资源描述
市工商行政管理局
信息系统安全服务细则
2010年7月
目 录
1. 安全评估服务(包括漏洞扫描)2
1.1。 服务概述2
1。2. 服务内容2
1.3。 提交文档5
2. 安全加固服务5
2。1。 安全加固内容5
2。2。 安全加固流程7
2。3. 提交文档7
3. 网站防篡改服务7
3.1。 防篡改原理7
3。2。 防篡改实现8
3。3。 服务特色8
3。4。 提交文档9
4。 值守服务9
4.1. 服务概述9
4.2。 服务内容9
4。3。 提交文档10
5。 应急响应服务10
5。1. 服务概述10
5。2. 服务内容11
5.3。 提交文档13
6。 安全培训13
7. 电信服务承诺13
1. 安全评估服务(包括漏洞扫描)
1.1. 服务概述
主机系统与应用的全面评估是个连续的、周期性的工作,通过定期的安全评估结果结合对系统进行反复地安全加固,以达到系统与应用安全的目的。通过专业工具扫描和人工检查的方式进行专业安全的技术评定,检测已存在的安全弱点,评估安全风险,以及可能出现安全弱点.
1.2. 服务内容
为了确保安全风险评估能够在过程可控、目标可控的情况下进行,四川公用信息产业有限责任公司采用PDCA过程方法将整个安全评估检查项目分为五个子过程进行控制。另外,根据以往在安全评估项目中获得的经验,四川公用信息产业有限责任公司特别强调在每个子过程实施中的开放式沟通和阶段性回顾,通过沟通和回顾将最大可能地、较全面地发现安全风险,并保证了在达成共识的前提下输出风险评估结果,也为用户后续的风险管理过程做了良好的过渡.
四川公用信息产业有限责任公司在参考国际公认风险管理标准AS/NZS4360和NIST SP800—30的基础上,根据长期风险评估项目实施经营总结出来的评估流程。该流程把NIST SP800—30的九个步骤融合在五个过程中进行可持续改进的过程控制,同时更加强调了AS/NZS4360中的环境准备过程,因为由于特定单位的风险复杂性,导致风险评估的第一步已经不在是简单地了解业务系统和确定评估范围,它将更多地考虑来自平台的期望、评估目的以及系统的特点。
通过扫描、安全检查等方式发现安全漏洞,以及模拟黑客攻击对系统和网络进行非破坏性的攻击性测试.通过可以发现逻辑性更强、更深层次的漏洞,并直观反映漏洞的潜在危害.
安全评估的范围包括泸洲市工商局信息系统中所有应用服务器10台,互联网门户网站、年检各1台,内网综合业务系统2台、12315系统2台、OA系统、DNS、杀毒、共享各1台;网络安全设备共6台。
根据“金信工程”、省局要求和自身业务系统对安全的需求,可以考虑从以下几个方面进行:
网络结构
l 网络主要包括子网的划分情况。
l 互联网出口情况。
l 外部用户可以通过公共网访问服务器的权限。
l 网络设备对网络流量的适应情况,包括流量、并发连接等。
l 网络设备、服务器等对灾难的冗余情况。
l 对于公共网络的冗余情况。
l 内部网络的VLAN划分情况.
l 内部网络和互联网网络的隔离情况等。
网络安全设备
l 路由器设备策略是否合理;
l 防火墙位置是否合理;
l 防火墙是否能够阻断未授权的访问;
l 防火墙是否能够阻断外部网络对未公开服务的访问;
l 防火墙是否错误的阻断了正常的网络访问;
l 防火墙是否能够有效的阻断DOS,DDOS攻击;
l 防火墙日志纪录是否安全,完善;
l 防火墙是否能够与其他安全设备进行有效的联动;
l 网络内是否存在防病毒系统;
l 是否有统一的防病毒策略;
l 是否能够有效的过滤包括邮件病毒,宏病毒,蠕虫病毒在内的各种病毒。
l 防病毒系统是否具有统一的升级策略;
l 是否存在统一的安全管理平台,安全审计平台.
