《xx安全运营中心规划与设计方案(共50页).docx》由会员分享,可在线阅读,更多相关《xx安全运营中心规划与设计方案(共50页).docx(50页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上安全运营中心设计与规划方案1.1 安全运营体系设计方案1.1.1 安全运营框架设计1.1.1.1 设计背景中国xx集团信息技术有限公司(以下简称“信息公司”)是由国家电力投资集团公司(以下简称“中国xx集团”) 按照国家对中央企业信息化建设的总体要求,根据中国xx集团信息化建设的实际需要出资成立的全资子公司。信息公司是中国xx集团推进信息化的技术支持机构和专业服务机构,负责中国xx集团和各二级单位信息系统的实施、推广,信息系统的安全管理和运维工作,承担中国xx集团信息化方面投资管理、外包业务管理等工作,落实中国xx集团信息化建设规划和年度工作任务。随着信息技术的飞速发
2、展和外部威胁环境日益严重,中国xx集团对网络安全工作开展的稳定性和秩序性需求日益增加,希望通过构建持续安全运营体系,打造安全运营能力,实现对集团总部及数据中心信息内外网深度安全监测预警,提升动态防御、主动防御水平,到2020年形成与中国xx集团国际一流综合能源企业相匹配安全运营能力。1.1.1.2 设计依据本次设计主要参考以下外部合规要求。序号法律、发文、标准内容依据1、网络安全法第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操
3、作规程,确定网络安全负责人,落实网络安全保护责任;第三十四条:除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;2、党委(党组)网络安全工作责任制实施办法中共中央办公厅印发党委(党组)网络安全工作责任制实施办法明确各级党委(党组)对本地区本部门网络安全工作负主体责任,领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人,进一步落实网络安全的组织保障。3、等级保护2.0安全管理机构:应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授
4、权。应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责。应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门各个工作岗位的职责。4、中央企业商业秘密安全保护技术指引 保密20153号各中央企业保密委员会是商业秘密保护工作的管理机构,负责贯彻有关法律、法规和规章,落实上级主管单位的工作要求,研究决定企业商业秘密保护工作的相关事项。各中央企业保密办公室作为本企业保密委员会的日常工作机构,应当配备专职工作人员,负责商业秘密安全保护管理及商业秘密信息系统安全技术防护的指导监督工作。5、关键信息基础设施安全保护条例(征求意见稿)第四章第二十二条 运营
5、者主要负责人是本单位关键信息基础设施安全保护工作第一责任人,负责建立健全网络安全责任制并组织落实,对本单位关键信息基础设施安全保护工作全面负责。6、GB/T22080网络安全管理体系要求 ISO27001最高管理层应确保与网络安全相关角色的责任和权限得到分配和沟通。最高管理层应分配责任和权限以A确保网络安全管理体系符合本标准的要求,B向最高管理者报告网络安全管理体系绩效1.1.1.3 运营体系设计工作方法网神公司根据多年的经验积累,以及对国家等保、ISO 27001的深入理解,采用体系化咨询的思路进行xx集团的安全运营体系建设进行安全咨询。设计工作包括需求调研、体系框架设计、体系建设实施规划和
