安全运维服务方案适用于公有云环境v21010.docx
《安全运维服务方案适用于公有云环境v21010.docx》由会员分享,可在线阅读,更多相关《安全运维服务方案适用于公有云环境v21010.docx(50页珍藏版)》请在冰点文库上搜索。
安全运维服务方案适用于公有云环境v21010
xx公司
网络安全运维服务方案
xx技术有限公司
时间:
2020年10月
一、项目概述
1.1项目背景
安全运维服务是信息系统安全体系中不可或缺的一部分,是整个IT环境成熟度的一个衡量指标,完整的安全运维服务不仅能帮助单位解决现有的安全问题,还能够帮助他们预计未来的趋势,规划系统安全的长期发展。
为响应国家网络安全等级保护的要求和2017年6月1日,《中华人民共和国网络安全法》正式实行,其中第二十一条:
国家实行网络安全等级保护制度。
网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者XX的访问,防止网络数据泄露或者被窃取、篡改,全面的了解自身信息安全隐患,从物理、网络、主机、应用、数据及管理各个层面分析系统可能存在的风险,判断系统所面临的安全威胁,加强信息系统的安全保障工作。
1.2项目现状
xx公司在应用系统建设之初,已参照网络安全“三同步”原则(同步规划、同步建设、同步使用)进行了规划,基本能确保整体具有支持业务稳定、持续安全运行的安全能力。
本次新建平台的应用系统包含A、B、C、财务、D五大业务系统。
建设完成后应由xx公司网络技术部员工自行提供安全运维和维护。
按照等保2.0的要求,xx公司在人员配备、专业技术能力方面尚存在一定的差距。
门户网站、微信公众号等互联网开放应用的陆续上线运行,以及后期业务应用的互联化,更是给网络安全保障工作带来了更大压力。
鉴于xx公司网络技术部人员配备和网络安全运维能力有限,暂时无法满足新时代网络安全的要求,故需要将网络安全运维工作委托于专业的网络安全服务机构,以此实现xx公司系统安全、数据安全和信息安全。
同时在实践中提高xx公司网络安全岗位员工的技术能力和安全意识。
1.3项目目标
依托安全服务机构所提供的专业化网络安全服务,建立和完善网络安全保障体系,增强信息化建设的安全防护能力、隐患检测能力和恢复能力,并确保信息化安全建设满足国家及行业相关政策要求,满足“事前可预防、事中可控制、事后可恢复”的网络安全保障需求,打造一个可信、可管、可控、可视的环境,确保重要信息系统、业务应用持续安全稳定运行,为xx公司业务的高效、顺利开展提供有力支撑。
二、需求分析
1.安全服务机构需向xx公司提供全面的安全咨询服务,安全咨询服务内容如下:
Ø提供日常安全问题咨询。
Ø提供网络安全规划咨询服务,通过梳理现状,并结合当前网络信息安全态势、国家网络信息安全相关政策以及未来发展方向,协助制定提供网络安全远景规划,为未来网络信息安全工作开展提供有力指导与支撑。
Ø提供安全管理体系咨询服务,全面梳理现有网络安全管理制度,形成网络安全制度废改立清单,全面完善单位安全管理制度,细化各项操作流程、规范、表单。
Ø提供等级保护咨询服务,深化网络安全等级保护工作,对等级保护各个阶段的工作重点提供全方位的支持和服务,协助完成定级备案、差距分析、安全整改等工作。
2.安全服务机构需对xx公司本次新建A、B、C、财务、D五大业务系统提供渗透测试服务、漏洞修复服务、安全加固服务。
3.安全服务机构需向xx公司提供日常的安全运维服务,日常安全运维服务内容如下:
Ø对云端服务器提供持续远程安全监测服务(7*24H),云端远程值守人员对服务器安全日志、流量进行综合分析,通过值守安全专家主动的识别主机中的安全威胁,进行主动响应和及时处置安全事件。
Ø提供应急响应服务,面向已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。
Ø提供安全培训服务,针对人员的安全意识进行培训,保证人员具有与其岗位职责相适应安全意识。
Ø提供安全巡检服务,对安全设施、服务器、操作系统、应用系统进行周期性的状态检查、日志分析、漏洞扫描等工作,周期性开展安全审计,落实补丁、漏洞修复情况等。
Ø提供新系统上线前安全评估服务,针对新信息系统进行上线和重要调整前开展安全评估服务,确保信息系统上线时不存在已知漏洞和高危风险。
Ø提供重保安全服务,在每季度末或重要保障时期,对互联网提供服务的网站或业务系统,进行7*24小时本地值守安全保障,本地值守安全保障的工作,包括安全监控、安全巡检、安全日志分析、应急响应、安全阻断等工作内容。
Ø提供安全知识库服务,根据服务期内的事件响应、漏洞遏制和安全案例、安全配置等报告编写内部安全文档,保存为xx公司内部安全知识库。
