获得授权
合法性即客户书面授权委托并同意实施方案,这是进行渗透测试的必要条件。
渗透测试首先必须将实施方法、实施时间、实施人员、实施工具等具体的实施方案提交给客户,并得到客户的书面委托和授权。
实施方案大致包括下面几方面的内容:
✧项目基本情况及目标介绍
✧渗透测试实施方案及计划
✧渗透测试成果的审核确认
应该做到客户对渗透测试所有细节和风险的知晓、所有过程都在客户的控制下进行,这也是专业渗透测试服务与黑客攻击入侵的本质不同。
11.1.3.1.4.2信息收集分析
信息收集是每一步渗透攻击的前提,通过信息收集寻找渗透测试的突破口并细化渗透测试方案,有针对性地制定模拟攻击测试计划。
信息收集主要涉及如下内容:
✧域名及IP分布
✧网络拓补、设备及操作系统OS
✧端口及服务情况
✧应用系统情况
✧最新漏洞情况
✧其它信息(如服务器管理员的相关信息等)
11.1.3.1.4.3渗透测试方案细化
根据预攻击阶段信息收集的结果,对渗透测试方案进行细化,主要是具体漏洞细节及针对这些漏洞的可能采用的测试手段,详细时间安排,以及可能带来的风险,需要客户配合或关注的地方等。
方案细化后再次知会客户并取得客户同意授权才能进行下一步操作。
11.1.3.1.4.4渗透测试的实施
在取得客户同意后,开始具体的实施过程,包括如下几方面内容:
✧获得目标系统权限
✧后门木马植入,保持控制权
✧跳板渗透,进一步扩展攻击成果
✧获取敏感信息数据或资源
在实施过程中,特别提请注意的是采取的渗透测试技术及手段一定不能导致对象的业务中断和工作异常,必须对对象的状态进行实时监控,必要的情况下可以要求客户协助进行。
11.1.3.1.5渗透测试报告
渗透测试之后,针对每个系统需要向客户提供一份渗透测试报告《相关系统网络渗透测试报告》,报告十分详细的说明渗透测试过程中的得到的数据和信息,并且将会详细的纪录整个渗透测试的全部操作。
渗透测试报告应包含如下内容:
渗透结论
包括目标系统的安全状况、存在的问题、渗透测试的结果等
渗透测试项目的介绍
包括项目情况、时间、参与人员、操作地点等
渗透测试过程
包括渗透测试的各个实施阶段中的方法、工具、技术及其操作细节等
渗透测试的证据
渗透测试的一些过程及证明文件
解决方案
针对渗透测试中发现的问题给出对应的解决办法和建议
附录部分
渗透测试中的一些其它相关内容,如异常事件的记录和处理等
11.1.3.2三同步工作
包括网络部、业务支撑与信息部,兼顾全部区公司新上线系统基线达标检查,新上线设备安全配置核查,各域新业务上线安全检查。
11.1.3.2.1新业务上线安全检查目标
在新业务上线前,对相关的IT设备、业务系统应用进行安全检查,确保业务系统安全的入网上线,符合集团及上级机关的安全要求。
11.1.3.2.2新业务上线安全检查X围
针对新系统/设备上线,提供安全检查技术服务,检查X围涵盖新系统/设备的以下方面:
(1)检查对象包括新业务系统的应用程序代码、承载新业务运行的IT设备,包括网络及安全设备、主机系统、数据库和中间件
(2)检查内容包含IT设备的安全基线配置、安全漏洞
11.1.3.2.3新业务上线安全检查内容
需提供管理支撑系统上线前安全检查服务。
(1)对现有的核心系统新版本上线进行上线前安全检查:
对管理支撑网所有涉及重要核心系统,包括:
网络部、业务支撑与信息部,兼顾全部区公司新上线系统基线达标检查,新上线设备安全配置核查,各域新业务上线安全检查;
(2)对新上线的业务系统及新上线设备提供以下服务:
1安全漏洞检查,提供加固建议;
2安全配置合规检查,依据集团安全配置规X,并提供相关系统的针对性加固规X书;
3应用系统配置安全检查;
4新上线业务如有互联网IP,须在互联网渗透测试;
5新业务的安全域规划和边界访问控制策略;
6网络改造协助提供安全审计、建议和整改方案;
7新上线业务如有web,对程序全面检查,提供应用安全加固建议;
11.1.3.3安全运维
11.1.3.3.1执行运维作业计划
1、定期巡检设备,每周一次。
2、执行天、周、月作业计划。
3、定期开展设备升级和安全加固工作。
11.1.3.3.2设备运行运维
网络部、业务支撑与信息系统部安全设备运行运维,提供安全事态周,月,季度报表并汇总输出,分析安全事态提供决策依据,及时处理安全事件;安全漏洞监测及新漏洞通告服务,安全预警服务,应急演练,应对上级安全检查准备工作。
