安全運維服務規范及流程

ANYUNTECANYUNTECTITLEXXX安全運維服務規范及流程目錄XXX安全運維服務規范及流程 1一.概述 11.1目的 11.2范圍 11.3原則 11.4參考標準 1二.運維服務流程 32.1總體流程 32.1.1準備階段 32.1.2實施階段 42.1.3監視評審階段 52.1.4持續改進階段 52.2各階段輸入輸出 52.3各分項流程 72.3.1風險評估流程 72.3.2漏洞掃描流程 82.3.3配置核查流程 82.3.4滲透測試流程 92.3.5網絡架構分析流程 92.3.6安全加固流程 102.3.7代碼審計流程 112.3.8業務上線前檢查流程 122.3.9應急演練流程 13三.運維服務內容介紹 143.1網站類 143.1.1檢測 143.1.2防護 143.1.3監測 153.2互聯網類 163.2.1安全預警 163.2.2安全監測 163.2.3安全云防護 173.2.4互聯網漏洞掃描 173.2.5滲透測試 183.2.6互聯網應急響應 183.3內網類 193.3.1系統調研 193.3.2漏洞掃描 193.3.3配置核查 213.3.4滲透測試 233.3.5網絡架構分析 233.3.6安全加固 233.3.7駐場運維 243.3.8安全巡檢 243.3.9安全通過和安全預警 25PAGE概述目的為規范公司的安全運維工作，保障項目實施質量，特制定本文檔。范圍本文檔提出了安全運維的規范、流程；適用于規范公司開展的安全運維工作。原則標準性原則整個服務過程遵循國際和國內的多項標準，包括ISO27001、ISO13335、ISO15408/GB18336、SSE-CMM、SP800-30、PMI項目管理規范、《信息安全等級保護管理辦法》等。可控性原則進行項目實施時，XXX將從用戶信譽、成功經驗、人員水平、工具可控性、項目過程可控性多個角度保證整個項目過程和結果的可控性。整體性原則項目實施中，XXX將從國際標準、行業規范、需求分析和我們長期的實施經驗等多個角度保證評估的整體全面性，包括安全涉及的各個層面，避免遺漏。最小影響原則XXX會從項目管理層面、測試工具層面、技術層面進行嚴格把控，將可能出現的影響降低到最低限度。保密性原則此次安全服務項目的所有項目組成員，都必須和客戶簽署相關的保密協議和非侵害協議。參考標準GB/T20269-2006信息安全技術信息系統安全管理要求；GB/T20271-2006信息安全技術信息系統通用安全技術要求；GB/T20270-2006信息安全技術網絡基礎安全技術要求；GB/T20272-2006信息安全技術操作系統安全技術要求；GB/T20273-2006信息安全技術數據庫管理系統安全技術要求；GB/T20282-2006信息安全技術信息系統安全工程管理要求；GB/T21082-2007信息安全技術服務器安全技術要求；GB/T20984-2007信息安全技術信息安全風險評估規范；CC–ISO15408和GB/T18336信息技術安全性評估準則；ISO/IEC27002《信息技術—安全技術—信息安全管理實施指南》；ISO/IEC27001:2005《信息技術—安全技術—信息安全管理體系要求》；ISO15408（CC）《信息技術—安全技術—IT安全評估準則》；ISO13335《IT安全管理方針》；GAO/AIMD-00-33《信息安全風險評估》；GB17859《計算機信息系統安全保護等級劃分準則》；AS/NZS4360:2004《風險管理標準》；GB/T20984-2007信息安全技術信息安全風險評估規范；GB/T21052-2007信息安全技術信息系統物理安全技術要求；運維服務流程總體流程準備階段需求調研與分析采集客戶對信息系統運維服務時間的需求。進行信息系統運維預算，定義運維服務。與客戶進行溝通，達成共識并形成記錄。