信息系统网络安全巡检服务方案

/25概述项目简介安全巡检服务是指使用多种手段，对企业、政府机关等单位中运行的信息化设备网络设备、服务器、操作系统、应用系统进行周期性的状态检查、安全扫描、日志分析，补丁管理并提交巡检报告及安全建议。随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进，X单位的信息化和网络安全，面临着如下问题：业务增加快且复杂多变，资产管理滞后，存在较多安全薄弱点，缺乏有效及时的监控和响应机制。安全设备种类多，设备配置方式多样化，管理人员难以全面掌握，无法充分发挥设备的防护能力。缺少安全基线与运维规范，安全设备管理不到位，设备自身未达到等保安全要求，容易遭受网络攻击。安全运维团队疲于日常安全工作，设备维护不到位，导致安全设备策略与实际防护要求不匹配，设备功能未能完全启用。定期开展信息安全巡检的主要可以，全面掌握信息化网络设施、安全设备系统、操作系统、数据库、中间件、重要业务系统的安全配置和运行状况，分析面临的安全威胁和风险，评估安全防护水平，查找突出问题和薄弱环节，提供有针对性地防范对策和改进措施，加强X单位信息系统的安全保障，预防重大信息安全事件的发生。项目目标安全巡检服务的目标是，对X单位现有的信息系统基础资源安全状况进行监控和管理，及时掌握网络信息系统安全配置信息和运行状态，及时发现长期运行的系统安全隐患、新的安全漏洞，并进行及时修复，能够保障系统、设备的安全和高可用性，能够掌握当前网络、系统的威胁状况，从而采取有针对性的安全措施。以创建一个可知可控的安全信息化环境，长期和持续地保持IT系统良好的安全状况，从而保证X单位信息系统的各类业务应用系统的可靠、高效、持续、安全运行。项目范围本次项目安全巡检服务的范围，包括X单位信息化网络基础设施（交换机、路由器）、网络安全设备系统（防火墙、IDS等）、操作系统、数据库系统、中间件的网络安全巡检。安全巡检服务服务流程巡检服务工作分为前期准备、项目实施（安全巡检）、巡检数据分析、巡检报告生成和汇报、问题整改追踪五个阶段。服务流程如下：表5-1安全巡检服务流程示意图前期准备在安全巡检的前期准备阶段，工程师需要在与项目单位进行充分沟通的情况下，了解清楚项目单位整体网络架构信息，编制项目单位的网络资产信息表等数据（网络资产统计服务章节内容），在本方案的基础上制定适用于项目单位的安全巡检方案提供基础依据。安全巡检方案编制完成后，组织项目单位进行方案评审，在得到项目单位认可的情况下，进入下一阶段的工作。除本方案内容外，最终的方案还需包括：巡检设备范围和巡检工作重点巡检各个工作环节的方式数据采集的命令集（系统、设备登录信息等）协商具体的巡检时间安排巡检记录、巡检报告输出样表和图形项目实施前期准备阶段工作完成后，驻场工程师即可按照最终的安全巡检方案正式进场进行安全巡检工作的开展，在开展当中严格按照方案中的工作方式和工作内容进行，并遵循用户运行管理的相关规定。巡检数据分析通过安全巡检的记录输出结果，驻场工程师巡检结束后需要进行巡检数据分析，对巡检数据中的安全隐患和系统、设备的运行状态进行详细分析记录。必要时需要组织公司二线专家和项目单位技术人员进行分析。巡检报告生成和汇报数据分析完成后，驻场工程师要根据分析结果形成《X单位网络安全巡检报告》，并按照约定日期进行巡检报告的汇报。如果存在安全隐患，要提出初步解决方案并在汇报会上针对隐患进行论证。结合安全隐患的危害性和项目单位意见制定整改方案。问题整改追踪安全隐患整改结束后，第一时间进行整改验证。若验证无问题，即关闭相关安全隐患整改流程并做好记录在下次汇报会上对本次整改结果进行汇报；若验证隐患仍未消除，要第一时间通知项目单位相关部门，并做好下一步整改工作支撑。