主机系统
l 是否安装最新的补丁;
l 是否开启不必要的服务和端口;
l 是否存在不必要的用户和组;
l 是否有严格的权限管理;
l 是否存在弱口令;
l 是否起用了安全的远程管理方式;
l 是否存在不安全的配置;
l 是否每台主机都有明确的属主或管理者;
l 是否存在不安全的网络通路;
l 是否配置了合理的本地安全策略,审计策略,账户策略。
应用系统检查
l sql注入检查;
l 弱口令检查;
l 绕过验证攻击检查;
l 目录遍历攻击检查;
l 文件上传攻击检查;
l 在网页脚本中对用户输入内容进行检查;
l 上传文件限制检测;
以上安全检查通过工具扫描、人工评估等方式发现安全漏洞,以及模拟黑客行为对系统和网络进行非破坏性的渗透测试。渗透测试是为了证明网络防御按照预期计划正常运行而提供的一种机制。渗透测试有时是作为外部审查的一部分而进行的。这种测试需要探查系统,以发现并检查操作系统、网络服务以及应用程序等服务有无漏洞.渗透测试可以发现逻辑性更强、更深层次的漏洞,并直观反映漏洞的潜在危害.
使用漏洞扫描软件从受保护网络边界内部和边界外部,对网络上存在的主机进行扫描,探测这些进行主机可能存在的漏洞。(由于漏洞扫描存在漏报和误报现象,所获得的扫描结果的真实性,往往还需要本地人工风险评估和与用户进行沟通确认),为渗透性测试提供技术基础.
1.3. 提交文档
《安全风险检测报告》
《漏洞扫描检测报告》
2. 安全加固服务
安全加固是根据专业安全评估结果,制定相应的加固实施的建议方案(详细的操作内容及步骤),针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
安全加固建议方案的范围包括:所有应用服务器11台:互联网门户网站、年检各1台,内网综合业务系统2台、12315系统2台、OA系统、DNS、杀毒、数据存储、共享各1台;网络安全设备共6台。
2.1. 安全加固内容
安全加固和优化的内容主要由以下四个环节构成:
1)状态调查
对系统的状态调查的过程主要是导入以下服务的结果:
l 系统安全需求分析
l 系统安全策略制订
l 系统安全风险评估(网络扫描和人工评估)
对于新建的系统而言,主要是导入系统安全需求分析和系统安全策略制订这两项服务的结果。在导入上述服务的结果后,应确定被加固系统的安全级别,即确定被加固系统所能达到的安全程度.同时,也必须在分析上述服务结果的基础上确定对系统加固和优化的代价。
2)制订加固方案
制订加固方案的主要内容是根据系统状态调查所产生的结果制订对系统实施加固和优化的内容、步骤和时间表.
3)实施加固
对系统实施加固和优化主要内容包含以下两个方面:
l 对系统进行加固
l 对系统进行测试
对系统进行测试的目的是检验在对系统使是安全加固后,系统在安全性和功能性上是否能够满足客户的需求。上述两个方面的工作是一个反复的过程,即,每完成一个加固或优化步骤后就要测试系统的功能性要求和安全性要求是否满足客户需求;如果其中一方面的要求不能满足,该加固步骤就要重新进行。
对有些系统会存在加固失败的情况,如果发生加固失败,则根据客户的选择,要么放弃加固,要么重建系统.
4)生成加固报告
加固报告是向用户提供完成系统加固和优化服务后的最终报告。其中包含以下内容:
l 加固过程的完整记录
l 有关系统安全管理方面的建议或解决方案
l 对加固系统安全审计结果
上述这四个环节是完成加固必不可少的,就其中每个环节的具体内容根据不同情况会有所不同。其中区别较大的是对新建系统和现存系统的加固和优化.
新系统(或重新安装的系统)与现存系统相比较,新系统的加固和优化工作要相对简单些;现存系统的加固比较复杂,在一定情况下,现存系统必须完全重建,才能满足客户对系统的安全需求;新系统和旧系统的加固和优化流程不同,两者有各自的工作流程。
2.2. 安全加固流程
此次安全加固是在安全评估的基础上,针对各个业务系统暴露出来的主要安全问题给出解决建议,指导并配合相关管理和技术人员进行安全加固实施:
(1) 主机系统:主要针对口令管理、系统补丁、主要漏洞给出解决建议;
l 应用服务最小化
l 本机安全配置梳理
l 及时更新操作系统补丁
l 系统服务最小化
l 口令账户策略调整
网络结构与设备:主要针对安全域划分、网络结构的和理性、网络设备安全设置给出建议并作相应调整;
安全设备:主要针对设备的部署方式、使用的有效性、安全策略的配置给出建议并作相应调整。
l 网络配置梳理
l 服务最小化
l 网络和应用访问控制措施及策略实施
l 路由器防火墙等策略的调整
2.3. 提交文档
《安全加固实施建议方案》
《安全加固实施报告》
3. 网站防篡改服务
3.1. 防篡改原理
网站防篡改产品具有的实时自动恢复被篡改网页、不明显增加网站主机负载的特点,在几乎不占用系统资源的情况下可以对网页篡改现象做出敏捷快速的反应,因而广泛应用于各行各业并形成了系列的安全解决方案。 因此,安装网站防篡改软件可以作为泸洲市工商局保护网站安全一个重要的安全措施。
3.2. 防篡改实现
现在网页篡改攻击事件具有以下特点:篡改网站页面传播速度快、阅读人群多、复制容易、事后消除影响难、预先检查和实时防范较难、网络环境复杂难以追查责任、攻击工具简单且向智能化趋势发展,因此特别是作为想公众提供服务机构的重要网站需要做好网站的安全保障工作,网站被篡改不只关系到单位的影响,还涉及到社会公众的影响等。
我们根据客户的情况分析,认为最有必要的安全产品是网站防篡改系统,因为泸洲市工商局网站其敏感性的原因,一旦发生网页篡改事件时,特别是被恶意的带有政治目的的攻击时,会给泸洲市工商局形象带来严重的损害,因此要确保泸洲市工商局网站的安全,防止网页被篡改的事件发生。
四川公用信息产业有限责任公司已经部署了网站防篡改的监控与恢复平台,该平台是采用当前网站防篡改方面的最先进技术与产品建立的,是专为党政客户提供防篡改服务.