運維服務設計制定安全運維服務目錄，包括但不限于：初始服務、安全設備運維、日常巡檢服務、健康檢查、安全事件審計。對信息系統相關的IT資產進行識別。對安全設備進行日常維護及監控，并記錄硬件故障。提供安全設備、業務系統的健康檢查服務，并約定服務方式、檢查頻次和檢查內容。采集系統配置、流量信息、系統狀態等安全信息。收集與分析網絡及安全設備、服務器、操作系統、網絡應用的日志。運維服務導入收集與建立配置管理數據庫，確保配置項目的機密性、完整性、可用性。專業人員負責安全管理的接口。建立服務目錄。建立事件響應和解決的機制，有基本的安全運維報告模式。明確服務協議特殊要求明確安全事件處理與應急響應流程，包括但不限于：安全事件的分類、安全事件上報流程、安全事件處理流程、安全事件的事后處理。明確安全運維方式，包括但不限于：駐場值守方式，定期巡檢方式，遠程值守方式。實施階段實施初始服務：完成資產識別，定期配置項的更新和維護，實施相關運維流程。實施安全設備運維服務：完成日常維護，狀態檢查，定期查殺，故障處理、保養、更新、升級、故障檢測及排除，并對安全設備出現的硬件故障進行統計記錄。實施日常巡檢服務：完成安全設備監控；病毒監測、查殺及網絡防病毒維護，并有相關記錄。實施健康檢查服務：完成安全設備、業務系統的健康檢查服務。實施安全事件審計服務：完成網絡及安全設備日志、服務器、操作系統、網絡應用的日志、并且進行記錄。組建運維服務臺職能，培養服務臺人員的專業能力。建立事件管理程序和信息安全服務請求管理程序。監視評審階段應定期收集與分析安全運維報告的數據，包括但不限于：異常報告及時率、異常漏報率、維護作業計劃的及時完成率、故障隱患發現率、異常主動發現率、問題解決率、漏洞掃描覆蓋率、加固設備覆蓋率安全補丁安裝及時率、安全事件次數。對運維實現情況進行監視測量，未能實現的目標應采取糾正預防措施。建立與分析客戶滿意度調查。持續改進階段應在運維過程和監視過程中識別改進項目，制定持續改進計劃，包括但不限于對改進機會的評估標準。應有文件化的程序，用以識別、記錄、批準、評估、測量和報告改進措施。應采取預防措施，以消除潛在的不符合項的原因，以防止其發生。各階段輸入輸出各階段輸入輸出職責準備階段項目合同需求調研報告調研人員與客戶充分溝通，確定客戶對運維服務的時間要求，確認重點服務內容，確認客戶安全運維服務現狀，明確服務頻次等關鍵信息。實施階段項目合同需求調研報告實施方案保密協議根據項目合同、需求調研報告，編制詳細的實施方案，包括時間進度、項目組人員、溝通計劃等，方案經過用戶最終確認實施方案項目啟動會ppt根據最終的實施方案，編制項目啟動會ppt，召集相關人員參與，落實實施方案，明確各階段目標及需要用戶配合的人員客戶已有的資產表資產調研表調研收集客戶現有的資產表，并通過資產存活發現，結合實地勘查，編寫信息系統資產表，包括IP段、網絡設備、安全設備、服務器等客戶已有的網絡拓撲網絡拓撲圖調研收集客戶現有的網絡拓撲，并通過訪談、實地勘查的方式，繪制詳細的網絡拓撲圖實施方案漏洞掃描報告對用戶信息系統進行漏洞掃描，并編寫漏洞掃描報告及加固建議配置核查報告對用戶系統進行配置核查，編寫配置核查報告及加固建議日志審計報告對用戶相關的安全設備進行日志審計，并編寫日志審計報告工作周報每周編寫本周的工作周報，內部包括本周運維服務的所有內容，包括漏洞掃描、安全加固、巡檢等日常設備巡檢報告包括設備的運行狀態，補丁策略更新等安全事件統計報告記錄安全事件發生的次數，并提供事件發生的原因及分析記錄項目合同驗收報告根據項目合同，編寫驗收報告監視評審階段運維報告運維月報漏洞掃描覆蓋率、加固設備覆蓋率安全補丁安裝及時率、安全事件次數持續改進階段已有運維資料改進計劃根據已有的運維資料，結合實際項目中的使用情況，提出改進計劃各分項流程風險評估流程漏洞掃描流程配置核查流程滲透測試流程網絡架構分析流程安全加固流程代碼審計流程業務上線前檢查流程應急演練流程運維服務內容介紹網站類檢測XXX互聯網漏洞掃描服務為客戶提供專業的Web網站、Web應用、網絡設備、操作系統、數據庫、常見服務器等范圍的深度掃描。