发布时间:2023-04-22 12:00
目录
XXX高校网络安全服务解决方案
1.综述
1.1.项目背景
1.2.项目目标
1.3.项目范围
1.4.安全需求分析
2.安全服务概述
2.1.安全服务的必要性
2.2.安全服务原则
2.3.安全服务方针
3. 技术支持方案
3.1安全服务一览表
3.2月度漏洞扫描
3.3实时网站安全监测
3.4网站远程安全监测服务介绍
3.5主要核心技术
3.6季度深度安全巡检
3.7渗透测试
3.8代码审计
3.9安全加固
3.10应急响应
3.11安全通告
3.12安全咨询
3.13安全产品部署
4. 典型案例
XX市经信委风险评估项目
XXX总行安全服务项目
XXX科技网安全服务项目
XXX人事考试办公室安全服务项目
XXX财政厅安全服务项目
2014年是中国信息安全行业获得重要发展的一年。信息安全问题已成为社会的热点问题,得到政府和社会的高度重视。近几年来,XXX大学的网络信息化建设发展很快,各级各类网站超过400多个,联网计算机6万多台,数量多、分布广、类型杂。学校的信息化进程面临各种安全威胁,一方面互联网高危漏洞频发,如2013年7月的struts2漏洞,2014年4月openssl heartbleed漏洞,已影响到学校系统的正常运行。另一方面校内安全工作也需要进一步重视,需要防范网站被入侵涂改、关键数据被篡改、服务器资源被滥用等恶意行为。急需借助专业的安全服务,对XXX大学各类重要信息系统进行安全检查和风险防范处置,以增强XXX大学整体信息安全保障力量,提高安全防护水平。
对XXX大学各类网站和系统的安全检查和漏洞修复涉及工作量巨大、技术要求较高,在信息中心人员储备不足的情况下,需要借助第三方信息安全机构的协助,共同完成对学校信息网站和信息系统的加固与完善,促进信息安全体系建设,加强有关人员的技术水平和安全意识。
本项目旨在通过安全服务项目的建设,提高对XXX大学学校网站和信息系统进行全面保护,应用国内外先进的信息安全技术,在成熟且规范的安全服务体系约束下,配合XXX大学进行更优化的信息安全服务保障建设。消除校内基础业务系统网站的安全风险,提升校园整体网络的安全性,尽量避免重大安全事件的发生,对突发事件有完善的处理应对流程;保障网络及系统实现安全、可靠、有序、高效的运行,保障信息的机密性、完整性、可用性、可控性和不可否认性,避免各种潜在的威胁,为XXX大学各项业务稳定、安全运行提供必要的支持。
本次服务对象涵盖XXX个校重点信息系统集群与XXX个党群、院系网站,兼顾校园网所有网站。整个项目涉及对象包括:
ü校重点信息系统,包括www主页、zupo办公网在内的校门户网站,校院办OA、校财务系统、科研管理系统等,以及信息中心ldap、Oracle、等校园网基础设施系统;
ü校主要信息系统,包括党群系统、学院部门的门户网站,内部办公系统、对外业务系统等。
ü其他校内信息系统,包括各类在校园网内部运行的实验室、课题组网站、科研用服务器等。
按照国际权威的信息安全标准与等级保护要求,应用国内外先进的信息安全技术,对XXX大学的重要网站和信息系统进行全面的安全检查,检查方式包括月度的安全扫描、每季度深度的安全评估、渗透测试、24小时自动对重要网站的实时监测、关键系统的代码审计等,并提交相应的检查报告,对发现的安全问题协助信息中心完成修复。在修复之后进行复验测试。
网上发生的实时安全事件和最新发布的可能涉及到学校网站和业务系统的安全漏洞是学校信息安全的动态威胁,需要由专业安全工程师提供及时的安全形势通报;对学校可能发生的安全事件提供应急响应,在要求的时间内进行远程和现场的技术支持,以及时消除安全事件的影响,降低事件造成的损失。
单次的安全服务只能解决现有的问题,为了将XXX大学的信息安全保障水平维持在一个较高水平,需要推进XXX大学整体的信息安全管理体系的建设。将提供具有丰富体系建设经验的信息安全管理专家,协助完善XXX大学的信息安全管理体系,提供实时的安全管理和技术的专业咨询,制定针对性的培训计划,以高XXX大学信息中心技术和管理人员的安全知识和专业技能。
信息安全一向是一个发展和交互的过程,使用任何一种功能再强大的防范产品都不能解决一直在日益变化的安全问题,因为:
n安全是动态的不断变化和发展的过程,单纯的产品部署无法确保客户整体安全;
n安全建设是一项复杂的系统工程,安全不是简单的产品的堆砌;
n安全产品无法解决所有问题;
人员的操作水平和系统的复杂性之间的差距,造成现有的系统管理员对目前先进、复杂的网络的管理能力有限;
我们认为,信息安全并不是按照说明书安装几个安全产品就能解决问题的。它需要合适的安全体系和合理的安全产品组合,需要根据网络及网络用户的情况和需求规划、设计和实施一定的安全策略以及其他多种安全服务。
