安全集成解决方案
安全集成方案
安全运维离不开安全设备,目前用户已经使用了一批安全设备,对于这些安全设备需要进行必要的运维服务,我们提供用户安全设备的硬件维保,软件升级,保证设备在服务周期内的安全平稳运行,提供维保产品的范围如下:
设备 | 型号 |
WAF | SANGFOR AF1380 * 1台 |
AV | MFE Antivirus * 600 Client |
MFE Endpoint Protection (EPO * 2台) | |
IPS | MFE Net Sec M-2850 * 2台 |
MFE Network Manager *1 | |
Proxy | SANGFOR SG3700上网行为管理*1台 |
NGAF | SANGFOR AF1320防病毒网关* 1台 |
日常巡检是设备运维的重要保障,可以及时发现不安全因素和事故隐患,检查监督安全规章制度的落实情况,同事还能有效的制止违章作业,防止事故的发生。
我们通过每周一次巡检设备的CPU,内存,健康状态,运行状态,备份设备配置等措施来保证设备安全平稳的运行,并且在巡检结束之后提供设备巡检报告,主要内容如下:
日常巡检 | |
简要描述 | 每周定期查看WAF,AV服务器,IPS,Proxy,NGAF的运行情况 |
达成目标 | 确保设备处于良好的可用状态,及时发现异常问题 |
主要内容 | 主要工作如: |
主要检测指标如: | |
实现方式 | 人工现场查看 |
工作结果 | 巡检报告 |
工作人员 | 我们运维服务工作小组 |
工作频率 | 1次/每周 |
对于WAF,NGAF,IPS每周导出安全报表,并由资深专家分析结果,为策略优化,制定针对性的防护策略提供依据,对于AV防病毒,每周导出安全报表,分析结果,对病毒防护策略提供指导依据。
内容名称 | 攻击/病毒趋势分析 |
简要描述 | 每周定期查看WAF,AV服务器,IPS,Proxy,NGAF的防护情况 |
达成目标 | 确保设备日志记录状态可用,及时发现异常问题 |
主要内容 | 主要工作如: |
WAF的攻击日志 | |
实现方式 | 人工现场查看 |
工作结果 | 分析报告 |
工作人员 | 我们运维服务工作小组 |
工作频率 | 1次/每周 |
安全事件是指病毒爆发,服务器被攻击等事件。安全事件对企业用户的影响很大,可能会导致内部一些机密信息被黑客获取。通过安全设备上面的日志分析,我们可以对安全事件做到提前预警以及事后追踪。对于存在安全隐患的服务器,提供防护参考。
内容名称 | 安全事件分析 |
简要描述 | 每周定期查看WAF,AV服务器,IPS,Proxy,NGAF的攻击报告 |
达成目标 | 确保攻击日志可以被及时查询、发现以及分析。 |
主要内容 | 主要工作如: |
WAF, IPS, NGAF的攻击日志分析 | |
实现方式 | 人工现场查看 |
工作结果 | 分析报告 |
工作人员 | 我们运维服务工作小组 |
工作频率 | 1次/每周 |
我们拥有强大安全技术支持团队,可以对不同厂家的安全设备进行策略梳理与建议,
针对目前市场上越来越多的七层设备,我们技术支持团队可以协助客户定期检查规则库的版本,避免最新的攻击方式渗透到内网,充分发挥安全设备应有的价值。安全策略调整和实施完成后提供安全策略调整和实施服务过程的报告,包括安全策略调整和实施过程,记录所有操作和相应的目的以及调整和实施后的安全水平的提升说明。
内容名称 | 设备的可维护管理 |
简要描述 | 每月定期查看WAF,AV服务器,IPS,Proxy,NGAF的运行情况 |
达成目标 | 确保设备安全事件记录可以及时发现,及时处理异常问题 |
主要内容 | 主要工作如: WAF,AV服务器,IPS,Proxy,NGAF的策略梳理 WAF,AV服务器,IPS,Proxy,NGAF的规则库升级 定期导出安全报表 |
实现方式 | 人工现场查看 |
工作结果 | 安全报告 |
工作人员会话管理 | 我们运维服务工作小组 |
工作频率 | 1次/每月 |