按照國際通用的CVSS漏洞評分標準，將掃描對象的結果按照不同風險等級劃分，將客戶的Web網站、業務系統存在的安全問題暴露出來，并提供每條漏洞的整改建議。防護XXX網站云防護服務以大數據為基礎，基于安全自愈架構，在互聯網上搭建人工智能云防御平臺，可以為安全基礎為0的web系統提供百分百的安全防御支持。利用全網平臺的高性能集群清洗設備，可以抵御幾百G的大規模DDoS攻擊。同時，在特殊時期，網站云防護服務可以保障客戶網站永久在線，即使本地服務器發生宕機，也不影響正常訪問。監測XXXWeb安全監測服務可以為客戶的Web網站、業務系統提供7*24小時的安全掃描和監測服務。Web安全監測服務將網站可用性、脆弱性、暗鏈、掛馬、篡改、DDos攻擊等多項監控內容融為一體，不間斷的進行監測，真正確保將風險拒于門外。服務類別服務介紹服務內容監測服務可用性檢測提供該站的站點可用性監測，當有站點可用性事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。網站篡改監測提供對網頁文件的完整性檢測，當有頁面篡改事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。掛馬監測提供網站是否存在被黑客植入惡意代碼的檢測，當有掛馬事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。暗鏈監測提供網站是否存在未經用戶允許，非法掛載其他網站連接的檢測，當有暗鏈事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。應急響應提供web漏洞告警檢測，當檢測到有緊急漏洞出現時，在30分鐘之內，通過郵件、短信、電話通知用戶。互聯網類安全預警XXX安全預警采用公司自主研發的量安全平臺，可對網絡中的資產和存在的安全威脅進行檢查和管理的平臺，具備資產普查、漏洞檢查及風險預警的功能。平臺基于指紋識別技術，可對網絡設備、安全設備、服務器、操作系統、數據庫、中間件、工業控制設備等進行詳細的指紋識別，包括資產類型、廠家、版本、框架、組建、CMS等，做到全網資產準確識別定位，一旦有突發漏洞事件，可立即獲知漏洞影響范圍，并結合平臺自身的的漏洞掃描功能，對識別出的資產進行安全檢查，可獲得準確的漏洞檢測結果。安全監測XXXWeb安全監測服務可以為客戶的Web網站、業務系統提供7*24小時的安全掃描和監測服務。Web安全監測服務將網站可用性、脆弱性、暗鏈、掛馬、篡改、DDos攻擊等多項監控內容融為一體，不間斷的進行監測，真正確保將風險拒于門外。服務類別服務介紹服務內容監測服務可用性檢測提供該站的站點可用性監測，當有站點可用性事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。網站篡改監測提供對網頁文件的完整性檢測，當有頁面篡改事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。掛馬監測提供網站是否存在被黑客植入惡意代碼的檢測，當有掛馬事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。暗鏈監測提供網站是否存在未經用戶允許，非法掛載其他網站連接的檢測，當有暗鏈事件發生時，在30分鐘之內，通過郵件、短信、電話通知用戶。應急響應提供web漏洞告警檢測，當檢測到有緊急漏洞出現時，在30分鐘之內，通過郵件、短信、電話通知用戶。安全云防護XXX網站云防護服務以大數據為基礎，基于安全自愈架構，在互聯網上搭建人工智能云防御平臺，可以為安全基礎為0的web系統提供百分百的安全防御支持。