区政府网站等保及安全运维方案.docx

1、区政府网站等保及安全运维方案区政府网站等级保护预评估及安全运维服务方案1 公司简介上海络安自2008 年03 月份起进入信息安全服务领域，在短短的几年发展过程中，络安公司陆续参与了工信部统一安全接入试点、国家60 周年庆信息安全保障、上海世博会信息安全保障应急响应支撑等工作，并取得国家科技部、发改委及市经信委等项目基金的支持。目前与国家信息安全工程技术研究中心共同合作成立的网络恶意攻击行为研究实验室，更为政府单和企事业单位提供长期有效的网络信息安全防护支撑。上海络安严格遵循ITIL/ISO27001/ISO27002/ISO27005 国际管理和实践标准，集网络安全技术、产品和综合安全运维服务

2、为一体，向客户、合作伙伴提供增值、全面、完整的安全运维和托管服务。并致力于为政府单位和企事业单位提供长远的、有效的信息服务解决方案，按需求提供高效的网络系统运维服务，不断降低政府单位的政务信息系统运行的风险水平。上海络安正在快速发展成为拥有强大的后端技术支持平台、严格遵循服务流的工程团队、完善的监控服务的以提供全面IT 咨询与网络运维服务为主的高科技企业。1.1服务范围针对信息系统的安全测试。如脆弱性评、渗透测试、源代码安全性检测及压力测试等。信息系统安全集成。如安全管理中心的建设、访问控制系统的部署等信息系统风险管理。如安全评估、风险处置、安全加固、安全审计等。整体信息安全系统规划和建设、信

3、息安全策略及作业规程制定、信息安全标准合规整改。信息安全事件和事故紧急响应。如应急预案的制定、应急技术支持、应急响应培训。业务连续性计划开发和实施。包括信息数据备份与回复、数据容灾建设、数据迁移。网站群 7*24*365 安全监控服务。拥有自主知识产权的安全监控平台。依托 IDC 中心为用户提供的高质量托管及运维服务。服务资质2008 年公司获得高新技术企业和双软件企业证书；2009 年获得工信部（工信部协200942 号）互联网安全接入试点工作的上海市试点工作任务承担单位；2009 年获得上海世博会信息安全保障应急响应支撑单位；2010 年获得工信部颁发的计算机信息系统集成资质2010 年荣

4、获上海世博会信息安全保障工作优秀集体（唯一一家企业单位）2010 年公司荣获上海市创新型企业称号2010 年公司获得工信部颁发的信息安全应急处理服务资质2010 年公司获得中国信息安全测评中心颁发的信息安全服务资质服务资质证书2杨浦区网站安全现状杨浦区门户网站作为用户对外沟通的重要载体，其已经成为区政府及其部门发布区政府信息、提供在线服务、与公众互动交流的重要平台和窗口。在提高区行政效能、提升区政府公信力等方面发挥了重要作用。杨浦区网站群的安全在电子政务网站的实际运行中，有一定的成效，但仍存在着技术防护手段、安全管理机制和安全运行维护体系方面的木桶短板。信息安全形势依然不容乐观。互联网黑色产业

5、链的行程和逐渐壮大已经成为网络安全必须面对的问题。而且数以万计的国际黑客和间谍对政府网站的攻击丝毫未有减弱。根据上海市网络与信息安全协调小组办公室（简称“沪网安办”）关于进一步做好政府网站安全管理试点工作的通知，即沪网安办（2012）4号文。同时根据上海市政府网站安全保障指南，要求各单位做好技术防护、安全管理机制和安全运行维护的有效结合。2.1目的通过对杨浦区网站进行关于可用性、性能和安全性方面的综合检测，发现杨浦区网站建设过程中在系统改造、技术升级和运行维护中存在的安全弱点。以便在技术防护、安全管理和运行维护方面采取针对性的措施。切实保障杨浦区网站的安全和可靠的运行。2.2目标通过采用技术检

