安全运维服务规范及流程

ANYUNTECANYUNTECTITLEXXX安全运维服务规范及流程目录XXX安全运维服务规范及流程 1一.概述 11.1目的 11.2范围 11.3原则 11.4参考标准 1二.运维服务流程 32.1总体流程 32.1.1准备阶段 32.1.2实施阶段 42.1.3监视评审阶段 52.1.4持续改进阶段 52.2各阶段输入输出 52.3各分项流程 72.3.1风险评估流程 72.3.2漏洞扫描流程 82.3.3配置核查流程 82.3.4渗透测试流程 92.3.5网络架构分析流程 92.3.6安全加固流程 102.3.7代码审计流程 112.3.8业务上线前检查流程 122.3.9应急演练流程 13三.运维服务内容介绍 143.1网站类 143.1.1检测 143.1.2防护 143.1.3监测 153.2互联网类 163.2.1安全预警 163.2.2安全监测 163.2.3安全云防护 173.2.4互联网漏洞扫描 173.2.5渗透测试 183.2.6互联网应急响应 183.3内网类 193.3.1系统调研 193.3.2漏洞扫描 193.3.3配置核查 213.3.4渗透测试 233.3.5网络架构分析 233.3.6安全加固 233.3.7驻场运维 243.3.8安全巡检 243.3.9安全通过和安全预警 25PAGE概述目的为规范公司的安全运维工作，保障项目实施质量，特制定本文档。范围本文档提出了安全运维的规范、流程；适用于规范公司开展的安全运维工作。原则标准性原则整个服务过程遵循国际和国内的多项标准，包括ISO27001、ISO13335、ISO15408/GB18336、SSE-CMM、SP800-30、PMI项目管理规范、《信息安全等级保护管理办法》等。可控性原则进行项目实施时，XXX将从用户信誉、成功经验、人员水平、工具可控性、项目过程可控性多个角度保证整个项目过程和结果的可控性。整体性原则项目实施中，XXX将从国际标准、行业规范、需求分析和我们长期的实施经验等多个角度保证评估的整体全面性，包括安全涉及的各个层面，避免遗漏。最小影响原则XXX会从项目管理层面、测试工具层面、技术层面进行严格把控，将可能出现的影响降低到最低限度。保密性原则此次安全服务项目的所有项目组成员，都必须和客户签署相关的保密协议和非侵害协议。参考标准GB/T20269-2006信息安全技术信息系统安全管理要求；GB/T20271-2006信息安全技术信息系统通用安全技术要求；GB/T20270-2006信息安全技术网络基础安全技术要求；GB/T20272-2006信息安全技术操作系统安全技术要求；GB/T20273-2006信息安全技术数据库管理系统安全技术要求；GB/T20282-2006信息安全技术信息系统安全工程管理要求；GB/T21082-2007信息安全技术服务器安全技术要求；GB/T20984-2007信息安全技术信息安全风险评估规范；CC–ISO15408和GB/T18336信息技术安全性评估准则；ISO/IEC27002《信息技术—安全技术—信息安全管理实施指南》；ISO/IEC27001:2005《信息技术—安全技术—信息安全管理体系要求》；ISO15408（CC）《信息技术—安全技术—IT安全评估准则》；ISO13335《IT安全管理方针》；GAO/AIMD-00-33《信息安全风险评估》；GB17859《计算机信息系统安全保护等级划分准则》；AS/NZS4360:2004《风险管理标准》；GB/T20984-2007信息安全技术信息安全风险评估规范；GB/T21052-2007信息安全技术信息系统物理安全技术要求；运维服务流程总体流程准备阶段需求调研与分析采集客户对信息系统运维服务时间的需求。进行信息系统运维预算，定义运维服务。与客户进行沟通，达成共识并形成记录。运维服务设计制定安全运维服务目录，包括但不限于：初始服务、安全设备运维、日常巡检服务、健康检查、安全事件审计。对信息系统相关的IT资产进行识别。对安全设备进行日常维护及监控，并记录硬件故障。提供安全设备、业务系统的健康检查服务，并约定服务方式、检查频次和检查内容。采集系统配置、流量信息、系统状态等安全信息。收集与分析网络及安全设备、服务器、操作系统、网络应用的日志。运维服务导入收集与建立配置管理数据库，确保配置项目的机密性、完整性、可用性。专业人员负责安全管理的接口。建立服务目录。建立事件响应和解决的机制，有基本的安全运维报告模式。明确服务协议特殊要求明确安全事件处理与应急响应流程，包括但不限于：安全事件的分类、安全事件上报流程、安全事件处理流程、安全事件的事后处理。明确安全运维方式，包括但不限于：驻场值守方式，定期巡检方式，远程值守方式。实施阶段实施初始服务：完成资产识别，定期配置项的更新和维护，实施相关运维流程。实施安全设备运维服务：完成日常维护，状态检查，定期查杀，故障处理、保养、更新、升级、故障检测及排除，并对安全设备出现的硬件故障进行统计记录。