利用全網平臺的高性能集群清洗設備，可以抵御幾百G的大規模DDoS攻擊。同時，在特殊時期，網站云防護服務可以保障客戶網站永久在線，即使本地服務器發生宕機，也不影響正常訪問。互聯網漏洞掃描XXX互聯網漏洞掃描服務的服務方式為遠程掃描，與客戶簽訂協議，客戶授權之后，XXX的專業安全工程師將對目標IP或域名進行掃描，掃描結果出來后再進行統一分析，出具相應的報告。滲透測試XXX人工滲透測試服務由專業的滲透測試人員依據流程，基于對攻擊者能力的全面了解，推演可能攻擊方式的威脅測試手段。注重對抗性，實現攻擊路徑的模擬、安全功能的測試。測試包括黑盒測試和白盒測試，是互聯網漏洞掃描服務的一種很好的補充，尤其彌補了漏洞掃描設備在業務邏輯漏洞探測方面的不足。互聯網應急響應應急響應是WEB安全防護的“最后一道防線”。發生安全事件不可怕，可怕的是出現事故之后響應不及時，事件持續發酵，進而一發不可收拾，造成惡劣的社會影響。因此，做好應急響應也是WEB安全防護重要的組成部分，沒有應急響應的安全工作是不完善的。XXX互聯網應急響應服務為客戶提供在Web網站、業務系統出現黑客入侵、信息竊取、拒絕服務攻擊、網絡流量異常等突發事件時的相應措施和行動。主要支持的安全事件類型為：網站頁面被篡改系統被安裝木馬敏感數據泄露大量賬號被盜取病毒蠕蟲傳播異常流量攻擊其他安全相關事件內網類系統調研系統調研是確定被評估對象的過程，風險評估小組應進行充分的系統調研，為風險評估依據和方法的選擇、評估內容的實施奠定基礎。調研內容主要內容有：業務戰略及管理制度主要的業務系統網絡拓撲邊界訪問控制；IP地址規劃，網絡設備、安全設備等軟硬件信息相關人員（甲乙雙方及第三方人員）；其他。系統調研可以采取問卷調查、現場面談、設備資產存活探測相結合的方式進行。調查問卷是提供一套關于管理或操作控制的問題表格，供系統技術或管理人員填寫；現場面談則是由評估人員到現場觀察并收集系統在物理、環境和操作方面的信息；設備資產存活探測則是通過漏洞掃描、NMAP等工具做存活發現和端口探測。漏洞掃描安全漏洞(securityhole)漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。是受限制的計算機、組件、應用程序或其他聯機資源的無意中留下的不受保護的入口點。安全漏洞掃描會對信息系統內的網絡設備、操作系統、應用軟件、中間件和服務等進行安全漏洞識別，詳細內容如下：網絡層漏洞識別版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在線網絡設備及安全設備。開放服務，包括但不限于路由器開放的Web管理界面、其他管理方式等。空弱口令，例如空/弱telnet口令、snmp口令等。網絡資源的訪問控制：檢測到無線訪問點，……域名系統：ISCBINDSIG資源記錄無效過期時間拒絕服務攻擊漏洞，MicrosoftWindowsDNS拒絕服務攻擊，……路由器：CiscoIOSWeb配置接口安全認證可被繞過，Nortel交換機/路由器缺省口令漏洞，華為網絡設備沒有設置口令，…………操作系統層漏洞識別操作系統（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系統補丁、漏洞、病毒等各類異常缺陷，……空/弱口令系統帳戶檢測，例如：身份認證：通過telnet進行口令猜測，……訪問控制：注冊表HKEY_LOCAL_MACHINE普通用戶可寫，遠程主機允許匿名FTP登錄，ftp服務器存在匿名可寫目錄，……系統漏洞：SystemV系統Login遠程緩沖區溢出漏洞，MicrosoftWindowsLocator服務遠程緩沖區溢出漏洞，……安全配置問題：部分SMB用戶存在薄弱口令，試圖使用rsh登錄進入遠程系統，…………應用層漏洞識別應用程序（包括但不限于數據庫Oracle、DB2、MSSQL，Web服務，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失補丁或版本漏洞檢測，……空弱口令應用帳戶檢測。