6、落地实施。规划需求调研包括现状与安全需求调研、管理域识别与风险评估,体系框架设计包括组织体系设计、制度体系设计、流程体系设计和技术体系设计,体系建设规划包括规划需求分析、体系建设蓝图、行动路线设计,成果推广包括项目试点。规划需求调研是安全运营规划的起点,通过对xx集团的信息资产进行评估,结合国际标准、等保标准,进行现状调研,识别安全活动及安全需求,得出组织面临的风险,形成规划安全需求。 安全运营框架设计,依据信息安全需求,进行需求分析,结合ASA自适应模型、等保2.0标准和行业最佳实践形成符合xx集团的安全运营体系框架,在框架下对组织体系、制度体系、流程体系进行详细设计。组织体系建设帮助xx集
7、团建立或完善信息安全组织体系及各级组织间的工作职责,以及相应岗位和员工安全工作的流程。制度体系建设是建立xx集团的安全策略,根据策略建立组织的管理制度、标准规范、操作细则等。 运营流程体系建设为了确保xx集团业务的正常开展,而对通信网络、计算环境、区域边界、基础设施等进行流程保障,确保后续信息安全工作流程标准化和指导性。体系建设规划是为了明确安全运营建设方向和步骤,设计建设实施蓝图。体系建设蓝图,对实施任务从紧迫性、可实施性等评价任务优先级,依据项目之间的关联性形成体系实施蓝图。行动路线设计,设计安全运营三年行动计划。成果推广是为了传递项目成果,验证安全运营规划成果的落地性和路线图的适配度。1
8、.1.1.4 总体运营架构整体安全运营服务架构包括“服务对象”、“运营服务”、“服务方式”、“平台工具”、“数据来源”,全面覆盖中国xx集团的网络安全工作。本次项目以 “构建持续安全运营体系,打造安全运营能力,实现对集团总部及数据中心信息内外网深度安全监测预警,提升动态防御、主动防御水平”为目标。安全运营服务是面向集团总部、数据中心和二三级试点单位的的信息化资产,包括网络、信息化基础设施、信息系统、终端技术设备、数据等资产。安全运营服务内容包括对网络安全资产台账进行持续治理服务,并通过全流量威胁及风险感知服务对资产进行持续监控,对资产全漏洞和风险实施全流程管理,并对网络安全事件进行及时预警等。
9、安全运营服务方式采用远程为主,现场为辅的两种监控方式,运营分析人员在现场对平台安全状态进行监控,对威胁告警进行分析,及时发现安全威胁风险,并采取必要措施。二线和三线采用灵活支撑的方式。 态势感知与安全运营平台是开展各项监控服务的基础,对资产、漏洞、威胁事件的管理的主要抓手,平台各组件则实现对流量、资产、日志等信息的采集。通过平台的大数据分析能力对采集数据以及外部威胁情报、漏洞预警信息进行关联分析,可以确保安全威胁感知全面准确。1.1.2 安全运营服务编排安全运营服务体系的建设,需要多个服务项予以支撑,服务项可划分为基础服务、增值服务、专项服务三部分,基于运营服务是支撑安全运营日常工作的主要形式
10、,是增值服务和专项服务的基础。1.1.2.1 基础服务清单基础运营服务包括资产管理、漏洞管理、威胁分析、预警通知等服务内容,通过基础运营服务可帮助用户掌握自身的资产情况,及时发现面临的内外部威胁风险等,提高自身的安全体系健壮性。1. 资产管理(1)资产信息梳理一线运营人员对xx集团的各类资产进行梳理,识别资产属性,进行资产应用识别、资产攻击面分析、资产变更管理,结合运营人员监控分析结果及时发现资产异常连接,发现脆弱性资产。梳理内外网的主机设备、办公终端、网络设备、安全设备、应用系统等资产信息,梳理基础网络拓扑信息,协助xx集团建立完整的资产档案信息,维护资产分类和资产属性,能够从组织架构、地理
