安全运维实施方案.docx
《安全运维实施方案.docx》由会员分享,可在线阅读,更多相关《安全运维实施方案.docx(39页珍藏版)》请在冰点文库上搜索。
安全运维实施方案
第1章、安全运维实施方案
1.1安全运维的重要性
随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,占信息系统生命周期70%-80%的信息安全运维体系的建设已经越来越被广大用户重视。
尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。
运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为五个阶段:
混乱、被动、主动、服务和价值阶段。
1.在混乱阶段:
没有建立综合支持中心,没有用户通知机制;
2.在被动阶段:
是开始关注事件的发生和解决,关注信息资产,拥有了统一的运维控制台和故障记录和备份机制;
3.在主动阶段:
建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点;
4.在服务阶段,已经可以支持任务计划和服务级别管理;
5.在价值阶段,实现性能、安全和核心应用的紧密结合,体现价值之所在。
1.2安全运维的定义
通常安全运维包含两层含义:
1.是指在运维过程中对网络或系统发生病毒或黑客攻击等安全事件进行定位、防护、排除等运维动作,保障系统不受内、外界侵害。
2.对运维过程中发生的基础环境、网络、安全、主机、中间件、数据库乃至核心应用系统发生的影响其正常运行的事件(包含关联事件)通称为安全事件,而围绕安全事件、运维人员和信息资产,依据具体流程而展开监控、告警、响应、评估等运行维护活动,称为安全运维服务。
目前,大多数企业还停留在被动的、传统意义上的安全运维服务,这样安全运维服务存在以下弊端:
1.出现故障纵有众多单一的厂商管理工具,但无法迅速定位安全事件,忙于“救火”,却又不知火因何而“着”。
时时处于被动服务之中,无法提供量化的服务质量标准。
2.企业的信息系统管理仍在依靠各自的“业务骨干”支撑,缺少相应的流程和知识积累,过多依赖于人。
3.对安全事件缺少关联性分析和评估分析,并且没有对安全事件定义明确的处理流程,更多的是依靠人的经验和责任心,缺少必要的审核和工具的支撑。
正是因为目前运维服务中存在的弊端,深信通公司依靠长期从事应用平台信息系统运维服务的经验,同时结合信息安全保障体系建设中运维体系建设的要求,遵循ITIL(最佳实践指导)、ISO/IEC27000系列服务标准、以及《中国移动广东公司管理支撑系统SOA规范》等相关标准,建立了一整套完善和切实可行的信息安全运维服务管理的建设方案。
1.3深信通安全运维五大架构体系
1.3.1建立安全运维监控中心
基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测,以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行,深信通帮助用户建立全面覆盖信息系统的监测中心,并对各类事件做出快速、准确的定位和展现。
实现对信息系统运行动态的快速掌握,以及运行维护管理过程中的事前预警、事发时快速定位。
其主要包括:
1.集中监控:
采用开放的、遵循国际标准的、可扩展的架构,整合各类监控管理工具的监控信息,实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。
监控的主要内容包括:
基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等。
2.综合展现:
合理规划与布控,整合来自各种不同的监控管理工具和信息源,进行标准化、归一化的处理,并进行过滤和归并,实现集中、综合的展现。