數據庫軟件：Oracletnslsnr沒有設置口令，MicrosoftSQLServer2000Resolution服務多個安全漏洞，……Web服務器：ApacheMod_SSL/Apache-SSL遠程緩沖區溢出漏洞，MicrosoftIIS5.0.printerISAPI遠程緩沖區溢出，SunONE/iPlanetWeb服務程序分塊編碼傳輸漏洞，……電子郵件系統：Sendmail頭處理遠程溢出漏洞，MicrosoftWindows2000SMTP服務認證錯誤漏洞，……防火墻及應用網管系統：AxentRaptor防火墻拒絕服務漏洞，……其它網絡服務系統：WingatePOP3USER命令遠程溢出漏洞，Linux系統LPRng遠程格式化串漏洞，…………配置核查安全配置本服務提及的安全配置為操作系統（也包括：網絡設備和安全設備等）、數據庫、中間件、第三方應用和業務系統可更改的配置中與安全相關的配置；信息系統的網絡設備、主機、數據庫、中間件、應用軟件的安全策略是安全配置檢查的主要對象。安全策略的作用是為網絡和應用系統提供必要的保護，其安全性也必然關系到網絡和應用系統的安全性是否可用、可控和可信。通過安全配置檢查可以發現這些設備和安全系統是否存在以下問題：是否最優的劃分了VLAN和不同的網段，保證了每個用戶的最小權限原則；內外網之間、重要的網段之間是否進行了必要的隔離措施；路由器、交換機等網絡設備的配置是否最優，是否配置了安全參數；安全設備的接入方式是否正確，是否最大化的利用了其安全功能而又占系統資源最小，是否影響業務和系統的正常運行；主機服務器的安全配置策略是否嚴謹有效。是否配置最優，實現其最優功能和性能，保證網絡系統的正常運行；自身的保護機制是否實現；管理機制是否安全；為網絡提供的保護措施是否正常和正確；是否定期升級或更新；是否存在漏洞或后門。對信息系統的網絡設備和主機的安全性進行安全配置檢查內容主要包括以下內容：安全系統是否配置最優，實現其最優功能和性能，保證網絡系統的正常運行；安全系統自身的保護機制是否實現；安全系統的管理機制是否安全；安全系統為網絡提供的保護措施，且這些措施是否正常和正確；安全系統是否定期升級或更新；安全系統是否存在漏洞或后門。具體來說，操作系統的主機安全檢查的內容包括兩部分，一是信息搜集，二是配置檢查。針對Unix和Linux系統（AIX、HP-UX、Solaris、Redhat、Suse）檢查項包括：基本信息檢查系統版本、補丁檢查及漏洞檢查。用戶賬號及口令清查系統授權驗證日志檢查檢查用戶登錄日志設置、登錄失敗日志和各種操作日志。系統網絡應用配置檢查針對WindowsServer系統檢查項包括：系統基本信息操作系統版本補丁檢查、各分區文件格式檢查、自動更新檢查、系統時鐘檢查。用戶身份檢查用戶登錄和密碼檢查系統授權檢查日志檢查系統網絡應用配置檢查防火墻和防病毒軟件檢查針對數據庫的檢查項包括但不限于：基本信息檢查用戶身份驗證用戶登錄和密碼驗證系統授權驗證日志檢查針對Web服務器檢查項包括但不限于：基本信息檢查用戶身份驗證用戶登錄和密碼驗證日志檢查滲透測試XXX人工滲透測試服務由專業的滲透測試人員依據流程，基于對攻擊者能力的全面了解，推演可能攻擊方式的威脅測試手段。注重對抗性，實現攻擊路徑的模擬、安全功能的測試。測試包括黑盒測試和白盒測試，是互聯網漏洞掃描服務的一種很好的補充，尤其彌補了漏洞掃描設備在業務邏輯漏洞探測方面的不足。網絡架構分析網絡架構分析會對目標網絡的網絡現狀、網絡建設規范性、網絡可靠性、網絡邊界安全、網絡流量分析、網絡通信安全、網絡設備安全和網絡安全管理這八個方面進行網絡架構安全性的全面分析，對整體網絡中的脆弱點進行識別，評估結果包括定性和定量分析，讓用戶對網絡