1、安全巡检服务
对网络安全设备等安全配置进行巡检,对不符合安全基线要求的应用中间件提出改进建议,并监督相关厂商进行改进。以下是我公司安全巡检模板,对不符合数据中心要求的地方,可以根据实际情况和厂家、用户方一起进行修订。安全巡检包括:
执行网络扫描识别扫描范围中的所有系统、服务。
对扫描范围内的系统、服务进行信息收集。
对扫描范围内的系统、服务已知的漏洞进行测试来判断遭受攻击的可能性。
提供安全漏洞修补建议。
提供安全扫描报告,安全风险趋势分析
设备巡检包括:网络设备硬件配置检查、网络设备功能性检查、安全设备硬件配置检查、安全设备功能性检查、服务器配置检查、存储设备检测、网络性能分析、安全系统性能分析、服务器性能分析、数据备份巡检等。
对设备进行巡检,对不符合安全极限要求需提出改进意见。
2、安全扫描服务
在网络安全体系的建设中,安全扫描工具花费代、效果好、见效快,与网络的运行相对独立,安装运行简单,要以大规模减少安全管理的手工劳动,有利于保持全网安全*策的统一和稳定,是进行风险分析的有力工具。
在服务过程中,安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对像目标存在的安全风险、漏洞和威胁。
安全扫描服务主要内容为:
网络设备与防火墙
Web服务
文件服务
域名服务
Mail服务
Windows远程访问
数据库问题
其他服务
从网络层次的角度来看,扫描项目涉及了如下三个层面的安全问题。
1、系统层安全
该层的安全问题来自网络运行的操作系统:UNIX系列、Linux系列、Windows系列以及专用操作系统等。安全性问题表现在两方面:一是操作系统本身的不安全因素,主要包括身份认证、访问控制、系统漏洞等;二是操作系统的安全配置存在问题。
身份认证:通过Telnet进行口令猜测等。
访问控制:注册表普通用户可写,远程主机允许匿名FTP登录,FTP服务器存在匿名可写目录等。
系统漏洞:Windows缓冲出溢出漏洞。
安全配置问题:部分SMB用户存在弱口令,管理员帐号不需要密码等。
2、网络层安全
该层的安全问题主要指网络信息的安全性,包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入、路由系统的安全、入侵检查的手段等。
网络资源的访问控制:检测到无线访问点。
域名系统:ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞,WindowsDNS拒绝服务攻击。
路由器:ciscoIOSWeb配置接口安全认证可绕过,路由器交换机采用默认密码或弱密码等。
3、应用层安全
该层的安全考虑网络对用户提供服务器所采用的应用软件和数据的安全性,包括:数据库软件、WEB服务、电子邮件、域名系统、应用系统、业务应用软件以及其它网络服务系统等。
数据库软件:OracleTnslsnr没有配置口令,MSSQLsa帐号没有设置密码。
WEB服务:SQL注入攻击、跨站脚本攻击、基于WEB的DOS攻击。
为了确保扫描的可靠性和安全性,我公司将根据数据中心信息系统业务情况,与用户一起制定扫描计划。扫描计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要用户提供配合等。
在实际开始安全扫描时,我公司会正式通知数据中心接口人。我公司将按照预定安全扫描计划,在规定时间内进行并完成扫描工作。如遇到特殊情况(如设备问题、停电、网络中断等不可预知的状况)不能按时完成扫描计划或其他原因导致安全扫描工作无法正常进行时,由双方临时协商予以解决。
安全扫描主要步骤为:
根据用户实际情况及要求,确定安全扫描实施范围;
根据扫描对象选择适合的扫描工具及策略;
制订详细的扫描方案,主要包括:
扫描范围
扫描时间
实施人员
扫描工具部署位置
扫描策略
风险规避措施