安全服务与安全产品是相辅相成的,两者如砖头和水泥的关系,一方面,脱离服务的产品无法发挥其固有的能力,另一方面,脱离产品的服务效率低下、成本过高。因此,提出“产品服务化、服务产品化”的理念,以优秀的产品、满意的服务为客户网络安全提供保证。
优秀的产品需要有良好的服务支持,我们提出“产品服务化”,就是把安全服务贯穿在包括售前设计/咨询、售中实施/集成、售后维护/保修这一条安全建设时间线上,通过专业的服务,使安全产品发挥出最大的效能。
同时,专业的服务需要有优秀的产品作为辅助。的专业服务不是一种概念,而是标准化、规范化、专业化的服务工具。服务工程化和体系化,体现了的专业技术优势和服务保障。作为“服务产品化”,安全服务自身也是一种可销售的产品,能够为客户提供清晰的可量化服务。
安全服务工程是一项综合服务,由公司经验丰富的安全技术专家,基于用户网络结构的特性和其个性化的需求来提供有针对性的安全解决方案,通过将来自一线的经验变成用户所需要的安全服务,从而保障客户相关重要系统和资源的安全,有效地减少用户单位由于安全问题引起的不可估量的损失。
在安全服务项目中,遵循如下原则:
最小影响原则
会从项目管理层面和工具技术层面,将可能影响降低到最低限度,包括安全服务设计蓝图、资产单元风险规避的个性化、工具最小影响措施,以及和客户充分的沟通机制;
n 适用性原则
根据甲方信息系统的实际需求,提出对应的解决方案,并按照保护强度进行安全服务项目的方案设计、实施等工作。
n 标准性原则
整个服务过程遵循国际和国内的多项标准,包括BS7799,ISO13335,《信息安全等级保护管理办法》等,具体包括:
ü 国际信息安全管理标准BS 7799
ü ISO 13335,即IT 安全管理指南(Guidelines for the Management of IT Security,GMITS)
ü国家标准征求意见稿《信息系统安全风险评估指南》
ü国家标准征求意见稿《信息系统安全风险管理指南》
ü 《信息技术、安全技术、信息安全管理实用规则》(GB/T22081-2008)
《信息技术 安全技术 信息技术安全性评估准则》(GB/T 18336-2008)
ü 《信息安全技术 信息安全风险评估规范》(GB/T20984-2007)
ü 《信息技术安全性评估通用准则》(ISO15408 CC)
ü 《信息技术 信息安全管理规范》(BS 7799-2:2002)
ü 《信息技术IT安全管理指导方针》(ISO/IEC TR 13335)
ü 《业务连续性管理》(BS25999:2006)
n 规范性原则
在服务工作中的过程和文档,严格遵循的内部规范:《安全服务项目管理规范》、《信息安全服务规范》;
n 可控性原则
进行项目实施时,公司将从用户信誉、成功经验、人员水平、工具可控性、项目过程可 控性多个角度保证整个项目过程和结果的可控性;
ü 服务可控性
服务方应事先在工作沟通会议中向用户介绍安全服务流程,明确需要得到客户协作的工作内容,确保安全服务工作的顺利进行。
ü 人员与信息可控性
所有参与服务的人员应共同签署保密协议,以保证项目信息的安全;应对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人。
ü 过程可控性
应按照项目管理要求,成立项目实施团队,项目经理负责制,达到项目过程的可控。
ü 工具可控性
安全服务人员所使用的工具应该事先通告用户,并在项目实施前获得用户的许可,包括产品本身、测试策略等。
n 整体性原则
项目实施中,公司将从国际标准、规范、BDH需求分析和长期的实施经验等多个角度保证整体全面,包括安全涉及的各个层面,避免遗漏;
n 保密性原则
公司和参加此次安全服务项目的所有项目组成员,都必须和客户签署相关的保密协议和非侵害协议。
PDCA循环是信息安全工作中的一个重要模型,它是全面信息安全管理所应遵循的科学程序。全面信息安全管理活动的全部过程,就是信息安全计划的制订和组织实现的过程,这个过程就是按照PDCA循环,不停顿地周而复始地运转。
PDCA循环是能使任何一项活动有效进行的一种合乎逻辑的工作程序,特别是在信息安全管理中得到了广泛的应用。P、D、C、A四个英文字母所代表的意义如下:
1、 P(Plan)——计划。包括方针和目标的确定以及活动计划的制定;
2、 D(DO)——执行。执行就是具体运作,实现计划中的内容;
3、 C(Check)——检查。就是要总结执行计划的结果,分清哪些对了,哪些错了,明确效果,找出问题;
4、A(Action)——行动(或处理)。对总结检查的结果进行处理,成功的经验加以肯定,并予以制定固定方法,便于以后工作时遵循;对于失败的教训也要总结,以免重现。对于没有解决的问题,应提给下一个PDCA循环中去解决。 PDCA循环就是按照这样的顺序进行信息安全管理,并且循环不止地进行下去的科学程序。
