- 相關(guān)推薦
信息安全服務(wù)方案
為了確保工作或事情有序地進行,時常需要預(yù)先制定方案,方案是計劃中內(nèi)容最為復(fù)雜的一種。那么我們該怎么去寫方案呢?下面是小編幫大家整理的信息安全服務(wù)方案,僅供參考,大家一起來看看吧。
對網(wǎng)絡(luò)安全設(shè)備等安全配置進行巡檢,對不符合安全基線要求的應(yīng)用中間件提出改進建議,并監(jiān)督相關(guān)廠商進行改進。以下是我公司安全巡檢模板,對不符合數(shù)據(jù)中心要求的地方,可以根據(jù)實際情況和廠家、用戶方一起進行修訂。安全巡檢包括:
對掃描范圍內(nèi)的系統(tǒng)、服務(wù)已知的漏洞進行測試來判斷遭受攻擊的可能性。
設(shè)備巡檢包括:網(wǎng)絡(luò)設(shè)備硬件配置檢查、網(wǎng)絡(luò)設(shè)備功能性檢查、安全設(shè)備硬件配置檢查、安全設(shè)備功能性檢查、服務(wù)器配置檢查、存儲設(shè)備檢測、網(wǎng)絡(luò)性能分析、安全系統(tǒng)性能分析、服務(wù)器性能分析、數(shù)據(jù)備份巡檢等。
對設(shè)備進行巡檢,對不符合安全極限要求需提出改進意見。
在網(wǎng)絡(luò)安全體系的建設(shè)中,安全掃描工具花費代、效果好、見效快,與網(wǎng)絡(luò)的運行相對獨立,安裝運行簡單,要以大規(guī)模減少安全管理的手工勞動,有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定,是進行風險分析的有力工具。
在服務(wù)過程中,安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進行安全掃描,從內(nèi)網(wǎng)和外網(wǎng)兩個角度來查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機、數(shù)據(jù)和用戶帳號/口令等安全對像目標存在的安全風險、漏洞和威脅。
從網(wǎng)絡(luò)層次的角度來看,掃描項目涉及了如下三個層面的安全問題。
該層的安全問題來自網(wǎng)絡(luò)運行的操作系統(tǒng):UNIX系列、Linux系列、Windows系列以及專用操作系統(tǒng)等。安全性問題表現(xiàn)在兩方面:一是操作系統(tǒng)本身的不安全因素,主要包括身份認證、訪問控制、系統(tǒng)漏洞等;二是操作系統(tǒng)的安全配置存在問題。
訪問控制:注冊表普通用戶可寫,遠程主機允許匿名FTP登錄,F(xiàn)TP服務(wù)器存在匿名可寫目錄等。
安全配置問題:部分SMB用戶存在弱口令,管理員帳號不需要密碼等。
該層的安全問題主要指網(wǎng)絡(luò)信息的安全性,包括網(wǎng)絡(luò)層身份認證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋C芘c完整性、遠程接入、路由系統(tǒng)的安全、入侵檢查的手段等。
域名系統(tǒng):ISC BIND SIG資源記錄無效過期時間拒絕服務(wù)攻擊漏洞,Windows DNS拒絕服務(wù)攻擊。
路由器:cisco IOS Web配置接口安全認證可繞過,路由器交換機采用默認密碼或弱密碼等。
該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)器所采用的應(yīng)用軟件和數(shù)據(jù)的安全性,包括:數(shù)據(jù)庫軟件、WEB服務(wù)、電子郵件、域名系統(tǒng)、應(yīng)用系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。