根据安全扫描的结果,编制《安全扫描报告》。
风险规避措施
在实施安全扫描服务的过程中,我公司拥有完善的风险规避措施,避免在扫描过程中对客户网络或业务系统造成不必要的影响。
派遣有丰富安全扫描经验的安全工程师进行安全扫描操作;
采用的扫描工具是通过国家权威测评机构认可的商用扫描工具;
我公司会根据客户实际情况在保证扫描效果的前提下,配置科学、高效的扫描策略,同时根据客户业务的实际情况在非业务高峰期实施。
通过使用安全扫描工具或其他手段对数据中心信息系统进行脆弱性评估,查获安全设备及系统的漏洞对应及分布情况,并提供可操作的安全建议或临时解决办法,达到保护数据中心信息系统安全的目的。
3、渗透测试服务
渗透测试服务,是在用户授权的前提下,以模拟黑客攻击的方式,对用户业务系统的安全漏洞、安全隐患进行全面检测,最终目标是查找业务系统的安全漏洞、评估业务系统的安全状态、提供漏洞修复建议。
在渗透过程中,我们会采用业界领先的漏洞检测技术、攻击技术、攻击工具和我公司安全团队编写的脚本。过程分为四步:计划与准备、信息收集、实施渗透、输出报告。计划与准备阶段主要是根据业务系统反馈的内容制定项目实施方案与计划;信息收集与实施渗透是项目的实施阶段,输出报告主要是汇总和评估项目中发现的安全威胁,并输出文档。
我公司提供的渗透测试服务,采用的测试方法如下。
1、信息搜集
信息探测阶段包括信息收集,端口、服务扫描,计算机漏洞检测,此阶段主要做渗透前的踩点用。
使用工具:
Maltego,搜集管理员email、tel、常用id,网络拓扑等
Nmap,端口、服务扫描,弱口令破解,系统信息探测
X-scan,端口、服务扫描,弱口令破解,系统信息探测
P0f,系统识别
Appscan,Web漏洞检测程序
WVS,Web漏洞检测程序
W3AF,Web漏洞检测程序
Scanner,我公司开发的漏洞检测产品,支持系统漏洞检测,Web漏洞检测等一系列功能
2、端口扫描
通过对目标地址的TCP/UDP端口扫描,确定其所开放的服务的数量和类型,这是所有渗透测试的基础。通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点,为进行深层次的渗透提供依据。
3、口令猜测
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。
对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。
4、脚本测试
脚本测试专门针对Web服务器进行。根据最新的技术统计,脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限,重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统,脚本测试将是必不可少的一个环节。
Hydra,暴力破解工具,支持Samba,FTP,POP3,IMAP,Telnet,HTTPAuth,LDAP,NNTP,MySQL,VNC,ICQ,Socks5,PCNFS,Cisco等多种协议的暴力破解
Metasploit,溢出程序利用平台
菜刀,Webshell功力工具
Pwdump7,读取系统HASH
Cain,内网sniffer工具
Disniff,linux下嗅探工具
5、人工渗透
人工渗透,主要针对系统的业务逻辑漏洞进行安全测试,利用业务逻辑漏洞查找可准确、切实的找出业务中存在的安全隐患,避免被恶意用户利用,对系统造成重大损失。
4、代码审计服务
源代码审计服务主要分为四个阶段,包括代码审计前期准备阶段、代码审计阶段实施、复查阶段实施以及成果汇报阶段:
前期准备阶段
在实施代码审计工作前,技术人员会和客户对代码审计服务相关的技术细节进行详细沟通。由此确认代码审计的方案,方案内容主要包括确认的代码审计范围、最终对象、审计方式、审计要求和时间等内容。