Ø提供应急预案及应急演练服务,参照《网络安全法》和《网络安全事件应急演练指南》制定符合当前实际需求的应急预案,并派安服工程师协助进行演练;演练完成后出具应急演练报告。
三、安全运维方案设计
3.1安全咨询服务
3.1.1日常安全问题咨询服务
服务内容
结合本单位的实际需求,参考国内外安全标准,提供日常安全咨询服务,主要包括大的网络安全规划、安全决策、安全事件处理等。
提供完整全面的处理方案,要求方案具有可操作性、能够指导采购人进行事件处理和应对。
服务频率
服务期内按需提供,不限制次数。
服务范围
xx公司
交付成果
《日常安全问题咨询反馈记录》
3.1.2网络安全规划服务
服务内容
结合采购人的实际需求,参考国内外安全标准和国内新技术研究(如等保2.0、关键信息基础设施保护条例、云计算、大数据、物联网、移动安全),对采购人网络安全方案设计,网络安全建设,包括网络安全结构设计、系统安全设计、其他网络安全方案设计,提供网络安全远景规划设计,为未来网络信息安全工作开展提供有力指导与支撑。
服务频率
服务期内按需提供,不限制次数。
服务范围
xx公司
交付成果
《安全远景规划建议书》
3.1.3网络安全管理体系建设咨询服务
服务内容
以网络安全等级保护制度与《中华人民共和国网络安全法》要求为依据,结合本单位自身管理要求,对本单位现有的安全管理制度进行梳理,形成网络安全制度废改立清单,全面完善单位安全管理制度,细化各项操作流程、规范、表单。
安全管理制度是安全管理体系的核心,依据国家等级保护政策的要求,分五个步骤(落实安全责任、管理现状分析、制定安全策略和制度、落实安全管理措施、安全自检与调整)落实安全管理制度。
落实信息安全责任制
明确领导机构和责任部门,包括设立或明确信息安全领导机构,明确主管领导,落实责任部门。
建立岗位和人员管理制度,根据责任分工,分别设置安全管理机构和岗位,明确每个岗位的责任和任务,落实安全管理责任制。
信息系统安全管理现状分析
通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。
依据等级保护基本要求的标准,采取对照检查、风险评估、等级测评等方法,分析判断目前采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的时间或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求并论证。
制定安全管理策略和制度
根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度,明确人员录用、离岗、考核、培训等管理内容;制定系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;制定系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、应急预案等管理内容;制度定期检查制度,明确检查内容、方法、要求等,检查各项制度、措施的落实情况,并不断完善。
规范安全管理人员或操作人员的操作规程等,形成安全管理制度体系。
安全管理制度体系组成
安全管理制度体系
安全管理方针和安全策略
面向中高层管理层
各类安全管理制度
面向安全管理人员
各类安全操作规程
面向安全技术人员
各类操作记录表格
面向一线运维人员
落实安全管理措施
人员安全管理:
包括人员录入、离岗、考核、教育培训等内容。
规范人员录用、离岗、过程、关键岗位签署保密协议;对各类人员进行安全意识教育、岗位技能培训;对关键岗位进行全面的严格的审查和技能考核;对外部人员允许访问的区域、系统、设备、信息等进行控制。
系统运维管理:
落实环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、时间处置与应急响应、灾难备份、实时监测、其他安全管理
系统建设管理:
系统建设管理的重点是与系统建设活动相关的过程管理。
由于主要的建设活动是由服务方(如集成方、开发方、测评方、安全服务方)完成的,运营使用单位人员的主要工作是对其进行管理,应此,应制定系统建设相关的管理制度。
安全自查与调整
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况并不断完善。
信息系统安全管理建设工作流程
编号
流程
1
明确主管领导、落实责任部门
2
落实安全岗位和人员
3
信息系统安全管理现状分析
4
确定安全管理策略和安全管理制度
5
落实安全管理措施
6
人员安全管理
系统运维管理
系统建设管理
环境和资产管理
事件处理和应急响应
设备和介质管理
灾难备份
日常运行维护
安全监测
集中安全管理
其他
安全运维管理
7
安全自查和调整
服务频率
一次
服务范围