數(shù)據(jù)庫軟件:Oracle Tnslsnr沒有配置口令,MSSQL 20xx sa帳號沒有設(shè)置密碼。
WEB服務(wù):SQL注入攻擊、跨站腳本攻擊、基于WEB的DOS攻擊。
為了確保掃描的可靠性和安全性,我公司將根據(jù)數(shù)據(jù)中心信息系統(tǒng)業(yè)務(wù)情況,與用戶一起制定掃描計劃。掃描計劃主要包括掃描開始時間、掃描對象、預(yù)計結(jié)束時間、掃描項目、預(yù)期影響、需要用戶提供配合等。
在實際開始安全掃描時,我公司會正式通知數(shù)據(jù)中心接口人。我公司將按照預(yù)定安全掃描計劃,在規(guī)定時間內(nèi)進行并完成掃描工作。如遇到特殊情況(如設(shè)備問題、停電、網(wǎng)絡(luò)中斷等不可預(yù)知的狀況)不能按時完成掃描計劃或其他原因?qū)е掳踩珤呙韫ぷ鳠o法正常進行時,由雙方臨時協(xié)商予以解決。
在實施安全掃描服務(wù)的過程中,我公司擁有完善的風險規(guī)避措施,避免在掃描過程中對客戶網(wǎng)絡(luò)或業(yè)務(wù)系統(tǒng)造成不必要的影響。
派遣有豐富安全掃描經(jīng)驗的安全工程師進行安全掃描操作;
采用的掃描工具是通過國家權(quán)威測評機構(gòu)認可的商用掃描工具;
我公司會根據(jù)客戶實際情況在保證掃描效果的前提下,配置科學(xué)、高效的掃描策略,同時根據(jù)客戶業(yè)務(wù)的實際情況在非業(yè)務(wù)高峰期實施。
通過使用安全掃描工具或其他手段對數(shù)據(jù)中心信息系統(tǒng)進行脆弱性評估,查獲安全設(shè)備及系統(tǒng)的漏洞對應(yīng)及分布情況,并提供可操作的安全建議或臨時解決辦法,達到保護數(shù)據(jù)中心信息系統(tǒng)安全的目的。
滲透測試服務(wù),是在用戶授權(quán)的前提下,以模擬黑客攻擊的方式,對用戶業(yè)務(wù)系統(tǒng)的安全漏洞、安全隱患進行全面檢測,最終目標是查找業(yè)務(wù)系統(tǒng)的安全漏洞、評估業(yè)務(wù)系統(tǒng)的安全狀態(tài)、提供漏洞修復(fù)建議。
在滲透過程中,我們會采用業(yè)界領(lǐng)先的漏洞檢測技術(shù)、攻擊技術(shù)、攻擊工具和我公司安全團隊編寫的腳本。過程分為四步:計劃與準備、信息收集、實施滲透、輸出報告。計劃與準備階段主要是根據(jù)業(yè)務(wù)系統(tǒng)反饋的內(nèi)容制定項目實施方案與計劃;信息收集與實施滲透是項目的實施階段,輸出報告主要是匯總和評估項目中發(fā)現(xiàn)的安全威脅,并輸出文檔。
信息探測階段包括信息收集,端口、服務(wù)掃描,計算機漏洞檢測,此階段主要做滲透前的踩點用。
Maltego,搜集管理員email、tel、常用id,網(wǎng)絡(luò)拓撲等
Nmap,端口、服務(wù)掃描,弱口令破解,系統(tǒng)信息探測
X-scan,端口、服務(wù)掃描,弱口令破解,系統(tǒng)信息探測
Scanner1000,我公司開發(fā)的漏洞檢測產(chǎn)品,支持系統(tǒng)漏洞檢測,Web漏洞檢測等一系列功能
通過對目標地址的TCP/UDP端口掃描,確定其所開放的服務(wù)的數(shù)量和類型,這是所有滲透測試的基礎(chǔ)。通過端口掃描,可以基本確定一個系統(tǒng)的基本信息,結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點,為進行深層次的滲透提供依據(jù)。
口令猜測也是一種出現(xiàn)概率很高的風險,幾乎不需要任何攻擊工具,利用一個簡單的暴力攻擊程序和一個比較完善的字典,就可以猜測口令。
對一個系統(tǒng)賬號的猜測通常包括兩個方面:首先是對用戶名的猜測,其次是對密碼的猜測。