6、测手段和现场访谈及审计，发现杨浦区门户网站安全防护措施的缺失，及时提供检测和防御措施。实现“五防”即防攻击、防挂马、防篡改、防瘫痪 、防泄密。 以下通过二大方面等保服务（管理层面）、运维服务（技术层面）予以实现。一、等级保护部分3等级保护服务概况3.1等级保护建设模式基于政府行业的实际需求,根据当前政府单位的信息运行环境和等保等级相应的对信息系统保护能力的要求。首先，将政府单位的当前现状通过调研工作深入了解；其次，根据等级保护在管理方面和技术方面的基本要求，找出当前信息环境中存在的差距；最后，在获得客户的客观需求和要符合国家政策和标准的要求后，开始计划等级保护方案的设计。等级保护在技术体系方面

7、包括五大方面的基本要求：分别是物理安全、网路安全、应用安全、主机安全和数据安全。等级保护在管理体系方面也包括五方面的基本要求：分别是安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。通过信息安全管理方针、目标、策略、规程的开发和制定。逐步让政府信息系统的运行和维护符合国家对信息安全保障能力的要求。络安的等级保护建设模式如下图所示:3.2等级保护建设目标等级保护的建设目标就是通过在技术体系和管理体系的完善和加强后，使信息系统的防护能力达到相应的国家等级保护的要求。关于等级保护的基本要求如下如所示：3.3等级保护防御建设根据国家等级保护的安全设计要求。络安将帮助政府行业客户建设

8、由安全管理中心统一管理,分别由通信网络、区域边界和计算环境组成的三层防御体系。如上图所示：等级保护建设流程络安将完全参与到政府行业客户信息安全等级保护建设中，参与等保建设的各个环节。各单位的信息等级工作已经于2008 年基本完成。4 级以下的等保定级由政府单位自主定级。四级及以上信息系统的定级方案需要国家信息安全评审委员会的评审。络安将参与等保建设中的等保整改、安全威胁分析、等保方案的设计和安全体系的部署并在测评期间配合测评结构完成对信息系统对象的测评工作。等保建设流程如下图所示：4等级保护实施的依据中华人民共和国计算机信息系统安全保护条例国家信息化领导小组关于加强信息安全保障工作的意见关于信

9、息安全等级保护工作的实施意见信息安全等级保护管理办法信息安全技术 信息系统安全等级保护实施指南信息安全技术 信息系统安全等级保护定级指南信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护测评要求信息安全技术 信息系统安全等级保护测评过程指南计算机信息系统安全保护等级划分准则5等级保护服务内容上海络安通过自身的安全产品、安全服务，可协助用户完成等级保护各个阶段的建设，确保用户严格按照等级保护的过程规划并建设自己的安全保障体系，更好地支撑应用和业务的开展，具体服务内容如下：服务名称服务内容等保定级咨询阶段定级咨询服务信息系统调查定级对象分析设计定级报告协助定级备案等保整改

10、与安全建设服务阶段等保差距分析服务信息资产识别安全技术差距分析安全管理差距分析系统运维差距分析物理安全差距分析等保安全风险评估服务物理安全风险评估网络安全风险评估主机安全风险评估应用系统安全风险评估数据安全性风险评估等保整改和安全建设规划服务设计等保整改和安全建设方案安全管理制度体系建设服务信息安全策略建设总体规划和设计完善安全管理制度体系完善安全组织架构规范人员管理规范系统建设管理环境管理资产管理介质管理设备管理网络与系统安全管理系统安全管理备份与恢复管理恶意代码防范管理变更管理信息安全事件管理等安全检测服务物理安全检测网络设备和网络边界安全检测主机安全检测应用系统安全检测数据库安全检测安全