11、位置、业务分组等不同纬度进行资产的维护和管理。针对不同的资产类别,有针对性的梳理资产的关键信息,保证资产信息的良好的可用性,具体梳理资产范围包括但不限于资产类型、WEB应用类型、中间件、开发语言、开放服务及互联网开放端口等信息。(a)主机类资产 :IP、开放端口、中间件及版本(如:Apache、Tomcat、WebLogic、Nginx)、数据库及版本(如:PostgreSQL、MySQL、SQL Server、 Oracle)、承载业务、开发语言(如:Java、PHP)、操作系统(Windows、Linux)、安全域(如:开放区、核心区、隔离区)、是否面向互联网、责任人及部门等信息。(b)网
12、络设备类资产:IP、厂商、设备类型(如:VPN、负载、代理服务器、路由器、交换机)、型号、版本、负责人及部门等信息。(c)安全设备类资产 :IP、厂商、设备类型(如:IDS、IPS、AV、UTM、WAF)、型号、版本、责任人及部门。(d)工作主机类资产:IP、使用操作系统及版本、设备类型(终端、工作站等)、型号、责任人、责任人部门。(2)攻击面分析从攻防的角度来讲,梳理基础资产、访问控制策略、数据接口,可以有效管理用户的资产受攻击面,结合资产属性,资产应用识别等信息,进行资产攻击面分析、资产变更分析、资产异常连接分析,感知资产异常行为,防患于未然。资产关键信息识别以及分析内容包括:l 资产类型
13、、开放服务及端口识别l 资产Web应用识别l 资产Web中间件识别l 资产Web业务类型识别l 资产Web开发语言识别l 资产应用绑定域名识别(违规上线)l 资产外联分析l 资产服务状态变更监测l 资产端口状态变更监测l 资产脆弱性服务检测l 资产间异常连接分析2.漏洞闭环管理通常情况下安全漏洞修复是一个缓慢的过程,用户的安全建设有其特殊性,不可能像传统企业一样能够承受较长的漏洞修复周期,安全漏洞利用的风险是从补丁发布到补丁修复期间的窗口期,攻击者往往利用这个时间发起攻击,因此对于如何快速有效推进漏洞和补丁的管理,消除已知漏洞,发现新的漏洞是对用户的一个挑战。我司在漏洞闭环管理服务方案方面经过
14、多年实践验证总结一套切实可行的办法,在漏洞管理过程中综合考虑漏洞危害程度和业务危害程度关联性、漏洞修补优先性、漏洞修补对业务影响等因素,并通过漏洞预警的方式来驱动漏洞管理,结合可视化的手段,可实时掌握漏洞修复的具体情况。漏洞管理过程中严格按照制定对漏洞与安全补丁的管理的服务方案,明确漏洞和补丁的管理职责,明确漏洞消缺的流程,制定相应的管理办法和漏洞工作规范及报告等。依托我司国内领先的漏洞库,通过对用户的主机操作系统、中间件、数据库、安全设备、WEB应用等进行安全扫描服务,发现未修复的漏洞,并提供漏洞修复建议,提前采取补救措施,或者做好应急预案,实现漏洞闭环管理,帮助用户发现、分析、协助解决资产
15、面临的脆弱性风险,消除未知风险。漏洞全过程管理主要包括漏洞预警、资产发现、漏洞检测和利用、漏洞修复、漏洞验证等环节,来实现漏洞的闭环管理,流程图如下: 图 1 漏洞全过程管理(1)漏洞预警预测收集互联网事件、安全厂商设备漏洞以及重大系统补丁等信息,对互联网出现的最新漏洞利用、攻击行为等提出安全预警, 并对集团内部下发相关预警通报文件,执行资产脆弱性排查、威胁事件分析等协同手段。定期对安全防护系统开展安全基线检查(技术支撑管理)和安全漏洞检查,编制安全加固和整改方案。建立漏洞预警及安全基线,多维度风险预警分析,根据外部漏洞威胁情况优化和调整安全策略,记录漏洞细节、影响资产、修复方案,帮助解决面对