腳本測試專門針對Web服務(wù)器進行。根據(jù)最新的技術(shù)統(tǒng)計,腳本安全弱點為當前Web系統(tǒng)尤其存在動態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴重的安全弱點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限,重則將有可能取得系統(tǒng)的控制權(quán)限。因此對于含有動態(tài)頁面的Web系統(tǒng),腳本測試將是必不可少的一個環(huán)節(jié)。
Hydra,暴力破解工具,支持Samba, FTP, POP3, IMAP, Telnet, HTTP Auth, LDAP, NNTP, MySQL, VNC, ICQ, Socks5, PCNFS, Cisco等多種協(xié)議的暴力破解
人工滲透,主要針對系統(tǒng)的業(yè)務(wù)邏輯漏洞進行安全測試,利用業(yè)務(wù)邏輯漏洞查找可準確、切實的找出業(yè)務(wù)中存在的安全隱患,避免被惡意用戶利用,對系統(tǒng)造成重大損失。
源代碼審計服務(wù)主要分為四個階段,包括代碼審計前期準備階段、代碼審計階段實施、復(fù)查階段實施以及成果匯報階段:
在實施代碼審計工作前,技術(shù)人員會和客戶對代碼審計服務(wù)相關(guān)的技術(shù)細節(jié)進行詳細溝通。由此確認代碼審計的方案,方案內(nèi)容主要包括確認的代碼審計范圍、最終對象、審計方式、審計要求和時間等內(nèi)容。
在源代碼審計實施過程中,技術(shù)人員首先使用代碼審計的掃描工具對源代碼進行掃描,完成初步的信息收集,然后由人工的方式對源代碼掃描結(jié)果進行人工的分析和確認。
根據(jù)收集的各類信息對客戶要求的重要功能點進行人工代碼審計。
結(jié)合自動化源代碼掃描和人工代碼審計兩方的結(jié)果,代碼審計服務(wù)人員需整理代碼審計服務(wù)的輸出結(jié)果并編制代碼審計報告,最終提交客戶和對報告內(nèi)容進行溝通。
經(jīng)過第一次代碼審計報告提交和溝通后,等待客戶針對代碼審計發(fā)現(xiàn)的問題整改或加固。經(jīng)整改或加固后,代碼審計服務(wù)人員進行回歸檢查,即二次檢查。檢查結(jié)束后提交給客戶復(fù)查報告和對復(fù)查結(jié)果進行溝通。
根據(jù)一次代碼審計和二次復(fù)查結(jié)果,整理代碼審計服務(wù)輸出成果,最后匯總形成《信息系統(tǒng)代碼審計報告》 。
為了有效保障網(wǎng)絡(luò)的安全運行,在對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行安全檢測后,需要對發(fā)現(xiàn)的安全風險進行修復(fù)。
安全加固服務(wù),是指根據(jù)安全加固列表,對目標系統(tǒng)的安全漏洞對進行修復(fù)、配置隱患進行優(yōu)化的過程。加固內(nèi)容包括但不限于系統(tǒng)補丁、防火墻、防病毒、危險服務(wù)、共享、自動播放、密碼安全。
安全加固是保證設(shè)備和系統(tǒng)安全運行的關(guān)鍵防護措施,通常情況下,操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備,都需要進行安全加固。
我公司可進行安全加固的操作系統(tǒng)包括Windows、Linux、AIX、HP-Unix、Solaris。操作系統(tǒng)的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的操作系統(tǒng)安全加固規(guī)范。
我公司可進行安全加固的數(shù)據(jù)庫系統(tǒng)包括Oracle、SQL Server、DB2。數(shù)據(jù)庫的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的數(shù)據(jù)庫安全加固規(guī)范。