11、审计与分析服务服务器日志审计网络设备日志审计门户网站日志分析与审计数据库服务器日志审计Web应用程序源代码审计漏洞扫描服务网络设备漏洞扫描服务器漏洞扫描数据库漏洞扫描网站源代码扫描web服务器漏洞扫描安全加固服务网络安全加固数据库安全加固web服务器安全加固操作系统安全加固应急服务体系建设服务应急响应团队建设 应急响应流程规划 应急预案编制 应急响应演练 等保预测评服务阶段等保预评估服务协助客户进行等保自查工作协助客户进行现场测评工作等保复查服务阶段等保复查服务开展自查协助客户进行每年的等保复查6等级保护服务交付物服务名称服务内容服务交付物定级咨询服务信息系统调查确定定级指导委员会和定级工作项

12、目组提交信息系统调查表提交定级报告并经专家审核提交定级备案表定级对象分析设计定级报告协助定级备案等保差距分析服务信息资产识别安全技术差距分析安全管理差距分析系统运维差距分析物理安全差距分析资产清单列表安全技术差距分析表安全管理差距分析表系统运维差距分析表物理安全差距分析表等保安全风险评估服务物理安全风险评估网络安全风险评估主机安全风险评估应用系统安全风险评估数据安全性风险评估物理安全风险评估报告网络安全风险评估报告主机安全风险评估报告应用系统安全风险评估报告数据安全性风险评估报告等保整改和安全建设规划服务设计等保整改和安全建设方案等保整改和安全建设方案安全管理制度体系建设服务信息安全策略建设总

13、体规划和设计完善安全管理制度体系完善安全组织架构规范人员管理规范系统建设管理环境管理资产管理介质管理设备管理网络与系统安全管理系统安全管理备份与恢复管理恶意代码防范管理变更管理信息安全事件管理等相关管理文档安全检测服务物理安全检测网络设备和网络边界安全检测主机安全检测应用系统安全检测数据库安全检测物理安全检测记录表网络设备和网络边界安全检测记录表主机安全检测记录表应用系统安全检测记录表数据库安全检测记录表安全审计与分析服务服务器日志审计网络设备日志审计门户网站日志分析与审计数据库服务器日志审计Web应用程序源代码审计相关审计报告漏洞扫描服务网络设备漏洞扫描服务器漏洞扫描数据库漏洞扫描网站源代码

14、扫描web服务器漏洞扫描网络设备漏洞扫描报告服务器漏洞扫描报告数据库漏洞扫描报告网站源代码扫描报告web服务器漏洞扫描报告安全加固服务网络安全加固数据库安全加固web服务器安全加固操作系统安全加固网络安全加固报告数据库安全加固报告web服务器安全加固报告操作系统安全加固报告应急服务体系建设服务应急响应团队建设 应急响应流程规划 应急预案编制 应急响应演练 应急响应团队建设规范应急响应流程应急响应预案应急响应演练记录等保预评估服务协助客户进行等保自查工作协助客户进行现场测评工作按需等保复查服务开展自查协助客户进行每年的等保复查按需二、检测及运维服务部分7 杨浦区网站安全检测方案使用络安的webc

15、are 网站群警戒系统实现以下要求：Webcare安全预警平台，可以724小时远程网站预警服务，通过不间断的远程值守，为用户网站提供远程性能监测、安全检测、实时响应和可用性报警，大大降低了网站出现性能、安全故障的风险，有效提升了工作效率。7.1安全检测工作流程络安采用基于B/S架构的网站群监测平台执行政府网站安全检测工作，以部署在英特网的探测节点对用户网站群进行监控，无需在用户内部网络部署任何硬件设备，其工作流程如下图：图2.1-1：网站群安全检测平台工作流程7.2网站故障分析机制图2.2: 网站故障分析机制7.3安全检测服务项网站群连通性监测多接点探测：调用多个互联网的监测节点对杨浦区的网站