16、大量漏洞报告时如何决定修复优先级,建立安全基线。通过情报驱动的漏洞闭环管理,从漏洞披露直到漏洞修补完成并确认的全过程漏洞管理,量化跟踪和分析流程执行情况,促进管理流程持续优化。预警通告信息的主要来源为:安全机构:安全机构会对一些影响特别大的安全事件进行通告;安全组织和安全公司:通过其网站获取最新的安全漏洞信息以及相关解决方案。(2)发现资产脆弱性资产脆弱性管理结合漏洞扫描结果和安全配置核查对资产脆弱性进行管理,通过监控平台的报告导入,资产富化,数据归并等功能及时发现网络环境中的脆弱性资产,消除安全隐患。(3)漏洞检测漏洞扫描是发现漏洞的主要手段,网络中重要的主机系统、网络设备都会出现安全漏洞,
17、漏洞的存在会影响着网络的安全性,如果不对其发现和处置,则会成为潜在的安全风险。运营人员利用系统提供了漏洞管理模块,实现对重要主机系统和网络设备漏洞信息的收集和管理。一是漏洞扫描器联动,运营人员可对漏扫引擎进行集中管理,并对漏洞扫描引擎下发扫描任务,收集漏洞扫描结果,具备主动漏洞检测能力,并支持周期性任务模式,建立完整的持续监控手段;二是三方报告导入,运营人员可协助客户导入第三方的扫描结果,提供主流厂家漏洞扫描结果的导入;三是漏洞处置闭环,运营人员可帮助用户标记各阶段漏洞所处状态,通过工单系统的联动形成处置闭环,做到对处置流程的全面监控,达到可监可管的目的。四是知识库关联,系统针对扫描后的漏洞结
18、果,自动关联漏洞知识库信息,系统内置2W+的漏洞知识信息,且提供定期的数据更新,可获取最新的漏洞解决方案,帮助用户更好的完成漏洞处置。通过对安全漏洞知识库管理,进行覆盖面广泛的安全漏洞查找,真实、全面地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。具体操作流程如下:(a)提出扫描申请在扫描开始前,工程师以书面形式向客户提出安全扫描评估申请,申请内容应包括:安全扫描评估工作开始时间、结束时间、执行人、扫描IP地址范围等相关信息。(b)执行扫描操作在安全扫描评估申请获得批准后,工程师将非业务高峰期执行漏洞扫描操作。安全扫描评估以网络为基础进行,扫描工具通过网络对被评估对
19、象进行安全评估,因此这种扫描方式会消耗一定的网络带宽资源,并对被评估的对象消耗很小一部分的网络连接的资源,对于其他的资源没有特殊的要求。实际的使用情况表明,网络扫描对网络资源和被评估系统的资源占用在3%-5%之间,并且可以通过修改、配置一定的扫描策略来使这些资源消耗降低至最小。在扫描过程中避免使用含有拒绝服务类型的扫描方式,在扫描过程中如果出现被扫描系统没有响应的情况,立即停止扫描工作,与配合的工作人员一起分析情况,在确定原因后,并正确恢复系统,采取必要的预防措施(比如调整扫描策略等)后,才可以继续进行。(c)编制评估报告安全扫描评估实施结束后,工程师将就本次扫描的结果编制安全扫描评估报告,扫
20、描报告应包含以下信息:执行时间、执行人、IP地址范围、高中低漏洞分布、高中低漏洞列表、漏洞整改方法等信息。(d)漏洞整改支持提交的漏洞报告经客户审核后,对于评估发现的安全漏洞的加固工作,工程师将提供技术支持。(e)编制处置报告漏洞加固修复工作完成后,工程师将详细记录漏洞处置的过程并编制漏洞处置报告。(4)补丁修复建议及漏洞复测补丁管理应对安全补丁安装情况进行检查跟踪,向各服务器系统管理人员发布其系统的补丁信息。根据要求安全整改和加固方案完成软硬件平台的安全加固和漏洞整改,完成加固和整改报告编制。信息系统安全补丁的威胁等级以厂商、安全机构、安全组织和安全公司定义的级别为准。详细威胁等级如下表所示