我公司可進行安全加固的中間件系統(tǒng)包括Tomcat、Apache、WebLogic、WebSphere。中間件系統(tǒng)的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的中間件安全加固規(guī)范。
我公司可進行安全加固的網(wǎng)絡(luò)設(shè)備包括主流廠商的路由器、交換機。網(wǎng)絡(luò)設(shè)備的加固內(nèi)容如下表所示,詳細的加固列表可參見我公司的網(wǎng)絡(luò)設(shè)備安全加固規(guī)范。
我公司可進行安全加固的安全設(shè)備是主流廠商的防火墻,如Juniper、天融信、Cisco ASA等。安全設(shè)備的加固內(nèi)容如下表所示,具體的加固列表可參見我公司的安全設(shè)備安全加固規(guī)范。
成立由多方人員組成的安全加固項目組,協(xié)調(diào)處理本項目的開展和實施。項目組成員包括:
確認本次安全加固項目的目標、范圍、IP地址和其他相關(guān)信息。
確認加固目標后,收集加固目標的以下信息,為評估安全加固的風險做準備。
同時,根據(jù)前期的安全風險評估報告,收集并分析加固目標的漏洞信息。
如果前期有安全風險評估報告,與用戶協(xié)商后,此步驟可省略。
如果前期沒有相關(guān)的風險評估報告,則需要對加固目標進行漏洞掃描,以查找加固目標存在的安全漏洞和隱患。
根據(jù)收集的信息制定合理的加固方案,包括時間安排、流程、操作方法等。
為防止加固可能引起的不良后果,因此需要制定回退方案和應(yīng)急方案,回退方案用于加固導(dǎo)致系統(tǒng)不可用時將系統(tǒng)回退到加固前的狀態(tài),應(yīng)急方案用于處理其他不可控的情況(包括加固失敗后無法回退)。
由安全加固項目組成員一起對提交的加固方案和風險規(guī)避方案進行研討,確認每項加固措施和操作方法的可行性,分析安全風險,提出改進建議,完善實施方案。
對于重要的系統(tǒng)或比較危險的加固操作,可以進行加固測試,通過加固測試后才能在被加固設(shè)備上進行操作,加固測試包括:
實際操作時可以選擇同樣目的的不同加固方法同時進行測試,根據(jù)測試結(jié)果選擇最優(yōu)的加固方法。
將最終的實施方案提交給業(yè)主方負責領(lǐng)導(dǎo)人,進行方案報批,報批通過后才能正式實施。
對于重要的系統(tǒng),為了能夠在加固失敗的情況下快速回退或恢復(fù)系統(tǒng),必須在事前進行相應(yīng)的備份,備份內(nèi)容包括且不僅限于重要系統(tǒng)的備份、重要配置的備份、重要數(shù)據(jù)的備份。
根據(jù)對應(yīng)的安全加固列表,對系統(tǒng)和設(shè)備進行實施具體的安全加固操作。
加固完成后,與用戶方人員一起,確認系統(tǒng)、設(shè)備、應(yīng)用的可用性,并觀察一段時間,待確認正常運行后,加固人員才可以離開現(xiàn)場。
為確保加固有效,在加固全部完成后,對加固范圍的系統(tǒng)和設(shè)備再進行一次漏洞掃描,以對加固效果進行檢驗。
整理并編寫安全加固過程中的報告,并提交給用戶。報告大致如下,但根據(jù)項目的不同,報告可能存在差異。
將安全加固過程中,記錄的所有文檔提交給用戶,下表是安全加固過程中的記錄表。
安全加固后,我公司為用戶提供的安全建議或解決方案。
客戶任務(wù)安保期間,我公司派專業(yè)安全工程師提供7*24小時駐場服務(wù),監(jiān)控維護信息系統(tǒng)運行,發(fā)現(xiàn)安全風險立刻向客戶匯報,并進行安全應(yīng)急操作,保障客戶信息系統(tǒng)的安全。