xx公司
交付成果
《安全管理制度汇编》(至少含信息安全方针、信息安全组织、安全管理机构、信息安全策略、人员安全管理、系统安全建设、系统运维管理)
3.1.4等级保护咨询服务
服务内容
深化网络安全等级保护工作,基于对网络安全的深刻理解,在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系,对等级保护各个阶段的工作重点为客户提供全方位的支持和服务,协助完成定级备案、差距分析、安全整改或安全建议和协助厂家等保测评工作。
服务频率
服务期内提供至少1次等级保护咨询服务
服务范围
xx公司网络安全等级保护定级系统
交付成果
《网络系统等级保护咨询记录及整改工作报告》
3.2渗透测试及修复服务
3.2.1渗透测试服务
服务内容
针对渗透测试服务范围,并结合等级保护合规性测评等各项检查工作的成果,采用外部渗透方式及内部渗透方式对应用系统进行非破坏性质的模拟入侵者攻击的测试,检测外部威胁源和路径,以便掌握系统的安全状况,寻找系统存在的漏洞和风险;并出具渗透测试报告;
测试方法
渗透测试完全模拟黑客的入侵思路与技术手段,黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。
以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。
针对各应用系统的渗透测试方法包括以下方法但不局限于以下方法:
测试方法
描述
信息收集
信息收集是渗透攻击的前提,通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。
信息收集的方法包括端口扫描、操作系统指纹判别、应用判别、账号扫描、配置判别等。
端口扫描
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。
通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
口令猜测
本阶段将对暴露在公网的所有登陆口进行口令猜解的测试,找出各个系统可能存在的弱口令或易被猜解的口令。
猜解成功后将继续对系统进行渗透测试,挖掘嵌套在登录口背后的漏洞、寻找新的突破口以及可能泄漏的敏感信息,并评估相应的危害性。
猜解的对象包括:
WEB登录口、FTP端口、数据库端口、远程管理端口等。
远程溢出
这是当前出现的频率最高、威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。
对于在防火墙内的系统存在同样的风险,只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。
本地溢出
本地溢出是指在拥有了一个普通用户的账号之后,通过一段特殊的指令代码获得管理员权限的方法。
使用本地溢出的前提是首先要获得一个普通用户的密码。
也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。
多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击,就能获取不进行主动安全防御的系统的控制管理权限。
脚本测试
脚本测试专门针对Web服务器进行。
根据最新的技术统计,脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。
利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。
因此对于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。
权限获取
通过初步信息收集分析,存在两种可能性,一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有远程重大的安全弱点,但是可以获得普通用户权限,这时可以通过该普通用户权限进一步收集目标系统信息。
接下来尽最大努力取得超级用户权限、收集目标主机资料信息,寻求本地权限提升的机会。
这样不停的进行信息收集分析、权限提升的结果形成了整个的渗透测试过程。
测试内容
本项目渗透测试包括但不限于以下内容:
测试大类
测试项
测试目的
身份验证类
用户注册
检查用户注册功能可能涉及的安全问题
用户登录
检查用户登录功能可能涉及的安全问题
修改密码
检查用户修改密码功能可能涉及的安全问题
密码重置
检查忘记密码、找回密码、密码重置功能可能涉及的安全问题
验证码绕过
检测验证码机制是否合理,是否可以被绕过
用户锁定功能
测试用户锁定功能相关的安全问题
会话管理类
Cookie重放攻击