安全运维月报,可以体现近一个月的总体安全状况,其中包含有设备日志的安全分析,安全事件的总结,安全建设的建议以及其他内容。我们提供资深专家对每月的汇总日志进行分析,找出安全短板,提供可落地的安全建议,帮助用户完善安全建设。
内容名称 | 安全运维月报 |
简要描述 | 每月定期查看WAF,AV服务器,IPS,Proxy,NGAF的运行情况 |
达成目标 | 汇总安全事件,提供安全建设支撑依据 |
主要内容 | 主要工作如: 通过报表的分析,总结一个月的安全事件,系统分析整体安全状况,为整体安全建设提供数据支撑。 |
实现方式 | 人工现场查看 |
工作结果 | 安全运维报告 |
工作人员 | 我们运维服务工作小组 |
工作频率 | 1次/每月 |
定期的版本升级可以更好的使用厂商提供的新功能,也会改进一些已知的BUG。某些设备依赖规则库工作,升级大版本之后可能会导致策略不可用,银基我们通过采用人工翻译,策略备份等方式来规避此类问题,前期会通过大量的策略梳理,挖掘客户的原始需求,并记录在案,提供策略重新制定的依据,版本升级前会制定备用方案,如果升级失败则立即回退,或者使用备用方案,保证业务的可持续性。
内容名称 | 设备软件版本升级 |
简要描述
| 对安全产品进行版本升级 |
达成目标 | 定期升级设备版本 |
主要内容 | 主要工作如: WAF,AV服务器,AV客户端,IPS,Proxy,NGAF等版本升级,其中有些跨版本升级会导致策略的不可用,需要重新制定策略。
|
实现方式 | 人工现场查看 |
工作结果 | 安全运维报告 |
工作人员 | 我们运维服务工作小组 |
工作频率 | 1次/每年 |
我司承诺会根据信息系统的功能和特点,做好运维过程的所有文档的记录和归档工作,包括各种形式的技术方案、图纸、工作汇报、服务总结等,按照相关要求装订成册或数据打包,提交给采购人主管信息部门,用户如遇到上级部门检查,或内部自查,我们承诺尽力协助客户提供运维日志以及其他文档,满足用户审计方面的合规需求。
日常技术咨询及普通问题支持,包含用户在日常工作中遇到的技术难题以及其他咨询问题。银基我们工程师提供7*24小时的普通响应服务,针对技术难题组织专项团队及工程师进行问题梳理、分析。
技术咨询服务,从项目的制定、设计、实施直至建成,都是一项复杂的系统工程。要使整个项目建设在技术上、质量上、经济效益上、工期进度上和投资的控制上都能做到符合要求,实现预期的经济效果,首先要有正确的投资决策和一整套的科学管理方法,这就需要求助于技术咨询服务。
因为技术咨询能提供广泛的技术服务,其主要的服务内容有:
①提出研究规划,包括对项目的制定、可行性研究及评估等;
②安排项目设计;
③负责项目管理,在工程实施阶段,提供包括审查实施计划及程序检查、监督材料加工,对各种装置和设备在现场进行检查测试,并进行POC、上线等方面的指导。
我们安全工程师快速响应并到达现场,协助进行安全事件的定位、分析及处理,直到安全事件排除。重大安全事件应急响应,本地专家2小时内到达现场,如事态严重总部专家24小时内到现场。对于影响业务的安全故障,在进行故障处理时,应先考虑业务恢复,然后再彻底解决故障。事件处理结束后,应出具《安全事件处理总结报告》,如应急工程师不能在时限内解决问题,则应调动安全专家协助解决。
在新的高中危漏洞披露发布2周内,能核查手段及解决方案。
我们安全将制定应急响应流程,要求应急响应时间控制在最小时间范围内。第一时间确定事件类型和攻击源,及时隔离攻击源,制止事件影响进一步恶化;尽快恢复系统的正常运行,或是最小限度的正常的运行;进行事件的追溯和取证;修复漏洞并持续监控。
为了更快速和有效进行应急响应,我们安全将准备相应的资源、工具,以及流程,下表列出了本公司进行安全事件应急相应的资源、工具:
Ø 安全事件应急相应相关信息
资源 | 简介 | 备注 |
联系信息 | 部门、公司安全相关人员及系统和应用管理人员的联系方式, | |
安全事件处理流程 | 电子渠道安全事件的处理流程 | |