服务内容网络资产统计服务此项服务为基本服务，包含在安全巡检服务中，帮助我们对用户现有的网络资产情况进行了解，更好的提供系统的运行维护服务。统计内容包括：硬件设备型号、数量、版本等信息统计记录软件产品型号、版本和补丁等信息统计记录网络结构、网络IP地址统计记录网络整体组网结构图的绘制其它附属设备的统计记录硬件设备清单统计其它信息网络架构安全巡检整体网络架构核查整体网络架构核查内容如下表3-1所示：核查项核查内容结构安全主要网络设备的业务处理能力是否具备冗余空间网络各个部分的带宽是否满足业务高峰期需要重要网段与其他网段之间采取可靠的技术隔离手段访问控制是否具有访问控制设备设备部署位置是否合理设备数量是否满足要求设备功能情况及启用情况网络最大流量数及网络连接数控制访问控制粒度网络安全审计是否具有日志审计设备设备部署位置是否合理设备数量是否满足要求日志记录情况边界完整性是否具有非法外联检测及阻断设备设备部署位置是否合理设备数量是否满足要求设备功能情况及启用情况网络入侵检测是否具有网络入侵检测设备设备部署位置是否合理设备数量是否满足要求设备功能情况及启用情况恶意代码防护是否具有恶意代码防护设备设备部署位置是否合理设备数量是否满足要求设备功能情况及启用情况网络设备防护是否具有设备管理地址限制管理登录IP地址配置是否合理对网络设备进行远程管理时，是否采用传输加密是否具有登录失败处理功能网络相关人员安全管理是否具有网络相关安全人员配备各个岗位是否明确定义职责表3-1整体网络架构核查表单个系统网络核查单个系统网络核查内容如下表3-2所示：核查项核查内容结构安全网络设备的业务处理能力是否具备冗余空间应用主机与数据主机之间采取可靠的技术隔离手段访问控制是否具有访问控制设备设备部署位置是否合理设备数量是否满足要求设备功能情况及启用情况访问控制粒度网络安全审计是否具有日志审计设备设备部署位置是否合理日志记录情况网络入侵检测是否具有网络入侵检测设备设备部署位置是否合理设备功能情况及启用情况网络设备防护是否具有设备管理地址限制管理登录IP地址配置是否合理对网络设备进行远程管理时，是否采用传输加密是否具有登录失败处理功能网络相关人员安全管理是否具有网络相关安全人员配备各个岗位是否明确定义职责表3-2单个系统网络核查表操作系统安全巡检服务Windows检测内容详细检测内容如下表所示：检测项检测内容身份鉴别检查系统登录是否需要密码口令复杂度口令定期更换登录失败措施检查访问控制远程管理服务数据传输安全应用和操作系统用户权限默认账号检查允许远程登录的账户检查安全审计审核登录审核账户管理审核对象访问审核事件目录服务器访问审核特权使用审核过程追踪审核系统事件日志文件大小审核策略更改入侵防范系统补丁更新检查应用程序安装情况检查检查杀毒软件情况检查防火墙开启情况恶意文件、病毒检查资源控制远程管理IP限制检查屏幕保护设置超时检查远程关机本地关机数据执行保护关闭默认共享表3-3Windows检测内容表AIX检测内容详细检测内容如下表所示：检测项检测子项身份鉴别检查系统登录是否需要密码口令复杂度口令定期更换登录失败措施检查限制root只能在系统控制台登陆访问控制远程管理服务数据传输安全应用和操作系统用户权限非法账户重要文件权限检查默认账号检查缺省访问权限配置检查安全审计syslog.conf安全设置历史记录审计日志内容入侵防范系统补丁更新检查网络服务启动服务恶意文件检查资源控制远程管理IP限制检查超时检查表3-4AIX主机检测内容表HP-Unix检测内容详细检测内容如下表3-5所示：检测项检测内容身份鉴别检查系统登录是否需要密码口令复杂度口令定期更换登录失败措施检查限制root只能在系统控制台登陆访问控制远程管理服务数据传输安全应用和操作系统用户权限非法账户重要文件权限检查默认账号检查缺省访问权限配置检查安全审计syslog.conf、auditing、安全设置审计日志内容入侵防范系统补丁更新检查网络服务启动服务恶意文件检查资源控制远程管理IP限制检查超时检查表3-5HP-Unix检测内容表Linux检测内容详细检测内容如下表3-6所示：检测项检测内容身份鉴别登陆系统是否需要密码使用单用户模式时也需要密码验证用户口令复杂度要求，查看/etc/pam.d/system-auth文件参数用户口令期限以及长度限制，查看/etc/login.defs的参数配置登陆失败一定次数后自动锁定，查看/etc/pam.d/system-auth配置参数检测root用户只能在控制台登陆telnet禁用ssh版本是否为ssh2查看以开放应用账户权限是否和操作系统权限套用是否存在可利用非法账户检查带setuid和setgid位文件禁止用户挂载移动设备分区不能安装在未鉴别设备上移动媒体接入配置关键账号密码文件权限最小限制默认账户口令、权限不存在无用账户以及过期账号安全审计限制root用户无法直接登陆如存在adm账户，则查看是否存在loginlog记录文件