全面信息安全管理活动的运转,离不开管理循环的转动,这就是说,改进与解决信息安全问题,赶超先进水平的各项工作,都要运用PDCA循环的科学程序。提高信息安全管理水平,需要先提出目标,即信息安全提高到什么程度,要有个计划;这个计划不仅包括目标,而且也包括实现这个目标需要采取的措施;计划制定之后,就要按照计划进行检查,看是否达实现了预期效果,有没有达到预期的目标;通过检查找出问题和原因;最后就要进行处理,将经验和教训制订成标准、形成制度。
序号 |
项目 |
内容 |
备注 |
1 |
月度漏洞扫描 |
每月使用专业的扫描工具,对校内主要信息系统的网站WEB漏洞扫描、操作系统漏洞扫描和数据库漏洞扫描三个层面进行脆弱性评估 |
12次/年 每月7日 |
2 |
实时安全监测 |
提供7*24小时的系统网站安全检测,实时发现问题进行应急响应,规避风险,每个月提供监控情况报告。 |
一年期内7*24小时 |
3 |
季度安全巡检 |
在一年的服务期内,每季度对XXX大学重要信息系统进行巡检,要求提供巡检详细的方法、手段及工作安排,根据巡检情况对信息系统存在的问题提供修复加固改进方案,协助XXX大学进行修复加固。 |
4次/年 |
4 |
渗透测试 |
渗透测试:在一年的服务期内,对市XXX大学系统网站进行一次模拟黑客的攻击方法对信息系统进行非破坏性质的攻击性测试,提供系统所存在的安全威胁和风险报告,并能及时修复漏洞和提供加固方式。 |
4次/年 |
5 |
代码审计 |
通过安全审计发现web代码层的风险点,提供代码安全审计报告,提供代码安全修复方案等。 |
1次 |
6 |
安全加固服务 |
在一年的服务内针对安全评估报告,提供加固方案与回退方案,帮助XXX大学的信息系统通过安全加固服务,增强信息系统抵抗风险的能力,从而提高整个系统的安全性。 |
1年期间内 |
7 |
应急响应 |
在一年服务期内,提供7*24小时的应急支持,针对XXX大学信息系统出现安全风险、恶意攻击、入侵等威胁时,能2小时之内到达现场及时提供安全应急响应服务,协助XXX大学查找风险来源,确定威胁过程,提供故障恢复方案,并协助XXX大学进行修复加固。跟踪业界最新的安全动态以及常见多发的安全威胁和各类漏洞,提供每月的安全通报。对校内发生的紧急应用安全事件提供7*24小时的远程服务响应与现场技术支持,对互联网最新公布的重大安全漏洞进行应急检测。 |
1年期间内,7*24小时支持 |
8 |
安全培训 |
根据要求提供黑客技术培训、安全加固培训、安全体系政策培训、安全风险意识培训等。 |
单次,并提供2名cisp标准的工程师培训 |
9 |
安全通告 |
“信息”每周向XXX大学提供实时安全动态,帮助了解最新的安全技术和安全理念。 |
一年内 |
10 |
安全咨询 |
为XXX大学提供信息安全相关的技术和管理的咨询,安全体系建设的咨询 |
1年 |
在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对独立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定,因此,安全扫描是检查系统脆弱性的有效手段。
本项目的月度的漏洞扫描工作由经验丰富的工程师实施,于每月7日前联系XXX大学项目组相关联系人,确认后建立扫描任务,于15个工作日内提交扫描结果报告。
本项目中的扫描服务是指应用一套专业的扫描工具-包括web漏洞扫描器、数据库漏洞扫描器、主机扫描器及本地评估套件,对校重点信息系统与校主要信息系统进行WEB漏洞扫描、操作系统漏洞扫描和数据库漏洞扫描三个层面进行脆弱性评估。
在本项目中,安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。
为了确保扫描的可靠性和安全性,信息技术有限公司将根据XXX大学信息系统评估业务情况,与XXX大学一起确定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。信息技术有限公司将与XXX大学信息中心项目组一起协商具体需要扫描的项目。比如,为了防止对系统和网络的正常运行造成影响,信息技术有限公司将修改、配置一定的扫描、审计策略使资源消耗降低至最小,限制或不采用拒绝服务模块进行扫描。对那些危险的模块和重要主机则主要采用手动检查的方式。另外,信息技术有限公司将在评估前将协助评估节点进行必要的系统备份,并检查本地的应急恢复计划是否合理。
在实际开始评估扫描时,信息技术有限公司会正式通知XXX大学信息中心项目组成员。信息技术有限公司将按照预定计划,在规定时间内进行并完成评估工作。如遇到特殊情况(如设备问题、停电、网络中断等不可预知的状况)不能按时完成扫描计划或致使扫描无法正常进行时,由双方召开临时协调会协商予以解决。
扫描完成后,由信息安全专家团队对扫描器结果进行人工逐条筛选判断,验证漏洞是否可以利用,过滤误判、重复结果,对于发现的安全漏洞提供处理办法。
月度扫描检查最少输出以下成果: