政务网安全服务方案文档格式.docx

1、 GB-T 20281-2006 信息安全技术-防火墙技术要求和测试评价方法 GBT_18019-1999 信息技术-包过滤防火墙安全技术要求 GBT_18020-1999 信息技术-应用级防火墙安全技术要求 GBT_20010-2005 信息安全技术-包过滤防火墙评估准则 GBT_20273-2006 信息安全技术-数据库管理系统安全技术要求 GBT_20275-2006 信息安全技术-入侵检测系统技术要求和测试评价方法 GBT_20281-2006 信息安全技术-防火墙技术要求和测试评价方法 GBT_22239-2008 信息安全技术-信息系统安全等级保护基本要求 GB/T 20271-2

2、006 信息安全技术-信息系统通用安全技术要求 GB/T 20269-2006 信息安全技术-信息系统安全管理要求三、 需求分析X区政务网目前由中软公司负责日常的运行维护工作国泰公司负责应用系统的研发及日常维护等工作，但是无相应的安全服务商提供专业的安全服务来保障政务网的安全、一旦发生恶意攻击事件将发生毁灭性的灾难，导致整个X区所有对外公共服务平台、内部办公用的系统，公务网等大面积瘫痪或导致大量用户信息泄露。目前政务网核心以及部门OA将所有数据全部备份到磁带机中，由于核心OA的数据量在3.8T4T，部门OA的数据量在500M-1T而目前磁带机的总共有磁带10盒，每盒磁带800GB，按照目前的机

3、器磁带机最多只能保存数据量2-3次，另一方面由于目前备份是直接将数据备份至磁带机中，所以备份及恢复效率较慢，例如在X年4月8日发生的政务网OA安全事故中，虽然数据在磁带机中都存在，但是由于恢复一次需要10-11小时之多，最终还是造成了严重的四、 项目实施方案4.1 主机安全检测服务为了能提高系统检测的效率以及符合专业标准，X使用网X全隐患扫描系统对X区政务网各服务器主机进行安全检测。同时会指定具有信息安全认证资质的专业人员会对检测检测进行深层次的分析和评估，并给出相关报告及整改建议方案。 提供用户帐号及权限检查服务：通过网络漏洞隐扫描系统对操作系统各类账号（系统帐号、数据库帐号、IIS帐号）进

4、行扫描，并通过人工对帐号进行所有权登记，并采用权限最小化原则。 提供操作系统补丁检查服务：通过网络漏洞隐患扫描系统，每月下载当期微软更新代码库，对系统进行扫描。检测是否安装包已经更新完毕。并通过人工方式，对每月的微软更新包进行安全检测评估，看是否适合系统平台使用。 提供应用程序检测服务：通过网络漏洞隐患扫描系统对网站平台的应用程序进行全方位检测，包括apache、IIS应用设置、数据库设置、弱密码策略以及相关应用平台弱点检测。采用测试脚本对每一个应用进行安全性审计，并通过人工验证的方式，检查所有相关的配置文件，以做到最佳实践与最高效能相结合。 提供本地组策略安全检查服务：主要检查的内容：密码策

5、略、帐户锁定策略、审计策略、用户权限分配、安全选项。4.2 网X全检测服务 通过定期的开展网X全检测证明网络防御按照预期计划正常运行。这种检测需要探查系统，以发现操作系统和任何网络服务，并检查这些网络服务有无漏洞。 通过扫描、评估等方式发现安全漏洞。直观反映漏洞的潜在风险。并提供解决建议。通过网络检测可以使用户真实了解信息业务系统存在的安全风险，通过渗透检测网络与业务系统各层面的访问控制手段的有效性，最终以系统全局风险视图的方式呈现其面临的严重安全隐患与解决方案一起提交给用户。针对X区政务网门户网站的网络结构、网络设备、配置设备运行状态、网络冗余性等方面进行检测。从而发现潜在的网X全隐患和网X

6、全威胁，根据检测出的问题，我们将给予建设性的意见，以便问题在萌芽状态就采取有利措施，保障网X全。在用户授权下，通过并发测试的方式检测网络系统的资源配置和性能状况。包括系统可以响应的时间和服务器资源占用等性能情况。从而分析出网站系统性能是否存在瓶颈，并根据分析的结果有针对性的提出专业和建设性的意见。4.3 网站应用安全检测根据GB/T 222392008（信息安全技术 信息系统安全等级保护基本要求）中的网X全管理部分要求，定期对Web网站进行漏洞扫描，对发现的Web漏洞进行验证并提供整改建议。进行网站的脆弱性扫描，提供关于网站安全程序的有效性的反馈，提前预警网站系统管理员对潜在的严重的问题采取应