3.快速定位和预警:
经过同构和归并的信息,将依据预先配置的规则、事件知识库、关联关系进行快速的故障定位,并根据预警条件进行预警。
1.3.2建立安全运维告警中心
基于规则配置和自动关联,实现对监控采集、同构、归并的信息的智能关联判别,并综合的展现信息系统中发生的预警和告警事件,帮助运维管理人员快速定位、排查问题所在。
同时,告警中心提供多种告警响应方式,内置与事件响应中心的工单和预案处理接口,可依据事件关联和响应规则的定义,触发相应的预案处理,实现运维管理过程中突发事件和问题处理的自动化和智能化。
其中只要包括:
事件基础库维护:
是事件知识库的基础定义,内置大量的标准事件,按事件类型进行合理划分和维护管理,可基于事件名称和事件描述信息进行归一化处理的配置,定义了多源、异构信息的同构规则和过滤规则。
智能关联分析:
借助基于规则的分析算法,对获取的各类信息进行分析,找到信息之间的逻辑关系,结合安全事件产生的网络环境、资产重要程度,对安全事件进行深度分析,消除安全事件的误报和重复报警。
综合查询和展现:
实现了多种视角的故障告警信息和业务预警信息的查询和集中展现。
告警响应和处理:
提供了事件生成、过滤、短信告警、邮件告警、自动派发工单、启动预案等多种响应方式,内置监控界面的图形化告警方式;提供了与事件响应中心的智能接口,可基于事件关联响应规则自动生成工单并触发相应的预案工作流进行处理。
1.3.3建立安全运维事件响应中心
借鉴并融合了ITIL(信息系统基础设施库)/ITSM(IT服务管理)的先进管理规范和最佳实践指南,借助工作流模型参考等标准,开发图形化、可配置的工作流程管理系统,将运维管理工作以任务和工作单传递的方式,通过科学的、符合用户运维管理规范的工作流程进行处置,在处理过程中实现电子化的自动流转,无需人工干预,缩短了流程周期,减少人工错误,并实现对事件、问题处理过程中的各个环节的追踪、监督和审计。
其中包括:
图形化的工作流建模工具:
实现预案建模的图形化管理,简单易用的预案流程的创建和维护,简洁的工作流仿真和验证。
可配置的预案流程:
所有运维管理流程均可由用户自行配置定义,即可实现ITIL/ITSM的主要运维管理流程,又可根据用户的实际管理要求和规范,配置个性化的任务、事件处理流程。
智能化的自动派单:
智能的规则匹配和处理,基于用户管理规范的自动处理,降低事件、任务发起到处理的延时,以及人工派发的误差。
全程的事件处理监控:
实现对事件响应处理全过程的跟踪记录和监控,根据ITIL管理建议和用户运维要求,对事件处理的响应时限和处理时限的监督和催办。
事件处理经验的积累:
实现对事件处理过程的备案和综合查询,帮助用户在处理事件时查找历史处理记录和流程,为运维管理工作积累经验。
1.3.4建立安全运维审核评估中心
该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。
其中包括:
评估:
遵循国际和工业标准及指南建立平台的运行质量评估框架,通过评估模型使用户了解运维需求、认知运行风险、采取相应的保护和控制,有效的保证信息系统的建设投入与运行风险的平衡,系统地保证信息化建设的投资效益,提高关键业务应用的连续性。
考核:
是为了在评价过程中避免主观臆断和片面随意性,应实现工作量、工作效率、处理考核、状态考核等功能。
审计:
是以跨平台多数据源信息安全审计为框架,以电子数据处理审计为基础的信息审计系统。
主要包括:
系统流程和输入输出数据以及数据接口的完整性、合规性、有效性、真实性审计。
1.3.5以信息资产管理为核心
IT资产管理是全面实现信息系统运行维护管理的基础,提供的丰富的IT资产信息属性维护和备案管理,以及对业务应用系统的备案和配置管理。
基于关键业务点配置关键业务的基础设施关联,通过资产对象信息配置丰富业务应用系统的运行维护内容,实现各类IT基础设施与用户关键业务的有机结合,以及全面的综合监控。