代码审计阶段实施
在源代码审计实施过程中,技术人员首先使用代码审计的扫描工具对源代码进行扫描,完成初步的信息收集,然后由人工的方式对源代码扫描结果进行人工的分析和确认。
根据收集的各类信息对客户要求的重要功能点进行人工代码审计。
结合自动化源代码扫描和人工代码审计两方的结果,代码审计服务人员需整理代码审计服务的输出结果并编制代码审计报告,最终提交客户和对报告内容进行沟通。
复测阶段实施
经过第一次代码审计报告提交和沟通后,等待客户针对代码审计发现的问题整改或加固。经整改或加固后,代码审计服务人员进行回归检查,即二次检查。检查结束后提交给客户复查报告和对复查结果进行沟通。
成果汇报阶段
根据一次代码审计和二次复查结果,整理代码审计服务输出成果,最后汇总形成《信息系统代码审计报告》。
5、安全加固服务
为了有效保障网络的安全运行,在对操作系统、数据库、中间件、网络设备、安全设备进行安全检测后,需要对发现的安全风险进行修复。
安全加固服务,是指根据安全加固列表,对目标系统的安全漏洞对进行修复、配置隐患进行优化的过程。加固内容包括但不限于系统补丁、防火墙、防病*、危险服务、共享、自动播放、密码安全。
安全加固是保证设备和系统安全运行的关键防护措施,通常情况下,操作系统、数据库、中间件、网络设备、安全设备,都需要进行安全加固。
1、操作系统加固内容
我公司可进行安全加固的操作系统包括Windows、Linux、AIX、HP-Unix、Solaris。操作系统的加固内容如下表所示,详细的加固列表可参见我公司的操作系统安全加固规范。
2、数据库安全加固
我公司可进行安全加固的数据库系统包括Oracle、SQLServer、DB2。数据库的加固内容如下表所示,详细的加固列表可参见我公司的数据库安全加固规范。
3、中间件安全加固
我公司可进行安全加固的中间件系统包括Tomcat、Apache、WebLogic、WebSphere。中间件系统的加固内容如下表所示,详细的加固列表可参见我公司的中间件安全加固规范。
4、网络设备安全加固
我公司可进行安全加固的网络设备包括主流厂商的路由器、交换机。网络设备的加固内容如下表所示,详细的加固列表可参见我公司的网络设备安全加固规范。
5、安全设备安全加固
我公司可进行安全加固的安全设备是主流厂商的防火墙,如Juniper、天融信、CiscoASA等。安全设备的加固内容如下表所示,具体的加固列表可参见我公司的安全设备安全加固规范。
安全加固服务流程
1、前期准备
l成立项目组
成立由多方人员组成的安全加固项目组,协调处理本项目的开展和实施。项目组成员包括:
我公司安全加固人员
用户方安全管理员
用户方系统管理员
系统设备维护厂商
l加固目标确认
确认本次安全加固项目的目标、范围、IP地址和其他相关信息。
l加固目标信息收集
确认加固目标后,收集加固目标的以下信息,为评估安全加固的风险做准备。
加固目标的操作系统类型,补丁升级情况;
加固目标的应用环境,包括应用系统及相关权限;
加固目标的运行环境,包括网络环境及其它访问关系;
加固目标的重要系统配置文件、配置信息。
同时,根据前期的安全风险评估报告,收集并分析加固目标的漏洞信息。
l加固前漏洞扫描(一次评估)
如果前期有安全风险评估报告,与用户协商后,此步骤可省略。
如果前期没有相关的风险评估报告,则需要对加固目标进行漏洞扫描,以查找加固目标存在的安全漏洞和隐患。
2、方案制定
l安全加固方案
根据收集的信息制定合理的加固方案,包括时间安排、流程、操作方法等。
l风险规避方案
为防止加固可能引起的不良后果,因此需要制定回退方案和应急方案,回退方案用于加固导致系统不可用时将系统回退到加固前的状态,应急方案用于处理其他不可控的情况(包括加固失败后无法回退)。
l方案协商审核
由安全加固项目组成员一起对提交的加固方案和风险规避方案进行研讨,确认每项加固措施和操作方法的可行性,分析安全风险,提出改进建议,完善实施方案。