检测目标系统是否仅依靠cookie来确认会话身份,从而易受到cookie回放攻击
会话令牌分析
Cookie具有明显含义,或可被预测、可逆向,可被攻击者分析出cookie结构
会话令牌泄露
测试会话令牌是否存在泄露的可能
会话固定攻击
测试目标系统是否存在固定会话的缺陷
跨站请求伪造
检测目标系统是否存在CSRF漏洞
访问控制类
功能滥用
测试目标系统是否由于设计不当,导致合法功能非法利用
垂直权限提升
测试可能出现垂直权限提升的情况
水平权限提升
测试可能出现水平权限提升的情况
输入处理类
SQL注入
检测目标系统是否存在SQL注入漏洞
文件上传
检测目标系统的文件上传功能是否存在缺陷,导致可以上传非预期类型和内容的文件
任意文件下载
检测目标系统加载/下载文件功能是否可以造成任意文件下载问题
XML注入
测试目标系统-是否存在XML注入漏洞
目录穿越
测试目标系统是否存在目录穿越漏洞
SSRF
检测目标系统是否存在服务端跨站请求伪造漏洞
本地文件包含
测试目标站点是否存在LFI漏洞
远程文件包含
测试目标站点是否存在RFI漏洞
远程命令/代码执行
测试目标系统是否存在命令/代码注入漏洞
反射型跨站脚本
检测目标系统是否存在反射型跨站脚本漏洞
存储型跨站脚本
检测目标系统是否存在存储型跨站脚本漏洞
DOM-based跨站脚本
检测目标系统是否存在DOM-based跨站脚本漏洞
服务端URL重定向
检查目标系统是否存在服务端URL重定向漏洞
信息泄露类
errorcode
测试目标系统的错误处理能力,是否会输出详尽的错误信息
StackTraces
测试目标系统是否开启了StackTraces调试信息
敏感信息
尽量收集目标系统的敏感信息
第三方应用类
中间件
测试目标系统是否存在jboss、weblogic、tomcat等中间件
CMS
测试目标系统是否存在dedecms、phpcms等CMS
测试方式
透测试服务根据测试的位置不同可以分为现场测试和远程测试;根据测试的方法不同分为黑盒测试和白盒测试两类;
现场测试是指经过用户授权后,测试人员到达用户工作现场或接入用户工作内网,根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。
这种测试的好处就在于免去了测试人员从外部绕过防火墙、入侵保护等安全设备的工作。
一般用于检测内部威胁源和路径。
远程测试与现场测试相反,测试人员无需到达客户现场或接入用户内部网络,直接从互联网访问用户的某个接入到互联网的系统并进行测试即可。
这种测试往往是应用于那些关注门户站点和互联网应用的用户,主要用于检测外部威胁源和路径。
黑盒测试是指测试人员对除目标系统的IP或域名以外的信息一无所知的情况下对系统发起的测试工作,这种方式可以较好的模拟黑客行为,了解外部恶意用户可能对系统带来的威胁。
白盒测试则是指测试人员通过用户授权获取了部分信息的情况下进行的测试,如:
目标系统的帐号、配置甚至源代码。
这种情况用户模拟并检测内部的恶意用户可能为系统带来的威胁。
测试流程
服务基本要求
服务商需具有中国网络安全审查技术与认证中心颁发的《信息安全风险评估服务资质》
服务商需具有ISO9001、ISO27000质量管理体系认证证书
服务商提供的渗透测试人员中必须具备类似安全服务项目经验,且同时具有中国信息安全测评中心颁发的CISP-PTE资质证书。
服务频率
服务期内每季度一次
服务范围
xx公司A、B、C、财务、D五大业务系统
交付成果
《渗透测试报告》、《渗透测试复测报告》
3.2.2漏洞修复服务
服务内容
提供漏洞修复服务;依据渗透测试的结果,对发现的应用系统和应用系统承载设施存在的安全风险给出修复建议或协助修复。
服务频率
服务期内每季度一次
服务范围
xx公司A、B、C、财务、D五大业务系统
交付成果
《漏洞修复报告》
3.2.3基线加固服务
服务内容
安全加固服务,是指根据安全加固列表,对目标系统的安全漏洞对进行修复、配置隐患进行优化的过程。
加固内容包括但不限于系统补丁、防火墙、防病毒、危险服务、共享、自动播放、密码安全。
针对范围内主机提供基线安全加固服务,遵循基线安全加固技术标准对授权的设备进行基线安全加固。
使服务器具有基本的安全防护能力,能抵御对操作系统的直接攻击,能在发生攻击时限制影响范围。
基线加固内容
安全加固的操作系统包括Windows、Linux、AIX、HP-Unix、Solaris。
操作系统的加固内容如下表所示:
ØWindows基线安全加固标准:
控制点
1:
应对登录操作系统和数据库系统的用户进行身份标识和鉴别;
目的
防止未授权访问
加固检查
查看登录是否需要密码
加固标准
数据库使用口令鉴别机制对用户进行身份标识和鉴别;
登录时提示输入用户名和口令,以错误口令或空口令登录时提示登录失败,验证了登录控制功能的有效性。
