- 相關推薦
信息安全服務方案
為了確保工作或事情有序地進行,時常需要預先制定方案,方案是計劃中內(nèi)容最為復雜的一種。那么我們該怎么去寫方案呢?下面是小編幫大家整理的信息安全服務方案,僅供參考,大家一起來看看吧。
對網(wǎng)絡安全設備等安全配置進行巡檢,對不符合安全基線要求的應用中間件提出改進建議,并監(jiān)督相關廠商進行改進。以下是我公司安全巡檢模板,對不符合數(shù)據(jù)中心要求的地方,可以根據(jù)實際情況和廠家、用戶方一起進行修訂。安全巡檢包括:
對掃描范圍內(nèi)的系統(tǒng)、服務已知的漏洞進行測試來判斷遭受攻擊的可能性。
設備巡檢包括:網(wǎng)絡設備硬件配置檢查、網(wǎng)絡設備功能性檢查、安全設備硬件配置檢查、安全設備功能性檢查、服務器配置檢查、存儲設備檢測、網(wǎng)絡性能分析、安全系統(tǒng)性能分析、服務器性能分析、數(shù)據(jù)備份巡檢等。
對設備進行巡檢,對不符合安全極限要求需提出改進意見。
在網(wǎng)絡安全體系的建設中,安全掃描工具花費代、效果好、見效快,與網(wǎng)絡的運行相對獨立,安裝運行簡單,要以大規(guī)模減少安全管理的手工勞動,有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定,是進行風險分析的有力工具。
在服務過程中,安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡進行安全掃描,從內(nèi)網(wǎng)和外網(wǎng)兩個角度來查找網(wǎng)絡結構、網(wǎng)絡設備、服務器主機、數(shù)據(jù)和用戶帳號/口令等安全對像目標存在的安全風險、漏洞和威脅。
從網(wǎng)絡層次的角度來看,掃描項目涉及了如下三個層面的安全問題。
該層的安全問題來自網(wǎng)絡運行的操作系統(tǒng):UNIX系列、Linux系列、Windows系列以及專用操作系統(tǒng)等。安全性問題表現(xiàn)在兩方面:一是操作系統(tǒng)本身的不安全因素,主要包括身份認證、訪問控制、系統(tǒng)漏洞等;二是操作系統(tǒng)的安全配置存在問題。
訪問控制:注冊表普通用戶可寫,遠程主機允許匿名FTP登錄,F(xiàn)TP服務器存在匿名可寫目錄等。
安全配置問題:部分SMB用戶存在弱口令,管理員帳號不需要密碼等。
該層的安全問題主要指網(wǎng)絡信息的安全性,包括網(wǎng)絡層身份認證、網(wǎng)絡資源的訪問控制、數(shù)據(jù)傳輸?shù)谋C芘c完整性、遠程接入、路由系統(tǒng)的安全、入侵檢查的手段等。
域名系統(tǒng):ISC BIND SIG資源記錄無效過期時間拒絕服務攻擊漏洞,Windows DNS拒絕服務攻擊。
路由器:cisco IOS Web配置接口安全認證可繞過,路由器交換機采用默認密碼或弱密碼等。
該層的安全考慮網(wǎng)絡對用戶提供服務器所采用的應用軟件和數(shù)據(jù)的安全性,包括:數(shù)據(jù)庫軟件、WEB服務、電子郵件、域名系統(tǒng)、應用系統(tǒng)、業(yè)務應用軟件以及其它網(wǎng)絡服務系統(tǒng)等。
數(shù)據(jù)庫軟件:Oracle Tnslsnr沒有配置口令,MSSQL 20xx sa帳號沒有設置密碼。
WEB服務:SQL注入攻擊、跨站腳本攻擊、基于WEB的DOS攻擊。
為了確保掃描的可靠性和安全性,我公司將根據(jù)數(shù)據(jù)中心信息系統(tǒng)業(yè)務情況,與用戶一起制定掃描計劃。掃描計劃主要包括掃描開始時間、掃描對象、預計結束時間、掃描項目、預期影響、需要用戶提供配合等。
在實際開始安全掃描時,我公司會正式通知數(shù)據(jù)中心接口人。我公司將按照預定安全掃描計劃,在規(guī)定時間內(nèi)進行并完成掃描工作。如遇到特殊情況(如設備問題、停電、網(wǎng)絡中斷等不可預知的狀況)不能按時完成掃描計劃或其他原因導致安全掃描工作無法正常進行時,由雙方臨時協(xié)商予以解決。
