XXX华为安全服务技术建议书模板文档格式.docx
《XXX华为安全服务技术建议书模板文档格式.docx》由会员分享,可在线阅读,更多相关《XXX华为安全服务技术建议书模板文档格式.docx(43页珍藏版)》请在冰点文库上搜索。
3……
……
3.安全服务内容
作为华为整体安全解决方案的一部分,华为可以为用户提供安全评估、安全审计、安全咨询及建议、安全加固及优化、安全应急响应、安全巡检、安全预警、安全培训等专业安全服务,本次XXXXX项目将向客户提供以下专业安全服务:
3.1安全评估
安全风险评估是信息安全管理体系(ISMS)建立的基础,是组织平衡安全风险和安全投入的依据,也是ISMS测量业绩、发现改进机会的最重要途径。
安全风险评估是信息安全工作开展的起点和基础,是有效的安全策略设计、解决方案设计的前提。
通过安全评估,明确保护的对象和其存在的弱点和威胁;
通过对风险的量化,进而明确不同信息资产的保护等级,从而确定对不同保护等级的信息资产采取不同级别的控制措施;
解决对所有资产都采取同等防护措施带来的影响效率、增加成本的问题。
安全评估服务根据服务层次、对象以及要达到的要求的不同,一般可以分为信息安全风险评估和网络安全风险评估
作为一种高端安全服务,一个全面专业的信息安全评估一般包含以下内容:
●实体安全评估
●平台安全评估
●数据安全评估
●通信安全评估
●应用安全评估
●运行安全评估
●管理安全评估
网络安全风险评估则相对简单,一般主要只是针对具体平台,包括主机、网络设备本身的系统安全以及运行于其上的一些应用服务安全。
针对以上涉及的评估内容,可以采用的评估方法有现场勘查、人员访谈、问卷调查、漏洞扫描、本地检测、渗透测试等。
其中最基本也是一般安全评估服务最常选择的方式主要是漏洞扫描或者再加上本地检测。
漏洞扫描技术是一种基于Internet远程检测目标网络或本地主机安全性脆弱点的技术,本地检测作为漏洞扫描的补充,可以有效发现一些更为细致、具体的风险漏洞,两者从技术层面对主机、网络及其设备进行漏洞风险的有效评估,是审核和保障系统安全的有效手段。
本次的安全评估服务采取的是网络安全风险评估,包括漏洞扫描及本地检测两部分内容,主要针对的对象是主机及其应用、网络及其设备方面的安全评估。
3.1.1安全评估工具
本次安全服务中用到的漏洞扫描工具由华为根据XXXX的具体情况和需求,经过双方商议后决定由哪方提供,本地检测的Checklist及脚本由华为提供。
3.1.2安全评估周期
本次安全评估采取定期和不定期两种方式进行。
定期扫描/本地检测根据XXXX网络安全服务合同规定进行;
不定期扫描/检测根据客户的临时需求,由客户提出服务需求,我方提供服务。
如下:
定期漏洞扫描/本地检测
根据XXXX的网络/系统的具体情况和技术需求来决定评估周期
网络/系统
评估周期
不定期漏洞扫描
根据XXXX要求进行,次数不限。
(注:
不定期扫描的收费方式由合同指出)
3.1.3漏洞扫描及本地检测对象
包括需要扫描主机、设备的ip范围,操作系统、设备版本类型、主要应用服务、业务等基本信息,可参考如下表格:
序号
主机型号
操作系统
数据库
主要应用及业务系统
设备主机名
设备IP地址和掩码
维护或管理人员
1
2