7、对措施。在每次完成相关网站的漏洞扫描后，对发现的漏洞列表中的高、中危漏洞进行验证其真伪，确保可以重点解决真实存在并且可以被利用的那些漏洞。努力使漏洞扫描的安全保障作用落实到实处。针对Web漏洞的扫描，主要采用两种扫描策略：域级扫描 周期性地对相关指定网站进行扫描以发现已知的安全问题; 域级扫描由用户方授权的安全小组执行，对任何的域级扫描，在扫描中发现的安全问题，需要以书面报告的方式提交用户方及相关系统的运维管理人员。事故响应扫描- 特定的安全事故导致一个应急的网站扫描;事故应急扫描由用户方指定的事故应急响应小组执行。在安全事故调查取证的过程中，不需要考虑提前通知和不用考虑相关系统的排除就可启动

8、事故应急扫描；事故响应扫描的结果仅仅由指定的应急响应小组的成员和负责应急的终端用户负责披露。Web漏洞检测主要通过数据有效性验证、WEB服务数据验证和AJAX数据验证对应用和接口安全进行检测，具体检测的指标有反射式跨站脚本漏洞检测、存储式跨站脚本漏洞检测、基于DOM的跨站脚本漏洞检测、FLASH跨站脚本漏洞检测、SQL注入检测、LDAP注入检测、ORM注入检测、XML注入检测、SSI注入检测、Xpath注入检测、代码注入检测、表单绕过检测、缓冲区溢出检测、CSRF跨站请求伪造检测、WEB配置检测、敏感信息泄露检测、隐藏文件探测等。在执行Web漏洞扫描时，遵循以下工作流程：在新网站上线前和网站代

9、码修改或变更后，使用专业的网站代码安全性检测系统对特定语言编写的代码进行弱点检测，并出具弱点整改和建议报告，以便减少网站程序漏洞，促进开发商编码的规范和安全性。（一）网站源码检测的总体要求在项目期间，提供对新上线网站源代码或网站更新后的源代码进行白箱测试服务，并提交安全性检测报告与整改意见；对源代码安全性威胁提供人工分析服务；对整改后的网站源代码进行验证和确认。（二）网站源代码检测的工作步骤根据与用户网站管理人员达成的共识，X工程师携带源代审计设备在预订的日期到达用户现场进行检测。主要工作任务有： 将预审计的网站全部或部分源代码压缩成*.zip格式的文件； 配置网站源代码检测设备的IP地址或更

10、改存放网站源代码设备的地址。采用专用代码安全性检测设备连接用户方指定的存放指定网站相关功能模块源代码的设备。调试检测设备和存放源代码设备能够彼此通信； 创建网站源代码安全性审计项目并配置审计策略； 上传指定网站源代码至专用源代码审计设备； 启动审计任务并等待完成进度； 设置输出结果的详细程度及参数。输出检测报告； 在用户指定人员监督下删除专用检测设备中创建的审计项目。彻底清除已上传的网站源代码； X工程师带回审计结果做人工安全评估以确定其真实风险； 在获得用户网站管理人员的正式授权后，对审计结果中存在的关键漏洞进行验证； 汇总和整理全部审计信息并提交包含风险分析过程的指定的网站源代码安全审计报

11、告。其中包括关于网站弱点的人工分析报告及改进建议。（三）网站源代码审计工作流程根据X区政务网用户的特定需求，在网站新上线或网站代码发生更新或变更后，及时启动本流程以对网站源代码的安全性进行检测。 项目开始，启动本流程； 双方确定工作方式； 客户根据双方确定的工作模式提供系统源代码； X工程师根据双方确定的工作模式进行源代码安全审计，使用代码扫描工具检查； 在审计过程中，如发现安全问题，X工程师会记录该问题并形成报告报告以便用户与代码开发人员进行问题确认（以邮件、电话、现场交流的方式）； 所有提供的代码审计完毕后，X工程师输出源代码安全审计报告并汇报； 整个工作流程结束。网站应用代码检测的主要内