备份和恢复 | 完善的备份和恢复措施可以保证系统可以尽快得到恢复,以及保留攻击的数据留作分析和采取法律手段的证据。 |
Ø 安全事件分析所需软件和硬件
资源 | 简介 | 备注 |
笔记本电脑 | 作为移动的分析工作站,用于数据分析,网络监听,撰写报告等。 | |
空白的介质 | 例如:CD-RW、CD-I、DVD、硬盘等,用于保存相关数据 | |
嗅探器和协议分析工具 | 用于网络数据收集和协议分析 | |
取证软件 | 用于从磁盘镜像中提取时间相关的数据和证据 | |
干净的系统安装介质 | 用于系统的恢复 | |
安全补丁 | 恢复后的系统必须安装所有的安全补丁后才能投入使用 |
Ø 其它资源
资源 | 简介 | 备注 |
端口明细表 | 包括通常用到的网络服务端口和木马后门端口 | 需安徽移动配合提供 |
文档 | 操作系统、应用系统、协议分析、入侵检测以及防病毒方面的文档 | 需安徽移动配合提供 |
基线数据库 | 应用系统的快照,可以迅速发现安全事件,定位系统的变动 | 需安徽移动配合提供 |
通过某些迹象和先兆发现和预知很多安全事件。安全事件发生的迹象很多,常见的如:
Ø 网络入侵检测系统报警;
Ø 防病毒软件报警;
Ø 服务器宕机或者莫名其妙重新启动;
Ø 主机响应速度明显变慢;
Ø 收到威胁或者敲诈的电子邮件;
Ø 系统配置发生异常改动;
Ø 日志中出现大量的失败登录请求;
Ø 邮件系统管理员发现大量包含可以内容被反弹回来的邮件;
Ø 网络管理员发现异常的网络流量。
除了安全事件发生的异常迹象外,也可以通过某些攻击的先兆提前发现网络攻击,从而防患于未然,例如:
Ø 网络入侵检测系统发现很多主机对同一台系统进行端口扫描,这可能是分布式拒绝服务攻击的一个先兆。
Ø 系统日志出现大量失败登录日志;
Ø WEB服务器日志发现大量异常的请求;
Ø 在一些安全网站上公布了某个漏洞及相关的攻击程序;
并非所有的攻击都有明显的先兆,有些高明的攻击行为可能毫无征兆或者攻击者会制造一些毫不相关的假象。
如果安全事件的迹象和先兆比较准确,那么进行安全事件的检测和分析就轻松多了,但是事实并非如此,例如:普通用户上报的大多数安全事件的现象都是错误的;入侵检测系统会产生大量的误报。以下建议有助于降低安全事件相应的难度,提高其有效性。
◆为系统建立基线数据库
基线控制是利用数据完整性检测工具对系统的变化进行监控。数据完整性检测工具根据管理员设置的一个配置文件对指定要监控的文件进行读取,对每个文件生成相应数字签名,并将这些结果保存在自己的数据库中。
当怀疑系统被入侵时,可由完整性检测工具根据先前生成的系统快照与当前系统地文件特征进行对比,如果文件被替换,则特征不匹配,管理员就明白系统不"干净"了。
◆理解正常的行为
要进行安全事件响应,首先要了解正常情况下网络、系统和应用的状态。对于网络、系统和应用缺乏清晰的了解将很难确定什么现象是正常的,什么现象是不正常的。
获得这些知识的一个重要方式是经常审计系统和应用的日志和安全日志。
◆使用集中的日志收集系统
在安全事件应急响应的过程中,需要对安全设备、网络设备、系统和应用的日志进行大量的关联分析,因此使用日志服务器集中保存各种日志信息是非常重要的。另外,集中保存日志还可以防止攻击者删除入侵痕迹。
◆灵活使用搜索引擎
搜索引擎,例如:www.google.com对于研究异常现象非常有帮助。例如,发现系统开放了22912端口,可以到www.google.com输入“TCP port 22912”,这样可以获得很多有用的信息。另外,直接把日志中的错误、报警信息使用google进行搜索也可以获得很多有帮助的信息。
◆使用sniffer收集数据
通常,日志等信息来源提供的数据细节太少,如果攻击来自于网络,使用sniffer进行网络侦听是获得信息最便捷的途径。如果没有sniffer,很多安全事件将无法处理。
◆建立诊断矩阵
诊断矩阵有助于对事件现象和事件的性质之间进行关联分析。例如,下面表格表示一些安全事件出现这些某些现象的可能性(高、中、低)。
