信息安全运维服务解决方案文档格式.docx

1、3.2分析类服务 .83.2.13.2.23.2.393.3变更类服务 .3.3.13.3.23.3.3服务价值.103.4通告类服务 .113.4.1服务定义.3.4.2服务内容.3.4.3123.5应急类服务 .3.5.13.5.23.5.3143.6驻场运维服务.3.6.13.6.23.6.3154用户价值 .第3页共16页1需求分析国际著名咨询调查机构 Gartner 集团的调查发现，在经常出现的问题中，源自技术或产品（包括硬件、软件、网络、电力失常及天灾等）方面的问题其实只占20%，而管理流程失误、人员疏失问题占 80%。经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统

2、。但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的及时、有效处理。因此，用户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全运维服务，逐步构建动态、完整、高效的用户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高用户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。用户安全运维中面临问题：l信息管理部门的人员有限，员工的精力有限l安全管理制度体系不完善，安全责任制落实不到位l安全技术能力方面或多或少的存在一定的限制l安全产品众多，维护、升级不及时l海量安全事件无法及时处理l异

3、常操作行为无法及时预警l处理大量安全事件经验不足l外界新技术无法更快更好的应用到内网正是针对用户在运维管理中存在的弊端，柯斯达信息技术有限责任公司（以下简称柯斯达）依靠长期从事信息安全运维服务所积累的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循 ITIL（最佳实践指导）、ISO/IEC 27000 系列服务标准及北京市电子政务 IT 运维服务支撑系统规范等相关标准，建立了一整套信息安全运维管理的服务内容。第5页共16页2服务概述柯斯达集十余年信息安全研发经验和安全服务实践，推出“安全运维服务”，该服务是以“为客户或服务干系人提供服务交付和价值”为目标，以客户信息安全的总体框架为

4、基础、以安全策略为指导，结合先进的技术平台、经验丰富的安全运维团队、成熟的服务管理体系，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，为能源、军工、政府、金融、企业等客户提供安全监控、应急处置、分析决策等运维保障服务。3服务内容柯斯达安全运维服务，针对用户各类安全运维问题，以灵活多样的服务包为主要形式，为用户提供安全监控、安全告警、事件分析、可视化报告及系统维护优化等服务,安全运维服务主要分为巡检类服务、分析类服务、变更类服务、通告类服务、应急类服务、驻场运维服务、安全培训服务。3.1 巡检类服务3.1.1 服务定义为了确保用户信息系统安全稳定的工作，由被动解决问题变主

5、动发现问题，最大限度的降低系统的运行故障，柯斯达安全运维团队为用户单位提供安全设备、业务系统、网络设备等周期性健康检查服务。安全运维团队根据事先与用户约定的服务方式（现场检查，远程检查）、检查频次和检查内容，依照标准化流程，定期对用户的系统进行检查，了解系统的整体工作状态，为用户提供详细、专业的运维巡检服务报告，帮助用户管理日益复杂的信息系统，以减轻信息系统安全运维压力，使用户单位以最优的性价比得到最有效的网络安全管理。第6页共16页3.1.2 服务内容安全产品巡检服务安全产品巡检服务是在保证系统安全的前提下，周期性地对用户指定范围内的安全产品实施系统性检查，采集系统配置、流量信息、系统状态等

6、信息，及时发现各类安全隐患，以保证相关安全产品高效稳定运行。1.服务器巡检服务服务器巡检服务是指柯斯达安全工程师周期性地对用户指定范围内的服务器进行系统性的远程测试和本地检查，以检测系统是否有被黑客入侵的痕迹，维持各类服务器在高安全强度，保证系统不会因为时间推移而导致安全性下降。2.网络设备巡检服务网络设备巡检服务是指柯斯达安全工程师周期性地对用户指定范围内的网络设备进行系统性的安全检查，及时掌握网络设备的运行状况、及早发现网络设备运行异常情况，保障网络设备维持高安全运行。3.业务系统巡检服务面对用户对业务系统不同的管理需求，柯斯达公司推出了业务系统巡检服务，定期对用户业务系统网络连通性、应用

7、服务器运行情况和业务系统安全事件发生情况进行巡检。实现了风险提前发现，降低风险，从而保障了业务系统的可用性、完整性和机密性。4.安全策略巡检服务安全策略制定是安全防护工作中的重点，针对不同安全域的安全防护要求，柯斯达安全运维服务团队将根据相关质量管理要求、安全防护标准、实际防护需求和近期安全事件发生情况对安全防护策略进行定期检查，针对实际存在的安全防护漏洞给出专家处理建议。3.1.3 服务价值l安全产品及设备健康度分析，发现潜在故障l设备满足度分析，是否满足当前网络需求l业务系统运行态势分析第7页共16页l帮用户建立资源基线及基线超规告警3.2 分析类服务3.2.1 服务定义柯斯达安全运维工程