12、容包括： 静态文件安全审计1） 审计文件的类型静态页面安全审计主要审计htm、html、js、css格式的HTML文件。2） 安全审计的内容安全审计可以发现以下安全问题： 是否存在嵌入调用外部站点恶意script脚本的代码； 是否存在利用window.location方法，使浏览器跳转到恶意外部站点页面的代码； 是否存在利用Meta标记，使浏览器跳转到恶意外部站点页面的代码； 是否存在利用iframe标记嵌入恶意外部站点页面； 是否存在利用frameset框架，使浏览器打开恶意外部站点页面的代码； 是否存在利用location.replace方法，使浏览器跳转到恶意外部站点页面的代码； 是否存

13、在利用样式表的URL方法，使浏览器调用恶意外部站点页面的代码； 是否存在利用样式表的expression方法，使浏览器执行恶意脚本的代码； 是否存在利用表单（FORM）的action方法，使浏览器跳转到恶意外部站点页面的代码； 是否存在利用window.open方法，使浏览器浏览器弹出窗口访问到恶意外部站点页面的代码； 是否存在利用body标记的onload和onunload方法，使浏览器载入页面时或离开页面时弹出窗口访问恶意外部站点页面的代码； 是否存在恶意调用系统功能的Script脚本； 是否存在利用标记，调用恶意外部站点页面的代码；object或标记恶意调用系统功能的代码； 是否存在执行

14、恶意script脚本的样式表代码； 是否存在调用恶意外部页面的样式表代码； 页面中的所有外部链接是否包含恶意站点地址； 动态文件安全审计动态页面安全审计支持用asp、.net、java、php语言开发的网站程序代码。2） 安全审计内容安全审计可以发现以下安全漏洞： SQL注入 跨站脚本攻击 数据库连接帐户权限过大 上传文件漏洞 HTTP HEAD注入 XML 注入 命令注入 资源泄露 竞争条件 标准化问题4.4 网站连续性检查项目实施中以及完成后,X使用webcare365网站群警戒服务平台针对X区政务网进行7x24小时多节点监控并在必要时将组织IDC人员7X24小时对灾备系统进行技术支持,以

15、确保灾备系统的不间断正常运行生产系统与灾备系统采用实时复制对数据进行同步，为了保证数据的正常复制，我们需要指一名人员定时对复制状态进行监测并做下记录。有异常时应即时向上级领导报告。灾备系统与生产系统的数据备份缺一不可，所以为了避免数据发生逻辑性错误时需要恢复生产中心数据。将指定专业人员为管理备份工作。容灾系统恢复的操作直接影响到实际的应用。如果进行了不正确的恢复操作可能会造成可怕的后果。因此，恢复操作应严格按一定的操作程序进行恢复 故障确认在进行恢复之前首先应该确认造成故障的原因。故障的原因非常多，应该分清是操作系统的故障还是数据库的故障。如果是数据库的故障，不同的数据库应采用不同的故障分析方

16、法，有时可以使用数据库提供的故障诊断工具进行故障分析。这些工作应由相应的管理者如系统管理员或数据库管理员负责进行，在完成故障分析后确认需要进行恢复操作时，由相应的管理者提交书面的故障分析报告。 制定恢复计划备份系统管理员在收到故障分析报告后应与相应管理者一起制定详细的恢复计划，包括恢复的内容、恢复的时间、恢复的操作步骤、恢复对应用造成的影响等，最后形成一个书面的恢复计划。备份系统管理者应将故障分析报告与恢复计划一起提交到相应的主管领导审批。主管领导应确认恢复对生产造成的影响，在批准执行恢复前应以相应方式与有关部门进行沟通和通知有关部门进行恢复前的准备工作。 恢复操作 在进行实际的恢复前，备份系

17、统管理者与相应管理者应再次确认恢 复计划的可行性及造成的后果。确认无误后进入到实际的恢复操作。 在进行恢复前，还应该做的一件事情是对现有的内容作相应的备份。以防止在恢复的过程中发生更进一步的错误。这可能是由于恢复计划制定得不合理造成的，也可能是操作失误造成的。 进行恢复操作时应将每一步的执行过程记录下来，以备后用。 恢复后的操作 完成恢复后应测试恢复的结果。在完成恢复结果测试成功后，对恢复后的系统进行相应的备份。 最后，将执行恢复操作的管理者、恢复操作的时间、过程、完成的状况等形成书面报告，报有关领导进行审批。 有关领导确认恢复完成后，通知相应部门恢复有关的应用。 审批后的恢复报告应与故障分析