在實施安全掃描服務的過程中,我公司擁有完善的風險規(guī)避措施,避免在掃描過程中對客戶網(wǎng)絡或業(yè)務系統(tǒng)造成不必要的影響。
派遣有豐富安全掃描經(jīng)驗的安全工程師進行安全掃描操作;
采用的掃描工具是通過國家權威測評機構認可的商用掃描工具;
我公司會根據(jù)客戶實際情況在保證掃描效果的前提下,配置科學、高效的掃描策略,同時根據(jù)客戶業(yè)務的實際情況在非業(yè)務高峰期實施。
通過使用安全掃描工具或其他手段對數(shù)據(jù)中心信息系統(tǒng)進行脆弱性評估,查獲安全設備及系統(tǒng)的漏洞對應及分布情況,并提供可操作的安全建議或臨時解決辦法,達到保護數(shù)據(jù)中心信息系統(tǒng)安全的目的。
滲透測試服務,是在用戶授權的前提下,以模擬黑客攻擊的方式,對用戶業(yè)務系統(tǒng)的安全漏洞、安全隱患進行全面檢測,最終目標是查找業(yè)務系統(tǒng)的安全漏洞、評估業(yè)務系統(tǒng)的安全狀態(tài)、提供漏洞修復建議。
在滲透過程中,我們會采用業(yè)界領先的漏洞檢測技術、攻擊技術、攻擊工具和我公司安全團隊編寫的腳本。過程分為四步:計劃與準備、信息收集、實施滲透、輸出報告。計劃與準備階段主要是根據(jù)業(yè)務系統(tǒng)反饋的內(nèi)容制定項目實施方案與計劃;信息收集與實施滲透是項目的實施階段,輸出報告主要是匯總和評估項目中發(fā)現(xiàn)的安全威脅,并輸出文檔。
信息探測階段包括信息收集,端口、服務掃描,計算機漏洞檢測,此階段主要做滲透前的踩點用。
Maltego,搜集管理員email、tel、常用id,網(wǎng)絡拓撲等
Nmap,端口、服務掃描,弱口令破解,系統(tǒng)信息探測
X-scan,端口、服務掃描,弱口令破解,系統(tǒng)信息探測
Scanner1000,我公司開發(fā)的漏洞檢測產(chǎn)品,支持系統(tǒng)漏洞檢測,Web漏洞檢測等一系列功能
通過對目標地址的TCP/UDP端口掃描,確定其所開放的服務的數(shù)量和類型,這是所有滲透測試的基礎。通過端口掃描,可以基本確定一個系統(tǒng)的基本信息,結合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點,為進行深層次的滲透提供依據(jù)。
口令猜測也是一種出現(xiàn)概率很高的風險,幾乎不需要任何攻擊工具,利用一個簡單的暴力攻擊程序和一個比較完善的字典,就可以猜測口令。
對一個系統(tǒng)賬號的猜測通常包括兩個方面:首先是對用戶名的猜測,其次是對密碼的猜測。
腳本測試專門針對Web服務器進行。根據(jù)最新的技術統(tǒng)計,腳本安全弱點為當前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴重的安全弱點之一。利用腳本相關弱點輕則可以獲取系統(tǒng)其他目錄的訪問權限,重則將有可能取得系統(tǒng)的控制權限。因此對于含有動態(tài)頁面的Web系統(tǒng),腳本測試將是必不可少的一個環(huán)節(jié)。
Hydra,暴力破解工具,支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多種協(xié)議的暴力破解
人工滲透,主要針對系統(tǒng)的業(yè)務邏輯漏洞進行安全測試,利用業(yè)務邏輯漏洞查找可準確、切實的找出業(yè)務中存在的安全隱患,避免被惡意用戶利用,對系統(tǒng)造成重大損失。
源代碼審計服務主要分為四個階段,包括代碼審計前期準備階段、代碼審計階段實施、復查階段實施以及成果匯報階段:
在實施代碼審計工作前,技術人員會和客戶對代碼審計服務相關的技術細節(jié)進行詳細溝通。由此確認代碼審計的方案,方案內(nèi)容主要包括確認的代碼審計范圍、最終對象、審計方式、審計要求和時間等內(nèi)容。