21、。威胁等级定义紧急漏洞可能被恶性病毒所利用造成网络大范围瘫痪。严重攻击者可以远程执行任意命令或者代码;攻击者可以远程获取应用系统的管理权限;远程拒绝攻击服务。中等攻击者可以远程创建、修改、删除文件;可以任意读取文件目录;可以获得用户名、口令等敏感信息,潜在可能导致高风险的漏洞。低等攻击者可以获得某些系统、服务的信息,如版本号、操作系统类型等。维护人员应分析补丁等级,对于不同威胁等级的补丁,对应的修补时间和修补方式要求如下表所示。威胁等级允许修补的时间修补方式紧急1天内及时更新补丁。如时间原因不能及时更新的,应暂时采用其它补偿性控制措施,如用防火墙或者限制功能等方式,同时增加监控措施严重2-10
22、天补丁方式中等1030天补丁方式低等3090天补丁方式补丁的测试与分发应按以下流程进行: 维护人员应确保从系统厂商的官方途径获取补丁程序,必须进行安全校验,以验证补丁的可靠性,防止补丁被恶意用户篡改。 应建立补丁测试环境,测试环境应具有与实际运行环境一致的业务应用,针对关键应用,应判断补丁对其的影响。 维护人员在完成补丁测试后,应对补丁的测试情况编写测试报告。测试报告应包括测试内容、测试对象、发现问题、解决建议。 维护人员完成补丁测试后,若未发现问题,根据漏洞威胁的紧急程度会同相关岗位和技术人员,共同制定补丁升级计划。 维护人员确定补丁升级计划后,应提交生产环境系统补丁升级申请。 在重要的业务
23、系统安装系统补丁前,维护人员应做好备份工作。3.威胁分析安全运营人员通过基于外部采集的安全日志、网络流量日志或服务器日志数据为基础,结合平台先进的威胁情报检测能力、丰富的关联规则、强大的机器学习检测能力,开展日志关联分析和威胁情报关联分析,为用户提供真实准确的威胁情况。 一是对整体网络安全态势进行分析与呈现;二是对来自互联网威胁态势进行分析与呈现(如欺诈钓鱼、僵木蠕毒等);三是对特定目标遭受到网络攻击的态势进行分析与呈现,如网站的安全态势、重点单位关键设备的安全态势和专项威胁的安全态势。(1)服务器被攻击行为检测分析对用户服务器资产进行检测分析,梳理高危漏洞和开放服务端口,能够识别反弹shel
24、l、Redis命令执行、DNS 隧道、反序列化攻击、权限提升等高危行为。(2)数据库危险操作分析通过深入分析数据库操作网络流量日志,能够发现数据库系统异常登录、SQL注入漏洞、数据库敏感操作、数据库权限提升、高危存储过程和数据库系统非常规命令执行等行为,并分析给出处置建议。(3)违规检测分析能够发现违规使用HTTP代理、SOCKS代理、Regeory隧道、Teamview远程访问等行为。(4)账户风险分析能够发现账号弱口令及各类风险,并统计账号风险情况。能够发现网络中存在的异常登录行为,结合具体的场景进行分析,如多个账号同时从同一源地址进行尝试登录的批量用户帐号口令猜测行为;同一个源地址在短时
25、间之内多次尝试登录的密码猜测行为;以及同一账号在不同源地址同时登录的行为进行分析。(5)异常外联分析能够发现服务器非法外联、SSH隧道外联、基于威胁情报的外联等行为。(6)暴力破解分析对邮箱、数据库、FTP等服务登录动作进行分析,结合登录协议、登录失败次数、发包请求间隔时间等多个条件进行分析判断是否服务被成功爆破。(7)后门利用分析通过深入分析网络流量,能够判断出恶意后门是否被植入服务器中。通常攻击者会通过后门进行高危操作,如执行命令、下载文件、删除文件等,这些行为会直接被监控平台捕获,分析人员对告警的服务器主机后门进行溯源分析、行为分析、影响分析并给出相应的处置建议。(8)威胁情报命中告警分
26、析能够根据内部IP频繁请求恶意域名情况,结合分析网络中是否有恶意流量交互,判断出是否命中威胁情报等。如分析人员使用威胁情报分析该域名的历史攻击行为记录、恶意行为特点、关联信息,并进行深入追踪,能够发现内部主机已经和外部C&C进行通信等。(9)Web失陷检测分析能够从入侵进攻的维度进行分析,发现网络中潜在的失陷主机,并基于溯源技术,找到问题发生的根本原因。同时收集该攻击者在不同时间段使用的IP,可根据攻击者不同的技能能力制定相应的技术防御策略,或使用边界安全防护类设备对IP进行实时阻断。(10)恶意代码检测分析服务恶意代码统计攻击者通常通过执行恶意代码在网站中写入后门,从而控制网站,盗取网站的数