是否设置安全项审计历史记录日志计划，存储方式、期限、大小等日志分析用户行为日志审计内容入侵防范查看内核版本号是否存在更新检查TCPWrappers和防火墙配置telnet服务ftp服务shell/rlogin/rsh/rcp服务IMAP服务POP服务umask服务sendmail服务GUI登陆X字体服务SMB服务NFS服务NIS服务打印后台服务web服务进程snmp进程DNS服务SQL服务Webmin服务Squid高速缓存进程rhosts、exrc文件检查资源控制hosts.allow以及hosts.deny设置允许访问的ip范围使用iptables限制登录以及登录范围登陆连接超时时间设置表3-6Linux检测内容表Solaris检测内容详细检测内容如下表3-7所示：检测项检测内容身份鉴别登陆系统是否需要密码是否删除或锁定了无用帐号口令的长度为8位不能使用最近5次内的已使用的口令应存在口令过期策略开启了登录认证失败锁定的处理登录认证的次数不能超过6次配置用户的为最小权限访问控制telnet禁用ssh开放针对具有console的机器，限制root用户只能从console登录查看以开放应用账户权限是否和操作系统权限套用eeprom是否设置有安全密码查看重要文件password、shadow以及group文件的权限是否为600根据用户业务需求指派最小权限给用户添加用户缺省配置的方位权限，应遵循最小化原则默认的无用账户以及过期账户需要被删除或锁定审计日志应存在用户登录日志应存在安全事件日志应存在远程日志服务器对于不良尝试有记录存在服务器上的应用以及服务都应有相应的设置审计内容最小化服务开启根据用户业务需要列举服务列表，如无特殊要求需要关闭无用服务关闭需要的启动服务防止堆栈缓冲溢出资源控制hosts.allow以及hosts.deny设置允许访问的ip范围登陆连接超时时间设置表3-7Solaris检测内容表网络设备安全巡检服务交换机核查内容交换机核查内容如下表3-8所示：核查项核查内容身份鉴别登录密码不能为空登陆密码不能以明文显示登陆失败有一定的次数限制，超过限制次数后账号进行锁定登陆后，如在一定的时间无操作，要自动断开链接能够记录登陆历史以及尝试登陆的历史登陆历史的内容应包括日期、时间、来源、和上次成功登录系统的情况、口令距失效日期的天数审计审计功能开启审计的类型包括：账户、登陆事件、系统事件、配置文件修改审计的内容包括：事件发生的时间、类型、管理员的身份、结果针对审计数据不能做未授权的删除、修改等snmp协议保护snmpRO存在的复杂度设置snmpRW存在复杂度设置ACL控制状况最小化服务开启cdp服务是否关闭http配置方式是否关闭未开启NTP服务或进行了安全配置表3-8交换机核查表路由器核查内容路由器核查内容如下表3-9所示：核查项核查内容身份鉴别登录密码不能为空登陆密码不能以明文显示登陆失败有一定的次数限制，超过限制次数后账号进行锁定登陆后，如在一定的时间无操作，要自动断开链接能够记录登陆历史以及尝试登陆的历史登陆历史的内容应包括日期、时间、来源、和上次成功登录系统的情况、口令距失效日期的天数审计审计功能开启审计的类型包括：账户、登陆事件、系统事件、配置文件修改审计的内容包括：事件发生的时间、类型、管理员的身份、结果针对审计数据不能做未授权的删除、修改等snmp协议保护snmpRO存在的复杂度设置snmpRW存在复杂度设置ACL控制状况最小化服务开启cdp服务是否关闭http配置方式是否关闭未开启NTP服务或进行了安全配置表3-9路由器核查表安全设备安全巡检服务安全设备核查主要包括网络中的防火墙、IDS、IPS、堡垒机等，下面以防火墙和IDS为例展示安全巡检工作内容，实际巡检安全设备类型以项目单位实际情况为准。防火墙核查内容防火墙核查内容如下表3-10所示：核查项核查内容身份鉴别检查防火墙用户数量以及对应人员静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用USERNAMEUSERNAMEPASSWORDPASSWORDENCRYPTED配置用户密码，不使用PASSWORD配置用户密码检查防火墙是否开启超时自动退出功能访问控制查看远程管理防火墙的方式是否对防火墙的管理IP做了明确的限制是否及时修改防火墙超级管理员的默认口令，管理员口令是否按规定设置并定期更换，口令文件是否采用加密形式存储安全审计配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。