天融信网络安全专家服务白皮书.docx

1、天融信网络安全专家服务白皮书密1术语定义网络安全专家服务系统：是实现网络安全管理的技术支撑平台，以风险管理为核心作用，为安全服务和管理提供支撑。监控对象：是对网络安全专家服务系统实施风险管理的对象的统称，包括：安全设备、网络设备、应用系统、主机、数据和信息。安全事件：由计算机信息系统或网络中的各种计算机设备发现并记录下的可疑活动。安全威胁：是对系统、组织及安全对象构成潜在破坏能力的可能性因素或事件。脆弱性：存在于被威胁的客体上，可被威胁利用而导致安全性问题。安全风险：即存在由一种特定的威胁利用脆弱性而引起信息丢失甚至损害一个或一组安全对象的可能性。2网络安全专家服务产生背景2.1用户信息系统安

2、全面临的挑战当今，几乎所有行业的用户业务都是建立在网络应用的基础之上。互联网应用与业务的融合给用户带来了效率提升和持续竞争力，然而互联网与业务结合同样具有潜在的风险。任何细微的变故，都有可能导致业务流程完全失效。信息系统在给电子政务、电子商务带来了高效和便捷的优越性同时，同样给外部和内部利用信息系统犯罪带来了容易性和隐蔽性。黑客、蠕虫病毒、后门漏洞等安全威胁的存在，使得用户的关键业务暴露在危险之中。其中问题集中体现在：众多安全设备缺乏有效的统一管理安全运维能力不足，5*8小时外的安全事件无暇顾及信息安全产品更新太快，信息安全系统建设投入太大缺乏专业的安全研究团队 突发安全事件的应急处理能力不足

3、海量日志需要统一存储审计2.2天融信网络安全专家服务的产生网络安全专家服务是天融信针对安全设备统一管理、5*8小时外的安全运维、突发安全事件处理等安全问题而推出的专业安全服务产品。天融信与中国电信、中国联通合作，建立了安全监控运营中心，打造了一支专业化的安全运营团队，由经验丰富的安全专家为用户提供服务。同时与国家计算机网络应急技术处理协调中心（CNCERT/CC）等权威单位合作，利用国家级监管单位及电信运营商独有的网络资源，为用户提供更高级别的服务。3网络安全专家服务介绍3.1服务定义天融信网络安全专家服务，是利用天融信的安全运营服务系统，结合先进的技术平台、经验丰富的安全运营团队、成熟的服务

4、管理体系，依托来自国家监管机构的权威分析数据，为政府、金融、企业等行业客户的广域网络和互联网接入（包括客户的安全设备、网络设备及应用系统在内）提供统一安全管理和安全保障服务。3.2适用范围面向使用互联网接入业务的政企事业单位和金融机构客户。可对广域网以及互联网接入的客户网络和重要应用系统设备进行安全事件实时监控管理、安全威胁分析处理，为客户提供整体安全防护体系，实现统一安全管理。目前“网络安全专家服务”可监控管理的客户端设备包括：安全设备：防火墙、IPS/IDS、安全网关、安全审计、上网行为管理等；应用系统： WEB应用服务器、邮件服务器、数据库服务器；4网络安全专家服务功能4.1网络安全监控

5、服务4.1.1服务说明天融信网络安全监控服务对用户网络中的安全设备、WEB应用系统的日志信息进行实时收集、监控与分析，对用户网络面临的安全威胁进行分析，及时、准确的发现DDoS攻击、蠕虫病毒、黑客入侵、扫描渗透、暴力破解、非法访问、非法外联等网络安全事件。4.1.2服务内容服务内容服务功能互联网连通性实时监控通过远程监控方式对用户指定的IP地址进行5*8或7*24小时网络连通性实时监控，及时发现网络访问中断事件，保障系统可用性。网络安全事件实时监控对用户指定的安全设备和网络设备的日志信息进行5*8或7*24小时实时监控，及时发现非法访问、恶意攻击、病毒散播等可能给用户网络造成影响的安全事件。应

6、用系统安全事件实时监控对用户指定的web应用系统的访问日志进行7X24小时实时监控，及时应用扫描、SQL注入攻击、XSS跨站攻击等可能给用户应用系统造成影响的安全事件。安全事件信息存储将收集到的原始日志信息及报警数据在一段时间内保存，有助于用户追溯安全事件，便于用户事后分析、审计与取证。安全分析报表管理每月统计用户网络中发生的安全事件，为用户分析总结网络安全状况及变化趋势，帮助用户掌握自身网络的整体安全状况，并提供合理的整改措施建议。安全通告每周总结最新的安全漏洞信息、黑客攻击方法、流行病毒信息、补丁信息、安全发展动态、重大安全事件、安全法律法规等安全资讯，以邮件的方式发送给用户，帮助用户集中