3
4
3.1.4安全评估流程
●扫描对象
包括需要扫描主机的ip范围、操作系统类型、主要应用业务等基本信息。
●所需资源
包括实施人员、所需设备、工具、资料、其他支持等。
●扫描计划及策略
包括扫描任务的实施人员、时间安排,扫描方法、策略、工具、资料的说明,还有风险的规避、异常事件应急方案等等。
●端口扫描
扫描出开放的端口及其Banner信息,扫描工具有nmap、superscan。
●操作系统指文扫描
通过指纹扫描判断出操作系统版本,扫描工具有nmap。
●应用服务漏洞扫描
通过前面的端口扫描及操作系统指文扫描判断服务器上面提供的应用服务及其版本,跟据不同的服务制定不同的扫描策略,选择相应的扫描插件或工具进行漏洞扫描,扫描工具有:
ISS、NESSUS。
3.1.5漏洞扫描服务内容
3.1.5.1服务内容
根据XXXX的具体需求对该服务的内容具体说明,包括服务响应时间、服务质量承诺、扫描结果评估报告等等,对其中具有优势的华为服务内容做特别说明。
1、华为在收到XXXX扫描申请后,在两个工作日内派出技术人员到XXXX现场进行扫描,并提交扫描结果给XXXX。
2、在扫描设备充足和扫描任务密集的情况下,华为保证有充足的技术人员根据XXXX要求按时按质完成扫描工作。
3、对扫描产生的结果,华为根据XXXX的具体需要,导入《XXXX安全评估信息库》,资产漏洞信息按照《XXXX安全评估信息库》格式正确、清晰呈现,尤其是漏洞信息详细描述和解决方案;
扫描中的所有资产一并导入信息库。
4、对同一网络或系统涉及到两次漏洞扫描的,华为提供与前次扫描的对比分析报告。
5、漏洞扫描应安排在非业务忙时进行,根据实际网络和系统的要求确定扫描速度,将对网络和系统的影响降至最小。
3.1.5.2扫描计划概述
针对该次服务的具体需求制订详细的扫描计划,包括时间安排、人力资源分配、紧急事件处理方案等。
在接到扫描任务后,根据扫描对象和规模制定详细的扫描计划,并给XXXX确认。
扫描计划内容包括:
1、扫描的具体时间安排:
针对扫描对象和规模制定扫描计划,并且计划扫描时间安排在非业务忙时进行,根据实际网络和系统的要求确定扫描速度,将对网络和系统的影响降至最小
2、扫描人员安排:
安排有经验的扫描人员,根据扫描规模的大小和扫描任务的紧急程度确定人员的数量。
3、紧急事件的响应:
紧急事件有两种,一种是在扫描过程中发现的重大的必须马上解决的漏洞,此部分华为公司提供修补建议,XXXX确认后由双方共同安排人员进行及时的修补;
另一种是扫描过程中可能出现的由于扫描引起的目标系统服务停止或服务器宕机等风险及其风险规避措施,基于此类事件的可能性考虑,在扫描实施过程中XXXX应安排专职人员负责协调。
3.1.5.3扫描结果报告概述
扫描结果报告的内容概述。
扫描结果报告
漏洞扫描完成后生成扫描结果报告,结果报告包含以下的内容:
1、目标系统的总体信息:
包括包含的主机数量,IP地址分布,基本的操作系统状况分组,发现的弱点分类以及数量。
2、按照目标系统分类的详细信息:
系统内的每一主机的:
操作系统状况、帐号口令状况、端口开放状况、弱点的详细状况
3、针对扫描结构分析目前扫描目标系统的安全隐患以及需要解决的紧急程度。
3.1.5.4对比分析报告内容概述