这其中包括:
综合运行态势:
是全面整合现有各类设备和系统的各类异构信息,包括网络设备、安全设备、应用系统和终端管理中各种事件,经过分析后的综合展现界面,注重对信息系统的运行状态、综合态势的宏观展示。
系统采集管理:
以信息系统内各种IT资源及各个核心业务系统的监控管理为主线,采集相关异构监控系统的信息,通过对不同来源的信息数据的整合、同构、规格化处理、规则匹配,生成面向运行维护管理的事件数据,实现信息的共享和标准化。
系统配置管理:
从系统容错、数据备份与恢复和运行监控三个方面着手建立自身的运行维护体系,采用平台监测器实时监测、运行检测工具主动检查相结合的方式,构建一个安全稳定的系统。
1.4安全管理原则
1.深信通负责业务支撑中心的安全、保密管理工作,遵守南方基地已有各项安全规定,以此为基础制定详细的《安全管理实施办法》,并采取适当措施保证有关措施的有效执行。
2.深信通定期检查安全、保密规定的执行情况;
3.深信通定期组织系统病毒检查,并对此负责;
4.深信通及时向信息技术中心反映存在的安全隐患。
1.5保密原则
1.深信通严格遵守南方基地各项安全保密制度,加强服务工程师的保密意识,制定有效的管
2.深信通整理措施和技术措施,防止重要数据、文件、资料的丢失及泄漏。
3.深信通有关计费清单、用户资料、业务数据、重要文件等均属机密,不得任意抄录、复制及带出机房,也不得转告与工作无关的人员。
4.机房内重要文件、数据的销毁,应全部送入碎纸机,不得任意丢弃。
5.安全保密工作深信通安排专人负责,定期向信息技术中心提交《安全工作报告》。
1.6硬件层安全运维
1.6.1机房安全运维
1.6.2基础网络安全运维
1.7人员管理安全运维
1.8应用层安全运维
1.对于南方基地管理支撑应用的帐户,必需遵循《南方基地管理支撑系统帐号密码管理办法(V2.0)》,并结合实际情况,补充并完善相关管理办法。
2.系统用户帐号原则上不允许存在共享帐号,所有帐号必须明确至个人;由于系统特殊原因必须使用共享帐号的情况下,系统必须制订对共享帐号的审核授权流程,明确共享帐号的有效期以及使用帐号人员资料。
3.用户帐号原则上采用用户中文名称的汉语拼音,当遇到用户的中文汉语拼音相同时,系统将为重复的帐号后加上顺序号,如此类推,如:
liming,liming2,liming3,liming5……顺序号将避开数字‘4’。
4.各系统用户数据属性应包括用户中文姓名和用户中文ID,原则上用户中文ID就是用户姓名,当不同用户具有相同中文名称时,系统除了按2、3的命名规范为其分配用户帐号外,用户中文ID后面加上与帐号一致的后缀。
而用户的中文名后面不加顺序号。
如:
5.公司
6.姓名
7.中文ID
8.帐号
9.邮件
10.省公司
11.李明
12.李明
13.liming
14.liming@
15.清远移动
16.黎明
17.黎明
18.liming2
19.liming2@
20.深圳公司
21.李明
22.李明3
23.liming3
24.liming3@
25.图1.8�1帐号说明
26.测试人员和代维人员帐号:
各系统测试人员和代维人员帐号原则上应以该系统的英文缩写作为前缀加上用户名称的汉语拼音生成。
27.各系统用户密码长度不得低于6位;不得采用弱密码(弱密码定义参见《南方基地管理支撑系统帐号密码管理办法》);最少每90天必须强制用户更改密码;并不得使用5次以内重复的密码;登录系统时,如重复尝试3次不成功,则系统暂停该帐号登录功能。
28.园区信息化系统安全体系
29.系统平台管理
30.检查点
31.检查要求
32.交付物
33.日常维护
34.核心系统及关键服务器定义
35.需对关键系统和服务器有清晰的定义(如DNS/DHCP、防病毒等影响全网层面的服务器、承载重要业务或包含敏感信息的系统等)
36.核心业务、关键服务器列表