8、师基于安全管理平台、安全评估平台、安全审计平台、终端管理平台等记录的核心设备和安全设备的各类事件，通过定期分析，从海量安全事件中提取出支持全局决策的信息,帮助用户整理、分析网络中各类安全事件，量化安全问题，梳理运维流程。3.2.2 服务内容1.安全事件分析服务基于安全管理平台记录的网内核心设备和安全设备的各类事件，通过安全运维工程师定期分析，从海量的安全事件中提取出支持全局决策的信息,帮助用户整理、分析网络中各类安全事件，量化安全问题，梳理运维流程。2.操作行为分析服务基于审计系统记录的网络行为、流量信息、数据库访问行为，通过安全运维工程师定期的分析，从海量的流量信息和访问行为中提取出支持全局

9、决策的信息，帮助用户整理、分析网络中各类操作行为，量化安全问题。3.安全漏洞分析服务柯斯达安全运维服务团队根据用户实际环境和安全防护需求，定期进行漏洞扫描服务，针对安全评估系统产生的漏洞进行汇总，帮助用户整理、分析各类安全漏洞，制定安全补救实施方案。4.安全合规性分析服务面对政府、公安、水利、教育、金融等行业安全等级保护建设需求，柯斯达飞推出合规性分析服务来帮助用户持续进行安全保护建设工作，为用户提供安全运维支持工作，从而实现安全风险“可知到可识到可知”的安全目标。第8页共16页3.2.3 服务价值l全面了解内网安全态势l全面发挥网络安全设备使用价值l即时发现内部安全隐患，防止被动攻击。l净化

10、内部网络，维护内网安全合规性，对持续违反安全规则的重点报告。l参考建立完整的网络安全产品策略体系。l搜集证据，为安全事件提供网络方面的直接证据。l保留操作日志，方便系统回滚。l方便比较历史数据，分析网络系统变化趋势。l满足行业合规性检查l满足等保、分保等政策标准3.3 变更类服务3.3.1 服务定义根据用户的网络和业务的实际需要，通过柯斯达多年安全服务经验，对涉及用户信息安全管理产品、安全审计产品的扩容、迁移、升级、上线、优化等变更进行服务。3.3.2 服务内容1.配置变更服务根据用户当前安全需求，柯斯达安全运维团队根据各行业标准对各类安产品进行策略变更和配置优化，保障用户各类安全产品能安全高

11、效的运行。2.服务器优化服务根据服务器巡检类和分析类服务的输出，结合用户网络系统安全现状与风险的分析，有针对性地提供全面的 Windows 类、Unix 类系统平台、基础应用软件等的安全加固解决方案。对用户服务器操作系统和应用系统进行全面安全配置和第9页共16页系统优化，包括技术上的相关安全隐患的整改与方案建议。3.事件处理服务柯斯达服务工程师在为用户提供安全事件分析服务、操作行为分析服务、安全漏洞分析服务后，针对分析报告中出现的问题和可能的安全隐患、安全事件，帮助用户对这些安全隐患和问题进行技术定位、事件确认及隐患处理。4.数据迁移服务针对用户系统升级、磁盘扩容等需求，柯斯达安全运维服务团队

12、提供数据迁移服务，保证用户数据库能安全、稳定和高效的运行。5.产品迁移服务面对用户的安全建设需求，需要针对柯斯达的安全产品进行系统平台迁移，完成用户安全建设目标, 最大程度降低迁移过程中的潜在风险，增强产品稳定性，帮助客户实现业务平滑过渡。6.产品升级服务针对柯斯达安全产品线提供产品功能和版本的升级服务，提升产品兼容性、易用性、安全性，使系统保持在最新状态，达到安全防护要求。3.3.3 服务价值l保持柯斯达安全系统良好运行l优化柯斯达网络安全系统策略以符合客户实现网络状况l保持柯斯达安全系统数据库的良好运行l对最新的网络安全攻击和防御技术进行更新，防止 0DAY、1DAY 漏洞。防止因人为不熟

13、悉操作失误导致的少更新、漏更新、迟更新l最小化系统切换时间，避免影响正常业务。l节省客户成本，减少新购成本的增加和可能的浪费。第10页共16页3.4 通告类服务3.4.1 服务定义随着信息技术的高速发展和网络应用的迅速普及，信息安全漏洞已成为影响国家经济建设和社会发展的重要资源之一。全面、专业、权威的安全漏洞、信息安全信息、恶意 IP 地址跟踪，有利于各级政府机关及企事业单位从整体上感知信息安全漏洞的数量、类型、威胁要素及信息安全发展趋势，分析并规划其未来的信息安全策略和发展方向；还有利于确认自身应用产品和系统及服务中可能存在的信息安全漏洞，及时采取防护措施，为信息安全预警和应急响应领域发挥重