实施日常巡检服务：完成安全设备监控；病毒监测、查杀及网络防病毒维护，并有相关记录。实施健康检查服务：完成安全设备、业务系统的健康检查服务。实施安全事件审计服务：完成网络及安全设备日志、服务器、操作系统、网络应用的日志、并且进行记录。组建运维服务台职能，培养服务台人员的专业能力。建立事件管理程序和信息安全服务请求管理程序。监视评审阶段应定期收集与分析安全运维报告的数据，包括但不限于：异常报告及时率、异常漏报率、维护作业计划的及时完成率、故障隐患发现率、异常主动发现率、问题解决率、漏洞扫描覆盖率、加固设备覆盖率安全补丁安装及时率、安全事件次数。对运维实现情况进行监视测量，未能实现的目标应采取纠正预防措施。建立与分析客户满意度调查。持续改进阶段应在运维过程和监视过程中识别改进项目，制定持续改进计划，包括但不限于对改进机会的评估标准。应有文件化的程序，用以识别、记录、批准、评估、测量和报告改进措施。应采取预防措施，以消除潜在的不符合项的原因，以防止其发生。各阶段输入输出各阶段输入输出职责准备阶段项目合同需求调研报告调研人员与客户充分沟通，确定客户对运维服务的时间要求，确认重点服务内容，确认客户安全运维服务现状，明确服务频次等关键信息。实施阶段项目合同需求调研报告实施方案保密协议根据项目合同、需求调研报告，编制详细的实施方案，包括时间进度、项目组人员、沟通计划等，方案经过用户最终确认实施方案项目启动会ppt根据最终的实施方案，编制项目启动会ppt，召集相关人员参与，落实实施方案，明确各阶段目标及需要用户配合的人员客户已有的资产表资产调研表调研收集客户现有的资产表，并通过资产存活发现，结合实地勘查，编写信息系统资产表，包括IP段、网络设备、安全设备、服务器等客户已有的网络拓扑网络拓扑图调研收集客户现有的网络拓扑，并通过访谈、实地勘查的方式，绘制详细的网络拓扑图实施方案漏洞扫描报告对用户信息系统进行漏洞扫描，并编写漏洞扫描报告及加固建议配置核查报告对用户系统进行配置核查，编写配置核查报告及加固建议日志审计报告对用户相关的安全设备进行日志审计，并编写日志审计报告工作周报每周编写本周的工作周报，内部包括本周运维服务的所有内容，包括漏洞扫描、安全加固、巡检等日常设备巡检报告包括设备的运行状态，补丁策略更新等安全事件统计报告记录安全事件发生的次数，并提供事件发生的原因及分析记录项目合同验收报告根据项目合同，编写验收报告监视评审阶段运维报告运维月报漏洞扫描覆盖率、加固设备覆盖率安全补丁安装及时率、安全事件次数持续改进阶段已有运维资料改进计划根据已有的运维资料，结合实际项目中的使用情况，提出改进计划各分项流程风险评估流程漏洞扫描流程配置核查流程渗透测试流程网络架构分析流程安全加固流程代码审计流程业务上线前检查流程应急演练流程运维服务内容介绍网站类检测XXX互联网漏洞扫描服务为客户提供专业的Web网站、Web应用、网络设备、操作系统、数据库、常见服务器等范围的深度扫描。按照国际通用的CVSS漏洞评分标准，将扫描对象的结果按照不同风险等级划分，将客户的Web网站、业务系统存在的安全问题暴露出来，并提供每条漏洞的整改建议。防护XXX网站云防护服务以大数据为基础，基于安全自愈架构，在互联网上搭建人工智能云防御平台，可以为安全基础为0的web系统提供百分百的安全防御支持。利用全网平台的高性能集群清洗设备，可以抵御几百G的大规模DDoS攻击。同时，在特殊时期，网站云防护服务可以保障客户网站永久在线，即使本地服务器发生宕机，也不影响正常访问。监测XXXWeb安全监测服务可以为客户的Web网站、业务系统提供7*24小时的安全扫描和监测服务。Web安全监测服务将网站可用性、脆弱性、暗链、挂马、篡改、DDos攻击等多项监控内容融为一体，不间断的进行监测，真正确保将风险拒于门外。服务类别服务介绍服务内容监测服务可用性检测提供该站的站点可用性监测，当有站点可用性事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。网站篡改监测提供对网页文件的完整性检测，当有页面篡改事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。挂马监测提供网站是否存在被黑客植入恶意代码的检测，当有挂马事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。暗链监测提供网站是否存在未经用户允许，非法挂载其他网站连接的检测，当有暗链事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。应急响应提供web漏洞告警检测，当检测到有紧急漏洞出现时，在30分钟之内，通过邮件、短信、电话通知用户。互联网类安全预警XXX安全预警采用公司自主研发的量安全平台，可对网络中的资产和存在的安全威胁进行检查和管理的平台，具备资产普查、漏洞检查及风险预警的功能。