网络与信息安全管理中心安全值守技术方案模板.docx
《网络与信息安全管理中心安全值守技术方案模板.docx》由会员分享,可在线阅读,更多相关《网络与信息安全管理中心安全值守技术方案模板.docx(147页珍藏版)》请在咨信网上搜索。
1、网络与信息安全管理中心安全值守技术方案146资料内容仅供参考,如有不当或者侵权,请联系本人改正或者删除。1 技术建议书1.1 服务方案1.1.1 项目概况近几年来, 信息安全的重要性逐步得到了各行业的广泛关注, 国家相关部门也出台了多项政策、 法规和标准, 用以指导各行业的信息安全建设。由于信息安全相关的标准和法规相对抽象, 加之信安中心承担了管理和生产职能, 在突发事件处理等方面人员储备不足, 受限于人员配置和资源问题, 部分安全工作需要大量安全工具及专人参与。为保障中国公司结合自身情况制定长期、 系统、 有效的安全建设规划, 提出驻场服务的需求。1.1.2 建设目标1、 为安全工作开展提供
2、高质量的安全保障服务。2、 在发生网络调整, 系统升级扩容, 新系统上线等变更时, 进行评估, 给出明确的、 可实施的安全建议及建设规划, 配合相关安全工作开展。3、 在日常工作中, 协助安全人员开展定期的自查评估工作, 设备或系统上线时, 实施上线前的安全评估和反馈相关的制度、 规范和流程的落实情况。4、 保障日常工作中的网络安全。5、 应急响应及安全事件分析。6、 开展安全培训工作, 提升相关人员的安全专业水平。7、 对重要系统( 网络安全整合平台) 进行协助运维和推广。1.1.3 服务方法本次安全值守服务项目我们提供以下服务方法: 1.1.3.1 日常安全工作常态化漏洞扫描, 弱口令检查
3、, web业务系统渗透测试及相关文档、 总结撰写定期安全检查: l 全网扫描( 范围) 。l 根据目标主机数量制定扫描计划, 每个月能保证至少完成一次对全部维护对象的安全扫描工作。l 出具安全扫描结果并和维护人员进行面对面沟通确认, 督促维护人员进行整改和加固, 加固结束后进行再次复查并出具复查报告, 对于不能加固的漏洞提供安全解决建议。系统上线安全检查: 对于新的业务系统上线前, 值守人员配合完成上线设备的安全检查工作, 安全检查包含以下几项工作: 远程安全扫描l 经过使用现有远程安全评估系统对上线设备进行扫描, 确保没有高、 中等级的安全问题, 对于低等级的安全问题, 应确保该问题不会泄露
4、设备敏感信息 本地安全检查l 配合安全加固的checklist 对上线设备进行检查, 以确保上线设备已进行了必要的安全设置l 注: 若已制定相关的安全准入规范, 将使用提供的checklist替代的checklist 远程渗透测试l 对复杂的应用系统, 如: WEB系统, 根据需求进远程渗透测试1.1.3.1.1 渗透测试概述渗透测试( Penetration Test) 是指是从一个攻击者的角度来检查和审核一个网络系统的安全性的过程。一般由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段, 对目标网络/系统/主机/应用的安全性作深入的探测, 发现系统最脆弱的环节。渗透测试能够直观的
5、让管理人员知道自己网络所面临的问题。作为一种专业的安全服务, 类似于军队里的”实战演习”或者”沙盘推演”的概念, 经过实战和推演, 让清晰了解当前网络的脆弱性、 可能造成的影响, 以便采取必要的防范措施。1.1.3.1.2 渗透测试意义从渗透测试中, 客户能够得到的收益至少有: u 协助发现组织中的安全短板一次渗透测试过程也就是一次黑客入侵实例, 其中所利用到的攻击渗透方法, 也是其它具备相关技能的攻击者所最可能利用到的方法; 由渗透测试结果所暴露出来的问题, 往往也是一个企业或组织中的安全最短木板, 结合这些暴露出来的弱点和问题, 能够协助企业有效的了解当前降低风险的最迫切任务, 使在信息安
6、全方面的有限投入能够得到最大的回报。u 作为信息安全状况方面的具体证据和真实案例渗透测试的结果能够作为向投资方或管理人员提供的信息安全状况方面的具体证据, 一份文档齐全有效的渗透测试报告有助于IT组织管理者以案例的形式向相关人员直观展示当前企业或组织的安全现状, 从而增强员工对信息安全的认知程度, 提高相关人员的安全意识及素养, 甚至提高组织在安全方面的预算。u 发现系统或组织里逻辑性更强、 更深层次的弱点渗透测试和工具扫描能够很好的互相补充。工具扫描具有很好的效率和速度, 可是存在一定的误报率和漏报率, 而且不能发现高层次、 复杂、 而且相互关联的安全问题; 渗透测试的价值直接依赖于实施者的