27、据,严重影响网站的正常运行,造成不好社会影响。为保障用户顺利进行,以及用户期间面向大众宣传、售票等服务的网络安全,我司通过多年行业积累和研究实践,发现通过使用静态检测技术、动态检测技术结合的方法对代码行为进行检测,可提高恶意代码检出率和误报率。通过恶意代码检测分析服务能够发现新的恶意代码家族及其活动,能够在用户反馈之前及时实现对恶意的检测和查,能够输出较准确的恶意代码家族信息,帮助用户及时发现并消除安全威胁。4.实时预警通知安全专家鉴定分析确定重大影响的安全问题时,通过email、即时通讯软件、电话等方式,快速向用户相关方推出安全预警信息及解决方案。并协助用户根据实际情况制定应急预案,充分检验
28、预案可行性。在发生确切的安全事件时,应急人员及时采取行动限制事件扩散和影响的范围,降低潜在的损失与破坏。安全预警事件类型包括但不限于如下内容:(1)网络攻击事件安全扫描攻击:黑客利用扫描器对用户信息系统进行漏洞探测,并在发现漏洞后进一步利用漏洞进行攻击;暴力破解攻击:对用户系统账号密码进行暴力破解,获取后台管理员权限;系统漏洞攻击:利用操作系统、应用系统中存在漏洞进行攻击;WEB漏洞攻击:通过SQL注入漏洞、上传漏洞、XSS漏洞、授权绕过等各种WEB漏洞进行攻击;拒绝服务攻击:通过大流量DDOS或者CC攻击目标,使目标服务器无法提供正常服务;其他网络攻击行为;(2)恶意程序事件病毒、蠕虫:造成
29、系统缓慢,数据损坏、运行异常;远控木马:主机被黑客远程控制;僵尸网络程序:主机对外发动DDOS攻击、对外发起扫描攻击行为;挖矿程序:造成系统资源大量消耗;(3)WEB恶意代码Webshell后门:黑客通过Webshell控制主机;网页挂马:网站页面被植入待病毒内容,影响访问者安全;网页暗链:用户网站被植入博彩、色情、游戏等广告内容;(4)信息破坏事件系统配置遭篡改:系统中出现异常的服务、进程、启动项、账号等等;数据库内容篡改:数据遭到恶意篡改,引起业务异常和损失;网站内容篡改事件:网站页面内容被黑客恶意篡改;信息数据泄露事件:服务器数据、会员账号遭到窃取并泄露;账号被异常登录:系统账号在异地登
30、录,可能出现账号密码泄露;异常网络连接:服务器发起对外的异常访问,连接到木马主控端、矿池、病毒服务器等行为;建立及时准确的安全事件预警上报体系,在事件分类的基础上,进一步研究针对各类安全事件的响应对策,建立网络安全事件数据库,与应急指挥工作相衔接,这项工作对于事件应急响应处置具有十分重要的意义。5.外部预警通报分析针对外部主管单位通报或最新暴出的高危漏洞,运营人员通过安全运营平台对所通报事件进行查询,确认通报是否属实,如属实,确认失陷主机的范围。6.事件流程管理针对安全事件处置过程进行跟踪,形成闭环。明确监控、分析、通告、处置各个环节,明确岗位职责和人员设置以及角色权限情况,通过平台系统管理中
31、新增人员账号,根据不同的岗位职责对安全事件通过工单进行管理。根据用户管理机制,有针对性的设计安全事件监控、发现、分析、通告、响应、处置、复核等全周期的安全运营流程,确保安全运营工作可闭环管理。为保证安全威胁事件都能够得到有效的跟踪处置,有必要对安全事件进行集中管理,形成闭环管理。网络安全事件管理的主要活动包括:记录所有的事件、并采用一定的流程来管理事件的影响。流程应定义所有事件的记录、优先次序、业务影响、分类、更新、升级、解决和正式关闭。应将报告的事件或服务请求的进展情况通知用户,当不能达到服务级别时应提前警告,并与用户约定改进计划。事件管理所涉及的所有人员都应可以访问相关的信息,如己知错误、
