安全运维服务白皮书v.docx

1、安全运维服务白皮书v红科网安安全运维服务白皮书1. 前言经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的处理。因此，客户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全咨询和服务，逐步构建动态、完整、高效的客户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高客户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。2. 运维目标红科网安(简称：M-Sec)是国内专业的信息安全服务及咨询公司，同时，拥有国内一流的安全服

2、务团队M-Sec Team。我们可以为用户提供全面的、专业的、客户化的安全服务及其相关信息安全管理咨询，从而保障用户的安全系统的正常运行和持续优化。我们以客户信息安全服务的总体框架为基础、以安全策略为指导，通过统一的安全综合管理平台，提供全面的安全服务内容，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，保障信息平台的稳定持续运行。3. 运维服务内容红科网安根据建立的信息安全管理运维体系对客户的信息安全系统进行实时的维护管理，针对客户信息安全软、硬件提供全面的安全运维服务。3.1 日常检查维护红科网安下属的M-Sec安全专业团队提供网络安全日常维护服务，来帮助用户管理日益

3、复杂的系统和应用平台，以减轻用户的压力，使客户公司以最优的性价比得到最有效的网络安全管理，主要内容如下： 主机系统的运行检测包括系统日志检查与问题分析、开放服务检查、系统自身漏洞检查、漏洞补丁更新 病毒系统的运行检测、病毒库更新 入侵检测、CA、扫描系统等安全系统的运行检测、漏洞库更新 防火墙运行状态检测、策略配置校验 网络设备运行检测、策略配置校验3.2 安全通告服务 对于网络管理人员，特别是复杂网络的管理人员，由于时间和工作关系，通常会遇到无法收集并分类相关的安全报告，使得网络中总或多或少的存在被忽视的安全漏洞。而安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈，并同时涉及信息

4、技术的众多领域。企业所掌握的安全知识的更新速度所受到的压力非常大。M-Sec Team凭借国内领先的安全研究能力，广泛的采集途径，以及完善的漏洞信息收集系统，使得我们能高质量，高效率的完成安全信息整理、分析、测试、分类等工作。将最新最严重的网络安全问题以最快的速度通报给客户公司，并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的压力。在多年服务经验的积累之上，M-Sec将以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总和安全知识库更新等。M-Sec 的安全通告服务有： 厂商安全通告：提供主流厂商的中文安全通告

5、，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。 M-Sec安全通告：M-Sec发现的安全问题通告和其他有必要预警的重要安全问题通告。 其他安全通告：其他应用系统和安全组织（如CERT等）的安全通告。安全通告服务为客户安全创造了远远大于它自身价值的无形财富，节省了大量的人力资源，是客户安全预警体系建立的基本安全需求。同时，M-Sec将通过电子邮件和电话的方式向客户提供相应回访服务，对信息安全事件发出预警，协助客户在大规模安全事件爆发前做好预防和处理工作。M-Sec以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、病毒、补丁

6、升级、定期安全知识库更新等。 登记通告服务用户信息，分配用户支持号，提供服务热线号码，服务支持邮箱以供联系。 以电话、传真和电子邮件等方式回答客户的相关安全咨询。 提供724小时电话技术支持。 专人记录用户技术人员的咨询、投诉，并及时反馈。 定期提交相应的安全咨询服务汇总。 必要时，安全技术人员会到现场做咨询支持。3.3 安全评估服务您的网络安全状况如何？存在那些安全问题？哪里是高安全风险的地带？在日常的安全运维工作当中，定期进行安全评估服务将全面有效地为您解释这些问题。首先，M-Sec将定义客户公司的安全需求，然后实施最有效的诊断服务来评估。服务的范围从网络元素配置评估到风险评估、漏洞分析及