在源代碼審計實施過程中,技術人員首先使用代碼審計的掃描工具對源代碼進行掃描,完成初步的信息收集,然后由人工的方式對源代碼掃描結果進行人工的分析和確認。
根據(jù)收集的各類信息對客戶要求的重要功能點進行人工代碼審計。
結合自動化源代碼掃描和人工代碼審計兩方的結果,代碼審計服務人員需整理代碼審計服務的輸出結果并編制代碼審計報告,最終提交客戶和對報告內(nèi)容進行溝通。
經(jīng)過第一次代碼審計報告提交和溝通后,等待客戶針對代碼審計發(fā)現(xiàn)的問題整改或加固。經(jīng)整改或加固后,代碼審計服務人員進行回歸檢查,即二次檢查。檢查結束后提交給客戶復查報告和對復查結果進行溝通。
根據(jù)一次代碼審計和二次復查結果,整理代碼審計服務輸出成果,最后匯總形成《信息系統(tǒng)代碼審計報告》 。
為了有效保障網(wǎng)絡的安全運行,在對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、安全設備進行安全檢測后,需要對發(fā)現(xiàn)的安全風險進行修復。
安全加固服務,是指根據(jù)安全加固列表,對目標系統(tǒng)的安全漏洞對進行修復、配置隱患進行優(yōu)化的過程。加固內(nèi)容包括但不限于系統(tǒng)補丁、防火墻、防病毒、危險服務、共享、自動播放、密碼安全。
安全加固是保證設備和系統(tǒng)安全運行的關鍵防護措施,通常情況下,操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、安全設備,都需要進行安全加固。
我公司可進行安全加固的操作系統(tǒng)包括Windows、Linux、AIX、HP-Unix、Solaris。操作系統(tǒng)的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的操作系統(tǒng)安全加固規(guī)范。
我公司可進行安全加固的數(shù)據(jù)庫系統(tǒng)包括Oracle、SQL Server、DB2。數(shù)據(jù)庫的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的數(shù)據(jù)庫安全加固規(guī)范。
我公司可進行安全加固的中間件系統(tǒng)包括Tomcat、Apache、WebLogic、WebSphere。中間件系統(tǒng)的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的中間件安全加固規(guī)范。
我公司可進行安全加固的網(wǎng)絡設備包括主流廠商的路由器、交換機。網(wǎng)絡設備的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的網(wǎng)絡設備安全加固規(guī)范。
我公司可進行安全加固的安全設備是主流廠商的防火墻,如Juniper、天融信、Cisco ASA等。安全設備的加固內(nèi)容如下表所示,具體的加固列表可參見我公司的安全設備安全加固規(guī)范。
成立由多方人員組成的安全加固項目組,協(xié)調處理本項目的開展和實施。項目組成員包括:
確認本次安全加固項目的目標、范圍、IP地址和其他相關信息。
確認加固目標后,收集加固目標的以下信息,為評估安全加固的風險做準備。
同時,根據(jù)前期的安全風險評估報告,收集并分析加固目標的漏洞信息。
如果前期有安全風險評估報告,與用戶協(xié)商后,此步驟可省略。
如果前期沒有相關的風險評估報告,則需要對加固目標進行漏洞掃描,以查找加固目標存在的安全漏洞和隱患。
根據(jù)收集的信息制定合理的加固方案,包括時間安排、流程、操作方法等。
為防止加固可能引起的不良后果,因此需要制定回退方案和應急方案,回退方案用于加固導致系統(tǒng)不可用時將系統(tǒng)回退到加固前的狀態(tài),應急方案用于處理其他不可控的情況(包括加固失敗后無法回退)。