37.应急与演练
38.园区信息化系统和关键服务器需有详尽故障应急预案
39.应急预案
40.应定期进行相关应急演练,并形成演练报告,保证每年所有的平台和关键服务器都至少进行一次演练
41.应急演练报告
42.根据应急演练结果更新应急预案,并保留更新记录,记录至少保留3年
43.应急预案更新记录,预案版本记录
44.备份管理
45.系统所涉及不同层面(如系统的重要性、操作系统/数据库)应当制定数据的备份恢复以及备份介质管理制度
46.备份管理制度,包括备份策略管理制度与备份介质管理制度
47.系统所涉及不同层面应根据业务要求制定数据的本地和异地备份(存放)策略
48.备份管理制度,包括备份策略管理制度与备份介质管理制度
49.相关人员对本地和异地备份策略的结果进行每季度审核
50.策略审核表,加入备份管理制度
51.备份的数据进行恢复性测试,确保数据的可用性,每年不少于一次
52.备份恢复应急演练记录
53.相关人员对备份介质的更换记录进行每半年审核
54.备份介质更换记录表,加入备份管理制度
55.相关人员对备份介质的销毁记录进行每半年审核
56.备份介质销毁记录表,加入备份管理制度
57.故障管理
58.各地市需制定相应的园区信息化系统及服务器故障处理流程
59.故障处理流程
60.系统中发现的异常情况由系统维护人员根据相关流程在规定时间内处理
61.故障处理流程
62.故障处理完成后必须留有相应的故障处理记录
63.故障处理报告
64.上线管理
65.为保障设备接入网络的安全性,设备上线前必须安装防病毒系统及更新操作系统补丁,并对设备进行进行安全扫描评估,针对安全漏洞进行安全加固
66.1、企业网接入管理办法
2、接入记录
67.为避免系统上线对其它系统和设备造成影响,发布前必须对系统应用站点、数据库、后台服务、网络端口进行安全评估。
系统投入正式运营前必须在测试环境中对系统进行模拟运行一周以上
68.1、应用系统接入申请流程
2、接入记录
69.系统上线之后如需对系统进行功能更新,必须由系统管理员或系统管理员指定专门维护人员进行更新操作,严格按照公司安全管理规范执行
70.1、应用系统更新申请流程
2、更新记录
71.Web应用应根据业务需求与安全设计原则进行安全编码,合理划分帐号权限,确保用户帐号密码安全,加强敏感数据安全保护,提供详细的日志
72.1、中国移动门户网站安全技术规范V1.0_20_1832_(全部合订)
2、根据规范对开发规范进行修正,用户名密码的管理要求、敏感数据的管理要求、系统日志的开发要求
3、现有应用的安全检查
73.漏洞与防病毒
74.定期进行服务器漏洞扫描,并根据漏洞扫描报告封堵高危漏洞,每季度至少对所有服务器扫描一次
75.扫描记录与扫描结果报告
76.需建立统一的WSUS服务器,并每季度对关键服务器进行高危漏洞升级,并留有升级记录
77.1、WSUS服务器中的关键更新的补丁清单,每个月1份
2、应用服务器端每次更新的补丁清单
78.任何终端必须安装正版防病毒软件,且保证90%以上病毒库最新(五日以内)
79.防病毒检查记录
80.每周检查防病毒软件隔离区,排除病毒威胁
81.防病毒检查记录
82.核心系统和关键服务器日志审计
83.在操作系统层、数据库层、应用层建立日志记录功能,日志记录中保存1年的内容,日志安全记录能够关联操作用户的身份
84.1、操作系统层日志策略
2、数据库日志策略
3、应用层日志要求加入开发规范中
85.操作系统日志中需记录“账户管理”“登录事件”“策略更改”“系统事件”等内容
86.操作系统层日志策略
87.操作行为记录需进行定期审计
88.
89.数据库层日志需记录每次数据库操作的内容
90.数据库日志策略
91.应用层日志需记录每次应用系统出错的信息
92.应用层日志要求加入开发规范中
93.检查关键错误日志、应用程序日志中的关键错误记录,保证日志审核正常
94.