7、专业技能和素养可是非常准确, 能够发现系统和组织里逻辑性更强、 更深层次的弱点。u 从整体上把握组织或企业的信息安全现状信息安全是一个整体工程, 一个完整和成功的渗透测试案例可能会涉及系统或组织中的多个部门、 人员或对象, 有助于组织中的所有成员意识到自己所在岗位对系统整体安全的影响, 进而采取措施降低因为自身的原因造成的风险, 有助于内部安全的提升。1.1.3.1.3 渗透测试步骤渗透测试实际就是一个模拟黑客攻击的过程, 因此其的实施过程也类似于一次完整的黑客攻击过程, 我们将其划分为如下几个阶段: 预攻击阶段( 寻找渗透突破口) 攻击阶段( 获取目标权限) 后攻击阶段( 扩大攻击渗透成果)
8、 如下图: 1.1.3.1.3.1 预攻击阶段预攻击阶段主要是为了收集获取信息, 从中发现突破口, 进行进一步攻击决策。主要包括 网络信息, 如网络拓补、 IP及域名分布、 网络状态等 服务器信息, 如OS信息、 端口及服务信息、 应用系统情况等 漏洞信息, 如跟踪最新漏洞发布、 漏洞的利用方法等其利用到的方法及工具主要有: l 网络配置、 状态, 服务器信息 Ping Traceroute Nslookup whois Finger Nbtstatl 其它相关信息( 如WEB服务器信息, 服务器管理员信息等) google、 yahoo、 baidu 等搜索引擎获取目标信息 企业组织名称、
9、个人姓名、 电话、 生日、 身份证号码、 电子邮件等等( 网站、 论坛、 社交工程欺骗) l 常规扫描及漏洞发现确认 NMAP端口扫描及指纹识别 利用各种扫描工具进行漏洞扫描( ISS、 Nessus等) 采用 FWtester、 hping3 等工具进行防火墙规则探测 采用 SolarWind 对网络设备等进行发现 采用 nikto、 webinspect 等软件对 web 常见漏洞进行扫描 采用如AppDetectiv 之类的商用软件对数据库进行扫描分析l 应用分析( web及数据库应用) 采用 WebProxy、 SPIKEProxy、 webscarab、 ParosProxy、 Ab
10、sinthe 等工具进行分析对Web服务进行分析检测 用 webscan、 fuzzer 进行 SQL 注入和 XSS 漏洞初步分析 某些特定应用或程序的漏洞的手工验证检测( 如sql注入、 某些论坛网站的上传漏洞、 验证漏洞, 某些特定软件的溢出漏洞等) 采用类似OScanner 的工具对数据库进行分析 用 Ethereal 抓包协助分析1.1.3.1.3.2 攻击阶段攻击阶段是渗透测试的实际实施阶段, 在这一阶段根据前面得到的信息对目标进行攻击尝试, 尝试获取目标的一定权限。在这一阶段, 主要会用到以下技术或工具: l 账号口令猜解口令是信息安全里永恒的主题, 在以往的渗透测试项目中, 经
11、过账号口令问题获取权限者不在少数。有用的账号口令除了系统账号如UNIX账号、 Windows账号外, 还包括一些数据库账号、 WWW账号、 FTP账号、 MAIL账号、 SNMP账号、 CVS账号以及一些其它应用或者服务的账号口令。特别是各个系统或者是应用服务的一些默认账号口令和弱口令账号。大多综合性的扫描工具都有相应的弱口令审核模块, 另外, 也能够采用Brutus、 Hydra、 溯雪等比较专业的账号猜解工具。l 缓冲区溢出攻击针对具体的溢出漏洞, 能够采用各种公开及私有的缓冲区溢出程序代码进行攻击, 如下图: l 基于应用服务的攻击基于web、 数据库或特定的B/S 或C/S 结构的网络