14、要支撑作用。3.4.2 服务内容1.安全漏洞通告柯斯达凭借国内领先的安全研究能力，广泛的采集途径，以及完善的漏洞信息收集系统，高质量，高效率的完成各种主机系统、应用系统、网络设备等的最新安全漏洞整理、分析、测试、分类等工作，包括漏洞的威胁、影响的平台及修补步骤，将最新最严重的网络安全问题以最快的速度通报给用户公司，并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的压力。2.媒体关注通告柯斯达组织专门团队，通过网络和其它渠道，收集当前信息安全业界各类热点焦点、相关资讯及行业新闻，通过筛选整理，为用户提供媒体关注通报服务：l业界动态：安全界的新闻大事，新技术发展动态。l国家安全政策

15、及法律法规：符合国家政策、法律、行业规范等。l安全产品信息：针对购买的产品，发送相关的升级信息、最新功能，使用技巧，维护经验及常见问题解答。3.恶意 IP 通告柯斯达每周会针对经常进行扫描的 IP 源地址、攻击源地址、挂马源地址、第11页共16页敏感色情暴力网站等进行汇总统计，将这些恶意 IP 以安全通告的形式发送给客户，以帮助客户完善内网安全监控和防火墙等网关产品的策略调整。3.4.3 服务价值l用户能了解最新信息安全态势技术l用户能了解最新媒体关注热点l用户能清楚一些恶意的 IP 列表3.5 应急类服务3.5.1 服务定义应急响应服务指当安全事件发生后，向用户提供一种发现问题、解决问题的快

16、速、有效的响应服务。为用户快速恢复系统的保密性、完整性和可用性，阻止和减小安全事件带来的影响。柯斯达工程师到达用户现场，为用户提供现场问题解决，涉及安全管理产品、安全审计产品及终端安全产品应急性技术响应、网络系统故障诊断与修复、产品备机备件系统更换、安全产品疑难故障分析及报告等。该项服务目标定位于保障用户业务系统可用性及业务连续性，提高用户网络故障排查效率。通过事件分析和整改建议进一步降低网络故障发生率。3.5.2 服务内容1.准备阶段工作内容准备阶段的工作内容主要有两个，一是对信息系统进行初始化的快照。二是准备应急响应工具包。系统快照是信息系统进程、账号、服务端口和关键文件签名等状态信息的记

17、录。通过在系统初始化或发生重要状态改变后，在确保系统未被入侵的前提下，立即制作并保存系统快照，并在检测的时候将保存的快照与信息系统当前状态进行对比，是发现安全事件的一种重要途径。第12页共16页2.检测阶段工作内容检测阶段是应急响应全过程中最重要的阶段，在这个阶段需要系统维护人员使用初级检测技术进行检测，确定系统是否出现异常。在发现异常情况后，形成安全事件报告，由安全技术人员和安全专业技术人员介入进行高级检测来查找安全事件的真正原因，明确安全事件的特征、影响范围和标识安全事件对受影响的系统所带来的改变。最终形成安全事件的应急处理方案。3.抑制和根除阶段工作内容抑制是对攻击所影响的范围、程度进行

18、扼制，通过采取各种方法，控制、阻断、转移安全攻击。抑制阶段主要是针对前面检测阶段发现的攻击特征，比如攻击利用的端口，服务，攻击源，攻击利用系统漏洞等，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。根除阶段是在抑制的基础上，对引起该类安全问题的最终技术原因在技术上进行完全的杜绝，并对这类安全问题所造成的后果进行弥补和消除。在根除阶段，采取的措施最大的风险主要是在系统升级或补丁时可能造成系统故障，所以必须作好备份工作。4.恢复阶段工作内容本阶段的主要工作内容是将系统恢复到正常的任务状态。在系统遭到入侵后，攻击者一定会对入侵的系统进行更改。在根除阶段能彻底恢复配置和清除系统上的恶意文件，并且能够确定系统经过根除已经完全将系统的所有变化根除的情况下，可以通过直接恢复业务系统的方式来恢复系统。这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小和对业务的影响较小。在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已干净时，那么就一定要彻底的重装系统。系统重装往往是系统最可靠的系统恢复手段。5.跟进阶段工作内容跟进阶段是应急响应的最后一个阶段，本阶段主要是对抑制或根除的效果进行审计，确认系统有没有被再入侵。确认系统有没有被再入侵是通过对抑制或根除的效果进行审计完成的。这种审计是一个