由安全加固項目組成員一起對提交的加固方案和風險規(guī)避方案進行研討,確認每項加固措施和操作方法的可行性,分析安全風險,提出改進建議,完善實施方案。
對于重要的系統(tǒng)或比較危險的加固操作,可以進行加固測試,通過加固測試后才能在被加固設備上進行操作,加固測試包括:
實際操作時可以選擇同樣目的的不同加固方法同時進行測試,根據(jù)測試結果選擇最優(yōu)的加固方法。
將最終的實施方案提交給業(yè)主方負責領導人,進行方案報批,報批通過后才能正式實施。
對于重要的系統(tǒng),為了能夠在加固失敗的情況下快速回退或恢復系統(tǒng),必須在事前進行相應的備份,備份內(nèi)容包括且不僅限于重要系統(tǒng)的備份、重要配置的備份、重要數(shù)據(jù)的備份。
根據(jù)對應的安全加固列表,對系統(tǒng)和設備進行實施具體的安全加固操作。
加固完成后,與用戶方人員一起,確認系統(tǒng)、設備、應用的可用性,并觀察一段時間,待確認正常運行后,加固人員才可以離開現(xiàn)場。
為確保加固有效,在加固全部完成后,對加固范圍的系統(tǒng)和設備再進行一次漏洞掃描,以對加固效果進行檢驗。
整理并編寫安全加固過程中的報告,并提交給用戶。報告大致如下,但根據(jù)項目的不同,報告可能存在差異。
將安全加固過程中,記錄的所有文檔提交給用戶,下表是安全加固過程中的記錄表。
安全加固后,我公司為用戶提供的安全建議或解決方案。
客戶任務安保期間,我公司派專業(yè)安全工程師提供7*24小時駐場服務,監(jiān)控維護信息系統(tǒng)運行,發(fā)現(xiàn)安全風險立刻向客戶匯報,并進行安全應急操作,保障客戶信息系統(tǒng)的安全。
處于接入層面的網(wǎng)絡、安全設備及鏈路;處于匯聚層面的網(wǎng)絡、安全設備及鏈路,內(nèi)部應用服務器;處于核心層面的網(wǎng)絡、安全設備及鏈路,同時包括所有外接鏈路,DMZ區(qū)域
對服務范圍內(nèi)的所有網(wǎng)絡設備、安全設備、服務器、存儲設備及電源設備等進行檢查,確保提前發(fā)現(xiàn)故障隱患;檢查機房的溫度、濕度和防塵情況。
客戶向我公司提出任務安保服務,包括服務時間段、安全保障范圍、安保任務強度;
我公司有一批專業(yè)的安全服務隊伍,非常注重對最新安全技術及安全信息的發(fā)現(xiàn)和追蹤,并通過服務的平臺與客戶及時交流,幫助客戶保持領先的安全理念。為客戶提供定期的安全信息通告服務。安全信息中會包括最新的安全公告,病毒信息,漏洞信息等內(nèi)容。安全通告以郵件、電話、走訪等方式,將安全技術和安全信息及時傳遞給客戶。
1.客戶的操作系統(tǒng)、應用、設備等的最新安全漏洞和相應的解決措施
2.收集外界最新的安全公告,病毒信息,漏洞信息等內(nèi)容,形成“外界安全動態(tài)”;
3分析業(yè)主網(wǎng)絡系統(tǒng)與“外界安全動態(tài)”的利害關系;
4.將與業(yè)主有利害關系的信息與分析結果通告與客戶。
安全風險評估是對網(wǎng)絡和業(yè)務系統(tǒng)的安全漏洞、安全隱患、安全風險,進行探測、識別、控制、消除的全過程,它從風險管理角度,運用科學的方法和手段,系統(tǒng)地分析網(wǎng)絡與應用系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。
安全風險評估的內(nèi)容,包括網(wǎng)絡拓撲架構、安全域規(guī)劃、邊界防護、安全防護措施、核心設備安全配置、設備脆弱性等,從而全面評估網(wǎng)絡的安全現(xiàn)狀,查找安全隱患。
資產(chǎn)的價值、對資產(chǎn)的威脅和威脅發(fā)生的可能性、資產(chǎn)脆弱性、現(xiàn)有的安全控制提供的保護,風險評估過程是綜合以上因素而導出風險的過程。
調研階段,通過人工訪談等方式,從后果的角度出發(fā),概要的評估可能存在的風險。
詳細的風險評估是對資產(chǎn)、威脅和脆弱點進行詳細的識別和估價,評估結果被用于評估風險和安全控制的識別和選擇。通過識別資產(chǎn)的風險并將風險降低到可接受水平,來證明管理者所采用的安全控制是適當?shù)摹?/p>