12、应用程序存在的弱点进行攻击, 常见的如SQL 注入攻击、 跨站脚本攻击、 一些特定网站论坛系统的上传漏洞、 下载漏洞、 物理路径暴露、 重要文件暴露等均属于这一类型, 特定的对象及其漏洞有其特定的利用方法, 这里就不一一举例。1.1.3.1.3.3 后攻击阶段后攻击阶段主要是在达到一定的攻击效果后, 隐藏和清除自己的入侵痕迹, 并利用现有条件进一步进行渗透, 扩大入侵成果, 获取敏感信息及资源, 长期的维持一定权限。这一阶段, 一般主要进行3个工作: 1) 植入后门木或者键盘记录工具等, 获得对对象的再一次的控制权在真实的黑客入侵事件中, 这一步往往还要进行入侵行为的隐藏比如清楚日志、 隐藏后
13、门木马服务、 修补对象漏洞以防止她人利用等, 但在渗透测试实例中却不需要如此, 往往需要保留对象相应的日志记录, 能够作为渗透测试的相关证据和参考信息。2) 获得对象的完全权限这一步主要以破解系统的管理员权限账号为主, 有许多著名的口令破解软件, 如L0phtCrack、 John the Ripper、 Cain 等能够帮助我们实现该任务。3) 利用已有条件, 进行更深入的入侵渗透测试在成功获取某个对象的一定权限后, 就能够利用该成果, 以此对象为跳板, 进行进一步的入侵渗透。在这一步会重复预攻击阶段和攻击阶段的那些操作, 因为前提条件的变化, 可能实现许多先前不可能实现的渗透任务。另外,
14、还这个阶段, 还有一些有用的攻击方法也是比较有效的, 比如Sniffer嗅探、 跳板攻击、 IP欺骗、 ARP欺骗与MITM(中间人)攻击等, 都能够帮我们实现某些特定渗透结果。1.1.3.1.4 渗透测试流程渗透测试与安全风险评估、 安全加固等安全服务一样, 在具体实施中都有可能带来一些负面风险, 因此一个严格的有效的实施流程是保证渗透测试正常实施的关键, 安全渗透测试服务严格遵循以下的项目实施流程: 1.1.3.1.4.1 制定方案并获得授权合法性即客户书面授权委托并同意实施方案, 这是进行渗透测试的必要条件。渗透测试首先必须将实施方法、 实施时间、 实施人员、 实施工具等具体的实施方案提
15、交给客户, 并得到客户的书面委托和授权。实施方案大致包括下面几方面的内容: 项目基本情况及目标介绍 渗透测试实施方案及计划 渗透测试成果的审核确认应该做到客户对渗透测试所有细节和风险的知晓、 所有过程都在客户的控制下进行, 这也是专业渗透测试服务与黑客攻击入侵的本质不同。1.1.3.1.4.2 信息收集分析信息收集是每一步渗透攻击的前提, 经过信息收集寻找渗透测试的突破口并细化渗透测试方案, 有针对性地制定模拟攻击测试计划。信息收集主要涉及如下内容: 域名及IP分布 网络拓补、 设备及操作系统OS 端口及服务情况 应用系统情况 最新漏洞情况 其它信息( 如服务器管理员的相关信息等) 1.1.3
16、.1.4.3 渗透测试方案细化根据预攻击阶段信息收集的结果, 对渗透测试方案进行细化, 主要是具体漏洞细节及针对这些漏洞的可能采用的测试手段, 详细时间安排, 以及可能带来的风险, 需要客户配合或关注的地方等。方案细化后再次知会客户并取得客户同意授权才能进行下一步操作。1.1.3.1.4.4 渗透测试的实施在取得客户同意后, 开始具体的实施过程, 包括如下几方面内容: 获得目标系统权限 后门木马植入, 保持控制权 跳板渗透, 进一步扩展攻击成果 获取敏感信息数据或资源在实施过程中, 特别提请注意的是采取的渗透测试技术及手段一定不能导致对象的业务中断和工作异常, 必须对对象的状态进行实时监控,
17、必要的情况下能够要求客户协助进行。1.1.3.1.5 渗透测试报告渗透测试之后, 针对每个系统需要向客户提供一份渗透测试报告相关系统网络渗透测试报告, 报告十分详细的说明渗透测试过程中的得到的数据和信息, 而且将会详细的纪录整个渗透测试的全部操作。渗透测试报告应包含如下内容: 渗透结论包括目标系统的安全状况、 存在的问题、 渗透测试的结果等渗透测试项目的介绍包括项目情况、 时间、 参与人员、 操作地点等渗透测试过程包括渗透测试的各个实施阶段中的方法、 工具、 技术及其操作细节等渗透测试的证据渗透测试的一些过程及证明文件解决方案针对渗透测试中发现的问题给出对应的解决办法和建议附录部分渗透测试中的