l加固方案测试
对于重要的系统或比较危险的加固操作,可以进行加固测试,通过加固测试后才能在被加固设备上进行操作,加固测试包括:
补丁测试
加固方案测试
加固方案修正
实际操作时可以选择同样目的的不同加固方法同时进行测试,根据测试结果选择最优的加固方法。
l加固方案报批
将最终的实施方案提交给业主方负责领导人,进行方案报批,报批通过后才能正式实施。
3、加固实施
l资源准备
准备加固规范
准备加固手册
收集相关补丁
收集升级软件
l系统备份
对于重要的系统,为了能够在加固失败的情况下快速回退或恢复系统,必须在事前进行相应的备份,备份内容包括且不仅限于重要系统的备份、重要配置的备份、重要数据的备份。
l加固实施
根据对应的安全加固列表,对系统和设备进行实施具体的安全加固操作。
l系统可用性确认
加固完成后,与用户方人员一起,确认系统、设备、应用的可用性,并观察一段时间,待确认正常运行后,加固人员才可以离开现场。
l加固后漏洞扫描(二次评估)
为确保加固有效,在加固全部完成后,对加固范围的系统和设备再进行一次漏洞扫描,以对加固效果进行检验。
4、汇总汇报
l安全加固报告
整理并编写安全加固过程中的报告,并提交给用户。报告大致如下,但根据项目的不同,报告可能存在差异。
l主要报告:
安全加固汇总报告
安全加固实施方案
l次要报告
一次评估报告
二次评估报告
系统安全加固报告
系统回退方案
系统应急方案
l过程记录文档
将安全加固过程中,记录的所有文档提交给用户,下表是安全加固过程中的记录表。
l安全优化建议
安全加固后,我公司为用户提供的安全建议或解决方案。
l项目汇报总结
编写汇报材料,对安全加固项目进行汇报和总结。
6、重要安全保障服务
客户任务安保期间,我公司派专业安全工程师提供7*24小时驻场服务,监控维护信息系统运行,发现安全风险立刻向客户汇报,并进行安全应急操作,保障客户信息系统的安全。
1、服务范围
处于接入层面的网络、安全设备及链路;处于汇聚层面的网络、安全设备及链路,内部应用服务器;处于核心层面的网络、安全设备及链路,同时包括所有外接链路,DMZ区域
对服务范围内的所有网络设备、安全设备、服务器、存储设备及电源设备等进行检查,确保提前发现故障隐患;检查机房的温度、湿度和防尘情况。
机房的动力环境情况。
设备维护表
2、服务流程
客户向我公司提出任务安保服务,包括服务时间段、安全保障范围、安保任务强度;
我公司分析客户的要求,做好相应准备;
指派专业安全人员驻场进行安全值守。
7、安全预警服务
我公司有一批专业的安全服务队伍,非常注重对最新安全技术及安全信息的发现和追踪,并通过服务的平台与客户及时交流,帮助客户保持领先的安全理念。为客户提供定期的安全信息通告服务。安全信息中会包括最新的安全公告,病*信息,漏洞信息等内容。安全通告以邮件、电话、走访等方式,将安全技术和安全信息及时传递给客户。
安全通告内容:
l业界动态
l国家最新安全*策及法律法规
l客户的操作系统、应用、设备等的最新安全漏洞和相应的解决措施
l病*信息
1、服务流程
l收集外界最新的安全公告,病*信息,漏洞信息等内容,形成“外界安全动态”;
l分析业主网络系统与“外界安全动态”的利害关系;
l将与业主有利害关系的信息与分析结果通告与客户。
8、安全风险评估服务
安全风险评估是对网络和业务系统的安全漏洞、安全隐患、安全风险,进行探测、识别、控制、消除的全过程,它从风险管理角度,运用科学的方法和手段,系统地分析网络与应用系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。
安全风险评估的内容,包括网络拓扑架构、安全域规划、边界防护、安全防护措施、核心设备安全配置、设备脆弱性等,从而全面评估网络的安全现状,查找安全隐患。