将此次扫描结果报告与前期做过的扫描结果报告进行对比分析,按照摸板提供对比分析报告。
华为公司在扫描结束之后,将按照模板提供对比分析报告,主要针对在前期已经做过扫描的系统,其主要内容包括:
1、目标系统减少的弱点信息
2、目标系统新增的弱点信息
3、新增弱点产生的原因与造成的隐患程度
4、消除弱点的解决方案
5、扫描总结
3.2安全审计
华为安全审计服务是基于ISACA(信息系统审计与控制协会)制定的一套信息系统审计标准,参考业界最佳时间并结合华为公司自身安全审计经验。
并拥有多名通过ISACA协会认证的信息系统审计师(CISA)。
3.2.1华为安全审计服务的内容
概述华为安全审计服务提供哪些方面的服务内容。
提供IT审计咨询
协助建立审计方法和标准
推荐IT审计工具
建立日常安全维护指导文档
提供IT审计培训
3.2.2XXXX行业IT审计流程
根据国际标准的信息系统审计准则和国内对其行业的研究,提出该行业IT审计工作进程方案和相关策略。
国内IT审计建设起步晚,对IT审计了解比较少,因此如何有效的控制一个IT审计项目缺乏相关的经验。
根据对国内XXXX行业的的研究,提出如下XXXX行业IT审计工作进程方案与相关策略:
1)说明该行业对审计单位的组织要求以及相关的资质要求。
2)确定独立IT审计组,说明审计组的成员构成及组成员的IT安全审计资格和此次安全审计的范围
3)制定详细的IT审计方案与计划,应包括该行业的信息系统现状分析、内部控制情况现状初步评价、审计工作的组织安排、审计风险评估、审计范围、审计成本、实施时间计划、审计协调与沟通机制等等。
4)具体说明严格按照制定的审计方案与计划进行取证、测试与评价的审计实施过程。
5)概述IT审计报告的构成部分,各块内容的汇总的组织结构
6)审计工作的持续改进和长期的计划
3.2.3IT审计的方法、技术与工具
介绍常规的审计方法、技术和工具,以及计算机辅助审计的技术与工具。
1)常规的审计方法、技术与工具
a)面谈法
b)问卷调查
c)系统评审会
d)流程图检查
e)程序代码检查
f)程序代码比较
g)设备配置检查
2)计算机辅助审计的技术与工具
a)计算机辅助审计技术
i.集成测试(IntegratedTestFacility)
ii.快拍、扩展测试(Snapshot/ExtendedTest)
iii.系统控制审计评审文件(SCARF,SystemcontrolandauditreviewFile)
iv.连续与间歇模拟(CIS,ContinuousandIntermittentSimulation)
b)审计软件
c)性能度量工具
3.2.4常用设备的安全检查手册
列出常用设备的安全检查手册。
•终端安全检查手册
•网络设备例行安全检查手册
•防火墙例行安全检查手册
•Windows例行安全检查手册
•Unix例行安全检查手册
•数据库例行安全检查手册
……..
3.2.5CSO:
华为自助开发的终端安全审计检查工具简介
根据GSI/FBI的调查,企业信息窃密的发生频率可能不如病毒等攻击手段高,但是它所造成的损失却是最大的,因此防范泄密事件的发生是企业迫切需要解决的关系到企业生存发展的重大安全问题。
那么,为什么会出现泄密事件呢?
