《红科网安安全运维服务白皮书》由会员分享,可在线阅读,更多相关《红科网安安全运维服务白皮书(48页珍藏版)》请在金锄头文库上搜索。
1、安全运维服务白皮书 红科网安安全运维服务白皮书目 录1.前言32.运维目标43.运维服务内容53.1日常检查维护53.2安全通告服务53.3安全评估服务63.4安全风险评估113.5渗透测试143.6补丁分发143.7安全配置与加固163.8安全保障173.9安全监控服务183.10安全产品实施服务193.11安全应急响应193.12安全培训服务234.运维体系组织架构265.运维服务流程285.1日常检查流程295.2安全评估服务流程305.3安全监控服务流程325.4安全事件处理流程365.5安全培训服务流程395.6渗透测试的流程406.安全事件处理与应急响应436.1安全事件分类436
2、.2安全事件处理与上报流程446.3安全事件现场处理456.4安全事件的事后处理47版权所有 HonkWin 第50页 共50页1. 前言经过多年的信息化建设,大多数企业已经建立起了比较完整的信息系统。但是,在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的处理。因此,客户通过引入专业的信息安全服务团队,来保障自身信息系统的稳定安全运行,同时通过专业的安全咨询和服务,逐步构建动态、完整、高效的客户信息安全整体,形成能持续完善、自我优化的安全运维体系和安全管理体系,提高客户信息系统的整体安全等级,为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。2. 运维目标红科网安
3、(简称:M-Sec)是国内专业的信息安全服务及咨询公司,同时,拥有国内一流的安全服务团队M-Sec Team。我们可以为用户提供全面的、专业的、客户化的安全服务及其相关信息安全管理咨询,从而保障用户的安全系统的正常运行和持续优化。我们以客户信息安全服务的总体框架为基础、以安全策略为指导,通过统一的安全综合管理平台,提供全面的安全服务内容,覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求,保障信息平台的稳定持续运行。3. 运维服务内容红科网安根据建立的信息安全管理运维体系对客户的信息安全系统进行实时的维护管理,针对客户信息安全软、硬件提供全面的安全运维服务。3.1 日常检查维
4、护红科网安下属的M-Sec安全专业团队提供网络安全日常维护服务,来帮助用户管理日益复杂的系统和应用平台,以减轻用户的压力,使客户公司以最优的性价比得到最有效的网络安全管理,主要内容如下:l 主机系统的运行检测包括系统日志检查与问题分析、开放服务检查、系统自身漏洞检查、漏洞补丁更新l 病毒系统的运行检测、病毒库更新l 入侵检测、CA、扫描系统等安全系统的运行检测、漏洞库更新l 防火墙运行状态检测、策略配置校验l 网络设备运行检测、策略配置校验3.2 安全通告服务 对于网络管理人员,特别是复杂网络的管理人员,由于时间和工作关系,通常会遇到无法收集并分类相关的安全报告,使得网络中总或多或少的存在被忽
5、视的安全漏洞。而安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈,并同时涉及信息技术的众多领域。企业所掌握的安全知识的更新速度所受到的压力非常大。M-Sec Team凭借国内领先的安全研究能力,广泛的采集途径,以及完善的漏洞信息收集系统,使得我们能高质量,高效率的完成安全信息整理、分析、测试、分类等工作。将最新最严重的网络安全问题以最快的速度通报给客户公司,并且给出相应的解决办法,从而大大减轻网管人员做安全技术追踪和分析的压力。在多年服务经验的积累之上,M-Sec将以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息,包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总
6、和安全知识库更新等。M-Sec 的安全通告服务有:l 厂商安全通告:提供主流厂商的中文安全通告,包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。l M-Sec安全通告:M-Sec发现的安全问题通告和其他有必要预警的重要安全问题通告。l 其他安全通告:其他应用系统和安全组织(如CERT等)的安全通告。安全通告服务为客户安全创造了远远大于它自身价值的无形财富,节省了大量的人力资源,是客户安全预警体系建立的基本安全需求。同时,M-Sec将通过电子邮件和电话的方式向客户提供相应回访服务,对信息安全事件发出预警,协助客户在大规模安全事件爆发前做好预防和处理工作。M-Se
7、c以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息,包括实时安全漏洞通知、病毒、补丁升级、定期安全知识库更新等。l 登记通告服务用户信息,分配用户支持号,提供服务热线号码,服务支持邮箱以供联系。l 以电话、传真和电子邮件等方式回答客户的相关安全咨询。l 提供724小时电话技术支持。l 专人记录用户技术人员的咨询、投诉,并及时反馈。l 定期提交相应的安全咨询服务汇总。l 必要时,安全技术人员会到现场做咨询支持。3.3 安全评估服务您的网络安全状况如何?存在那些安全问题?哪里是高安全风险的地带?在日常的安全运维工作当中,定期进行安全评估服务将全面有效地为您解释这些问题。首先,M-Se