95.关键访问与操作应立即启用日志记录功能,避免因日志记录不全,造成入侵后无法被追踪的问题
96.
97.信息发布管理
98.每天检查平台短信发送、接收的可用性
99.每天短信检查记录
100.短信必须设置关键字过滤,每个月进行关键字更新,并检查其有效性
101.短信关键字更新记录,有效性检查记录
102.信息防泄密
103.需对所有园区信息化系统、应用系统的核心信息进行清晰的界定,核心信息包括但不限于涉及客户资料、客户账户信息、客户密码、操作记录
104.应用系统-核心信息矩阵图
105.需对核心信息设定保密措施
106.应用系统核心信息管理制度
107.对核心信息的操作进行特殊监控,并留下记录
108.访问控制
109.账号密码管理
110.服务器上任何账号必须有审批人员审核确认
111.1、账号管理办法
2、账号申请表
112.所有系统和服务器上账号必须每季度进行审核
113.账号审核表
114.密码复杂度要求:
一.静态密码:
密码应至少每90天进行更新,密码长度应至少6位或以上,密码应由大小写字母、数字或标点符号等字符组成,五次内不能重复
二.动态密码。
115.1、密码修改记录表
2、历史密码记录表
116.远程访问
117.不得有互联网远程维护的访问方式。
118.现场检查
119.MDCN网系统的远程访问只能通过省公司的SSLVPN或IBMVPN,不得在市公司层面存在互联网以VPN等形式的远程访问
120.现场检查
121.
122.
123.应用安全
124.应用层的漏洞扫描,实现对南方基地园区信息化系统上的所有系统进行安全扫描,做好应用防护,防止出现SQL注入、网页后门程序、跨站脚本等重大安全漏洞,避免因2应用系统自身漏洞造成敏感信息泄露的安全问题;
125.服务器报警策略
126.报警策略管理是防止集群中的服务器某个压力值过高或者过低而造成集群性能的降低,通过报警策略的设定,管理可以及时的察觉每个服务器的故障并进行及时修正,保证集群最有效的工作状态。
管理员可以根据服务器的不同应用,通过报警策略的类型、极限参数和警告内容的设置,将报警策略赋予服务器,并产生报警日志。
127.用户密码策略
128.密码策略用于应用接入平台用户身份模块中用户账户。
它确定用户账户密码设置,例如:
密码复杂度、密码历史等设置。
129.用户安全策略
130.用户安全策略用于应用接入平台权限设置。
它确定用户身份权限设置,例如:
能访问服务器的那个磁盘,此用户身份能运行那个业务程序等设置。
131.访问控制策略
132.管理员通过访问控制策略来限定用户和客户端计算机以及时间等因素的绑定来实现用户安全访问应用程序的设置。
133.时间策略
134.通过对访问该应用程序及使用的用户身份进行时间限制,从而提升对发布的应用程序的访问安全,使其只能在特定时间与被确认身份的用户身份所使用。
防止被恶意用户不正当的访问。
1.8.1备份安全
指遵照相关的数据备份管理规定,对园区信息化系统及其产品的数据信息进行备份和还原操作。
根据园区信息化系统及其产品的数据重要性和应用类别,把需要备份的数据分为数据库、系统附件、应用程序三部分。
1.每周检查NBU备份系统期备份结果检查,处理相关问题。
备份系统状态、备份策略检查,对备份策略以及备份状态检查以及调优,主要服务器变更、应用统一接入等
1.8.2防病毒安全
1.导出防病毒安全检查报告、对有风险和中毒的文件与数据进行检查
2.对病毒分析处理
3.定期检测病毒,防止病毒对系统的影响
1.8.3系统安全
1.定期修改系统Administrator密码:
主要修改AD、Cluster、服务器密码;
2.安装操作系统补丁,系统重启,应用系统检查测试