现象 | 拒绝服务 | 恶意代码 | 非授权访问 | 不当应用 |
文件带动 日志严重报警 访问企图 | 低 | 中 | 高 | 低 |
文件改动 异常内容的文件 | 低 | 中 | 低 | 高 |
系统宕机 | 中 | 中 | 中 | 低 |
端口扫描 向内的流量异常 向内的流量大增 | 高 | 低 | 中 | 低 |
端口扫描 向外的流量异常 向外的流量大增 | 低 | 高 | 中 | 低 |
带宽的占用大增 | 高 | 中 | 低 | 中 |
e-mail数量大增 | 中 | 高 | 中 | 中 |
培训内容包括但不限于信息安全模型、信息安全标准、操作系统安全、网络安全、信息安全工程、风险评估、信息安全管理、安全编程等。
信息安全意识培训主要目标是让员工了解信息安全的重要性,提高员工信息安全自我保护水平;通过介绍信息安全典型案例和攻击实例,提高对信息安全问题的警惕性;讲解信息安全国家政策和管理原则,建立“信息安全,人人有责”的观念;介绍信息安全基本防护技能,提升员工个人安全防护能力。
信息安全管理相关高层领导、安全管理人员、系统运维人员以及普通员工。
a) 了解信息安全的重要性;
b) 掌握使用过程中注意安全事项;
c) 掌握出现安全事件时一般处理流程;
d) 提升信息安全意识。
e) 提升员工个人安全防护能力。
(1)信息安全的基本概念
什么是信息安全,信息安全即信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止未经授权使用信息、防止对信息的非法修改和破坏、确保及时可靠地使用信息。
(2)安全意识
安全意识就是能够认知可能存在的安全问题,明白安全事故对组织的危害,恪守正确的行为方式,并且清楚在安全事故发生时所应采取的措施。
(3)计算机病毒
什么是计算机病毒,计算机病毒的来源,如何防护计算机病毒。
(4)社会工程学
社会工程学是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段。社会工程学常见方式及如何防御。
(5)介质安全
介质安全与数据安全涉及哪些方面,移动介质带来的风险,如何进行介质安全管理。
(6)信息资产的保密
什么是资产,资产职责划分,资产管理策略。
(7)口令安全
为什么口令安全很重要,什么是脆弱的口令,如何设置强口令,选择易记强口令小窍门。
(8)计算机及网络访问安全
什么是计算机及网络安全访问安全,如何开展计算机及网络访问控制。
(9)工作环境
工作环境安全注意事项,从员工身边的小事讲起,比如应主动防止陌生人尾随进入办公区域、遇到陌生人,要上前主动询问、应将复印或打印的资料及时取走和禁止在公共场合谈论公司信息等等方面,信息安全就存在大家的身边。
(10)信息安全理念上的误区
主要针对信息安全就是防泄露、信息安全就是网络安全、信息安全就是防黑客、信息安全就是技术问题、信息安全就是一场运动和信息安全就是麻烦等理念误区进行讲解。
课程名称 | 课时 | 课程大纲 |
UNIX操作系统安全 | 2小时 | UNIX发展历史和体系架构 UNIX常见应用服务及其安全 Unix系统安全配置及最佳安全实践 |
Windows操作系统安全 | 2小时 | Windows发展历史和体系构架 Windows常见应用服务及其安全 Windows安全配置及最佳安全实践 |
安全运维工具的使用 | 3小时 | 常见的安全运维工具介绍与使用 |
Ø 操作系统:所有操作系统的配置核查结果、问题清单、风险描述、整改建议、加固建议。
Ø 数据库:所有数据库的配置核查结果、问题清单、风险描述、整改建议、加固建议。
Ø 中间件:所有中间件的配置核查结果、问题清单、风险描述、整改建议、加固建议。
Ø 网络设备:所有网络设备的配置核查结果、问题清单、风险描述、整改建议、加固建议。
Ø 安全设备:所有安全设备的配置核查结果、问题清单、风险描述、整改建议、加固建议。
Ø 基础设施:所有基础设施的配置核查结果、问题清单、风险描述、整改建议、加固建议。
操作流程:
准备阶段:
Ø 协助相关人员进行加固对象资产信息确认