16、群实施连通性监测监测类型：监测类型包括DNS解析是否成功、DNS是否被劫持、网站是否响应超时、首页下载是否成功、中间件环境是否故障（如TOMCAT何IIS故障）、页面是否出现程序错误（如404、500等）回调确认机制：节点探测出杨浦区的网站故障后重新调用节点进行回测确认连通性报警：通过回调确认机制以及设置报警阀值对用户发出网站故障报警报警类型：故障报警、故障恢复报警、每日网站群运行情况一报监测频率：可对单个网站设置不同的监测频率，最低可监测频率为2分钟故障分析：提供网站故障的分析提供技术人员定位故障源网站群性能评估多接点探测：调用多个互联网监测节点对杨浦区网站群实时性能监测性能评估：对杨浦区管

17、辖的单个网站以及整个网站群进行性能评估，包括响应时间、域名解析时间、首页下载速率、首页打开时间4项性能指标网站群安全扫描评估服务器端口扫描：对杨浦区网站服务器实施端口扫描，对非法端口进行预警网站漏洞扫描：采用基于网络的检测技术进行扫描，即部署在全国各地的外部网络节点通过网络的方式对杨浦区授权的门户或部门网站进行扫描详细的扫描报告：提供详细的关于杨浦区网站漏洞扫描报告，指出本区网站的漏洞页面和具体代码情况、定义危险级别并提出详细的解决方案。站群报表故障报表：提供杨浦区网站群阶段时间内的故障统计性能报表：提供杨浦区网站群阶段时间内的性能评估统计网站安全评估报表：提供杨浦区网站群阶段时间内的安全扫描

18、评估报表站群综合报表：提供杨浦区网站群阶段时间的综合故障、性能及安全的统计报表8 杨浦区网站安全运行维护服务8.1安全运维服务概述关于安全运行维护服务的描述，请参考表3-1：序号服务名称服务描述1网站安全监控服务对涉及网站性能的网站连通性（专用工具），系统资源、页面防篡改(购买第三方工具)、网站挂马（专用工具）和域名劫持情况进行实时监控(专用工具)。2安全巡检服务对防火墙、IDS/IPS、防病毒网关、防篡改系统等安全设备的策略配置、安全管理和运行维护进行巡检，对网站服务器操作系统的安全配置、安全策略和补丁升级及恶意代码查杀等方面进行巡检，对网站系统平台插件和中间件安全策略有效性进行巡检。3网站

19、源代码安全性检测服务在新网站上线前和网站代码修改或变更后，使用专业的网站代码安全性检测系统对特定语言编写的代码进行弱点检测，并出具弱点整改和建议报告。4网站漏洞扫描服务针对杨浦区门户或者部门网站进行每季度的网页漏洞扫描。评估网站页面中存在的漏洞的风险。凡网站代码变更或者网站服务升级的情况下，都将进行网站页面漏洞远程扫描。 （采用专业工具）5网站渗透测试服务在获得杨浦区门户网站管理人员的书面授权下，尽可能完整的模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/主机的安全性深入探测，发现系统中最薄弱环节的过程。直观的让管理人员知道自己网络所面临的安全问题。应用“实战演练”或“沙盘推演”的概念，通过

20、实战和推演，让用户清晰了解目前网络的脆弱性、可能造成的影响。（人工+工具）6网站连续性计划针对杨浦区的门户网站制定数据备份与恢复策略与计划；在无相关备份系统时，进行备份与恢复系统的规划和咨询。在需要网站异地镜像容灾时，协助用户。7网站安全加固服务提供扫描后发现的关于网站服务器系统和网站平台的弱点的修复和加固。不提供网站页面代码的修改和测试。8网站应急响应服务在有应急预案的情况下，完善和评审应急预案；在无应急预案的情况下，根据杨浦区网站实际管理情况制定应急预案。协助用户与进行网站应急演练，提供应急演练计划和应急演练评估报告。对发生的网站安全事件进行应急分析和处置。9网站性能体验服务对在内网和外网