7、模拟入侵测试等等。安全评估对象安全评估的主要对象分为以下几个层次，各部分相对独立，而又相互关联相互作用着，通过对每一层次各方面详细深入的分析、评估，才能提供一个完整的结果，对整体的信息体系进行说明。物理层安全评估物理基础设施的安全是保障信息系统安全的基础，对物理层的安全评估主要包括这几个部分：1、机房安全场地安全机房环境、温度、湿度、电磁、噪声、防尘、静电、振动建筑、防火、防雷、围墙、门禁、监控2、设施安全设备可靠性通讯线路安全性辐射控制与防泄露电源、空调 网络安全评估从网络层出发，深入了解客户公司的逻辑网络结构，由什么物理网络组成以及网络关键设备的位置所在。了解网络基本信息包括网络带宽，协议

8、，硬件（例如：交换机，路由器等）Internet接入，地理分布方式和网络管理方式等。通过对网络结构的分析以及对网络设备的扫描等多种手段，提出用户目前网络结构所存在的不足和潜在的安全隐患。如像客户公司这样庞大复杂的网络，需要从网络上进行统一合理的规划、策略配置和管理策划，我们将针对具体的情况进行评估，然后提出适合的评估意见，包括通过对资源的重新分配合规划、划分功能域、划分VLAN、加强访问控制等等措施。 主机与系统安全评估由于现代操作系统的代码庞大，从而不同程度上都存在安全漏洞。一些广泛应用的操作系统，如Unix，Window NT，其安全漏洞更是广为流传。客户公司复杂信息平台中多种系统并存，系

9、统管理员或使用人员可能对复杂的操作系统和其自身的安全机制了解不够，配置不当等会造成许多安全隐患。我们对用户整个网络平台中的所有特别是重要的主机与系统使用多种方法对其进行分析、检查。提出各主机系统自身存在的漏洞并且给出弥补的措施和改进的建议。 应用系统安全评估目前随着客户公司各种信息系统业务的扩展，大量复杂的应用软件在设计、使用中不可避免地存在着安全隐患，因此通过应用安全评估来针对客户公司的这些应用进行有针对性的检测、评估，以保证这些体系在业务交往中是否发挥应有的作用。本服务主要包括以下几个方面： 应用软件的程序安全性检测(bug分析) 业务交换的防抵赖评估 业务资源的访问控制验证检测 业务实体

10、的身份鉴别检测 业务现场的备份与恢复机制检查 业务数据的唯一性/一致性/防冲突检测 业务数据的保密性评估 业务系统的可靠性评估 业务系统的可用性评估 数据安全评估信息安全非常基本的一点就是数据的安全，主要是体现了数据的保密性，完整性和不可抵赖性等指标。针对数据的安全评估，包括以下几点： 介质与载体安全保护 系统数据访问控制检查 标识与鉴别 数据完整性 数据可用性 数据监控和审计机制评估 数据存储与备份机制评估 通信安全评估客户公司中心机房与各分支机房联成一个整体网络，在各部分之间每时每刻都有大量的业务数据交换，因此数据在通信中的安全问题也是至关重要的。对系统之间通信的数据安全性进行评估，主要包

11、括： 通信线路和网络基础设施安全性检测 加密系统的检测 身份认证机制的有效性、可靠性、安全性评估 安全通道测试 管理安全评估网络安全“三分技术、七分管理”，良好、系统的管理体系是信息系统安全的根本保障，管理安全评估是对人员、操作、文档、设备和运行等安全管理机制进行稽核和诊断，主要内容有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理等。安全评估内容安全评估的主要内容包括以下几个方面： 信息收集/需求分析 风险评估 绘制网络拓扑图 网络设备配置审计 漏洞分析 数据分析 模拟入侵检测 源代码分析 信息收集/需求分析 从客户公司的资源、组织人员

12、、管理等各方面入手，与客户公司的相关人员合作，对所有需要的信息进行统一的收集、整理、分析，在实际调查之后，从安全角度生成信息报告。报告从网络的可用性、功能性和成本花费等方面说明各网络风险元素（包括软硬件、人员、管理）的现状。 绘制网络拓扑图 通常，在网络工程结束后，经过一段时间的运行和调整（包括人员的调整和网络设备的调整），用户会在一定程度上对网络的实际情况有所失控。以M-Sec的经验来看，引发网络安全漏洞的一个重要原因是对网络中的设备和主机不了解。制作清晰有效的拓扑图并及时更新是了解自身网络的基础。 环境风险评估 生成详尽全面的有关客户公司整个机构当前信息安全环境的评估报告。 M-Sec将使