8、c将定义客户公司的安全需求,然后实施最有效的诊断服务来评估。服务的范围从网络元素配置评估到风险评估、漏洞分析及模拟入侵测试等等。安全评估对象安全评估的主要对象分为以下几个层次,各部分相对独立,而又相互关联相互作用着,通过对每一层次各方面详细深入的分析、评估,才能提供一个完整的结果,对整体的信息体系进行说明。物理层安全评估物理基础设施的安全是保障信息系统安全的基础,对物理层的安全评估主要包括这几个部分:1、机房安全场地安全机房环境、温度、湿度、电磁、噪声、防尘、静电、振动建筑、防火、防雷、围墙、门禁、监控2、设施安全设备可靠性通讯线路安全性辐射控制与防泄露电源、空调 网络安全评估从网络层出发,深
9、入了解客户公司的逻辑网络结构,由什么物理网络组成以及网络关键设备的位置所在。了解网络基本信息包括网络带宽,协议,硬件(例如:交换机,路由器等)Internet接入,地理分布方式和网络管理方式等。通过对网络结构的分析以及对网络设备的扫描等多种手段,提出用户目前网络结构所存在的不足和潜在的安全隐患。如像客户公司这样庞大复杂的网络,需要从网络上进行统一合理的规划、策略配置和管理策划,我们将针对具体的情况进行评估,然后提出适合的评估意见,包括通过对资源的重新分配合规划、划分功能域、划分VLAN、加强访问控制等等措施。 主机与系统安全评估由于现代操作系统的代码庞大,从而不同程度上都存在安全漏洞。一些广泛
10、应用的操作系统,如Unix,Window NT,其安全漏洞更是广为流传。客户公司复杂信息平台中多种系统并存,系统管理员或使用人员可能对复杂的操作系统和其自身的安全机制了解不够,配置不当等会造成许多安全隐患。我们对用户整个网络平台中的所有特别是重要的主机与系统使用多种方法对其进行分析、检查。提出各主机系统自身存在的漏洞并且给出弥补的措施和改进的建议。 应用系统安全评估目前随着客户公司各种信息系统业务的扩展,大量复杂的应用软件在设计、使用中不可避免地存在着安全隐患,因此通过应用安全评估来针对客户公司的这些应用进行有针对性的检测、评估,以保证这些体系在业务交往中是否发挥应有的作用。本服务主要包括以下
11、几个方面:l 应用软件的程序安全性检测(bug分析)l 业务交换的防抵赖评估l 业务资源的访问控制验证检测l 业务实体的身份鉴别检测l 业务现场的备份与恢复机制检查l 业务数据的唯一性/一致性/防冲突检测l 业务数据的保密性评估l 业务系统的可靠性评估l 业务系统的可用性评估l 数据安全评估信息安全非常基本的一点就是数据的安全,主要是体现了数据的保密性,完整性和不可抵赖性等指标。针对数据的安全评估,包括以下几点:l 介质与载体安全保护l 系统数据访问控制检查l 标识与鉴别l 数据完整性l 数据可用性l 数据监控和审计机制评估l 数据存储与备份机制评估l 通信安全评估客户公司中心机房与各分支机房
12、联成一个整体网络,在各部分之间每时每刻都有大量的业务数据交换,因此数据在通信中的安全问题也是至关重要的。对系统之间通信的数据安全性进行评估,主要包括:l 通信线路和网络基础设施安全性检测l 加密系统的检测l 身份认证机制的有效性、可靠性、安全性评估l 安全通道测试l 管理安全评估网络安全“三分技术、七分管理”,良好、系统的管理体系是信息系统安全的根本保障,管理安全评估是对人员、操作、文档、设备和运行等安全管理机制进行稽核和诊断,主要内容有:人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理等。安全评估内容安全评估的主要内容包括以下几个方面:l
13、 信息收集/需求分析 l 风险评估 l 绘制网络拓扑图 l 网络设备配置审计 l 漏洞分析 l 数据分析 l 模拟入侵检测 l 源代码分析 l 信息收集/需求分析 从客户公司的资源、组织人员、管理等各方面入手,与客户公司的相关人员合作,对所有需要的信息进行统一的收集、整理、分析,在实际调查之后,从安全角度生成信息报告。报告从网络的可用性、功能性和成本花费等方面说明各网络风险元素(包括软硬件、人员、管理)的现状。 绘制网络拓扑图 通常,在网络工程结束后,经过一段时间的运行和调整(包括人员的调整和网络设备的调整),用户会在一定程度上对网络的实际情况有所失控。以M-Sec的经验来看,引发网络安全漏洞
14、的一个重要原因是对网络中的设备和主机不了解。制作清晰有效的拓扑图并及时更新是了解自身网络的基础。 环境风险评估 生成详尽全面的有关客户公司整个机构当前信息安全环境的评估报告。 M-Sec将使用专用的检测工具在网络的重要位置,收集有关攻击的频率和复杂度等重要信息。这些工具包括可用的商业入侵检测产品和特殊安全工具。专家小组对收集到的数据进行分析,评估入侵行为,并提供一份报告记录所有的发现。这份报告可以使客户公司了解到真正的威胁,以便采取合理的措施来保护企业资产。 设备、应用配置审计 从工程的角度来审计各种网络设备、主机系统、各主要应用系统以及其他设备的配置和网络结构,确保防火墙、路由器、交换机、主
15、机设备或其他应用系统的配置使用规则的有效性、安全性、可靠性,确保其符合客户公司的安全策略。此工作是对正确实施和配置各对象的独立认可。 漏洞扫描分析 漏洞分析比做一次扫描要复杂得多,M-Sec可以提供对客户公司当前外部和/或内部网络或计算机系统的漏洞分析,以确保识别漏洞并减少其发生的可能性。 我们将使用各类先进的漏洞扫描工具对用户的系统主机和各类设备进行安全检测,我们的专家小组将分析扫描检测后所得到的数据,评估这些已被检测到的漏洞的存在将可能产生的影响。 源代码分析 针对应用程序的源代码,从安全的角度进行分析、审计,提出改善意见。 渗透性测试M-Sec将集合各类安全专家利用各种黑客工具和手段通过扫描当前网络、从黑客角度做仿真模拟攻击测试,并对结果进行数据采集,产生评估报告,报告将直观