18、报告、恢复计划、恢复操作报告一起进行存档。为了防止数据发生故障后能及时恢复生产，我们将做好详细的灾难恢复计划，同时还将定期进行灾难演练。每过一段时间，在灾备中心应进行一次灾难演习。以熟练灾难恢复的操作过程，并检验所生成的数据与生产中心是否一致。一个完整的灾备演练主要包括：操作系统、数据库、应用、网络四个部分。灾备演练是验证灾难发生时，业务系统能否有效联动切换的极为重要的手段。没有灾备的演练计划和手段，往往无法预知灾难发生时生产中心和灾备中心的数据一致性，也无法预知灾备中心是否具有了业务接管的一切必要条件。以往，由于一些企业采用的容灾技术实现不具有灾备演练的技术手段，出现了一些企业在故障发生时，

19、仍然无法启动后援系统进行业务接管的现象，这些企业不得不仍然采用传统的备份恢复方式进行耗时的数据恢复，不仅出现了大量的数据丢失，而且动辄数十小时的业务停顿，也使得灾备系统的设计者狼狈不堪。因此，选择有效灾备技术手段的同时，决不能忽略灾备演练技术手段的提供，在具有多种技术手段的基础上，制定灾备系统的演练和测试计划。灾备的演练计划有以下几种方式: 计划性测试/演练 灾难恢复计划要求建立业务连续性管理团队，不仅涉及IT部门，而且关联众多业务部门，为减少演练对于生产的影响，可以将恢复计划细化到很小的单位或者模块，逐个应用进行接管验证。当模块都成功通过测试后，测试的范围可以扩充到更多的模块。 突发演练 在

20、灾备系统全面完成并且制定了全面的恢复计划后，进行一定备份的情况下安排突发性的测试。当然，业务连续人员会需要确保业务不会因为突发性测试造成不可接受的损失和业务中断。演练对于提高团队的恢复经验和协作能力以及确保灾难恢复计划的可行性是至关重要的。所有的演练结果都要进行评估、记录，并且生成到容灾流程里。容灾建设的要素还有很多，全面考虑业务连续性体系的每一个方面，抓住最为重要的环节，进行深入而细致的研究，就能够使有限的资金发挥更大的能量，达到事半功倍的效果。4.5 等保安全咨询服务本次X区政务网安全服务方案包括安全制度建设咨询、组织机构安全管理规范建设咨询、技术评估和改进机制建设咨询以及应急响应体系建设

21、咨询等内容。通过本次安全管理体系建设咨询服务项目的实施旨在将安全管理策略和制度建设咨询中制定的策略、制度和标准进行梳理、完善和细化，形成形包含“策略-制度-规范（standard）-流程表单（模板）”三级文档的完整信息安全管理体系，如下图所示：一级文件通过纲领性的安全方针和策略文件描述嘉定区网站群和政务信息系统信息安全保障的目标、原则、要求和主要措施等顶层设计；二级文件主要涉及系统建设、运维过程中具体的操作规范和流程要求，并提供模块化的任务细分，将系统建设、运维管理细化为包括“任务输入”“任务活动”“任务实施指南”和“任务输出”，便于操作人员根据规范进行实施和管理人员根据规范进行工作审核；三级

22、文件则主要提供系统建设、运维过程各项操作所使用的表单和模板，以便各级工作人员参考使用。4.6 安全评估服务上海X的安全评估服务包括全面的风险评估服务、远程安全扫描、本地安全评估、应用安全评估和渗透性测试等多种方式，通过安全评估服务可以帮助企事业单位明确目前信息系统或者应用系统面临着什么样的信息安全风险，同时在业务发展过程中可能会遇到什么安全问题？安全风险可能导致的损失是多少？当前主要的安全威胁是什么，应如何划分安全区域和安全建设的优先级等一系列问题。安全评估服务包括如下模块：模块名称模块说明全面风险评估全面风险评估是对信息系统的影响、威胁和脆弱性进行全方位评估，归纳并总结信息系统所面临的安全风