21、访问政府网站的性能指标进行检测和分析，发现性能瓶颈和差异，提供建议方案。对存在断链和错链的页面进行重点分析。对运营商网络性能，杨浦区门户网站内网架构的性能进行检测。（采用专业工具）10网站内容安全服务协助杨浦区用户建立适合实际情况的保密审查流程和相应管理规范。协助用户部署泄密检查系统。11外包服务商评估协助杨浦区用户选择在网站建设、网站运维和网站安全保障方面具备相应资质和能力的外包服务商。12网站托管咨询服务协助杨浦区用户进行网站托管业务。评审网站托管合同。制定网站托管质量要求指标及服务级别协议。13安全运维监理服务对外包服务商的服务质量进行监督，协助用户制定外包服务商的考核策策略和绩效指标。

22、8.2安全运维服务架构针对杨浦区政府和事业单位各部门电子政府建设和发展的实际现状，上海络安根据国家信息安全等级保护建设的相关标准和上海市网安办的相关通知。为上海市各杨浦区的门户网站量身定制了安全运维的一套服务。具体架构如下：图3.2-1: 常态型服务架构图3.2-1描述的服务为周期性提供的安全运维服务。旨在巩固安全状态和减少风险，通过发现问题并及时采取措施来解决问题，从而达到管理网站所面临的风险的服务过程。络安提供上述两种服务外，还提供一种补充性的服务即按需服务。指针对杨浦区门户网站安全环境建设的需要和需要技术支撑时能及时予以提供的服务。这种按需提供性的服务同样由四部分构成，具体参见图3.2-

23、2：图3.2-2：常态型服务架构8.3安全运维服务方式图3-3：安全运维服务方式在安全运维的实施工作中，将充分以专业安全检测和预警工具为支撑，以人工分析、验证和响应为辅助，再加协助用户集成必要的安全防护系统。调试和优化安全系统策略和性能，从而有效保障网站群的安全。8.4安全运维计划在执行杨浦区门户网站安全运行维护项目时，将严格按照预先制定的网站安全运维计划并严格遵从SLA中定义的服务目录。服务内容服务规格服务方式网站安全预警724小时远程网站预警服务，通过不间断的远程值守，为用户网站提供远程性能监测、安全检测、实时响应和可用性报警；对单个网站以及整个网站群进行性能评估，对网页挂马和网页篡改情况

24、进行实时监控。7小时*24天监控安全巡检服务对防火墙、IDS/IPS、防病毒网关、防篡改系统等安全设备的策略配置、安全管理和运行维护进行巡检，对网站服务器操作系统的安全配置、安全策略和补丁升级及恶意代码查杀等方面进行巡检，对网站系统平台插件和中间件安全策略有效性进行巡检。1次/季1次/季1次/季1次/季1次/季网站源代码安全性检测在杨浦区新网站或者网站代码更新上线前，采用专业的网站代码测试平台，以“白盒”测试的方式对网站源代码进行安全性检测，针对网站编码的脆弱性进行评估。新网站上线（1次/年）；网站代码变更（1次/年）网络恶意代码检测采用便携式的僵尸木马检测系统，灵活对杨浦区网站各边界接口进行

25、检测并对数据进行汇总分析。1次/月网站页面漏洞扫描针对杨浦区门户或者部门网站进行每季度的网页漏洞扫描。评估网站页面中存在的漏洞的风险。凡网站代码变更或者网站服务升级的情况下，都将进行网站页面漏洞远程扫描。主要针对SQL注入、跨站脚本攻击、溢出攻击、信息旗标泄露等进行扫描。2次/年网站服务器平台漏洞扫描采用专用的网络隐患漏洞扫描系统对网站服务器上的操作系统弱点进行扫描并计算风险，对操作系统平台上安全的应用服务和平台插件进行脆弱性扫描。人工对扫描结果进行分析和判断并汇总成报告，提供解决建议方案。 1次/季，一年4次网站系统渗透测试在获得杨浦区用户网站管理人员的书面授权下，尽可能完整的模拟黑客使用的