13、用专用的检测工具在网络的重要位置，收集有关攻击的频率和复杂度等重要信息。这些工具包括可用的商业入侵检测产品和特殊安全工具。专家小组对收集到的数据进行分析，评估入侵行为，并提供一份报告记录所有的发现。这份报告可以使客户公司了解到真正的威胁，以便采取合理的措施来保护企业资产。 设备、应用配置审计 从工程的角度来审计各种网络设备、主机系统、各主要应用系统以及其他设备的配置和网络结构，确保防火墙、路由器、交换机、主机设备或其他应用系统的配置使用规则的有效性、安全性、可靠性，确保其符合客户公司的安全策略。此工作是对正确实施和配置各对象的独立认可。 漏洞扫描分析 漏洞分析比做一次扫描要复杂得多，M-Sec

14、可以提供对客户公司当前外部和/或内部网络或计算机系统的漏洞分析，以确保识别漏洞并减少其发生的可能性。 我们将使用各类先进的漏洞扫描工具对用户的系统主机和各类设备进行安全检测，我们的专家小组将分析扫描检测后所得到的数据，评估这些已被检测到的漏洞的存在将可能产生的影响。 源代码分析 针对应用程序的源代码，从安全的角度进行分析、审计，提出改善意见。 渗透性测试M-Sec将集合各类安全专家利用各种黑客工具和手段通过扫描当前网络、从黑客角度做仿真模拟攻击测试，并对结果进行数据采集，产生评估报告，报告将直观地暴露出一些不为人注意或忽视的安全漏洞和可入侵点。 在网络中使用模拟入侵测试, 以确保漏洞被识别和修

15、补。我们使用商业化、大众化和M-Sec自有的成熟工具和技术来收集漏洞数据。我们的工作专家组会分析数据，通过攻击尝试来评估可能造成的影响。3.4 安全风险评估评估方法为了充分了解客户信息系统存在的安全风险，以及面临的网络安全威胁，就需要使用多种安全检查方法收集准确的基础数据信息，从而客观的从技术脆弱性上分析出客户网络中存在的安全风险。漏洞扫描运用安全扫描工具效果好、见效快、与网络的运行相对独立、安装运行简单，有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具之一。在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对安全检查范围内的系统和网络进行安全扫描，从网络内部和外部两个角度来查

16、找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。安全扫描项目包括如下内容： 信息探测类 网络设备与防火墙 RPC服务 Web服务 CGI问题 文件服务 域名服务 Windows远程访问 数据库问题 后门程序 其他服务 其他问题 从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。1系统层安全：该层的安全问题来自网络运行的操作系统，安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。 身份认证：通过telnet进行口令猜测， 访问控制：注册表 HKEY_LOCAL_M

17、ACHINE 普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录， 系统漏洞：System V系统Login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞， 安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统， 2网络层安全：该层的安全问题主要指网络信息的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。 网络资源的访问控制：检测到无线访问点， 域名系统：ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞，Microsof

18、t Windows NT DNS拒绝服务攻击， 路由器：Cisco IOS Web配置接口安全认证可被绕过，交换机/路由器缺省口令漏洞 3应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。 数据库软件：没有设置口令，Microsoft SQL Server 2000 Resolution服务多个安全漏洞， Web服务器：Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞，Microsoft ISAPI远程缓冲区溢出，Sun ONE/iPl

19、anet Web服务程序分块编码传输漏洞， 防火墙及应用网管系统：Axent Raptor防火墙拒绝服务漏洞， 其它网络服务系统：Wingate POP3 USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞， 为了确保扫描的可靠性和安全性，M-Sec将根据客户网络系统评估业务情况，与客户一起确定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。手工检查安全扫描是利用安全评估工具对绝大多数安全检查范围内的主机、网络设备等系统环境进行的漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面