1、安全集中整合平台(包括漏洞扫描器、防病毒和补丁、WEB安全监测系统、web防篡改、SOC、安全域网络设备);
2、垃圾短信拦截平台协助运维;
3、重要系统IDS、流量清洗设备运维(IDS、CMENT、DNS、网厅);
4、僵木蠕系统监测等。
11.1.3.3.2.1设备运维目标及内容
通过定期升级,对云定制化安全设备进行日常运维支撑,满足高可用、易用等使用要求。
具体内容如下:
按规定周期定期检查并总结设备规则版本及系统版本,并将规则版本升级至官方推荐版本、将系统版本(引擎版本)升级至官方推荐版本,并定期输出《安全设备版本运维记录》。
定期进行安全设备状态检查、策略检查、接入检查、配置合规检查、配置备份、日志统计各项工作,并定期输出《安全设备运营运维记录》。
结合云网络与业务特征优化安全设备告警监控指标和处理方法,指导针对云计算环境下出现的新类型安全事件的分析及解决,不定期输出《安全设备运营优化建议》。
11.1.3.3.2.2设备运维服务流程
采用的服务方式为两种:
一种为技术人员现场值守,另一种是定期巡检结合故障现场服务。
技术人员现场值守运行运维服务的基本操作流程如下图所示:
定期巡检结合故障现场运行运维服务的基本操作流程如下图所示:
11.1.3.3.2.3网络、安全系统运维
从网络的连通性、网络的性能、网络的监控管理三个方面实现对网络系统的运维管理。
网络、安全系统基本服务内容:
序号
服务模块
内容描述
1
现场备件安装
配合进行,按备件到达现场时间工程师到达现场
2
现场软件升级
首先分析软件升级的必要性和风险,配合进行软件升级
3
现场故障诊断
按服务级别:
7×24小时
5×8小时
4
远程技术支持
7×24小时
5
问题管理系统
对遇到的问题进行汇总和发布
(1)现场技术人员值守
根据的需求提供长期的现场技术人员值守服务,保证网络的实时连通和可用,保障接入交换机、汇聚交换机和核心交换机的正常运转。
现场值守的技术人员每天记录网络交换机的端口是否可以正常使用,网络的转发和路由是否正常进行,交换机的性能检测,进行整体网络性能评估,针对网络的利用率进行优化并提出网络扩容和优化的建议。
现场值守人员还进行安全设备的日常运行状态的监控,对各种安全设备的日志检查,对重点事件进行记录,对安全事件的产生原因进行判断和解决,及时发现问题,防患于未然。
同时能够对设备的运行数据进行记录,形成报表进行统计分析,便于进行网络系统的分析和故障的提前预知。
具体记录的数据包括:
Ø配置数据
Ø性能数据
Ø故障数据
(2)现场巡检服务
现场巡检服务是对客户的设备及网络进行全面检查的服务项目,通过该服务可使客户获得设备运行的第一手资料,最大可能地发现存在的隐患,保障设备稳定运行。
同时,将有针对性地提出预警及解决建议,使客户能够提早预防,最大限度降低运营风险。
巡检包括的内容如下:
编号
巡检内容
1
硬件运行状态检查项目
单板状态检查
电源模块状态检查
风扇状态检查
整机指示灯状态检查
机框防尘网检查
机房温度、湿度检查
设备地线检查
2
软件运行情况检查项目
设备运行情况检查
网络报文分析
设备对接运行状况检查
路由运行情况检查
3
网络整体运行情况调查
网络运行问题调查
网络变更情况调查
网络历史故障调查
(3)网络运行分析与管理服务
网络运行分析与管理服务是指技术服务工程师通过对网络运行状况、网络问题进行周期性检查、分析后,为客户提出指导性建议的一种综合性高级服务,其内容包括:
服务内容
服务优点
向客户提供网络专家。
保证重大问题第一连线至网络专家。
网络专家组每周与客户进行不少于2小时的技术交流
以最小成本保证及时解答客户关心的技术问题,并就某一领域技术问题展开深层次沟通。
每月向客户提交CASE汇总分析报告,并可扩展到每年17次(月度、季度、年度)
使客户了解网络历史故障情况以及故障预防建议,最大程度减少网络故障隐患,更高效的进行网络管理。
(3)重要时刻专人值守服务
保证重要时刻设备稳定运行对客户成功尤为关键,因此,可对客户提供重要时刻的专人现场值守支持,包括政府客户的重大会议期间、金融客户的年终结算日、运营商客户的生产网重大割接或其它任何客户认为可能对其业务运营产生重大影响的时刻。
如需专人值守,客户需至少提前3周与授权服务商客户服务经理联系。
对每位合约客户,授权服务商均需按事先合同约定提供专人值守服务。
客户如需超出合同约定X围的更多值守支持,需额外支付相应人力和差旅费用。
11.1.3.3.2.4主机、存储系统运维