確定風險數(shù)值的大小不是風險評估的最終目的,重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對值,即要確定不同風險的優(yōu)先次序或等級,對于風險級別高的資產(chǎn)應被優(yōu)先分配資源進行保護。
風險等級在本項目中采用分值計算表示。分值越大,風險越高。下面是風險等級表:
主要參照ISO27001等國際標準,根據(jù)安全評估結果為用戶提供咨詢規(guī)劃服務,及信息安全解決方案,幫助用戶建立符合自身需求和國際標準要求的信息安全管理體系(ISMS)和持續(xù)性信息系統(tǒng)性能、網(wǎng)絡架構的優(yōu)化專業(yè)建議。
安全管理制度是安全管理體系的核心,依據(jù)國家等級保護政策的要求,分五個步驟(落實安全責任、管理現(xiàn)狀分析、制度安全策略和制度、落實安全管理措施、安全自檢與調整)實現(xiàn)安全管理制度建設。
明確領導機構和責任部門,包括設立或明確信息安全領導機構,明確主管領導,落實責任部門。建立崗位和人員管理制度,根據(jù)責任分工,分別設置安全管理機構和崗位,明確每個崗位的責任和人文,落實安全管理責任制。
通過開展信息系統(tǒng)安全管理現(xiàn)狀分析,查找信息系統(tǒng)安全管理建設整改需要解決的問題,明確信息系統(tǒng)安全管理建設整改的需求。
依據(jù)等級保護基本要求的標準,采取對照檢查、風險評估、等級測評等方法,分析判斷目前采取的安全管理措施與等級保護標準要求之間的差距,分析系統(tǒng)已發(fā)生的時間或事故,分析安全管理方面存在的問題,形成安全管理建設整改的需求并論證。
根據(jù)安全管理需求,確定安全管理目標和安全策略,針對信息系統(tǒng)的各類管理活動,制定人員安全管理制度,明確人員錄用、離崗、考核、培訓等管理內(nèi)容;制定系統(tǒng)建設管理制度,明確系統(tǒng)定級備案、方案設計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務等管理內(nèi)容;制定系統(tǒng)運維管理制度,明確機房環(huán)境安全、存儲介質安全、設備設施安全、安全監(jiān)控、惡意代碼防范、備份與恢復、應急預案等管理內(nèi)容;制度定期檢查制度,明確檢查內(nèi)容、方法、要求等,檢查各項制度、措施的落實情況,并不斷完善。規(guī)范安全管理人員或操作人員的操作規(guī)程等,形成安全管理體系。
人員安全管理:包括人員錄入、離崗、考核、教育培訓等內(nèi)容。規(guī)范人員錄用、離崗、過程、管家崗位簽署保密協(xié)議;對各類人員進行安全意識教育、崗位技能培訓;對關鍵崗位進行全面的嚴格的審查和技能考核;對外部人員允許訪問的區(qū)域、系統(tǒng)、設備、信息等進行控制。
系統(tǒng)運維管理:落實環(huán)境和資產(chǎn)安全管理、設備和介質安全管理、日常運行維護、集中安全管理、時間處置與應急響應、災難備份、實時監(jiān)測、其他安全管理
系統(tǒng)建設管理:系統(tǒng)建設管理的重點是與系統(tǒng)建設活動相關的過程管理。由于主要的建設活動是由服務方(如集成方、開發(fā)方、測評方、安全服務方)完成的,運營使用單位人員的主要工作上對其進行管理,應此,應制度系統(tǒng)建設相關的管理制度。
制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項制度、措施的落實情況并不不斷完善。
【信息安全服務方案】相關文章:
食品安全售后服務方案大全05-06
課后服務信息化建設實施方案(通用6篇)08-29
信息安全意識培養(yǎng)方案范文(精選13篇)09-29
項目服務方案10-05
金融服務方案10-04
小學信息培訓方案02-29
學校課后服務安全工作實施方案(精選9篇)05-17
售后服務方案07-29