平台基于指纹识别技术，可对网络设备、安全设备、服务器、操作系统、数据库、中间件、工业控制设备等进行详细的指纹识别，包括资产类型、厂家、版本、框架、组建、CMS等，做到全网资产准确识别定位，一旦有突发漏洞事件，可立即获知漏洞影响范围，并结合平台自身的的漏洞扫描功能，对识别出的资产进行安全检查，可获得准确的漏洞检测结果。安全监测XXXWeb安全监测服务可以为客户的Web网站、业务系统提供7*24小时的安全扫描和监测服务。Web安全监测服务将网站可用性、脆弱性、暗链、挂马、篡改、DDos攻击等多项监控内容融为一体，不间断的进行监测，真正确保将风险拒于门外。服务类别服务介绍服务内容监测服务可用性检测提供该站的站点可用性监测，当有站点可用性事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。网站篡改监测提供对网页文件的完整性检测，当有页面篡改事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。挂马监测提供网站是否存在被黑客植入恶意代码的检测，当有挂马事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。暗链监测提供网站是否存在未经用户允许，非法挂载其他网站连接的检测，当有暗链事件发生时，在30分钟之内，通过邮件、短信、电话通知用户。应急响应提供web漏洞告警检测，当检测到有紧急漏洞出现时，在30分钟之内，通过邮件、短信、电话通知用户。安全云防护XXX网站云防护服务以大数据为基础，基于安全自愈架构，在互联网上搭建人工智能云防御平台，可以为安全基础为0的web系统提供百分百的安全防御支持。利用全网平台的高性能集群清洗设备，可以抵御几百G的大规模DDoS攻击。同时，在特殊时期，网站云防护服务可以保障客户网站永久在线，即使本地服务器发生宕机，也不影响正常访问。互联网漏洞扫描XXX互联网漏洞扫描服务的服务方式为远程扫描，与客户签订协议，客户授权之后，XXX的专业安全工程师将对目标IP或域名进行扫描，扫描结果出来后再进行统一分析，出具相应的报告。渗透测试XXX人工渗透测试服务由专业的渗透测试人员依据流程，基于对攻击者能力的全面了解，推演可能攻击方式的威胁测试手段。注重对抗性，实现攻击路径的模拟、安全功能的测试。测试包括黑盒测试和白盒测试，是互联网漏洞扫描服务的一种很好的补充，尤其弥补了漏洞扫描设备在业务逻辑漏洞探测方面的不足。互联网应急响应应急响应是WEB安全防护的“最后一道防线”。发生安全事件不可怕，可怕的是出现事故之后响应不及时，事件持续发酵，进而一发不可收拾，造成恶劣的社会影响。因此，做好应急响应也是WEB安全防护重要的组成部分，没有应急响应的安全工作是不完善的。XXX互联网应急响应服务为客户提供在Web网站、业务系统出现黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等突发事件时的相应措施和行动。主要支持的安全事件类型为：网站页面被篡改系统被安装木马敏感数据泄露大量账号被盗取病毒蠕虫传播异常流量攻击其他安全相关事件内网类系统调研系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法的选择、评估内容的实施奠定基础。调研内容主要内容有：业务战略及管理制度主要的业务系统网络拓扑边界访问控制；IP地址规划，网络设备、安全设备等软硬件信息相关人员（甲乙双方及第三方人员）；其他。系统调研可以采取问卷调查、现场面谈、设备资产存活探测相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问题表格，供系统技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集系统在物理、环境和操作方面的信息；设备资产存活探测则是通过漏洞扫描、NMAP等工具做存活发现和端口探测。漏洞扫描安全漏洞(securityhole)漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算机、组件、应用程序或其他联机资源的无意中留下的不受保护的入口点。安全漏洞扫描会对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别，详细内容如下：网络层漏洞识别版本漏洞，包括但不限于IOS存在的漏洞，涉及包括所有在线网络设备及安全设备。开放服务，包括但不限于路由器开放的Web管理界面、其他管理方式等。空弱口令，例如空/弱telnet口令、snmp口令等。