處于接入層面的網(wǎng)絡(luò)、安全設(shè)備及鏈路;處于匯聚層面的網(wǎng)絡(luò)、安全設(shè)備及鏈路,內(nèi)部應(yīng)用服務(wù)器;處于核心層面的網(wǎng)絡(luò)、安全設(shè)備及鏈路,同時包括所有外接鏈路,DMZ區(qū)域
對服務(wù)范圍內(nèi)的所有網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器、存儲設(shè)備及電源設(shè)備等進行檢查,確保提前發(fā)現(xiàn)故障隱患;檢查機房的溫度、濕度和防塵情況。
客戶向我公司提出任務(wù)安保服務(wù),包括服務(wù)時間段、安全保障范圍、安保任務(wù)強度;
我公司有一批專業(yè)的安全服務(wù)隊伍,非常注重對最新安全技術(shù)及安全信息的發(fā)現(xiàn)和追蹤,并通過服務(wù)的平臺與客戶及時交流,幫助客戶保持領(lǐng)先的安全理念。為客戶提供定期的安全信息通告服務(wù)。安全信息中會包括最新的安全公告,病毒信息,漏洞信息等內(nèi)容。安全通告以郵件、電話、走訪等方式,將安全技術(shù)和安全信息及時傳遞給客戶。
1.客戶的操作系統(tǒng)、應(yīng)用、設(shè)備等的最新安全漏洞和相應(yīng)的解決措施
2.收集外界最新的安全公告,病毒信息,漏洞信息等內(nèi)容,形成“外界安全動態(tài)”;
3分析業(yè)主網(wǎng)絡(luò)系統(tǒng)與“外界安全動態(tài)”的利害關(guān)系;
4.將與業(yè)主有利害關(guān)系的信息與分析結(jié)果通告與客戶。
安全風險評估是對網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全漏洞、安全隱患、安全風險,進行探測、識別、控制、消除的全過程,它從風險管理角度,運用科學(xué)的方法和手段,系統(tǒng)地分析網(wǎng)絡(luò)與應(yīng)用系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。
安全風險評估的內(nèi)容,包括網(wǎng)絡(luò)拓撲架構(gòu)、安全域規(guī)劃、邊界防護、安全防護措施、核心設(shè)備安全配置、設(shè)備脆弱性等,從而全面評估網(wǎng)絡(luò)的安全現(xiàn)狀,查找安全隱患。
資產(chǎn)的價值、對資產(chǎn)的威脅和威脅發(fā)生的可能性、資產(chǎn)脆弱性、現(xiàn)有的安全控制提供的保護,風險評估過程是綜合以上因素而導(dǎo)出風險的過程。
調(diào)研階段,通過人工訪談等方式,從后果的角度出發(fā),概要的評估可能存在的風險。
詳細的風險評估是對資產(chǎn)、威脅和脆弱點進行詳細的識別和估價,評估結(jié)果被用于評估風險和安全控制的識別和選擇。通過識別資產(chǎn)的風險并將風險降低到可接受水平,來證明管理者所采用的安全控制是適當?shù)摹?/p>
確定風險數(shù)值的大小不是風險評估的最終目的,重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對值,即要確定不同風險的優(yōu)先次序或等級,對于風險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。
風險等級在本項目中采用分值計算表示。分值越大,風險越高。下面是風險等級表:
主要參照ISO27001等國際標準,根據(jù)安全評估結(jié)果為用戶提供咨詢規(guī)劃服務(wù),及信息安全解決方案,幫助用戶建立符合自身需求和國際標準要求的信息安全管理體系(ISMS)和持續(xù)性信息系統(tǒng)性能、網(wǎng)絡(luò)架構(gòu)的優(yōu)化專業(yè)建議。