20、发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。系统的网络设备和主机的安全性评估应主要考虑以下几个方面： 是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则； 内外网之间、重要的网段之间是否进行了必要的隔离措施； 路由器、交换机等网络设备的配置是否最优，是否配置了安全参数； 安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行； 主机服务器的安全配置策略是否严谨有效。同时，许多安全设备如防火墙、入侵检测等设备也是人工评估的主要对象。因为这些安全系统的作用是为网络和应用系统提供必要的保护，其安全性也必然关系到网络

21、和应用系统的安全性是否可用、可控和可信。目前还没有针对安全系统进行安全评估的系统和工具，只能通过手工的方式进行安全评估。安全系统的安全评估内容主要包括： 安全系统是否配置最优，实现其最优功能和性能，保证网络系统的正常运行； 安全系统自身的保护机制是否实现； 安全系统的管理机制是否安全； 安全系统为网络提供的保护措施，且这些措施是否正常和正确； 安全系统是否定期升级或更新； 安全系统是否存在漏洞或后门。3.5 渗透测试渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能

22、以非常明显，直观的结果来反映出系统的安全现状。该手段也越来越受到国际/国内信息安全业界的认可和重视。为了解本项目主机系统的安全现状，在许可和控制的范围内，将对主机系统进行渗透测试，。本次测试将作为安全评估的一个重要组成部分。测试范围渗透测试的范围限制于经过客户以书面形式进行授权的主机，使用的手段也须经过客户的书面同意。MSec承诺不会对授权范围之外的主机及网络设备进行测试和模拟攻击。本项测试内容以抽样测试的方式进行，在实施中会与客户具体协商。注：所有白客攻击测试将在客户的授权和监督下进行，详细内容可参见红科网安渗透测试安全服务白皮书。客户职责：指定需要进行测试的设备，安排测试时间。3.6 补丁

23、分发补丁分发服务如下图所示： 图1：补丁管理功能构架图1. 补丁分析：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。2. 补丁策略制订：支持用户自定义补丁策略自由配置分发，发送至客户端后统一按策略执行应用。3. 补丁文件自动分发：在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为SUS系统不支持的客户端安装补丁及应用软件（补丁）。4. 补

24、丁分发流量控制功能：为了适应将来可能的系统扩展，系统特别设计了利用多种方式进行下载流量控制：5. 补丁安全性测试：测试是补丁安装前必须进行的，系统支持网管测试组定义进行自动补丁安全性测试，即首先选定一定区域的计算机作为测试计算机，首先对这些计算机进行新补丁的安装测试，以便网管可选择有效对象，进行非模拟性自动测试。补丁自动测试可提高打补丁的成功性、安全性、可靠性，降低网管工作量。图2：补丁自动测试图6. 报表输出查询：服务器端补丁查询模块基于补丁名称等关键字对区域网络范围内的计算机终端进行补丁安装状况查询，通过相应的查询条件，能快速的获知所查询补丁的安装情况并生成报表，以保证补丁及时的安装。7.

25、 客户端网页查询补丁安装信息：系统客户端的计算机可以通过访问内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。8. 新（长时间关机）客户端入网先打补丁：系统可保证此新（长时间关机）的客户端刚接入网络时，不与网络中除补丁服务器外其它计算机的通讯，只有在上网后首先进行补丁安装工作；只有在补丁安装完成后，才开放其与网内其它计算机的通讯，防止有漏洞的计算机在网上出现。客户责任：提供需要补丁的计算机信息，为补丁分发安装相应软件。3.7 安全配置与加固系统安全是信息安全中的基础组成部分，关键数据和信息直接由系统平台提供。计算环境中不断增长的系统平台面临

26、各种安全威胁，包括数据窃取、数据篡改、非授权访问等。这时就需要专业的安全服务，以保障运行和存贮在这些系统平台上数据的机密性、完整性和可用性。 系统安全加固是指通过一定的技术手段，提高操作系统或网络设备安全性和抗攻击能力，通常这些技术手段，只能为实施这项技术的这一台主机服务。常见的安全加固服务手段有： 基本安全配置检测和优化 密码系统安全检测和增强 帐号、口令策略调整 系统后门检测 提供访问控制策略和工具 增强远程维护的安全性 文件系统完整性审计 增强的系统日志分析 系统升级与补丁安装 网络与服务加固 文件系统权限增强 内核安全参数调整经过良好配置的系统或设备抗攻击性会有极大增强。在对系统作相应