1.计算机网络化为别有用心者提供了许多新的泄密途径;
2.信息新技术的采用为别有用心者提供了许多新的手段;
3.用户终端的安全性差,造成了许多非主观的无意泄密。
针对企业频繁发生的泄密事件,通过对泄密产生原因的深入分析和研究,华为公司通过自主研发推出了专门防范企业用户终端泄密的审计监控系统——CSO终端安全监控系统。
该系统从两个角度提供防泄密功能。
一是从企业监控管理的角度,主要是通过制定用户终端的安全审计监控策略,再根据安全策略下达审计监控任务对用户终端进行安全审计监控,以达到防止内部秘密信息有意或无意泄漏的功能;
二是从用户终端自查自防的角度,提供用户进行本机安全自检的功能,帮助用户加强本机安全性,防止无意泄密的情况出现。
CSO终端安全监控系统在系统机构上采用了C/S结构和B/S结构的混合模式。
在系统组成上采用C/S结构,系统分为安全策略服务器(SPS)和客户端代理软件(Agent)两个部分;
在系统应用和管理上采用B/S结构,审计人员和应用管理员通过浏览器登录Web服务器进行相关操作。
系统应用模型如下图:
审计经理:
主要负责增加、删除和修改安全审计策略,配置审计员权限,检查审计员的审计操作日志。
能够向所有用户终端下达各种审计监控任务,生成各种审计报表。
审计员:
能够查看部分审计策略定义。
根据实际审计需要,向所管辖部门(权限范围内的部门)的用户终端下达各种审计监控任务,生成各种审计报表。
应用管理员:
负责系统运行参数的增加、删除和修改,以及审计人员开户等。
用户:
接受审计监控,进行本机自检。
3.2.6XXXX行业IT审计方法的综合应用
XXXX行业IT审计实施过程中应用的关键方法主要包括以下几个方面:
1)明确指出该行业IT审计过程中的关键因素
2)对该行业IT审计过程中的关键因素进行评估
3)在对其关键因素充分识别与评估后,考虑应用现有的控制措施或设计新的控制方法控制其关键因素
4)采用符合性测试方法与实质性审计测试方法对其进行IT审计测试。
3.3应急响应
在当今互联化的计算环境中,保障组织信息财产的安全是一种挑战,随着各种新的"
电子"
产品和各种入侵工具的出现,这种挑战变得越来越艰巨。
对于保障信息财产的安全来说,不存在单一的解决方案,而需要一种多层化的安全策略。
在通常的APPDRR动态安全模型中,网络安全=风险分析(A)+安全策略(P)+防御系统(P)+实时监测(D)+响应处理(R)+灾难恢复(R)。
其中应急处理是安全保障工作中一个非常重要的环节。
应急处理环节的主要工作内容就是发现排除突发的安全事件,在安全保障工作中,防护和监测环节往往都是针对已知事件特征来防护和监测的,因此应急处理环节的工作可以弥补其不足。
PDRR模型
网络安全事件是多种多样的,攻击的来源、目的和方法都非常复杂,可以同时达到多种不同的结果。
因此,网络安全事件应急处理是个非常复杂、困难的过程。
对于紧急事件的应急处理,一定要建立一套行之有效的应急处理机制,包括其处理方法、组织和人员、实施流程等,一旦紧急事件发生,就要能在最短的时间内对问题事件做出响应和处理,最终解决问题。
3.3.1安全事件响应机制
安全事件响应机制,是指应对网络安全突发事件的各种制度及其具体措施的总称。
我们认为它应由事前预防预警和监测机制、事中紧急处理机制、事后协调恢复机制、评估和改进机制四大部分构成。
3.3.1.1事前预防、预警和监测机制
说明在事前预防、预警和监测的安全制度建设上要注意的要点
此机制的主要功能在于通过监控系统及时发现网络安全突发事件的前兆,适时发布预警信号,为早期化解和严阵以待奠定基础,最大限度地避免仓促应战、盲目应战、混乱应战等不良管理现象。
在制度建设上,主要有以下几点:
1、建立全方位的监控系统。