控制点
2:
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换;
目的
防止弱口令
加固检查
查看安全策略是否启用
密码复杂性策略
密码最小长度
密码最短使用期限
密码最长使用期限
强制密码历史
加固标准
启用密码复杂性策略
密码最小长度为8位
密码最短使用期限0天
密码最长使用期限90天
强制记住密码历史0个
控制点
3:
启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
目的
防止恶意猜解账户口令
加固检查
查看安全策略是否启用
账户锁定时间
账户锁定阈值
重置账户锁定计数器
加固标准
账户锁定时间30分钟
账户锁定阈值5次无效登陆
重置账户锁定计数器30分钟之后
控制点
4:
对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
目的
RDP加密传输,防止身份鉴别信息在传输过程中泄露
加固检查
点击[开始]->[运行]输入:
gpedit.msc,点击[计算机配置]->[管理模板]->[Windows组件]->[远程桌面服务]->[远程桌面会话主机]->[安全],双击[远程(rdp)连接要求使用指定的安全层],选择已启用,安全层选择SSL(TLS1.0),点击确定;双击[设置客户端连接加密级别],选择[已启用],加密级别为[高级别],点击确定。
加固标准
安全层使用ssL加密,加密级别为高级别
控制点
5:
应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性;
目的
防止账户滥用
加固检查
依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户];查看用户列表,询问每个账户的使用情况。
加固标准
无多人共用同一个账号的情况。
控制点
6:
系统敏感资源访问控制
目的
限制系统敏感资源的访问权限
加固检查
1)文件权限:
a)右键点击[开始],打开[资源管理器(X)],[工具]->[文件夹选项]->[查看]中的“使用简单文件共享(推荐)”是否选中;
b)右键单击下面两个文件夹的[属性]->[安全],查看users的权限。
2)用户权限:
a)[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[组]
b)双击“名称”列中Administrators用户,查看成员。
加固标准
未选中“使用简单文件共享(推荐)”选项。
programfiles文件夹的users权限只允许“读取和运行”、“列出文件夹目录”、“读取”三种权限;
普通用户、应用账户等非管理员账户不属于管理员组。
控制点
7:
重命名系统默认账户,修改默认口令
目的
防止恶意攻击者通过默认账户口令进行系统
加固检查
依次点击[控制面板]->[用户账户]->[更改账户类型]->[选择更改的账号],此时选择一个需要更改的账户,继续选择[更改账户名称],重新输入账户名称,选择[更改密码],重新输入一次密码。
加固标准
不存在默认账户名,无默认口令
控制点
8:
删除多余的、过期的账户
目的
防止多余过期的账户被利用
加固检查
"依次展开[开始]->([控制面板]->)[管理工具]->[计算机管理]->[本地用户和组]->[用户],查看是否存在过期账户;)依据用户账户列表询问主机管理员,每个账户是否为合法用户;
依据用户账户列表询问主机管理员,是否存在多人共用的账户。
"
加固标准
无多余的、过期的账户
控制点
9:
端口限制
目的
限制常见危险端口的访问权限
加固检查
彻底关闭137、138、139端口:
进入[控制面板]->[网络和共享中心]->[本地连接]-[属性]->[internet协议版本4]->[高级]->[Wins]->[禁用TCP/IP上的NETBIOS]点击确定,回到本地连接属性中,不选中[Microsoft网络的文件和打印机共享]点击确定。
关闭135、445端口:
点击[开始]->[运行]输入dcomcnfg,打开[组件服务]->[计算机]->[我的电脑]右键属性,点击默认属性,把[在此计算机上启用分布式com]前面的勾去掉,返回到[默认协议],移除[面向连接的TCP/IP协议],点击确定。
重新[开始]->[运行]输入regedit,进入注册表,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc,右键Rpc-新建-项,改为internet。
关闭445:
开始-运行,输入:
regedit,定位到HKEY_LOCAL_MACHINE\SYST
升级会员 