资产的价值、对资产的威胁和威胁发生的可能性、资产脆弱性、现有的安全控制提供的保护,风险评估过程是综合以上因素而导出风险的过程。
1、资产识别
资产主要包括以下类型:
l基本资产
l业务过程或活动
l信息
l支持性资产
l硬件
l软件
l网络
l人员
l场所
l组织架构
2、风险评估方法介绍
l概要风险评估:
调研阶段,通过人工访谈等方式,从后果的角度出发,概要的评估可能存在的风险。
l详细风险评估:
详细的风险评估是对资产、威胁和脆弱点进行详细的识别和估价,评估结果被用于评估风险和安全控制的识别和选择。通过识别资产的风险并将风险降低到可接受水平,来证明管理者所采用的安全控制是适当的。
下面是详细风险评估内容:
l风险等级划分
确定风险数值的大小不是风险评估的最终目的,重要的是明确不同威胁对资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应被优先分配资源进行保护。
风险等级在本项目中采用分值计算表示。分值越大,风险越高。下面是风险等级表:
9、安全咨询规划服务
主要参照ISO等国际标准,根据安全评估结果为用户提供咨询规划服务,及信息安全解决方案,帮助用户建立符合自身需求和国际标准要求的信息安全管理体系(ISMS)和持续性信息系统性能、网络架构的优化专业建议。
1、安全管理制度
安全管理制度是安全管理体系的核心,依据国家等级保护*策的要求,分五个步骤(落实安全责任、管理现状分析、制度安全策略和制度、落实安全管理措施、安全自检与调整)实现安全管理制度建设。
l落实信息安全责任制
明确领导机构和责任部门,包括设立或明确信息安全领导机构,明确主管领导,落实责任部门。建立岗位和人员管理制度,根据责任分工,分别设置安全管理机构和岗位,明确每个岗位的责任和人文,落实安全管理责任制。
l信息系统安全管理现状分析
通过开展信息系统安全管理现状分析,查找信息系统安全管理建设整改需要解决的问题,明确信息系统安全管理建设整改的需求。
依据等级保护基本要求的标准,采取对照检查、风险评估、等级测评等方法,分析判断目前采取的安全管理措施与等级保护标准要求之间的差距,分析系统已发生的时间或事故,分析安全管理方面存在的问题,形成安全管理建设整改的需求并论证。
l制定安全管理策略和制度
根据安全管理需求,确定安全管理目标和安全策略,针对信息系统的各类管理活动,制定人员安全管理制度,明确人员录用、离岗、考核、培训等管理内容;制定系统建设管理制度,明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容;制定系统运维管理制度,明确机房环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、应急预案等管理内容;制度定期检查制度,明确检查内容、方法、要求等,检查各项制度、措施的落实情况,并不断完善。规范安全管理人员或操作人员的操作规程等,形成安全管理体系。
安全管理体系组成:
l落实安全管理措施
人员安全管理:包括人员录入、离岗、考核、教育培训等内容。规范人员录用、离岗、过程、管家岗位签署保密协议;对各类人员进行安全意识教育、岗位技能培训;对关键岗位进行全面的严格的审查和技能考核;对外部人员允许访问的区域、系统、设备、信息等进行控制。
系统运维管理:落实环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、时间处置与应急响应、灾难备份、实时监测、其他安全管理
系统建设管理:系统建设管理的重点是与系统建设活动相关的过程管理。由于主要的建设活动是由服务方(如集成方、开发方、测评方、安全服务方)完成的,运营使用单位人员的主要工作上对其进行管理,应此,应制度系统建设相关的管理制度。
l安全自查与调整
制定安全检查制度,明确检查的内容、方式、要求等,检查各项制度、措施的落实情况并不不断完善。