不仅仅包括政府有关部门和机构、网络运营商和网络服务商,还包括有关的网络设备、操作系统和应用软件厂商,有关的科研机构和社会组织,同时保持和国外有关机构的信息联系,并鼓励普通员工通过网站、email、电话等多种方式反映各种网络安全突发事件,建立一个依靠和动员广大员工的、吸纳一切可用资源的、全方位的监控系统。
2、组织精干有效的专家系统。
将各方面的专家有效地组织起来,包括职能部门、信息分析人员、危机处理专家、相关领域的技术顾问、法律专家、具有丰富经验的实际工作人员代表等,从而能对各种网络安全突发事件提供涵盖各领域的预防和解决方案,而不仅仅是从技术方面。
3、完善职责明确的职能系统。
监控系统中的各部门、应急项目组或厂商依据职能划分,分别承担职责范围内的预警工作。
应急项目组和厂商的主要职能在技术层面上,通过运用各种技术手段来完成其职责。
需要指出的是,要针对网络安全突发事件产生的原因,结合实际情况,拟定出多种应急预案并形成预案库。
拟定预案是应对网络安全突发事件的基础工作,应当引起高度的重视。
4、划分网络安全突发事件的严重级别。
根据可能造成的损失程度,划分突发事件的不同级别,发布相应的预警通告,以确定需要调用的资源和采取的措施。
在具体措施上,主要是以下几点:
1、异常流量监控。
针对日益严重的网络蠕虫病毒,监控全网流量,建立蠕虫流量模型和蠕虫状态测度方法,应用于入侵检测系统中,提高蠕虫检测的准确度,从而减少网络蠕虫病毒带来的威胁。
2、病毒、漏洞和补丁监控。
要求有关机构和厂商,及时发布病毒告警和漏洞告警,并迅速提供相应的专杀工具、病毒库升级和修补程序。
同时对网络上可能受影响的计算机发出警告,要求其尽快采取措施消除隐患。
3、垃圾邮件和有害信息的监控。
利用各种技术手段进行搜索、监控和过滤。
3.3.1.2事中紧急处理机制
在建设事中紧急处理的制度时要注意的几大要点
一旦网络安全突发事件难以避免地发生,就必须立即启动事中紧急处理机制进行应对。
因此,事中紧急处理机制的建设是应对网络安全突发事件的核心环节,直接关系应对的质量与效率。
1、建立全面的信息收集系统。
应对机制中的所有成员,对网络安全突发事件的详细情况及其发展趋势进行分析,为迅速处理和解决网络安全突发事件提供有效的、真实的信息。
2、建立专业的解决方案制定系统。
迅速调集相关的专业人员,针对具体的网络安全突发事件,确定该事件的严重级别,研究解决方案的实施及修改完善,开展应急指导工作。
3、建立统一的应对指挥系统。
由拥有法定权力的领导和部门负责人组成富有权威的指挥部门,负责统帅其他系统做好网络安全突发事件的紧急处理工作。
指挥系统的建立一般有两种:
一是借助常设机构;
二是成立综合性的非常设机构。
当现有的常设机构能力不足以解决特别重大的网络安全突发事件时,可以由上级政府协调成立一个更高级别的综合性的非常设机构。
4、建立强有力的执行系统。
执行系统应当是一支训练有素、反应灵敏、专业化程度高和富有战斗力的队伍。
指挥系统将指定的解决方案部署下去之后,各相关成员应坚决、迅速地执行,各司其职,紧密配合,将网络安全突发事件造成的负面影响和损失控制在最小范围内。
在具体措施上,主要有以下几点:
1、迅速定位事件的传播源和传播途径,分析突发事件发生的具体原因。
2、综合运用访问控制列表、速率限制、QoS、反向路由验证等技术和关闭、隔离或限制传播源等手段,控制网络安全突发事件在网络上的传播。
3、设备和软件厂商应以最快速度,提交相应的专杀工具、病毒库升级、修补程序等产品解决方案。
3.3.1.3事后协调恢复机制
在事后协调恢复机制的建设中要注意的重点
网络安全突发事件的波峰过去以后,应尽快恢复正常的网络秩序,弥补已经造成的损失,必须适时运用事后协调恢复机制。
1、信息收集系统应继续追踪和掌握网络安全突发事件发展的有关信息,尤其要注意观察事态有无反复的迹象。
2、指挥系统仍然担负善后工作指挥职责,统率协调相关系统开展扫尾工作。