3.数据库的账号、密码管理,保证数据库系统安全和数据安全
4.对系统用户的系统登录、使用情况进行检查,对系统日志进行日常审计
1.8.4主动安全
1.监控Agent的配置与管理,对端对端监控产生检查结果核实,处理相应问题
2.园区信息化所有系统需有详尽故障应急预案
3.应定期进行相关应急演练,并形成演练报告,保证每年所有的平台和关键服务器都至少进行一次演练
4.根据应急演练结果更新应急预案,并保留更新记录,记录至少保留3年
1.8.5系统及网络安全
1.流量分析(netscount)
深信通根据南方基地的安全及分析需求,提供netscount分析服务支撑,对各系统性能提供全面分析。
并提供优化建议及方案。
2.应用分析(splunk)
深信通根据南方基地的园区信息化系统安全,建立splunk的日志分析服务,并针对日志进行全面分析。
对系统的安全、保障提供优化建议及优化方案。
3.提供流量分析和应用分析提供10个以上的专题分析报告,并根据报告提供具体的实
施方案及优化手段。
4.根据优化建议及方案对平台及网络进行安全整改,以全面提升平台的性能、安全,
解决瓶颈。
1.8.6防篡改防攻击
1.网页文件保护,通过系统内核层的文件驱动,按照用户配置的进程及路径访问规则
设置网站目录、文件的读写权限,确保网页文件不被非法篡改。
2.网络攻击防护,Web核心模块对每个请求进行合法性检测,对非法请求或恶意扫描
请求进行屏蔽,防止SQL注入式攻击。
3.集中管理,通过管理服务器集中管理多台服务器,监测多主机实时状态,制定保护
规则。
4.安全网站发布,使用传输模块从管理服务器的镜像站点直接更新受保护的网站目录,数据通过SSL加密传输,杜绝传输过程的被篡改的可能。
5.网站备份还原,通过管理控制端进行站点备份及还原。
6.网页流出检查,在请求浏览客户端请求站点网页时触发网页流出检查,对被篡改的
网页进行实时恢复,再次确保被篡改的网页不会被公众浏览。
7.实时报警,系统日志,手机短信,电子邮件多种方式提供非法访问报警。
8.管理员权限分级,可对管理员及监控端分配不同的权限组合。
9.日志审计,提供管理员行为日志,监控端保护日志查询审计。
10.对站点主机进行监控,对CPU,内存,流量的作统计,以便实时监控站点服务器
的运作情况。
11.站点系统账号监控,对站点服务器的账号进行监控,对账号的修改,添加等改动有
阻拦和日志记录及报警,使站点服务器更加安全。
1.8.7合理授权
1.合理授权的定义:
合理授权是指对IT管理支撑应用系统及其相关资源的访问设定严格的授权审批机制,确保IT管理支撑应用系统的安全性。
2.为了保证南方基地IT管理支撑应用系统的安全性,确保相关IT资源的访问经过合理授权,所有IT管理支撑应用系统及其相关资源的访问必须遵照申请→评估→授权的合理授权管理流程。
3.需要合理授权的IT资源包括但不局限于应用系统的测试环境、程序版本管理服务器、正式环境(包括应用服务器和数据服务器等)。
4.申请:
由访问者(一般是应用开发商、应用系统管理员等)提交书面的访问申请表(书面访问申请表,包括但不局限于纸质、Word文档以及电子邮件等),提交安全管理员(一般是系统管理员或者专职的安全管理员)进行风险评估。
5.评估:
安全管理员对接到的访问申请书进行风险评估,并根据访问者及被访问IT资源的具体情况,进行灵活处理。
6.授权:
在访问申请表通过安全风险评估后,安全管理员会对访问者进行合理授权。
原则上,对程序版本管理服务器和正式环境的访问申请,安全管理员必需根据有关管理流程给出正式授权,以满足安全审计的要求。
7.各系统超级管理员帐号的分配,必
升级会员 