27、的安全配置后，结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。3.8 安全保障3.8.1安全加固随着技术的不断发展和信息系统应用的不断拓宽，要应对随之而来的风险也变得更为重要。M-Sec将为客户公司提供独特的安全加固服务，快速有效地弥补安全漏洞，以降低企业的风险策略保护客户公司的网络。 伴随着软件和硬件开发商对产品的不断更新，黑客也不断的在寻找新的漏洞，探求破解信息系统的新方法，攻防双方斗争的关键，是在于时间。安全加固服务可帮助客户公司及时有效地发现问题并且在漏洞转变为威胁，威胁转变为损失之前解决它。经过良好配置的系统或设备，除了免除现有安全漏洞的威胁外，系统的抗攻击性也会有

28、极大的增强。采用安全服务的方式对主机安全作加固，我们将对系统作相应的安全配置，并结合检测服务使得系统保持在一个较高的安全水准之上。在操作系统级别上，我们使用M-Sec自有的Security Tools Kit，为客户进行系统后门检测、基本系统安全配置、口令与帐户安全、修补常见网络服务安全性问题等工作。在网络设备级别上，主要进行远程管理和维护的安全、口令安全性、配置确认与清理、系统升级与补丁安装等工作。在防火墙部分，主要进行远程维护安全性设置、防火墙规则的确认、审计与清理等工作。3.8.2安全保障严格的讲，真正全面的信息安全管理是需要一个时时刻刻对网络施行监控的专家团队来解析网络结构中发生的每一

29、个变化的，然而精通安全管理的专职人员目前在国内非常短缺，很少有企业机构能真正具有这样一支属于自己的专注于信息系统安全的团队，通常将信息系统安全的维护任务交由系统管理员团队承担。此外，网络安全管理工作复杂性和技术的不断发展与挑战要求安全管理专家们承担更多的责任，不断提高自己专业技能，这一切使系统管理员的工作日趋复杂沉重。除专业公司外，很少有公司拥有足够雄厚的实力来自理网络安全。越来越多的企业通过M-Sec的安全保障服务来确保他们业务的安全运行。M-Sec提供面向全面的信息安全管理周期的模式和方法，这包括行业认可的最佳策略、规范和程序化的流程、完善的咨询服务和丰富的安全管理服务，从而使企业把精力集

30、中在最关键的信息安全需求上。 针对客户公司，我们的安全保障服务能为客户公司提供前所未有的方便，成为理想的安全资源。客户公司将再也不用为从各种不同的厂商定购安全咨询服务，防火墙，反病毒，入侵检测软件而烦恼，我们通过对客户公司进行周密的安全需求分析可以提供完整的、可定制的服务。3.9 安全监控服务在安全监控服务中，将完成以下工作：1、通过安全管理平台实时监控客户防火墙、IPS系统及Bypass设备的运行状态。发现问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。同时根据需要有选择的监控防火墙产生的安全事件或日志信息，从中及时发现异常连接以及为事件溯源提供依据。2、通过安全

31、管理平台实时监控客户防病毒系统产生的病毒事件，及时进行病毒预警和病毒扩散范围分析。发现严重病毒问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。3、通过安全管理平台实时监控客户其他安全系统，实时监控客户现有的HIDS软件系统、反垃圾邮件系统、漏洞扫描软件系统、SESA安全设备管理系统等的运行状态和安全事件。发现严重安全问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。4、通过安全管理平台实时监控终端管理系统。发现问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。5、运维人员每天通过安全管理平台对各种安全事件进行综合分析，根据安全风险和安全问题情况有针对性地采取措施解决问题，降低风险。6、在安全管理平台上，运维人员对安全系统的运行情况进行纪录，形成日检报告，并提供每周、每月、每年的分析报告。同时安