Ø 制定并与相关人员讨论确认加固方案(方法、风险、回退方案)
执行阶段:
Ø 加固操作执行期间提供技术支持建议
加固结果确认阶段:
Ø 提供技术支持建议,协助相关人员对加固后的系统运行状态、应用程序运行状态和业务运行状态进行测试
Ø 协助加固实施人员进行测试结果确认
按照系统安全配置基线和风险评估的结果作为安全加固的依据,对项目范围内的主机系统制定安全加固方案,并提供技术支持建议服务,防范安全风险。
我们安全将主要针对以下方面提供主机安全加固建议服务:
■操作系统
安全基线 | 加固内容 |
补丁加载 (Hotfix升级) | 漏洞补丁 |
服务与端口 | 更改某些默认端口 |
根据实际情况关闭不必要的端口 | |
鉴别认证 | 用户帐号策略管理 |
动态身份认证 普通用户权限管理 | |
访问控制 | 域用户管理 |
域之间的信任关系 | |
重要目录和文件的控制 | |
系统操作权限的控制 | |
审计跟踪 | 应用日志/系统日志/安全日志 |
审核策略的设置 | |
安全日志服务器配置 | |
日志分析内容设计 | |
通过日志收集方式集中进行分析处理。 | |
内容安全 | 防病毒产品设计 |
重要文件保护 | |
存储控制 | |
冗余和恢复 | 操作系统备份 |
重要系统文件备份 | |
注册表备份 | |
其他安全问题 | Web功能的加固配置 |
维护帐号清理 | |
其他应用服务的加固配置 | |
注册表优化配置 | |
可疑进程和文件的清理 |
安全基线 | 加固内容 |
补丁升级 | 补丁程序的升级 |
服务与端口 | 更改远程连接的默认端口 |
鉴别认证 | 删除或修改默认的用户和密码 |
访问数据库用户帐号和口令管理 | |
访问控制 | 远程管理访问控制 |
用户的数据库和数据表的访问控制 | |
审计跟踪 | 数据库日志审计策略的分析和配置 |
日志服务器配置 | |
日志分析内容设计 | |
通过日志收集方式集中进行分析处理。 | |
内容安全 | 传输过程加密 |
存储控制 | |
冗余和恢复 | 数据库的备份 |
其他安全问题 | 防止DoS攻击(如Oracle Redirect功能存在DoS的问题) |
关闭Extproc功能 | |
DBSNMP用户引起的安全隐患 |
■安全加固风险规避措施
为了保证业务系统的正常运行,加固过程中对信息系统造成的异常情况降到最低点,应对加固对象运行的操作系统和应用系统进行调研,制定合理的、符合系统特征的加固方案,并且加固方案应通过可行性论证并得到具体的验证,实施严格按照加固方案所确定内容和步骤进行,确保每一个操作步骤都对信息系统没有损害。
◆系统(网络)备份方式:
在加固前,应对加固设备进行全盘的备份。包括:
- 采用磁带机或磁带库对OS、应用程序、数据进行备份;
- 采用Ghost的方式对整个硬盘进行备份;
- 对于数据库服务器,对数据库数据采用在线备份;
- 对于网络设备,对于配置文件进行备份;
◆冗余备份方式:
在对重要的设备进行备份的同时,会根据现有的冗余设备,包括:四层交换机的负载均衡、网络线路的双链路、硬件设备的HA等进行调研,然后采取合理的备份方式,防止造成一个设备加固出现问题,造成整个业务的瘫痪。
◆恢复手段:
对于在加固前进行的备份内容,事先进行恢复的测试,同时设计恢复的流程,万一加固出现问题,能够根据流程在最快的时间内恢复正常业务。
◆加固测试
正式加固前,会进行备机的加固测试,以验证加固手册中的加固项。只有顺利通过加固测试,才会开始正式加固
◆正式加固的时间安排
- 加固实施时间尽量安排在晚上或系统空闲时进行;
- 加固实施时间可以在系统调优时进行,这样减少对系统的变更。
- 如果两台或多台主机采用了高可用性措施(HA),如双机热备、集群、负载均担,则可先加固部分(或备机),待加固确认正常后,再加固另外一部分(主备方式的情况,先把主备关系切换);
◆人员安排
- 保证加固实施时系统维护人员在现场
- 支持厂商联系畅通
◆残留风险
实施安全加固需要关注三个残留风险:
- 冲突
策略实施与应用的冲突。考虑应用为主,有些策略可能不实施,尤其是对应用效率造成影响或者需要重新启动的一些安全策略。这样需要考虑使用附加手段或者制定流程以最终解决问题。
- 变更
在实施过程中,可能出现由于人员或者其他不可预知的原因造成对主机安全策略的修正。需要一种机制对主机安全策略变更进行控制。
- 失效
设备安全策略并不是一个永久性的设备安全建议原则,随着时间和技术的发展,策略本身将会部分失效。需要有一种机制对设备安全策略做审查,保证其有效性。
序号 | 检查项 | 加固内容 |
1 | 是否启用SSL监听 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签 |
2 | SSL监听端口 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签 |
3 | 设置sockets最大连接数 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“优化”标签 |
4 | 修改默认端口 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签 |
5 | WebLogic错误页面重定向 | 使用系统的应用帐号进入以下目录: NSF{wlshome}/server/lib/consoleapp/webapp/WEB-INF/web.xml文件,在文件中添加web-app/error-page/exception-type节点 |
6 | 是否启用SSL监听 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签 |
7 | SSL监听端口 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签 |
8 | 设置sockets最大连接数 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“优化”标签 |
9 | WebLogic错误页面重定向 | 使用系统的应用帐号进入以下目录: |
10 | 是否启用SSL监听 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签 |
11 | SSL监听端口 | 登录管理控制台,选择“服务器”->“服务器名”->“配置”标签->“一般信息”标签 |
Ø 安全策略遵循最小化原则,未经授权不得访问;
Ø 应能根据业务访问管理为数据流提供明确的允许/拒绝访问的能力,控制粒度精确为IP地址和端口级别;
Ø 设备禁止配置无用策略、重复策略、无效策略;
Ø 安全策略管理规范有效。
Ø 防护墙策略梳理审计
■ 网络重点要明确网络边界,便于实现网络之间的有效隔离和访问控制。实现系统之间严格访问控制的安全互连,解决复杂系统的安全问题;同时通过网络安全设备的安全配置防护,强化相关的设备安全能力。
常见的网络设备安全加固主要针对以下方面进行:
安全基线 | 加固的内容 |
服务与端口 | 更改标准端口号码; 关闭不必要的服务;(如UDP Small、Finger、HTTP、BOOTp、ARP-Proxy、IP Directed Broadcast、IP Classless、WINS和DNS等等,Extreme的EDP、HTTP等) |
鉴别认证 | 网络管理员登入访问管理 (限制登录空闲时间,限制尝试次数,限制并发数,访问地址限制,帐号和密码管理,帐号认证和授权,本机认证和授权)snmp协议的特征码的配置 |
访问控制 | 网段的访问控制列表及其管理 |
远程管理的访问控制(Telnet/SSH) | |
通过网络设备进行数据交换的访问控制 | |
审计跟踪 | 设备的登录信息审计 设备异常事件审计 SYSLOG服务器的设置 日志分析内容的设计 通过SOC平台的日志收集方式集中进行分析处理。 |