为彻底解决相关问题而调用必要的有关资源,并着手研究有关组织或人员的相关责任问题。
3、执行系统负责善后工作的具体落实与执行,密切关注善后工作,监督有关制度和措施的最后落实情况。
1、继续保持对网络的密切监控和分析,防止渐近平息的网络安全突发事件死灰复燃。
2、已采取的紧急措施和限制,要区分情况,在确定不会造成新的问题前提下,对部分影响正常网络业务的措施和限制逐步放开。
比如,递次取消ACL、将被隔离的计算机恢复联网、恢复关闭的网站等等。
3、继续发布通告,提示仍然要保持警惕。
3.3.1.4评估和改进机制
在评估和改进现有安全机制的时候需要注意的地方
在网络安全突发事件基本平息之后,需要对此次的突发事件应急处理的各系统、过程以及结果进行评估,改进相关制度和措施。
还要对导致突发事件产生的原因进行分析,拿出根治的办法,防止突发事件重演。
1、指挥系统要建立一个评估标准,选择合适的评估方法,对网络安全突发事件预防、处理、恢复过程中,各职能系统的具体表现和效果进行评估,实施相应的奖惩措施。
2、各职能系统进行自我评估,并提出预防和改进的方法、技术,供指挥系统参考。
3、全面审视现有的制度、技术和网络安全状况,与时俱进,不断改进网络安全突发事件应急机制。
综上所述,我们可以建立一个网络安全突发事件应对机制模型,如图1所示:
图1:
网络安全突发事件应对机制模型-PR2I
PR2I模型是将Prevent(预防)、Response(处理)、Recover(恢复)、Improve(改进)四个过程组成一个循环流程,以整体的安全策略为核心,以制度和技术为保证,建立一个自我管理、自我调节、自我改进、自我发展的“四自”网络安全突发事件应对机制。
3.3.2华为安全应急响应服务
3.3.2.1应急响应服务方法论
华为对网络安全事件的响应采用国际上通用的PDCERF事件响应方法学
⏹采取标准的事件响应方法
现实环境中安全事件绝不是有序发生的,安全事件及其并发性比其它任何事件更不规则,没有技术和组织准备的应急响应会带来的直接风险:
a)破坏现场,不利取证
b)造成无法挽回的数据丢失
c)扩大系统损害
d)负面的媒体曝光
e)影响单位IT业务运作(可能影响一片)
f)影响客户信心
g)影响合作伙伴
⏹标准的事件响应需要那些基础要素
Ø
制定政策
A.批准建立事件响应机制
B.事件响应的任务目的及范围
C.给事件响应的授权
D.对事件响应的限制
计划和组织
A)设计事件响应框架
B)计划提供相应的资源
C)建立合理的技术基础
D)设计流程
E)建立合作关系
F)处理团体利益
3.3.2.2应急响应处理流程
1、信息收集判断
根据客户反映的情况和应急响应人员现场收集分析信息,对安全事件的类型做出判断或确认,主要是这么几类安全事件:
✧病毒蠕虫
✧黑客入侵
✧拒绝服务攻击
✧软硬件及设备故障
✧其它
2、准备
“凡事预则立,不预则废”。
由于安全事件多数太复杂而且费时,在事件真正发生前为事件响应做好准备非常重要。
根据网络安全事件的类型,确定应急响应人员,准备相关资料和工具。
如进程快照,服务快照,账号快照,网络日常流量统计,设备、系统基本配置快照,相关检测工具、修复工具、根除工具等。
✧基于威胁建立一组合理的防御/控制措施
✧建立一组尽可能高效的事件处理程序
✧获得处理问题必须的资源和人员
✧建立一个支持事件响应活动的基础设施
如:
管理员的一些实际准备工作
✧确保过滤拒绝弱口令
✧确保不活跃和缺省的帐号被删除或封锁
✧安装并维护合适的安全工具(入侵检测/审计/安全电子邮件等)
✧运行并定期检查系统日志/审计
✧安装补丁和修补软件
✧检查系统文件的完整性
✧备份每一个必要的系统(包括事件处理过程中)
✧调查每一可疑的事件(管理员最清楚什么正常,什么是异常)
3、检测
⏹检测的实践
根据网络安全事件的类型,由相关技术人员有针对性的做相关检测,如病毒蠕虫的进程
升级会员 