18、一些其它相关内容, 如异常事件的记录和处理等1.1.3.2 三同步工作包括网络部、 业务支撑与信息部, 兼顾全部区公司新上线系统基线达标检查, 新上线设备安全配置核查, 各域新业务上线安全检查。1.1.3.2.1 新业务上线安全检查目标在新业务上线前, 对相关的IT设备、 业务系统应用进行安全检查, 确保业务系统安全的入网上线, 符合集团及上级机关的安全要求。1.1.3.2.2 新业务上线安全检查范围针对新系统/设备上线, 提供安全检查技术服务, 检查范围涵盖新系统/设备的以下方面: (1) 检查对象包括新业务系统的应用程序代码、 承载新业务运行的IT设备, 包括网络及安全设备、 主机系统、
19、数据库和中间件(2) 检查内容包含IT设备的安全基线配置、 安全漏洞1.1.3.2.3 新业务上线安全检查内容需提供管理支撑系统上线前安全检查服务。(1) 对现有的核心系统新版本上线进行上线前安全检查: 对管理支撑网所有涉及重要核心系统, 包括: 网络部、 业务支撑与信息部, 兼顾全部区公司新上线系统基线达标检查, 新上线设备安全配置核查, 各域新业务上线安全检查; (2) 对新上线的业务系统及新上线设备提供以下服务: 安全漏洞检查, 提供加固建议; 安全配置合规检查, 依据集团安全配置规范, 并提供相关系统的针对性加固规范书; 应用系统配置安全检查; 新上线业务如有互联网IP, 须在互联网渗
20、透测试; 新业务的安全域规划和边界访问控制策略; 网络改造协助提供安全审计、 建议和整改方案; 新上线业务如有web网站, 对网站程序全面检查, 提供应用安全加固建议; 1.1.3.3 安全运维1.1.3.3.1 执行运维作业计划1、 定期巡检设备, 每周一次。2、 执行天、 周、 月作业计划。3、 定期开展设备升级和安全加固工作。1.1.3.3.2 设备运行运维网络部、 业务支撑与信息系统部安全设备运行运维, 提供安全事态周, 月, 季度报表并汇总输出, 分析安全事态提供决策依据, 及时处理安全事件; 安全漏洞监测及新漏洞通告服务, 安全预警服务, 应急演练, 应对上级安全检查准备工作。1、
21、 安全集中整合平台( 包括漏洞扫描器、 防病毒和补丁、 WEB安全监测系统、 web防篡改、 SOC、 安全域网络设备) ; 2、 垃圾短信拦截平台协助运维; 3、 重要系统IDS、 流量清洗设备运维( IDS、 CMENT、 DNS、 网厅) ; 4、 僵木蠕系统监测等。1.1.3.3.2.1 设备运维目标及内容经过定期升级, 对云定制化安全设备进行日常运维支撑, 满足高可用、 易用等使用要求。具体内容如下: 按规定周期定期检查并总结设备规则版本及系统版本, 并将规则版本升级至官方推荐版本、 将系统版本( 引擎版本) 升级至官方推荐版本, 并定期输出安全设备版本运维记录。定期进行安全设备状态
22、检查、 策略检查、 接入检查、 配置合规检查、 配置备份、 日志统计各项工作, 并定期输出安全设备运营运维记录。结合云网络与业务特征优化安全设备告警监控指标和处理方法, 指导针对云计算环境下出现的新类型安全事件的分析及解决, 不定期输出安全设备运营优化建议。1.1.3.3.2.2 设备运维服务流程采用的服务方式为两种: 一种为技术人员现场值守, 另一种是定期巡检结合故障现场服务。技术人员现场值守运行运维服务的基本操作流程如下图所示: 定期巡检结合故障现场运行运维服务的基本操作流程如下图所示: 1.1.3.3.2.3 网络、 安全系统运维从网络的连通性、 网络的性能、 网络的监控管理三个方面实现
23、对网络系统的运维管理。网络、 安全系统基本服务内容: 序号服务模块内容描述1现场备件安装配合进行, 按备件到达现场时间工程师到达现场2现场软件升级首先分析软件升级的必要性和风险, 配合进行软件升级3现场故障诊断按服务级别: 724小时 58小时4电话远程技术支持724小时5问题管理系统对遇到的问题进行汇总和发布( 1) 现场技术人员值守根据的需求提供长期的现场技术人员值守服务, 保证网络的实时连通和可用, 保障接入交换机、 汇聚交换机和核心交换机的正常运转。现场值守的技术人员每天记录网络交换机的端口是否能够正常使用, 网络的转发和路由是否正常进行, 交换机的性能检测, 进行整体网络性能评估,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 信息 安全 管理中心 值守 技术 方案 模板
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。