26、漏洞发现技术和攻击手段，对目标网络/主机的安全性深入探测，发现系统中最薄弱环节的过程。直观的让管理人员知道自己网络所面临的安全问题。应用“实战演练”或“沙盘推演”的概念，通过实战和推演，让用户清晰了解目前网络的脆弱性、可能造成的影响。（人工+工具）1次/年网站应急响应在有应急预案的情况下，完善和评审应急预案；在无应急预案的情况下，根据杨浦区门户网站实际管理情况制定应急预案。协助用户进行网站应急演练，提供应急演练计划和应急演练评估报告。对发生的网站安全事件进行应急分析和处置。按需提供；分别按照（1）应急预案制定;（2）应急演练；（3）应急分析及处置。 三项子服务网站性能体验对杨浦区门户网站从内网

27、和外网进行访问，对用户网站的性能进行检测和分析，对内网流量分析，发现性能瓶颈和差异，提供建议方案。对存在断链和错链的页面进行重点分析。对运营商网络性能，政府内网架构性能进行检测。（采用专业工具结合人工现场和远程方式）2次/年安全公告每月对当月互联网安全形势及威胁进行安全通告，内容有操作系统、数据库、常规应用系统补丁升级；网络安全漏洞、杀毒软件最新补丁包的更新信息；新病毒信息；信息安全管理体系新理念；新黑客技术；国际信息系统安全最新技术等信息等。1次/月技术支持根据杨浦区用户需要提供必要的技术支持。但不局限于以下技术支持范畴。 网络拓扑图完善和绘制网络设备操作规范服务器操作规范网站系统故障排除安

28、全事件调查与取证网络设备测试评估24小时电话支持、一年不超过2次现场服务安全加固安全加固是根据专业安全评估结果，制定相应的系统加固方案，针对不同目标系统，通过打补丁、修改安全配置、增加安全机制等方法，合理进行安全性加强。在加固前，充分测试加固措施的可靠性，保证对网站环境组建的加固不会带来任何风险。1次/季，一年4次；网站平台服务器加固、网站数据库服务器加固和网站中间件加固分别单独计算工作计划和工作量审计与分析根据杨浦区用户需要提供保障网站安全的以下内容：网站应用日志分析数据库操作行为审计网络设备日志分析操作系统关键日志分析网站安全管理评审网络设备配置审计1次/季安全培训根据杨浦区用户需要定制特

29、别的安全培训，包括常规安全主题培训但不限于以下培训： 网站安全管理培训网站安全技术培训信息安全意识培训互联网安全态势培训应急演练培训3次/年8.5杨浦区安全运维服务交付物定义针对杨浦区门户网站安全运维工作中的每项工作，都保持有书面记录，以做到有跟踪、有监督、有改善、有反馈。关于网站安全运维中的关键项工作，交付物例定义如下表。序号工作项交付物名称1系统运维体系运维体系文件2安全域规划相应的规划书3主机安全整改相应的整改报告4数据库安全整改相应的整改报告5应用安全整改相应的整改报告6网络安全整改相应的整改报告7管理安全整改相应的整改报告8主机安全整改相应的整改报告9网站安全管理培训培训教材和培训记录10网站安全技术培训培训教材和培训记录11信息安全意识培训培训教材和培训记录12互联网安全态势培训培训教材和培训记录13应急演练培训培训教材和培训记录14网站页面断链和错链检查检查报告15网络恶意代码的检测检测报告16网站源代码安全性检测检测报告17网站页面漏洞扫描漏扫报告18网站在授权下的渗透测试授权书、计划、报告19安全设备的策略检查和状态分析巡检报告20服务器操作系统的安全策略和安全状态检查巡检报告21网站系统平台的安全配置和组件升级检查巡检报告22