3.3. 服务特色
四重防护
四重防护是以网站内容安全为出发点,融合防护、监控、过滤等多种思想构建的纵深防御体系。该体系由防SQL注入、实施阻断、事件触发、核心内嵌四项安全技术共同构成,其中多项技术获得国家专利。
核心内嵌
核心内嵌技术是四重防护的核心技术,是保证网站内容安全的最后一道屏障,可靠性是其主要特点。该技术利用WEB/应用服务器软件的过滤器机制,在服务器软件访问磁盘文件之前,触发对待访问文件内容的过滤处理,以确保文件内容的正确性.
事件触发
事件触发技术是四重防护的重要组成技术之一,实时性是其优势的集中体现.该技术基于Windows操作系统的消息体系结构,由应用监听系统中指定文件集合的变更消息,从而实时触发针对文件的处理操作。
实时阻断
实时阻断技术是四重防护的重要组成技术之一,是保护网站文件系统的第一道屏障,主动性是其主要特点。该技术是以Windows系统文件过滤驱动体系为前提,实现专用驱动挂接在操作系统文件驱动链中,对经由驱动进行的所有文件操作请求进行认证和过滤,阻止非法文件操作。
防SQL注入
防SQL注入技术是四重防护体系中专门针对数据库内容安全的防护技术,预见性是其主要特点。该技术利用WEB/应用服务器软件的过滤器机制,截获所有http访问请求,并对其中的数据库访问信息进行SQL注入特征库的规则匹配,从而验证请求的合法性,保护数据库内容安全.
3.4. 提交文档
《网站防篡改安装实施报告》
《网页篡改监控与应急处理记录报告》
4. 值守服务
4.1. 服务概述
安全值守服务是指在法定节日和重大政治事件期间,由电信监控中心为用户在节假日对网站平台进行安全监控。监控中心的工程师将按照预先定义的时间表,采用专业的网管及安全管理系统平台,结合人工定期网站巡检,检查网站服务及页面是否正常,确保及时发现客户网站异常并处理。
4.2. 服务内容
由于服务期间的特殊性,根据四川公用信息产业有限责任公司远程值守服务将采用以下方案:
由四川公用信息产业有限责任公司安全服务工程师每天在IDC机房进行远程值守,并同时通过监控工具对客户平台的门户网站及其应用服务器进行监控,结合电信机房的监控手段更有效的完成安全值守任务,如果出现异常事件,值守安全工程师将进行事件初步分析,判断事件故障类型和级别,按维护规范及流程进行故障处理。根据安全服务的对象和内容,四川公用信息产业有限责任公司将针对性选择相应的监控方式。安全服务主要以安全监控为主,不在主机系统上安装任何监控软件,同时也没有使用任何主机应用系统的权限,因此监控手段主要以外部监控为主.