安全管理制度是安全管理體系的核心,依據(jù)國家等級保護政策的要求,分五個步驟(落實安全責任、管理現(xiàn)狀分析、制度安全策略和制度、落實安全管理措施、安全自檢與調(diào)整)實現(xiàn)安全管理制度建設(shè)。
明確領(lǐng)導(dǎo)機構(gòu)和責任部門,包括設(shè)立或明確信息安全領(lǐng)導(dǎo)機構(gòu),明確主管領(lǐng)導(dǎo),落實責任部門。建立崗位和人員管理制度,根據(jù)責任分工,分別設(shè)置安全管理機構(gòu)和崗位,明確每個崗位的責任和人文,落實安全管理責任制。
通過開展信息系統(tǒng)安全管理現(xiàn)狀分析,查找信息系統(tǒng)安全管理建設(shè)整改需要解決的問題,明確信息系統(tǒng)安全管理建設(shè)整改的需求。
依據(jù)等級保護基本要求的標準,采取對照檢查、風險評估、等級測評等方法,分析判斷目前采取的安全管理措施與等級保護標準要求之間的差距,分析系統(tǒng)已發(fā)生的時間或事故,分析安全管理方面存在的問題,形成安全管理建設(shè)整改的需求并論證。
根據(jù)安全管理需求,確定安全管理目標和安全策略,針對信息系統(tǒng)的各類管理活動,制定人員安全管理制度,明確人員錄用、離崗、考核、培訓(xùn)等管理內(nèi)容;制定系統(tǒng)建設(shè)管理制度,明確系統(tǒng)定級備案、方案設(shè)計、產(chǎn)品采購使用、密碼使用、軟件開發(fā)、工程實施、驗收交付、等級測評、安全服務(wù)等管理內(nèi)容;制定系統(tǒng)運維管理制度,明確機房環(huán)境安全、存儲介質(zhì)安全、設(shè)備設(shè)施安全、安全監(jiān)控、惡意代碼防范、備份與恢復(fù)、應(yīng)急預(yù)案等管理內(nèi)容;制度定期檢查制度,明確檢查內(nèi)容、方法、要求等,檢查各項制度、措施的落實情況,并不斷完善。規(guī)范安全管理人員或操作人員的操作規(guī)程等,形成安全管理體系。
人員安全管理:包括人員錄入、離崗、考核、教育培訓(xùn)等內(nèi)容。規(guī)范人員錄用、離崗、過程、管家崗位簽署保密協(xié)議;對各類人員進行安全意識教育、崗位技能培訓(xùn);對關(guān)鍵崗位進行全面的嚴格的審查和技能考核;對外部人員允許訪問的區(qū)域、系統(tǒng)、設(shè)備、信息等進行控制。
系統(tǒng)運維管理:落實環(huán)境和資產(chǎn)安全管理、設(shè)備和介質(zhì)安全管理、日常運行維護、集中安全管理、時間處置與應(yīng)急響應(yīng)、災(zāi)難備份、實時監(jiān)測、其他安全管理
系統(tǒng)建設(shè)管理:系統(tǒng)建設(shè)管理的重點是與系統(tǒng)建設(shè)活動相關(guān)的過程管理。由于主要的建設(shè)活動是由服務(wù)方(如集成方、開發(fā)方、測評方、安全服務(wù)方)完成的,運營使用單位人員的主要工作上對其進行管理,應(yīng)此,應(yīng)制度系統(tǒng)建設(shè)相關(guān)的管理制度。
制定安全檢查制度,明確檢查的內(nèi)容、方式、要求等,檢查各項制度、措施的落實情況并不不斷完善。
【信息安全服務(wù)方案】相關(guān)文章:
學(xué)生信息安全培養(yǎng)方案(精選5篇)05-04
食品安全售后服務(wù)方案大全05-06
課后服務(wù)信息化建設(shè)實施方案范文(精選5篇)08-19
課后服務(wù)信息化建設(shè)實施方案(通用6篇)08-29
信息安全意識培養(yǎng)方案范文(精選13篇)09-29
項目服務(wù)方案10-05
金融服務(wù)方案10-04
小學(xué)信息培訓(xùn)方案02-29
學(xué)校課后服務(wù)安全工作實施方案(精選9篇)05-17
售后服務(wù)方案07-29