7、了解最新的安全动态。安全事件预警发现用户网络异常流量、蠕虫病毒、黑客入侵等重要安全事件时向用户电话发出预警信息，提供安全事件的详细信息，指导用户对安全事件进行处理。4.1.3服务级别天融信网络安全监控服务提供基本服务包和增强服务包两种服务，如下表：服务内容服务级别Level 1Level 25*8小时网络安全事件监控7*24小时网络安全事件监控7*24小时应用系统安全事件监控5*8小时互联网连通性实时监控7*24小时互联网连通性实时监控30天事故数据存储60天事故数据、30天原始数据存储每月安全分析报表每周安全分析报表每周安全通告网络安全事件预警（1小时内）网络安全事件预警（20分钟内）应用系

8、统安全事件预警（20分钟内）4.1.4服务实现方式4.1.4.1系统架构天融信“网络安全监控服务”业务通过天融信安全运营中心的网络安全专家服务系统实现。网络安全专家服务系统由四个部分组成：数据采集子系统、运营服务核心平台子系统、客户服务支撑子系统、专家团队子系统。图1 网络安全专家服务系统（一） 数据采集子系统部署在用户网络端，负责从客户网络的安全监控对象上采集日志数据，并将预处理后的数据信息以加密方式发送至“网络安全专家服务”核心平台进行分析。具体部署方式参见下节“业务接入方式”。（二） 运营服务核心平台子系统部署在电信IDC机房，对采集到的日志信息进行智能分析，以安全风险管理为核心，实现安

9、全对象管理、安全事件管理、系统脆弱性管理，将发现的高危安全事件生成预警信息通知到客户服务支撑系统。（三） 客户服务支撑子系统定期向用户报送安全报表和安全通告，在发生高危安全事件时向用户提供预警，为用户提供专家级的安全解决方案和安全响应、安全咨询服务。（四） 安全专家团队子系统包括安全运维人员、安全分析人员、安全专家组、现场服务人员。安全专家团队负责对安全事件进行实时监控与分析，帮助用户发现真正有威胁的安全事件。4.1.4.2接入方式天融信网络安全监控服务通过数据采集子系统实现客户业务接入。本业务提供三种接入方式供客户选择，包括代理服务器形式、软件安装形式和硬件采集设备形式。1、代理服务器形式在

10、客户网络内一台“网络安全监控服务”专用服务器上安装代理软件，部署为监控代理服务器。监控代理服务器硬件要求：内存2G以上，空闲磁盘空间100G以上，intel双核处理器主频2.4GHz以上，1000M以太网卡。软件要求：windows xp/2000/2003企业版或支持Java的商业版Linux操作系统，需配备1.6及以上版本java虚拟机（JVM）。客户网络内需要监控的安全设备、应用系统等如具备主动日志发送功能，则在监控对象上进行相应配置，由监控对象主动将日志发送至监控代理服务器。如监控对象不具备主动日志发送功能，则需要采用后两种接入方式为用户提供服务。监控代理服务器须保证与监控对象间网络可

11、达，与运营服务核心平台间网络可达。如下图所示：图2 代理服务器方式客户接入2、软件安装形式对于客户网络中不具备主动日志发送功能的监控对象，则需要在监控对象中安装代理软件，由监控代理软件将日志信息发送至运营服务核心平台。如下图所示：图3 软件方式客户接入3、硬件采集设备接入由天融信提供硬件采集设备，以旁路接入的方式部署于客户网络端的网络交换设备，并在网络交换设备中配置端口镜像，将监控对象所在网络端口的流量发送至硬件采集设备，硬件采集设备通过流量分析获取监控对象的监控数据，同时支持接收监控对象主动发送的日志信息，即可替换监控代理服务器使用。采集设备具有1个流量分析端口和1个管理端口，流量分析端口与