经过准备之后,值守工程师开始具体值守服务的实施,服务包括以下内容:
l 值守时间 法定节日24天(7X24小时)
l 定期的监控网站是运行正常,或者是否遭到篡改或攻击:
1)监控内容:A、首页重点监控;B、对最新的新闻内容进行检查;C、抽样部分二级栏目
2)监控频率:早上8:00—晚上22:00,要求1小时进行一次;晚上22:00后—第二天早上8:00 频率不低于2小时一次,并提供纸质监控记录文档
3)重点人工监控几类异常情况:A、页面无法打开;B、页面只能打开部分,显示内容不全;C、存在明显恶意内容(黄色、反动、敏感);D、页面出现乱码,或者有被黑客修改留下的痕迹
l 实时监控主机服务端口运行情况:
通过中国电信四川公用信息产业有限责任公司安全服务工程师设计的监控平台,并结合what’up和SolarWinds等监控软件进行实时监控
l 主机系统性能监控:
对网站系统主机性能进行实时监控,需要客户配合进行主机设置,以及进行防火墙设置(如有防火墙)
l 在安全值守服务结束后提交值守报告;
l 监控人员发现异常后,10分钟内通知客户,并针对故障问题进行分级,并转入应急响应服务流程;
4.3. 提交文档
l 《故障报告》
l 《安全值守监控纪录》
5. 应急响应服务
5.1. 服务概述
在客户网络系统发生安全事件时,电信安全专家按照应急响应流程立即响应,通过远程进行应急处理,如远程无法处理与恢复网络系统正常工作时,在交通条件许可的情况下,6小时内到客户现场进行处理,并做出事故分析报告及安全改进建议.
客户发现以下现象时,可能发生了安全事件:
l 系统性能严重下降,有奇怪的进程运行并占用大量的 CPU 处理时间;
l 网络性能严重下降,用户反映无法正常使用服务;
l 在系统日志中发现非法登录者;
l 发现系统感染计算机病毒;
l 发现有人在不断强行登录系统;
l 系统中出现奇怪的新用户帐号;
l 管理员收到来自其它站点系统管理员的警告信,指出系统可能被威胁;
l 黑客攻击造成,网络故障
l 大规模的拒绝服务攻击对整网造成严重的影响
5.2. 服务内容
当发生严重安全事件,有可能威胁到网站系统的正常运行时,电信IDC及安全分公司安全服务工程师,将会立刻到现场进行修复或提出解决措施,在尽可能短的时间内恢复系统正常工作,并做出事故分析报告, 并提交上一级主管部门.
准备工作
应急响应组的成员要有思想准备,要意识到存在网络攻击的可能性。
事件检测:进行快速评估;
l 确定事件来源
l 超级用户的失误操作
l 内部保密文件的意外泄漏
l 来自Internet的攻击
l 来自电话网的攻击
l 来自内部网络的攻击
检查威胁的结果
l 检查系统、服务、数据的完整性、保密性或可用性;
l 检查攻击者是否侵入了系统;
l 检查攻击者以后能不能再次随意进入;
l 入侵者被发现的地点;
l 损失的程度;
l 暴露出的主要危险。
l 必须注意到从一个地点发起的攻击可能隐藏了攻击者的真正所在地.
立即行动:限制损失
l 如果发生了较为严重的事件,管理负责人和技术负责人应该决定所采取的应急手段以消除威胁,限制损失。
l 要明确地指出处理事件的人员,确保安全保护指令深入理解;
l 启动事件日志:记录每一个发生的动作、事件、证据(要有时间和日期)
可能的立即行动
l 恢复信息;
l 受到影响的计算机从网络中隔离或关机;
l 相关的局域网与Internet断开连接;
l 一个或多个远程访问服务器可以从网络中移走,或关闭;
l 网络或计算机并不关闭,而是试着在不影响服务的前提下使损失最小化;
l 立即对日志、数据进行备份,应该保存在磁带上或其它不联机存储设备。
详细的情况分析
l 设定优先级,决定所要做的工作;
l 评估损失的范围,如分析系统:有没有被改动的文件;有没有被增加/修改的程序或用户帐号;如果发现了修改,在相似的系统上检查这些变动;
l 证实发生的确切事件;
l 按要求通知系统管理员、管理部门和纪律部门
恢复:恢复数据、服务、系统
l 清理系统、恢复数据、程序、服务;
l 修改系统中存在的漏洞;
l 不能信任被攻入系统中的程序,将它们与安全的版本进行比较。
后续工作
l 检查是不是所有的服务都已经恢复;
l 攻击者所利用的漏洞是否已经解决;其发生的原因是否已经处理;
l 保险措施,法律声明/手续是否已经归档;
l 应急响应步骤是否需要修改;
如果需要对防火墙进行修改,使用修改防火修改的步骤。
5.3. 提交文档
《应急响应处理报告》
《系统改进、完善建议报告》
6. 安全培训
结合市工商局的实际情况,从以下课程中选择性的进行安全技术的现场培训工作:(6课时/1次/年)
1、信息安全意识、技术基础培训
2、操作系统、数据库安全培训
3、网络攻击与防御技术培训
四川公用信息产业有限责任公司 第 12 页
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
