信息安全运维的实施方案文献

1、WORD整理版专业学习参考资料信息安全运维实施方案第1章、安全运维实施方案安全运维的重要性随着信息安全管理体系和技术体系在企业领域的信息安全建设 中不断推进，占信息系统生命周期 70% - 80%勺信息安全运维体系的 建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大 规模建设阶段逐步转型到“建设和运维”并举的发展阶段，运维人员 需要管理越来越庞大的IT系统这样的情况下，信息安全运维体系建 设已经被提到了 一个空前的高度上。运维服务的发展趋势对于企业的安全运维服务管理的发展，通常 可以将其分为五个阶段：混乱、被动、主动、服务和价值阶段。.在混乱阶段：没有建立综合支持中心，没有用户通知

2、机制；.在被动阶段：是开始关注事件的发生和解决，关注信息资产， 拥有了统一的运维控制台和故障记录和备份机制；.在主动阶段：建立了安全运行的定义，并将系统性能，问题 管理、可用性管理、自动化与工作调度作为重点；.在服务阶段，已经可以支持任务计划和服务级别管理；.在价值阶段，实现性能、安全和核心应用的紧密结合，体现 价值之所在。1.2 安全运维的定义 通常安全运维包含两层含义：.是指在运维过程中对网络或系统发生病毒或黑客攻击等安全事 件进行定位、防护、排除等运维动作，保障系统不受内、外界 侵害。.对运维过程中发生的基础环境、网络、安全、主机、中间件、 数据库乃至核心应用系统发生的影响其正常运行的事

3、件（包含 关联事件）通称为安全事件，而围绕安全事件、运维人员和信 息资产，依据具体流程而展开监控、告警、响应、评估等运行 维护活动，称为安全运维服务。目前，大多数企业还停留在被动的、传统意义上的安全运维服务， 这样安全运维服务存在以下弊端：.出现故障纵有众多单一的厂商管理工具，但无法迅速定位安全 事件，忙于“救火”，却又不知火因何而“着”。时时处于被动 服务之中，无法提供量化的服务质量标准。.企业的信息系统管理仍在依靠各自的“业务骨干”支撑，缺少 相应的流程和知识积累，过多依赖于人。.对安全事件缺少关联性分析和评估分析，并且没有对安全事件 定义明确的处理流程，更多的是依靠人的经验和责任心，缺少

4、 必要的审核和工具的支撑。正是因为目前运维服务中存在的弊端，深信通公司依靠长期从事应用平台信息系统运维服务的经验，同时结合信息安全保障体系建设 中运维体系建设的要求，遵循ITIL （最佳实践指导）、ISO/IEC 27000 系列服务标准、以及中国移动广东公司管理支撑系统 SOAB范等 相关标准，建立了一整套完善和切实可行的信息安全运维服务管理的 建设方案。1.3 深信通安全运维五大架构体系建立安全运维监控中心基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测，以关键绩效指标指导和考核信息系统运行质量和运维管理 工作的实施和执行，深信通帮助用户建立全面覆盖信息系统的监测中 心，并对

5、各类事件做出快速、准确的定位和展现。实现对信息系统运 行动态的快速掌握，以及运行维护管理过程中的事前预警、 事发时快 速定位。其主要包括：.集中监控：采用开放的、遵循国际标准的、可扩展的架构， 整合各类监控管理工具的监控信息，实现对信息资产的集中 监视、查看和管理的智能化、可视化监控系统。监控的主要 内容包括：基础环境、网络、通信、安全、主机、中间件、 数据库和核心应用系统等。.综合展现：合理规划与布控，整合来自各种不同的监控管理 工具和信息源，进行标准化、归一化的处理，并进行过滤和 归并，实现集中、综合的展现。.快速定位和预警：经过同构和归并的信息，将依据预先配置 的规则、事件知识库、关联关

6、系进行快速的故障定位，并根 据预警条件进行预警。建立安全运维告警中心基于规则配置和自动关联，实现对监控采集、同构、归并的信息 的智能关联判别，并综合的展现信息系统中发生的预警和告警事件， 帮助运维管理人员快速定位、排查问题所在。同时，告警中心提供多种告警响应方式，内置与事件响应中心的 工单和预案处理接口，可依据事件关联和响应规则的定义， 触发相应 的预案处理，实现运维管理过程中突发事件和问题处理的自动化和智 能化。其中只要包括：事件基础库维护：是事件知识库的基础定义，内置大量的标准事 件，按事件类型进行合理划分和维护管理， 可基于事件名称和事件描 述信息进行归一化处理的配置，定义了多源、异构信

7、息的同构规则和 过滤规则。智能关联分析：借助基于规则的分析算法，对获取的各类信息进 行分析，找到信息之间的逻辑关系，结合安全事件产生的网络环境、 资产重要程度，对安全事件进行深度分析，消除安全事件的误报和重 复报警。综合查询和展现：实现了多种视角的故障告警信息和业务预警信 息的查询和集中展现。告警响应和处理：提供了事件生成、过滤、短信告警、邮件告警、 自动派发工单、启动预案等多种响应方式，内置监控界面的图形化告 警方式；提供了与事件响应中心的智能接口， 可基于事件关联响应规 则自动生成工单并触发相应的预案工作流进行处理。建立安全运维事件响应中心借鉴并融合了 ITIL （信息系统基础设施库）/I

8、TSM （IT服务管理） 的先进管理规范和最佳实践指南， 借助工作流模型参考等标准，开发 图形化、可配置的工作流程管理系统，将运维管理工作以任务和工作 单传递的方式，通过科学的、符合用户运维管理规范的工作流程进行 处置，在处理过程中实现电子化的自动流转，无需人工干预，缩短了 流程周期，减少人工错误，并实现对事件、问题处理过程中的各个环 节的追踪、监督和审计。其中包括：图形化的工作流建模工具：实现预案建模的图形化管理，简单易 用的预案流程的创建和维护，简洁的工作流仿真和验证。可配置的预案流程：所有运维管理流程均可由用户自行配置定义， 即可实现ITIL/ITSM的主要运维管理流程，又可根据用户的实

9、际管理 要求和规范，配置个性化的任务、事件处理流程。智能化的自动派单：智能的规则匹配和处理，基于用户管理规范 的自动处理，降低事件、任务发起到处理的延时，以及人工派发的误 差。全程的事件处理监控：实现对事件响应处理全过程的跟踪记录和 监控，根据ITIL管理建议和用户运维要求，对事件处理的响应时限 和处理时限的监督和催办。事件处理经验的积累：实现对事件处理过程的备案和综合查询， 帮助用户在处理事件时查找历史处理记录和流程，为运维管理工作积 累经验。建立安全运维审核评估中心该中心提供对信息系统运行质量、服务水平、运维管理工作绩效的综合评估、考核、审计管理功能。其中包括：评估：遵循国际和工业标准及指

10、南建立平台的运行质量评 估框架，通过评估模型使用户了解运维需求、认知运行风险、采取相应的保护和控制，有效的保证信息系统的建设投入与 运行风险的平衡，系统地保证信息化建设的投资效益，提高 关键业务应用的连续性。考核：是为了在评价过程中避免主观臆断和片面随意性，应实现 工作量、工作效率、处理考核、状态考核等功能。审计：是以跨平台多数据源信息安全审计为框架，以电子数据处 理审计为基础的信息审计系统。主要包括：系统流程和输入输出数据 以及数据接口的完整性、合规性、有效性、真实性审计。以信息资产管理为核心IT资产管理是全面实现信息系统运行维护管理的基础，提供的丰 富的IT资产信息属性维护和备案管理，以及

11、对业务应用系统的备案 和配置管理。基于关键业务点配置关键业务的基础设施关联，通过资产对象信 息配置丰富业务应用系统的运行维护内容，实现各类IT基础设施与用户关键业务的有机结合，以及全面的综合监控。这其中包括：综合运行态势：是全面整合现有各类设备和系统的各类异构信息， 包括网络设备、安全设备、应用系统和终端管理中各种事件，经过分 析后的综合展现界面，注重对信息系统的运行状态、综合态势的宏观 展不。系统采集管理：以信息系统内各种IT资源及各个核心业务系统 的监控管理为主线，采集相关异构监控系统的信息，通过对不同来源 的信息数据的整合、同构、规格化处理、规则匹配，生成面向运行维 护管理的事件数据，实

12、现信息的共享和标准化。系统配置管理：从系统容错、数据备份与恢复和运行监控三个方 面着手建立自身的运行维护体系，采用平台监测器实时监测、运行检 测工具主动检查相结合的方式，构建一个安全稳定的系统。安全管理原则.深信通负责业务支撑中心的安全、 保密管理工作，遵守南方基地已有各项安全规定，以此为基础制定详细的 安全管理实施 办法，并采取适当措施保证有关措施的有效执行。.深信通定期检查安全、保密规定的执行情况；.深信通定期组织系统病毒检查，并对此负责；.深信通及时向信息技术中心反映存在的安全隐患。保密原则.深信通严格遵守南方基地各项安全保密制度，加强服务工程师 的保密意识，制定有效的管.深信通整理措施

13、和技术措施，防止重要数据、文件、资料的丢 失及泄漏。.深信通有关计费清单、用户资料、业务数据、重要文件等均属 机密，不得任意抄录、复制及带出机房，也不得转告与工作无 关的人员。.机房内重要文件、数据的销毁，应全部送入碎纸机，不得任意 丢弃。.安全保密工作深信通安排专人负责，定期向信息技术中心提交 安全工作报告。硬件层安全运维机房安全运维基础网络安全运维人员管理安全运维应用层安全运维.对于南方基地管理支撑应用的帐户，必需遵循南方基地管理支 撑系统帐号密码管理办法（V2.0），并结合实际情况，补充并完 善相关管理办法。.系统用户帐号原则上不允许存在共享帐号，所有帐号必须明确至 个人；由于系统特殊原

14、因必须使用共享帐号的情况下，系统必须 制订对共享帐号的审核授权流程，明确共享帐号的有效期以及使 用帐号人员资料。.用户帐号原则上采用用户中文名称的汉语拼音，当遇到用户的中 文汉语拼音相同时，系统将为重复的帐号后加上顺序号，如此类 推，如：liming , liming2 , liming3 , liming5 顺序号将避开数字4。.各系统用户数据属性应包括用户中文姓名和用户中文ID,原则上用户中文ID就是用户姓名，当不同用户具有相同中文名称时，系统除了按2、3的命名规范为其分配用户帐号外，用户中文 ID后 面加上与帐号一致的后缀。而用户的中文名后面不加顺序号。如：5.公司6.姓名7.中文ID8

15、. r#9.邮件10.省公司11.李明12.李明13.limin g14.liminggd.chinamobile. com15.清远移动16.黎明17.黎明18.liming219.liming2gz.gd.chinamob20.深圳公司21.李明22.李明323.liming324.liming3sz.gd.chinamob.图1.8-1帐号说明.测试人员和代维人员帐号：各系统测试人员和代维人员帐号原则 上应以该系统的英文缩写作为前缀加上用户名称的汉语拼音生成。.各系统用户密码长度不得低于6位；不得采用弱密码（弱密码定 义参见南方基地管理支撑系统帐号密码管理办法）；最少每90 天必须强制用

16、户更改密码；并不得使用 5次以内重复的密码；登 录系统时，如重复尝试3次不成功，则系统暂停该帐号登录功能。28.园区信息化系统安全体系29.系 统 平 台 管 理30.检查点31.检查要求32.交付物33.日常维护34.核心系统及关键服务器定义35.需对关键系统和服务器有清晰的定义（如 DNS/DHCP 防病毒等影响全网层面的服务器、承载重要业务或包含敏感信息的系统等）36.核心业务、关键服务器列表37.应急 与演 练38.园区信息化系统和 关键服务器需有详 尽故障应急预案39.应急预案40.应定期进行相关应急演练，并形成演练 报告，保证每年所有 的平台和关键服务 器都至少进行一次 演练41.

17、应急演练报告42.根据应急演练结果更新应急预案，并保 留更新记录，记录至 少保留3年43.应急预案更新记录，预案版本记录44.备份管理45.系统所涉及不同层 面（如系统的重要 性、操作系统/数据 库）应当制定数据的 备份恢复以及备份 介质管理制度46.备份管理制度，包括备份策略管理制度与备份介质管理制度47.系统所涉及不同层48.备份管理制面应根据业务要求度，包括备份制定数据的本地和策略管理制度异地备份（存放）策与备份介质管略理制度49.相关人员对本地和异地备份策略的结果进行每季度审核50.策略审核表，加入备份管理制度51.备份的数据进行恢复性测试，确保数据的可用性，每年不少于一次52.备份恢

18、复应急演练记录53.相关人员对备份介质的更换记录进行每半年审核54.备份介质更换 记录表，加入 备份管理制度55.相关人员对备份介质的销毁记录进行每半年审核56.备份介质销毁记录表，加入备份管理制度57.故障管理58.各地市需制定相应的园区信息化系统及服务器故障处理流程59.故障处理流程60.系统中发现的异常 情况由系统维护人员根据相关流程在 规定时间内处理61.故障处理流程62.故障处理完成后必须留有相应的故障处理记录63.故障处理报告64.上线管理65.为保障设备接入网 络的安全性，设备上 线前必须安装防病 毒系统及更新操作系统补丁，并对设备 进行进行安全扫描 评估，针对安全漏洞 进行安全

19、加固66.1、企业网接入管理办法2、接入记录67.为避免系统上线对 其它系统和设备造 成影响，发布前必须 对系统应用站点、数 据库、后台服务、网68.1、应用系统接入申请流程2、接入记录络端口进行安全评估。系统投入正式运营前必须在测试环境中对系统进行模拟运行一周以上69.系统上线之后如需对系统进行功能更新，必须由系统管理员或系统管理员指定专门维护人员进行更新操作，严格按照公司安全管理规范执行70.1、应用系统更新申请流程2、更新记录71.Web应用应根据业务 需求与安全设计原 则进行安全编他,合 理划分帐号权限，确 保用户帐号密码安 全,加强敏感数据安 全保护，提供详细的 日志中国移动门户网站

20、安全技木规范V1.0_20101229_1832_（全部合订）2、根据规范对开发规范进行修正，用户名 密码的营理要 求、敏感数据 的管埋要求、 系统日志的开 发要求3、现有应用的 安全检查73.漏洞与防病用74.定期进行服务器漏洞扫描，并根据漏洞扫描报告封堵高危漏洞，每季度至少对所有服务器扫人次75.扫描记录与扫描结果报告76.需建立上的WSUS服务器，并每季度对关键服务器进行高危漏洞升级，并留有升级记录77.1、WSU龈务器中的关键更 新的补丁清单，每个月1份2、应用服务器 端每次更新的补丁清单78.任何终端必须安装正版防病毒软件，且79.防病毒检查记保证90犯上病毒库录最新（五日以内）80

21、.每周检查防病毒软81.防病毒检查记件隔离区，排除病毒威胁录83.在操作系统层、数据84.1、操作系统层库层、应用层建立日日志策略82.核心志记录功能，日志记2、数据库日志系统录中保存1年的内策略和关容，日志安全记录能3、应用层日志键服够关联操作用户的要求加入开发务器身份规范中日志85.操作系统日志中需审计记录“账户管理”“登86.操作系统层日录事件”“策略更改”志策略“系统事件”等内容87.操作行为记录需进行定期审计88.89.数据库层日志需记录每次数据库操作的内容90.数据库日志策略91.应用层日志需记录每次应用系统出错的信息92.应用层日志要求加入开发规范中93.检查关键错误日志、 应用

22、程序日志中的关键错误记录，保证 日志审核正常94.95.关键访问与操作应 立即启用日志记录 功能，避免因日志记 录不全，造成入侵后 无法被追踪的问题96.97.信息发布98.每天检查平台短信发送、接收的可用性99.每天短信检查t己录管理100.短信必须设置关 键字过滤，每个月进 行关键字更新，并检查其后效性101.短信关键字更新记录，有效性检查记录102.信息防泄密103.需对所有园区信息化系统、应用系统的核心信息进行清晰的界定，核心信息包括但不限于涉及客户资料、客户账户信息、客户密他、操 作记录104.应用系统-核心信息矩阵图105.需对核心信息设定保密措施106.应用系统核心信息管理制度1

23、07.对核心信息的操作进行特殊监控，并留卜记录108.访问控109.账号密110.服务器上任何账号必须有审批人员111. 1、账号管理办法制码管理审核确认2、账号申请表112.所有系统和服务器上账号必须每季度进行审核113. 账号审核表114. 密码复杂度要求：i.静态密码：密码 应至少每90天进行 更新，密码长度应至 少6位或以上，密码 应由大小写字母、数 字或标点符号等字 符组成，五次内不能 重复二.动态帝他。115. 1、密他修改记录表2、历史密他记录表116.远程访问117.不得后互联网远程维护的访问方式。118. 现场检查119. MDCNJ系统的远程访问只能通过省公司的SSL VP

24、N!文120. 现场检查IBM VPN不得在市公司层面存在互联网以VPNI?形式的远程访问. 应用安全.应用层的漏洞扫描，实现对南方基地园区信息化系统上的所有 系统进行安全扫描， 做好应用防护，防止出现SQL注入、网页 后门程序、跨站脚本等重大安全漏洞，避免因 2应用系统自身漏 洞造成敏感信息泄露的安全问题；.服务器报警策略.报警策略管理是防止集群中的服务器某个压力值过高或者过 低而造成集群性能的降低，通过报警策略的设定，管理可以及时 的察觉每个服务器的故障并进行及时修正，保证集群最有效的工 作状态。管理员可以根据服务器的不同应用，通过报警策略的类 型、极限参数和警告内容的设置，将报警策略赋予

25、服务器，并产 生报警日志。.用户密码策略.密码策略用于应用接入平台用户身份模块中用户账户。它确定 用户账户密码设置，例如：密码复杂度、密码历史等设置。.用户安全策略.用户安全策略用于应用接入平台权限设置。它确定用户身份权 限设置，例如：能访问服务器的那个磁盘，此用户身份能运行那 个业务程序等设置。.访问控制策略.管理员通过访问控制策略来限定用户和客户端计算机以及时 间等因素的绑定来实现用户安全访问应用程序的设置。. 时间策略.通过对访问该应用程序及使用的用户身份进行时间限制，从而提升对发布的应用程序的访问安全，使其只能在特定时间与被确 认身份的用户身份所使用。防止被恶意用户不正当的访问。1.8

26、.1备份安全指遵照相关的数据备份管理规定，对园区信息化系统及其 产品的数据信息进行备份和还原操作。根据园区信息化系统 及其产品的数据重要性和应用类别，把需要备份的数据分为 数据库、系统附件、应用程序三部分。1.每周检查NBU&份系统期备份结果检查，处理相关问题。备份 系统状态、备份策略检查，对备份策略以及备份状态检查以及调优，主要服务器变更、应用统一接入等1.8.2防病毒安全.导出防病毒安全检查报告、对有风险和中毒的文件与数据进行 检查.对病毒分析处理.定期检测病毒，防止病毒对系统的影响1.8.3系统安全.定期修改系统 Administrator 密码：主要修改 AD Cluster、 服务器

27、密码；.安装操作系统补丁，系统重启，应用系统检查测试.数据库的账号、密码管理，保证数据库系统安全和数据安全.对系统用户的系统登录、使用情况进行检查，对系统日志进行 日常审计1.8.4主动安全.监控Agent的配置与管理，对端对端监控产生检查结果核实， 处理相应问题.园区信息化所有系统需有详尽故障应急预案.应定期进行相关应急演练，并形成演练报告，保证每年所有的 平台和关键服务器都至少进行一次演练.根据应急演练结果更新应急预案，并保留更新记录，记录至少保留3年系统及网络安全.流量分析(netscount )深信通根据南方基地的安全及分析需求，提供 netscount分 析服务支撑，对各系统性能提供

28、全面分析。并提供优化建议及方 案。.应用分析(splunk )深信通根据南方基地的园区信息化系统安全，建立splunk的日志分析服务，并针对日志进行全面分析。对系统的安全、保障 提供优化建议及优化方案。.提供流量分析和应用分析提供10个以上的专题分析报告，并 根据报告提供具体的实施方案及优化手段。.根据优化建议及方案对平台及网络进行安全整改，以全面提升 平台的性能、安全，解决瓶颈。防篡改防攻击.网页文件保护，通过系统内核层的文件驱动，按照用户配置的 进程及路径访问规则设置网站目录、文件的读写权限，确保网页文件不被非法篡改。.网络攻击防护，Web1（心模块对每个请求进行合法性检测，对 非法请求或

29、恶意扫描请求进行屏蔽，防止SQL注入式攻击。.集中管理，通过管理服务器集中管理多台服务器，监测多主机实时状态，制定保护规则。.安全网站发布，使用传输模块从管理服务器的镜像站点直接更新受保护的网站目录，数据通过 SSL加密传输，杜绝传输过程的 被篡改的可能。.网站备份还原，通过管理控制端进行站点备份及还原。.网页流出检查，在请求浏览客户端请求站点网页时触发网页流 出检查，对被篡改的网页进行实时恢复，再次确保被篡改的网页不会被公众浏览。.实时报警，系统日志，手机短信，电子邮件多种方式提供非法 访问报警。.管理员权限分级，可对管理员及监控端分配不同的权限组合。.日志审计，提供管理员行为日志，监控端保

30、护日志查询审计。.对站点主机进行监控，对CPU内存，流量的作统计，以便实 时监控站点服务器的运作情况。.站点系统账号监控，对站点服务器的账号进行监控， 对账号的修改，添加等改动有阻拦和日志记录及报警，使站点服务器更加安全合理授权.合理授权的定义：合理授权是指对IT管理支撑应用系统及其相关 资源的访问设定严格的授权审批机制，确保IT管理支撑应用系统 的安全性。.为了保证南方基地IT管理支撑应用系统的安全性，确保相关IT 资源的访问经过合理授权，所有IT管理支撑应用系统及其相关资 源的访问必须遵照申请 一评估 -授权 的合理授权管理流程。.需要合理授权的IT资源包括但不局限于应用系统的测试环境、

31、程 序版本管理服务器、正式环境（包括应用服务器和数据服务器等）。.申请：由访问者（一般是应用开发商、应用系统管理员等）提交 书面的访问申请表（书面访问申请表，包括但不局限于纸质、Word 文档以及电子邮件等），提交安全管理员（一般是系统管理员或者 专职的安全管理员）进行风险评估。.评估：安全管理员对接到的访问申请书进行风险评估，并根据访 问者及被访问IT资源的具体情况，进行灵活处理。.授权：在访问申请表通过安全风险评估后，安全管理员会对访问 者进行合理授权。原则上，对程序版本管理服务器和正式环境的 访问申请，安全管理员必需根据有关管理流程给出正式授权，以 满足安全审计的要求。.各系统超级管理员

32、帐号的分配，必须由系统负责人员提出书面申 请，申请内容应包括系统名称、帐号、帐号有效期、帐号使用负 责人、帐号权限等内容，由部门副经理或以上的管理人员进行审 核批准后，超级管理员帐号方可生效。.系统超级管理员密码设置应符合本管理办法中用户密码管理的相 关规则；各系统应最少每90天对超级管理员帐号进行审查， 并且 将审查结果写入书面记录，由部门副经理或以上管理人员审核存 档。.各应用层超级管理员帐号的分配，必须由系统负责人员提出书面 申请，申请内容应包括应用系统名称、帐号、帐号有效期、帐号 使用负责人、帐号权限等内容，由部门副经理或以上的管理人员 进行审核批准后，超级管理员帐号方可生效。.应用层

33、超级管理员密码设置应符合本管理办法中用户密码管理的 相关规则；各系统应最少每90天对超级管理员帐号进行审查，并 且将审查结果写入书面记录，由部门副经理或以上管理人员审核 存档。.为了保证帐号安全管理，各系统应最少每90天对本系统涉及的帐 号（包括各类管理员帐号和普通用户帐号）进行检查，对已经超过有效期的帐号进行清理，对不符合管理规范的帐号进行补充授 权与审批。.各系统私有测试帐号和代维人员帐号：由各系统管理员自行管理。.关于帐号申请、授权、登记、变更等管理表格详见附件八帐号 管理相关表格1.8.8安全隔离.安全隔离的定义：安全隔离是指对IT应用系统的相关数据（包括 应用系统的程序代码、数据文件

34、等）进行逻辑隔离、物理隔离等， 以确保应用系统的安全性。如果开发商在开发、维护合作过程当 中可能接触到我公司的敏感数据，必须与南方基地签订安全保密 协议。.对安全等级为机密的IT应用系统（包括但不局限于企业内部的机 密档案信息等），我们需要对它的有关数据进行物理隔离，以提高 应用系统的安全防范能力；对安全等级为秘密的IT应用系统以及 应用系统的基础数据（如综合应用平台的基础数据、组织架构等）， 需要进行逻辑隔离。系统应用层面的访问必须通过帐号进行访问， 系统的帐号及口令管理参照本规定的帐号管理部分。.应用系统管理员或者专职的安全管理员应根据具体应用系统的数 据的敏感度制定相应的安全隔离措施，具

35、体措施包括但不限于访 问控制列表、安全加固、文件系统权限设定等。1.8.9安全审计.安全审计的定义：安全审计是指出于安全考虑，通过对IT应用系 统的异动记录、操作过程、数据转换等进行详细记录，为事后的 侦察和取证提供依据。.安全审计的范围：我们需要对一些重要的具有较高安全风险的操 作进行安全审计，操作系统层、应用系统层以及数据库层的所有 重要操作，特别是管理层认定对财务报表有关的操作留有系统日 志。系统日志由系统主管部门根据风险和重要性的原则确定检查 内容（如超级管理员的帐户登陆操作、正式环境的访问、数据转 换的操作活动、版本升级的操作活动、补丁升级操作活动等等） 负责每月进行审核。系统所需的

36、自动或手动批处理作业应制定作 业安排计划，留有电子或纸质文档操作说明。自动批处理作业应 在系统中留有运行日志记录，手工批处理作业的执行结果由批处 理操作人员负责检察确认。只有授权的系统维护人员可以在系统 中维护作业安排计划或安排手工作业安排计划，批处理计划上线 前都必需通过测试，并由相关人员签字审批。.安全审计的管理流程：每年至少举行一次全范围的安全审计活动， 具体操作可以结合管理支撑系统的年终巡检等活动，由南方基地 管理信息部根据实际情况自行决定。.统一用户管理的安全审计：用户帐户信息（包括组织单元属性、 岗位属性等）是所有应用系统最基础的数据，用户帐户所对应的应用系统访问权限（这里特指是否

37、对应用系统具有访问权限，而 不考虑在应用系统本身的具体授权）是安全管理的重要内容，因 此原则上需要对用户的异动信息及应用系统访问权限进行安全审 计，以提高整个IT管理支撑应用系统的安全性。.安全审计的目的：在指定周期内对信息系统的系统（操作系统、 数据库）用户、系统管理员、应用层面的用户、系统批处理任务 等涉及财务报表的操作进行安全审计。.流程：信息系统安全审计流程审计通知审计实施处理分析员计审全安开始SJ-01志审计CF-01* 结果分析结束员理管全安ST-03 甲 计准备QR-01 签字确认员理管用应ST-04发送 用户清单CF-02恨据| 审计结果处 理用户门部关相SJ-03 发送 审计

38、结果SJ-02用户权限审计审计内容权限矩阵表及用 户清单列表（系 统用户）权限矩阵表及清单列表（应用用户）用户权限清单 表（审计后）信息系统安 全审计报告23.24.图9.1.4-1信息系统安全审计流程.说明：系统安全审计由各系统安全审计员发起，本流程涉及角色 为：安全审计员、安全管理员、应用管理员以及各系统使用相关 部门。.工具：附件九帐号清单审核表、附件十系统权限，用户责任 权限矩阵表、附件十一系统安全审计报告。.统一用户管理的安全审计：用户帐户信息（包括组织单元属性、 岗位角色属性等）是所有应用系统最基础的数据，用户帐户所对 应的应用系统访问权限（这里特指是否对应用系统具有访问权限， 而

39、不考虑在应用系统本身的具体授权）是安全管理的重要内容， 因此原则上需要对用户的异动信息及应用系统访问权限进行安全 审计，以提高整个IT应用系统的安全性。当南方基地或业务发生 重大变更或半年时，系统主管部门应组织各使用系统的部门对系 统用户的访问权限清单进行审阅，以合理确保用户在系统中的权 限与其职责相符；操作系统、数据库层超级用户的账号（比如根用 户，系统管理员，批处理用户账号，数据库管理员）、预设的用户 帐号、第三方人员帐号的授权应具备书面审批记录表格，各责任 部门负责人或第三方人员对其进行复核签字确认，并根据审阅结 果对多余或不恰当的账号进行调整。.版本管理的安全审计：需要对所有IT应用系

40、统的源代码、运行代 码、配置文件、数据库文件等的版本变更过程进行安全审计。系统扫描分析系统扫描深信通为了深化自身服务能力，自购了相关扫描工具如：.系统维护工具：天镜脆弱性扫描与管理系统、Microsoft Baseline Security Analyzer 2.2.系统基线扫描工具：绿盟的基线扫描.应用维护工具：旧M Rational AppScan、NBSI_3.0、微软 Webffi 力测试工具(Microsoft Web Application Stress Tool).以满足南方基地和系统的安全需要：.以下对系统扫描工作GFI LANguard进行阐述1.系统安全扫描工作 GFI L

41、ANguardGFI LANguard 功能：扫描、检查、评估并帮助修补安全网络漏洞。管理整个网络部署与管理补丁和服务程序包，自动检查并删除未经授权的应用程序。可以扫描识别由多种主流防毒软件安装及病毒库更新情况。拥有强大的报告系统，能够对服务器的安全策略和整体系 统环境做由来安全评定。提供一个完整的网络拓扑。整个网络安全历史记录。完整的文本搜索。 修复中心控制台。 支持虚拟主机的扫描。 GFI LANguard 优势 GFI LANguard可以在几分钟内完成几百甚至上千的电脑 的扫描，不止支持Microsoft系统还支持Linux、Unix操 作系统、路由器、交换机和无线设备等系统的漏洞扫描

42、， 能够检查工作站中不必要的共享、开放端口和未用帐号。GFI LANguard集成了 1000多款安全软件的信息，能集中 管理整个网络部署的服务及安装程序，并可以集中分发安装用户所需的应用程序，可以自动检查并删除未经授权的 应用程序，对Windows操作系统进行统一的补丁更新管理， 可以一次性得到各台服务器上需要安装补丁列表，并批量进行安装。支持报警功能，告知用户什么时候有产品的更 新。LANguard都将通知管理员,具体类型分为：防病毒、 防间谍、防火墙、防钓鱼、备份客户端等。LANguard2011能报告他们的状态并提示任何需要注意的潜在问题。LANguard可以扫描识别由多种主流防毒软件

43、安装及病毒 库更新情况，并生成报告告之用户及时更新病毒库或者提 醒用户安装杀毒软件。GFI LANguard加入了一个功能强大、可以互动的全新仪 表盘。它能根据安全审计信息给由现有网络安全的一个概 要，连同一份网络变化情况的所有历史记录。它还能在问题由现时触发安全报警器。 用丰富的报告系统，来显示用 户的网络状况，可以用来分析网络漏洞，识别问题，预防 故障的产生，可以通过LANguard查看整个网络拓扑信息，来查看系统 状态、软件版本，及硬件概况来帮助行政部门。LANguard支持针对单个目标扫描或者地址段甚至整域扫 描，并生成用户报告。该报告包括系统状态，软件详细， 端口的使用及补丁的状态及

44、硬件概况。客户端程序也可以定时自动上传客户机状态到LANguard服务器。只要一打开LANguard程序，管理员就有一份完全且即时的网络安 全状况列表。所有的报告将基于所扫描电脑的当前状态， 而不是某些特定的安全检查。这些报告可以导由为PDF、HTML XLS XLSX RTF和CVS文件，同时可以通过计划 任务发送到特定邮箱。 这些模板报告可以自定义，还能加上自定义的 10go。GFI LANguard可以帮助用户快速找到他们想要的信息。查找网络扫描结果简单地就像上网搜索一样，查找到的结果将指向相关项。用户不仅可以查找现在和以往的事件日 志，还能对特定的产品的漏洞、已安装的程序，和未打的补丁

45、进行搜索。同时，用户还能保存、打印、查询这些扫 描报告。GFI LANguard修复中心控制台可以从一个中央位置修复 漏洞，并监控修复任务的状态，并浏览所有已执行修复任务的历史记录。GFI LANguard支持虚拟环境的扫描，可以检测到被扫描 电脑上的虚拟主机，这样管理员可以更好地全览虚拟环境 架构。|AP-SMin)l事 a1IW-S43-TDB01 221Scan ErrorsCent ext Descrl dLi mi |加比珏* lysine patci4 senrhe (Midi mnntwriL dal加时 is mraiIdtl 2011-11-IS N 29 UVulnerab

46、ility AssessaantVbln&rabi liliesKim 1Ks881H1aBM58MB18aM8KBiMMSSiaOTi1MM1MBM1MMMAjtoAun i t eriibl nd 呻 5tme2mHECHMT 国ar*： &oftare0V4L- II2W Uhtrustfd tcBfdi cith vumrabil ity in HicroGoft 鼾他哂 Froenn GrauD ConuerUr le$tE划ID-却 15 52 53fcdiurQiUKory SoftvareM乩iGHAft VmdtMi Itrwi IfinHac* Mvim (HIQ； dri

47、vtr is prun 2 wuntv b懵a* yu liwratii hty.Tiw;tni2flll42-2bri4 33 46LovFIP mofimous c4it al lmd&t$Rorv： RcEiBlryKilo说BrHorTProductWindoisTvestasiOQZ-QI-ftl-M OOAutocar e1I?5PrMuct* I ndaB=5Tiwstw獭Cached Lowen Cr Bdwt i a I sPfoductt iTiduasMT2002-01-01-) 00Catseo”- SrviceaSrvic r jriri i-i： HI TP EHt

48、g2O0J-0I-31-W00Svrvict running： FTP rwnaw2mHi -31 前二 OQ图9.2.1-1GFI扫描报告1.8.12分析报告.服务器基本健康性分析服务器能正常启动与运行服务与应用程序能正常启动与运行客户端能正常地连接和访问网络服务与应用程序Event Logs中的关键错误日志应用程序日志中的关键错误记录 各逻辑磁盘空间使用和剩余状况T.眼符器主机名=|lAP-SG-DCOi返叵国审费内蒂，查若件趣本*口崎县运行正宗j.睡界与国序曲正掌均。运仔.正常L *户”至祭典建修，为卬用塔图身 与局限31下三，4. EutmlLDgs*第美也餐提日上AwtoErroCk

49、ni&rTt. 13幸赵E迎时三的壬书士史芒古生一十单及加m IE不EMOOTCia业用去救.MMtfci.1，,*11 JP飘 u 1 Yfi2寸蜜 3于nccF1具了一二看兰江号T圣3航注2 修宦科电电含力辛冬常电唱napL!fiuputjiisresort DntalithMi32i9.lJt-CnHTDS npl. IfCMCiniri讣EzcrfltoHir/近节g戚鼠既此灯留值巴.4尊有于于*三一 - .3S li 1尹噌ETfTWW干系又5.魔匕理印日本中的关理才*史诔M通公告理保用或空用便吊，*余秋其盘打侬嗣（G? j利用空诃1回Cr46*Dr阻N82J1I图9.2.2-1基本

50、健康分析.服务器性能分析内存Memory Available MbytesMemory Pages/sec处理器Processor %Processor TimeProcessor Interrupts/secSystem Processor Queue LengthSystem Context Switches/Sec磁盘PhysicalDisk % Disk TimePhysicalDisk Avg. Disk Queue LengthPhysicalDisk Disk Reads/secPhysicalDisk Disk Writes/sec网络Network Interface Byt

51、es Total/secNetwork Interface Bytes Sent/secNetwork Interface Bytes Received/sec|葭 腹羽卦主机4m 3产-由01版同自戛性承况仁能才驻年0小诅平耳值事在鼻里识妙川一4八上号前g6上MEy忤二1R“11B5im U1R4yli PiWC07G1g20拄金品Pi-v-srw Tim*05,布索亲风曲施珂（曲个X友韭哥培 聿芍: F爱会国秀为容:过第而无法 至曲出示.埼点击叠第OBtaim - op*n porUsmfifl4LMMd iqlrojiM-iFTNencoumutlvonzM AppwlKnj! - 44

52、,Krj KO 5 y -5，FKfl； -f Xl = * F -XBlUClAr J： .- 2* ，17S -ST-C, ”d?*.!1 17： Ti - = 74.?；U_ - _ -： 2*: =:Z! r - :-：z,5=?-.?： 3-* = =-= 7-1_FT40T 口:. scqHTbii=Gt=CJ 匚PKHBfirtf IDC 三ifc=F(jdmi. aora w emm tw: ucrwnilhi mnn w* w n； mk rww myrywiMfl s awnfen Aunftn boon tor GOCW e 0=七r 5?*pr n&FWit RWRun

53、3 hurB1-E甯 IXS费总IL Kfiflyn： MB00H MHS7 1 Km,。匕网上丁 Ljn =.i swjB h中 Iflt MML =tu 7W pjri hhs套鸣所支小马收崖9,自油卸的程序f体安全部法拿 和打三至 1 C WAN三 F rrf_T.FJEC西三MH 商仁口：二叫二厂工 C &叫8出工 与二：铝E/MT女f餐7三巨EXE 嘿nCR-IMKWA 3MMMXWft,方kiK 11H 厅 H/VT，T 啊T3T 5胆 MlZm om 七 Eown mmuowi ei49声*imc Mncr-:二ye t图9.2.2-3服务器安全性报告.总体评估总体结论服务器基本

54、健康状态结论服务器性能结论 服务器安全性结论4手工上三岳哥击星工作工莅宗式而服将朝壬健市找K鼠，Off 隼用希的好是舌篝糠出现各带士民W名也在声方百花 在片三三声谤而不六审亲忖同郭，溢奖系输 讣丁已新5名至当卦身集工作正行.厘里 代行一夕，在生打地唉搓子忑女服苦涛草主修丰疗茏般，时机肝 隼席存的真作M舌逑制乩然士尊+：-守士事示二-行 三百二三十话服外音安辛性良件，羊建系筑 朴丁已起新6MWindc ws Server 20GE玉鼻恭W 咛工期.Hypbh或二常月购署基本健郦燧 同好，和日 切忌口惠M善哇！ &与，寡性疆苗孟均在正常工引大说的用5安全性良好，矢旗圣蛹 扑丁m葩新7名卜加cr-f

55、3工三三把三十三立 才超的科丁才干也月的兽基本健中榴 良好，系鸵日 志中西共解惜果三志三号努主年定学T性五字志与在正俗电号内明济器爱辛n一般，打第三海头 白卜丁法皆乜砂仃安或BWPypeiT我至王昌器G七正才- Ct库祝金典的科丁砧工土二刖考锯至式底至；烧良丹,输日 志山型城情事三志矍若餐看力哉才，春隹邪挣数E在正空三包用若器京至if *素统共的补丁造,相曲好3WFvperu安三拶兰里 寸酒城第M打好丁苞代二1暑基置1翻燧蜘，翩日 忠山畛稣恃京日忐三昌警上包互寻.占七无分二1邑 辽al三花M任翩身全I4T =”第1超共 的冲丁莺帽触行击半10号经司杷:与工*.七后双台五 的专注力亓廿芝122J

56、S； 口至诧干 美海H脑茁昆公坦中次配 股，讨东统H志巾的帽吕宅而千丈立矍身势片鲤量格凸也空苗蚯均在 讴蠢年国向阳有的安全邑一般，河索绕开博 的1维Ui锚子侬11学站国工型力生卫稣，d0一种施设报示与号1联K5我till烯T，对不统 n三中明腐田鸟商靖予千年各导，越山仔，不捏也事,均左F* 一反内明芸黑即生性员好耒歌兵工爱用补丁更新1?W家出生。奥弓.点。及上.寸t 他匕后请挎于沟诘于首京R翳基本馄*;烛Th时手晚 atKSta吴请馅予担茅芬看金统曳:丸芬也咕* H 左 正甘可可力朋镭身上昆良好,班盼:城 的朴丁更新1 ：WOM于岳晶运予三髭.对H先考 射整谯物异过生*立 口抵手美口蹄芸墓本觎

57、市楠Th对系皖 口大日后，恬派：视悬吞雷少出现务毋域,H舒岛性蜕步10螭 正篙藏图冉鼻安野1 一管.外稣不簟的73幅错匚毋力关上Wub三斗排=|t三字次电一般，册男舞不造郭七一艇,对窠线芽与K&让袅：，.鼻士北李服无黑即至隹丽,城关却i图9.2.2-4 总结1.9安全应急响应深信通“安全应急响应”服务向客户公司提供必须的资 源来完善安全防护，抵抗攻击，进行安全修复，并减少未来 安全漏洞产生的可能性。安全响应服务提供了快捷的服务支 持和7X24的紧急响应服务，保证网络安全无忧，预防危险 发生。在目前IT运维服务领域上，深信通的安全响应是同行业 中生类拔萃的，提供计算机反击、事故反应、诉讼支持等咨

58、询顾问服务。无论相关数据以任何形式存在或栖身与任何地 方，使用专用的工具和方法，我们的专家能够发现并抽取相 关的有害数据，我们的专家队伍拥有多种专业技能，包括攻 击识别、反击技术、介质取证、安全修复，这一切都将成为 企业的强大的后盾。紧急响应服务种类包括以下几个方面入侵调查当入侵事件正在发生或已经发生，深信通安全专家协助客户 进行事件调查、保存证据、查找后门、追查来源等，同时提供事件处理报告 以及后续的安全状况跟踪。主机、网络异常响应当主机或者网络异常事件正在发生或已经发生，深信通安全 专家协助客户进行事件调查、保存证据、查找问题的原因、追查来源等，同 时提供事件处理报告以及后续的安全状况跟踪

59、。其他紧急事件只有由现了上述严重影响网络、主机正常运行的安全事件才 启用紧急响应服务，其他日常安全事件均属于安全咨询及日 常安全事件处理服务范围。安全应急响应服务也可以帮助客 户公司预防未来的攻击，高效地进行攻击发生时和事后的调 查及收取攻击证据等工作，为起诉罪犯提供法律依据。作为 一个规范的信息安全运维服务商，深信通有一整套紧急响应 机制，同时也具备处理各种紧急事件经验的工程师。我们把 安全应急服务分为三等，具体请参见下表：服务等级服务内容适用对象一级基本的反应策略与流程5X8小时事件响应、处理及恢复服务电话、传真、email技术支持24小M内现场技术支持事故处理报告日常运营期间，不 影响用

60、户业务的普 通安全事件处理二级完整的反应策略与流程7X24小时事件响应、处理及 恢复服务电话、传真、email技术支持4小时内现场技术支持事故处理报告节假日期间，较为严重的安全事故三级完整的反应策略与流程重大事件、节假日7X24小时事件响应、应急响 应、处理及恢复服务电话、传真、email技术支持2小时内现场技术支持安全专家现场守候服务事故处理报告安全突发事故反应预演两周内跟踪服务期间，用户业务重 要性、时效性很强， 发生严重影响用户 业务开展，需要立 即解决的突发事故应急响应流程遇到安全事件的发生，一般应该及时采取汇报机制。参考要求如下：.任何系统用户发现系统运行可疑现象后，立即报告本部门安