网络资源的访问控制：检测到无线访问点，……域名系统：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，MicrosoftWindowsDNS拒绝服务攻击，……路由器：CiscoIOSWeb配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令，…………操作系统层漏洞识别操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷，……空/弱口令系统帐户检测，例如：身份认证：通过telnet进行口令猜测，……访问控制：注册表HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，……系统漏洞：SystemV系统Login远程缓冲区溢出漏洞，MicrosoftWindowsLocator服务远程缓冲区溢出漏洞，……安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，…………应用层漏洞识别应用程序（包括但不限于数据库Oracle、DB2、MSSQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测，……空弱口令应用帐户检测。数据库软件：Oracletnslsnr没有设置口令，MicrosoftSQLServer2000Resolution服务多个安全漏洞，……Web服务器：ApacheMod_SSL/Apache-SSL远程缓冲区溢出漏洞，MicrosoftIIS5.0.printerISAPI远程缓冲区溢出，SunONE/iPlanetWeb服务程序分块编码传输漏洞，……电子邮件系统：Sendmail头处理远程溢出漏洞，MicrosoftWindows2000SMTP服务认证错误漏洞，……防火墙及应用网管系统：AxentRaptor防火墙拒绝服务漏洞，……其它网络服务系统：WingatePOP3USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞，…………配置核查安全配置本服务提及的安全配置为操作系统（也包括：网络设备和安全设备等）、数据库、中间件、第三方应用和业务系统可更改的配置中与安全相关的配置；信息系统的网络设备、主机、数据库、中间件、应用软件的安全策略是安全配置检查的主要对象。安全策略的作用是为网络和应用系统提供必要的保护，其安全性也必然关系到网络和应用系统的安全性是否可用、可控和可信。通过安全配置检查可以发现这些设备和安全系统是否存在以下问题：是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则；内外网之间、重要的网段之间是否进行了必要的隔离措施；路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行；主机服务器的安全配置策略是否严谨有效。是否配置最优，实现其最优功能和性能，保证网络系统的正常运行；自身的保护机制是否实现；管理机制是否安全；为网络提供的保护措施是否正常和正确；是否定期升级或更新；是否存在漏洞或后门。对信息系统的网络设备和主机的安全性进行安全配置检查内容主要包括以下内容：安全系统是否配置最优，实现其最优功能和性能，保证网络系统的正常运行；安全系统自身的保护机制是否实现；安全系统的管理机制是否安全；安全系统为网络提供的保护措施，且这些措施是否正常和正确；安全系统是否定期升级或更新；安全系统是否存在漏洞或后门。具体来说，操作系统的主机安全检查的内容包括两部分，一是信息搜集，二是配置检查。针对Unix和Linux系统（AIX、HP-UX、Solaris、Redhat、Suse）检查项包括：基本信息检查系统版本、补丁检查及漏洞检查。用户账号及口令清查系统授权验证日志检查检查用户登录日志设置、登录失败日志和各种操作日志。系统网络应用配置检查针对WindowsServer系统检查项包括：系统基本信息操作系统版本补丁检查、各分区文件格式检查、自动更新检查、系统时钟检查。用户身份检查用户登录和密码检查系统授权检查日志检查系统网络应用配置检查防火墙和防病毒软件检查针对数据库的检查项包括但不限于：基本信息检查用户身份验证用户登录和密码验证系统授权验证日志检查针对Web服务器检查项包括但不限于：基本信息检查用户身份验证用户登录和密码验证日志检查渗透测试XXX人工渗透测试服务由专业的渗透测试人员依据流程，基于对攻击者能力的全面了解，推演可能攻击方式的威胁测试手段。注重对抗性，实现攻击路径的模拟、安全功能的测试。测试包括黑盒测试和白盒测试，是互联网漏洞扫描服务的一种很好的补充，尤其弥补了漏洞扫描设备在业务逻辑漏洞探测方面的不足。网络架构分析网络架构分析会对目标网络的网络现状、网络建设规范性、网络可靠性、网络边界安全、网络流量分析、网络通信安全、网络设备安全和网络安全管理这八个方面进行网络架构安全性的全面分析，对整体网络中的脆弱点进行识别，评估结果包括定性和定量分析，让用户对网络