提供的主机、存储系统的运维服务包括:
主机、存储设备的日常监控,设备的运行状态监控,故障处理,操作系统运维,补丁升级等内容。
主机存储系统基本服务内容:
序号
服务模块
内容描述
1
现场备件安装
配合进行。
按备件到达现场时间工程师到达现场
2
补丁服务
消除软件漏洞给系统带来的安全隐患,并对安装补丁所引起的系统连锁反应进行合理的平衡。
3
升级服务
对系统进行软件或硬件的升级,以改进、完善现有系统或消除现有系统的漏洞。
4
现场故障诊断
按服务级别:
7×24小时
5×8小时
5
远程技术支持
7×24小时
6
问题管理系统
对遇到的问题进行汇总和发布
7
系统优化
对客户系统的括主机、存储设备、操作系统、提供优化服务。
现场值守人员可进行监控管理的内容包括:
ØCPU性能管理;
Ø内存使用情况管理;
Ø硬盘利用情况管理;
Ø系统进程管理;
Ø主机性能管理;
Ø实时监控主机电源、风扇的使用情况及主机机箱内部温度;
Ø监控主机硬盘运行状态;
Ø监控主机网卡、阵列卡等硬件状态;
Ø监控主机HA运行状况;
Ø主机系统文件系统管理;
Ø监控存储交换机设备状态、端口状态、传输速度;
Ø监控备份服务进程、备份情况(起止时间、是否成功、出错告警);
Ø监控记录磁盘阵列、磁带库等存储硬件故障提示和告警,并及时解决故障问题;
Ø对存储的性能(如高速缓存、光纤通道等)进行监控。
11.1.3.3.2.5数据库系统运维
提供的数据库运行运维服务是包括主动数据库性能管理,数据库的主动性能管理对系统运维非常重要。
通过主动式性能管理可了解数据库的日常运行状态,识别数据库的性能问题发生在什么地方,有针对性地进行性能优化。
同时,密切注意数据库系统的变化,主动地预防可能发生的问题。
提供的数据库运行运维服务还包括快速发现、诊断和解决性能问题,在出现问题时,及时找出性能瓶颈,解决数据库性能问题,运维高效的应用系统。
的数据库运行运维服务,主要工作是使用技术手段来达到管理的目标,以系统最终的运行运维为目标,提高的工作效率。
具体数据库运行运维监控的基本服务内容包括:
序号
服务模块
内容描述
1
数据库7*24支持服务
每周7天,每天24小时支持中心,电子答询,以满足业务发展的需要。
产品技术专家直接同客户对话,帮助解决客户提出的疑难问题。
根据问题的严重程度,将优先解决客户认为是关键而紧急的任务。
对客户提出的一般性问题进行技术咨询、指导。
定期的客户管理报告,避免问题再度发生。
2
数据库产品现场服务响应
数据库宕机
数据坏块
影响业务不能进行的产品问题
软件产品的更新及运维。
3
数据库产品系统健康检查
对系统的配置及运作框架提出建议,以帮助您得到一个更坚强可靠的运作环境
降低系统潜在的风险,包括数据丢失、安全漏洞、系统崩溃、性能降低及资源紧X
检查并分析系统日志及跟踪文件,发现并排除数据库系统错误隐患
检查数据库系统是否需要应用最新的补丁集
检查数据库空间的使用情况
协助进行数据库空间的规划管理
检查数据库备份的完整性
监控数据库性能
确认系统的资源需求
明确您系统的能力及不足
优化Server的表现
通过改善系统环境的稳定性来降低潜在的系统宕机时间
4
数据库产品性能调优
分析的应用类型和行为
评价并修改数据库的参数设置
评价并调整数据库的数据分布
评价应用对硬件和系统的使用情况,并提出建议
利用先进的性能调整工具实施数据库的性能调整
培训有关性能调整的概念
提供完整的性能调整报告和解决方法
11.1.3.3.2.6中间件运维
中间件管理是指对中间件的日常运维管理和监控工作,提高对中间件平台事件的分析解决能力,确保中间件平台持续稳定运行。
中间件监控指标包括配置信息管理、故障监控、性能监控。
⏹执行线程:
监控WebLogic配置执行线程的空闲数量。
⏹JVM内存:
JVM内存曲线正常,能够及时的进行内存空间回收。
⏹JDBC连接池:
连接池的初始容量和最大容量应该设置为相等,并且至少等于执行线程的数量,以避免在运行过程中创建数据库连接所带来的性能消耗。
⏹检查WEBLOG日志文件是否有异常报错
⏹如果有WEBLOG集群配置,需要检查集群的配置是否正常。
11.1.3.3.2.7运维服务管理制度11.1.3.3.2.7.1服务时间
(1)接收服务请求和咨询:
在5*8小时工作时间内设置由专人职守的热线,接听内部的服务请求,并记录服务台事件处理结果。
(2)在非工作时间设置有专人7*24小时接听的热
升级会员 