冗余与恢复 | 核心设备和链路是否采用链路冗余 对于IOS是否有合理的备份 对于网络设备的配置文件是否存在备份 |
其他安全问题 | 防DOS攻击 Smurf进攻的防范 TCP SYN的防范 LAND.C 进攻的防范 ICMP协议的安全配置 其他特定的安全配置 |
具体实现上的考虑 | 其他加固内容 |
常见的网络安全设备安全加固主要针对以下方面进行:
安全基线 | 加固的内容 |
鉴别认证 | 管理员账号管理(更改系统初始帐号和密码,限制密码最短长度,限制登录尝试次数) |
用户认证管理(本机认证和授权,RADIUS认证和授权) | |
访问控制 | 限制对安全设备自身的访问 |
安全防护和访问控制的策略进行分析和优化策略 | |
当前的访问控制策略 | |
审计跟踪 | 开启日志功能 |
配置Syslog服务器 | |
日志内容的分析的设计 | |
通过SOC平台的日志收集方式集中进行分析处理。 | |
冗余与恢复 | 设备配置文件的备份 |
负载均衡 | |
特定的安全配置 |
主要通过3个层次进行安全复查:
Ø 层次一:通讯和服务(网络层)
该层次的安全问题主要体现在TCP/IP网络协议本身存在的一些漏洞。如Ping炸弹可使一台主机宕机、无需口令通过Rlogin以root身份登录到一台主机等,都是利用了TCP/IP协议本身的漏洞。
Ø 层次二:操作系统
这一层次的安全问题来自网络中采用的各种操作系统,如运行各种UNIX的操作系统。包括操作系统本身的配置不安全和可能驻留在操作系统内部的黑客程序等带来的威胁。
Ø 层次三:应用程序
该层次的安全威胁来自防火墙的配置、Web站点的服务、DNS服务、拨号服务及E_mail服务。
渗透测试层次
□我们安全职责
1.免费为客户进行复查,以确认相关漏洞得到有效修复。
2.就复查中发现的遗留漏洞进行相关答疑。
□安徽移动配合
提交简要修复方法说明和复查申请
Ø 相关应用系统开发人员、网络运维人员、系统运维人员、安全管理人员讨论和确定安全加固方案
Ø 组织、督促第三方应用系统开发商进行安全改造;
Ø 提供测试环境,进行相关加固的验证
Ø 配合加固项的测试工作
Ø 配合安全复查工作。
○ 7x24小时故障支持
○ 30分钟故障响应
○ 重大故障2小时内达到指定现场
安全运维服务的方案设计与具体实施应满足以下原则:
对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害需求方网络的行为,否则需求方有权追究乙方的责任。
服务方案的设计与实施应依据国内或国际的相关标准进行;
服务提供商的工作中的过程和文档,具有严格的规范性,可以便于项目的跟踪和控制;
服务用的工具、方法和过程要在双方认可的范围之内,服务的进度要跟上进度表的安排,保证需求方对于服务工作的可控性;
服务的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
服务工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述)。
运维服务重点关注因各设备运行故障导致用户系统信息泄露、篡改、非法传播的风险。特别需要关注对互联网开放应用的业务系统安全保障。
甲方设置专门的项目组配合本次项目实施的整个过程。
1、乙方应详细描述评估过程中评估人员的组成及各自职责的划分。乙方应配置有经验的评估人员进行本项目的评估工作,在应答文件中确定评估组织架构和人员,提供参与人员的详细简历;未经与需求方协商确认乙方不允许随意更换;乙方应确保选派高级咨询人员参与整个项目,确保项目的进度和质量。
2、本项目实施过程中所使用到的各种工具软硬件(如防护产品、漏洞扫描工具等)由乙方推荐,经甲方确认后由乙方提供并在评估中使用。
3、评估工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由乙方推荐,经甲方确认后由乙方提供并在评估中使用。
4、评估需要的运行环境(如场地、网络环境等)由甲方提供,乙方应详细描述甲方的运行环境的具体要求。