12、镜像端口连接，用以分析网络流量；管理端口直接与网络交换设备连接，用以接收监控对象主动发送的日志信息和设备管理信息。硬件采集设备与运营服务核心平台间须保证网络可达。如下图所示：图4 硬件方式客户接入一般情况下，数据采集子系统采集的监控数据通过Internet加密通道的方式安全上传至运营平台子系统。如下图所示：图5 Internet加密监控通道4.1.5服务流程4.1.6产品服务特征天融信网络安全监控服务具有部署灵活、快速，可扩展性好，服务范围广泛，可视化程度高等特征，能够满足不同层次用户的安全需求。（一） 部署方式灵活网络安全专家服务系统部署方式非常灵活。系统核心平台和数据采集系统分布式部署，既

13、可以保证核心系统的稳定，又可以支持复杂的网络环境。采集器部署在客户端，采用软硬件多种方式，可在不影响用户网络环境、不进行网络配置重大变更的情况下实现。（二） 可扩展性高网络安全专家服务系统支持分布式部署方式，可根据业务规模灵活扩展。核心平台为全国客户提供远程服务，在全国不同区域可采用分级部署的方式建立多级平台，实现不同等级的事件管理与响应；采集器功能集成为软硬件两种方式，已实现自动化管理，可根据用户需求在用户网络中灵活部署。（三） 服务范围广泛网络安全专家服务系统以标准化接口方式实现了对多厂商设备的管理，在统一的系统架构和数据模型下，将各项管理数据的共享集中，互通互融，能够综合量化企业安全状态

14、和企业业务的总体安全问题，从而更加彻底地保证业务系统的正常运行,降低运维成本，提供安全事件监控、资产运营管理、事件管理等的综合统一管理平台。（四） 服务可视化程度高网络安全专家服务系统可提供基于不同视角的视图管理，从地理区域上提供区域视图，从设备角度上提供设备视图。可视化过程包括在线和离线两种方式，“在线”是通过实时风险的综合计算和可视，表达当前信息系统的安全态势；“离线”则通过对安全事件的数据挖掘，可视化输出统计分析的结果，帮助用户分析信息系统某一事件段内的安全态势。4.2安全巡检服务4.2.1服务说明 本服务的目的是尽可能发现用户网络中的网络设备、安全设备、WEB应用系统等存在的安全漏洞和

15、安全隐患，根据对客户信息系统安全评估的结果，制定安全加固方案，提出对客户的主机系统、应用系统、网络设备、安全设备的加固建议，完成策略调整和加固措施，全面提升客户信息系统的安全保障能力。4.2.2服务内容服务内容服务功能人工安全检查服务通过人工检查的方式发现网络及应用系统所面临的安全威胁及安全漏洞并加以分析，为后续的安全加固服务提供依据。安全加固服务根据对客户信息系统人工安全检查的结果分析，制定针对客户信息系统特点的安全加固方案，全面提升客户信息系统地安全保障能力。工具扫描服务利用基于各种评估侧面的评估工具对评估对象进行扫描评估，对象包括各类主机系统、网络设备等。日志分析服务通过安全日志分析了解

16、真实的网络现状，对已发生的入侵及事后取证提供必不可少的依据。4.2.3服务级别服务内容服务级别Level 1Level 2Level 3Level 4人工安全检查服务安全加固服务工具扫描服务日志分析服务4.2.4服务实现方式4.2.4.1 工具扫描为了充分了解本项目中各业务系统当前的网络安全现状及其安全威胁，因此需要利用基于各种评估侧面的评估工具对评估对象进行扫描评估，对象包括各类主机系统、网络设备等，扫描评估的结果将作为整个评估内容的一个重要参考依据。扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。网

17、络扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。4.2.4.2 人工评估依据对特定系统平台的标准化的安全审计列表（安全基线），检查和分析系统平台存在的安全问题。人工评估与工具扫描相结合，可以完成许多工具所无法完成的事情，从而得出全面的、客观的评估结果。人工评估是根据相关安全检查核对表内容，逐项检查系统的各项配置和运行状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、

18、以及专家的经验知识而制定，它主要包括有以下几个方面：安全配置检查：系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。安全机制检查：安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权及访问控制等。入侵追查及事后取证：检查与发现系统入侵，攻击或其它危害，尽可能追查及取证。例如日志被毁坏篡改或删除，数据被删除，遭受DOS攻击，系统被监听，控制或安装后门等。4.2.5服务流程4.3渗透测试服务4.3.1服务说明渗透测试也叫白客攻击测试，它是一种从攻击者的角度来对主机系统进行安全评估的手

19、段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能直观的反映出系统的安全现状，该手段也越来越受到国际/国内信息安全业界的认可和重视。4.3.2服务内容服务内容服务功能网站渗透性测试服务采用模拟黑客攻击的方式，远程检查用户的网站系统中存在的安全漏洞。为用户提供详尽的渗透测试结果报告，分析安全隐患、提供解决方案建议4.3.3可行性分析渗透测试原理：渗透测试主要依据已经发现的安全漏洞，模拟入侵者的攻击方法对系统和网络进行非破坏性质的攻击性测试。渗透测试的必要性：渗透测试利用安全扫描器和富有经验的安全工程师的人工经验对指定的服务器进行非破坏性质的模拟入侵攻击，

20、目的是侵入系统并获得渗透测试对象的最高权限。事后将入侵的详细过程和细节以报告的形式提交给用户。由此确定用户系统所存在的安全威胁。并能及时使安全管理员发现系统维护和管理中的不足，以降低安全风险。渗透测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。渗透测试的可行性：渗透测试主要针对系统主机进行，因此将占用主机系统及其所在的网络环境的部分资源。对于其他的资源没有特殊的要求。

21、在有周密计划、良好组织的前提下由有经验的专家来进行，不会对系统造成破坏。4.3.4服务实现及影响黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法，以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。由于采用可控制的、非破坏性质的渗透测试，因此不会对被评估的系统造成严重的影响。在渗透测试结束后，系统将基本保持一致。4.3.5服务流程4.4安全应急响应服务4.4.1服务说明天融信已经建设覆盖全国的基于互联网的安全应急响应服务支撑体系，对国家基础通信网络、重点行业应用、核心业务系统实时的安全态势分析和应急监控，在

22、遇到风险及时发出安全预警，保障重要信息网络业务系统稳定可靠的运行。4.4.2服务内容1.快速响应服务:设立7*24小时技术支持热线，保证客户在应急情况的响应。技术支持热线电话100%以上的呼叫等待时间小于1分钟，确保在5分钟内对甲方的问题进行反馈， 30分钟内回复。当发生重大安全事件时，提供现场服务和应急处理，保证其安全服务人员在接到故障申告后，30分钟内完成故障原因初判，90分钟内到达北京指定现场。必要时将提供解决故障和应急恢复业务所需要的安全硬件设备和软件工具，协助客户紧急恢复业务运行。2.判定安全事件类型从网络流量、系统和IDS日志记录、桌面日志中判断安全事件类型。查明安全事件原因，确定

23、安全事件的威胁和破坏的严重程度。查明安全事件原因，确定安全事件的威胁和破坏的严重程度。3.抑制事态发展抑制事态发展是为了将事故的损害降低到最小化。在这一步中，通常会将受影响系统和服务隔离。这一点对保持系统的可用性是非常重要的。4.排除系统故障针对发现的安全事件来源，排除潜在的隐患，消除安全威胁，彻底解决安全问题。5.恢复信息系统正常操作在根除问题后，将已经被攻击设备或由于事故造成的系统损坏做恢复性工作，使网络系统能在尽可能短的时间内恢复正常的网络服务。6.重新评估客户信息系统的安全性能重新评价客户系统的安全特性，确保在一定的时间范围内，不发生同类的安全事件。4.4.3服务级别服务级别时间范围能

24、力范围Level 1受理时间为工作日8小时（上午9:30-下午17:30）服务受理后工程人员按照合同级别要求，4小时时限内到达用户现场协助处理问题。Level 2受理时间为工作日8小时（上午9:30-下午17:30）服务受理后工程人员按照合同级别要求，2小时时限内到达用户现场协助处理问题。Level 3受理时间为自然日24小时（24*7*365含法定节假日）服务受理后工程人员按照合同级别要求，4小时时限内到达用户现场协助处理问题。Level 4受理时间为自然日24小时（24*7*365含法定节假日）服务受理后工程人员按照合同级别要求，2小时时限内到达用户现场协助处理问题。4.4.4服务流程5网络安全专家服务客户价值提高安全运维水平，降低安全风险采用最新的安全策略，及时发现和解决安全问题得到专业的安全趋势分析与建议，做到安全工作有的放矢人尽其能，物尽其用，提升投资价值，降低投资风险对日志信息进行存储和备份，使安全事件有据可查获得有针对性的各类安全分析报告，把握安全形势、防患于未然！ 安全监控分析报表安全扫描分析报告安全巡检总结报告安全事件分析报告安全事件预警报告重要时期安全分析报告