23、险，为信息系统的安全建设提供决策依据。远程漏洞扫描利用安全评估系统对客户信息系统进行远程技术脆弱性评估。本地安全检查利用安全工具和人工服务对客户信息系统进行远程或本地的技术脆弱性评估。病毒扫描木马病毒及僵尸网络的安全检测应用安全评估利用人工或自动的方式，评估客户应用系统的安全性并协助进行改善和增强。渗透测试评估利用各种主流的攻击技术对网络做模拟攻击测试，以发现系统中的安全漏洞和风险点。对于一个完整的可运行的应用系统（通常为B/S结构或C/S结构）来说，一般由支持这个应用系统的网络环境（包括网络设备和线路）、操作系统、应用系统服务程序组成。因此广义的应用安全评估包括了对整个应用系统从应用系统网络

24、结构、操作系统到应用程序设计与实现本身三个层次的评估；而狭义的应用系统评估则仅包括应用系统的程序设计与实现这一个层次的评估。对于网络层次的安全评估更多的关注应用系统部署时所使用的网络环境的可用性和保密性，主要包括： 网络结构的合理性 网络冗余设计 网络访问控制设计 网络层次加密技术的应用 对于操作系统层次的评估主要集中在系统层次方面的漏洞，包括： 操作系统的补丁安装情况 操作系统对外提供的通用网络服务安全 操作系统的审计能力 操作系统的口令策略 其他安全漏洞由于应用系统程序通常安装在通用操作系统上，因此保证操作系统自身的安全性，是保证应用系统安全性的重要基础。我们建议在对已经投入使用的应用系统

25、进行评估时，尽量安排对操作系统安全性的评估。另外该阶段完成管理上的文档的审核工作，审核的相关内容如下： 内部的安全管理制度； 管理组织架构； 各部门信息系统的工作性质； 不同部门之间的业务数据流； 工作人员的安全意识，安全知识； 曾经遇到的安全威胁及解决办法。4.6.1 风险识别各风险要素的识别工作，可以考虑从以下几个方面进行：1） 网络结构 网络主要包括子网的划分情况 边界出口情况。 内部工作人员对内部服务器和互联网的访问权限。 外部用户可以通过公共网访问内部服务器的权限。 网络设备对网络流量的适应情况，包括流量、并发连接等。 网络设备、服务器等对灾难的冗余情况。 对于公共网络的冗余情况 内

26、部网络的VLAN划分情况 涉密网络和非涉密网络的隔离情况等2） 网络设备 网络设备配置是否安全； 交换机VLAN划分是否合理； 路由设置是否合理； 网络设备是否启用SNMP服务，如果启用，是否修改了缺省community string设置。 是否允许远程对网络设备进行管理，如果允许，是否使用安全隧道的方式。 各网络设备是否升级到了最新的系统版本，安装最新的补丁； 各网络设备操作系统是否存在安全漏洞； 各网络设备是否启用了不必要的服务，开放了不必要的端口； 登录方式中是否存在弱口令； 网络设备是否由专门的人员负责管理； 是否存在完善的日志功能。3） 安全设备 防火墙位置是否合理； 防火墙是否能够

27、阻断未授权的访问； 防火墙是否能够阻断外部网络对未公开服务的访问； 防火墙是否错误的阻断了正常的网络访问； 防火墙是否能够有效的阻断DOS，DDOS攻击； 防火墙日志纪录是否安全，完善； 防火墙是否能够与其他安全设备进行有效的联动； 网络内是否设置了IDS设备； IDS设置是否合理，能够有效的监测到可能的攻击； IDS是否存在严重的漏报，误报现象； IDS是否能够同时进行模式匹配和异常监测； IDS是否设置了合理的报警策略； IDS日志纪录是否完善； IDS是否提供灵活，强大的查询和报表功能； 抗DDOS设置是否合理，能够有效的监测到可能的攻击； 抗DDOS是否能够抵御相应的攻击行为； 网络内是否存在防病毒系统； 是否有统一的防病毒策略； 是否能够有效的过滤包括邮件病毒，宏病毒，蠕虫病毒在内的各种病毒。 防病毒系统是否具有统一的升级策略； 是否存在统一的安全管理平台，安全审计平台。4） 主机系统 是否安装最新的补丁； 是否开启不必要的服务和端口； 是否存在不必要的用户和组； 是