开启记录NAT日志，记录转换前后IP地址的对应关系开启记录VPN日志，记录VPN访问登陆、退出等信息配置记录流量日志，记录通过防火墙的网络连接的信息配置防火墙规则，记录防火墙拒绝和丢弃报文的日志检查防火墙的日志保存情况，所记录的日志是否有连续性入侵防范查看防火墙开启的端口关闭HTTP服务器配置DOS和DDOS攻击防护功能。对DOS和DDOS攻击告警。维护人员应根据网络环境调整DDOS的攻击告警的参数资源控制对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置ACL对与登录防火墙后，一定时间内没有操作的连接进行重新认证其他防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量启动防火墙RPF防护，防止源地址欺骗攻击检查防火墙的ISO版本以及维护人员名单是否将防火墙配置文件及时保存并导出，配置文件是否有备份防火墙采用何种应用模式表3-10防火墙核查表IDS核查内容IDS核查内容如下表3-11所示：检测项检测内容工作环境入侵检测产品是否放在交换机内部或防火墙内部等数据流的关键出入口处检查入侵检测产品物理访问限制入侵检测产品只能被授权用户访问性能要求入侵检测产品工作稳定性入侵检测产品接入网络后是否对网络有影响安全功能要求审计数据访问权限安全管理安全功能项检查管理角色项检查指南文件保证管理员指南内容表3-11IDS核查表数据库系统安全巡检服务Mssql检测内容详细检测内容如下表3-12所示：检测项检查内容用户权限应避免启动mssql的账号权限过高,会导致其子进程具有相同权限应按照用户分配账号，避免不同用户间共享账号,提高安全性应删除或锁定无效的账号，减少系统安全隐患口令安全对用户的属性进行安全检查，包括空密码、密码更新时间等修改目前所有账号的口令，确认为强口令。特别是sa账号需要设置至少10位的强口令日志审计数据库应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号、登录是否成功、登录时间以及远程登录时用户使用的IP地址通信安全数据在传输过程中应该采用加密手段，避免数据被窃听平台安全删除不必要的存储过程补丁更新应为系统打最新的补丁包。表3-12Mssql检测内容表Orcale检测内容详细检测内容如下表3-13所示：检测项检测内容账户口令Oracle数据库的DBA用户密码策略口令加密DBSNMP默认账户权限检查Oracle监听程序的非授权管理关闭Extproc功能最小权限使用OracleRedirect功能数据文件权限$ORACLE_HOME/bin目录权限DBA权限SYSDBA和SYSOPER权限审计数据库操作审计网络通讯网络通信加密限制网络访问补丁升级安装Oracle安全补丁表3-13Orcale检测内容表Sybase检测内容详细检测方法如下表3-14所示：检测项检测内容通用安全Sybase目录访问安全机制认证模式服务器版本信息数据库配置获得当前SybaseServer配置数据库存储过程列表系统表是否被保护失败登录日志成功登录日志用户及口令安全检查服务器角色及用户定义角色检查每个角色详细信息检查每个用户详细信息检查角色中空口令用户检查某数据库所有用户检查散列用户口令检查特定用户的详细信息口令过期时间口令是否至少包含一位数字最小密码长度数据级安全查看数据库中所有存储过程扩展存储过程"xp_cmdshell"审计查看审计功能是否能够打开检查sybsecurity库中审计的表的数量检查审计表参数值检查审计队列值大小表3-14Sybase检测内容表中间件安全巡检服务IIS检测内容详细检测内容如下表3-15所示：检测项检查内容日志配置日志审计配置检查示例程序删除示例程序脚本安全删除不必要的脚本影射目录权限设置禁止脚本资源访问、目录浏览以及禁止写入默认站点安全删除不需要的默认站点Web服务扩展安全禁止不需要的扩展服务出错页面安全重新定义出错页面的内容表3-15IIS检测内容表Apache检测内容详细检测内容如下表3-16所示：检测项检查内容用户权限查看运行apache的用户