32、问题解决方案和配置管理数据库。对重大事件应有流程进行分类及管理。在事件管理流程中,首先根据事件发生的原因和所需支持的类别对事件进行分类,结合事件的影响范围和程度定义事件的优先级和级别,若是新产生的事件,需要将其和己知的问题进行匹配,匹配成功就能根据方案解决问题,匹配不成功,则将事件转交给安全事件管理员进行调查和研究,提出快速解决事件的应急措施或方法。事件解决的过程中,需要跟踪事件的进度,并对用户进行反馈。当安全事件解决后,应向用户确认处理的效果是否满足服务级别定义的要求、是否满意等。(1)事件分类网络安全事件分类依据事件起因、表现、结果,共分为七类,分别为:网络攻击事件、病毒事件、信息破坏事件
33、、信息内容安全事件、设备设施故障、灾害性事件、其他网络安全事件,每个基本分类又包括若干个子类。安全事件主类说明子类1.有害程序事件蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的网络安全事件。计算机病毒事件;蠕虫事件;特洛伊木马事件;僵尸网络事件;混合攻击程序事件;网页内嵌恶意代码事件;其它有害程序事件。2.网络攻击事件通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的网络安全事件。拒绝服务攻击事件;后门攻击事件;漏洞攻击事件;网络扫描窃听事件;网络钓鱼事件;干扰事件;其他网络攻击事件
34、。3.信息破坏事件通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等而导致的网络安全事件。信息篡改事件;信息假冒事件;信息泄漏事件;信息窃取事件;信息丢失事件;其它信息破坏事件。4.信息内容安全事件利用信息网络发布、传播危害国家安全、社会稳定和公共利益的内容的安全事件。违反宪法和法律、行政法规的网络安全事件;针对社会事项进行讨论、评论形成网上敏感的舆论热点,出现一定规模炒作的网络安全事件;组织串连、煽动集会游行的网络安全事件;其他信息内容安全事件。5.设备设施故障由于信息系统自身故障或外围保障设施故障而导致的网络安全事件,以及人为的使用非技术手段有意或无意的造成信息系统破坏
35、而导致的网络安全事件。软硬件自身故障;外围保障设施故障;人为破坏事故;其它设备设施故障。6.灾害性事件由于不可抗力对信息系统造成物理破坏而导致的网络安全事件。包括水灾、台风、地震、雷击、坍塌、火灾、恐怖袭击、战争等导致的网络安全事件。7.其它事件不能归为以上六种分类的事件。表 1 安全事件分类(2)事件分级为确保安全事件能够得到及时、有效处置,根据事件影响度、紧急度,形成对事件的优先级判定策略,优先级高的安全事件会优先进行处置。(a)影响度衡量指标包括:受影响的数量;受影响的IT服务数;财务损失级别;是否危害用户的声誉;是否危害人身安全;是否违反法律法规。(b)紧急度衡量指标包括:基于业务部门
36、对解决事件的时间要求、事件影响度及紧急度,形成优先级分级矩阵:影响度紧急度高中低高123中234低345表 2安全事件分级优先级分级描述要求响应时间要求解决时间1关键15min2h2高30min4h3中60min6h4低120min8h表 3 安全事件响应时间(3)事件升级在安全事件管理过程中,为了确保安全事件处置符合时效性、准确性等各方面管理要求(包括但不限于对需要更多能力或资源来处理事件的情况),会需要对安全事件进行升级。事件升级包括职能性升级和管理层升级两类:(a)职能性升级 事件从一线到二线/三线的升级,但事件责任人未发生变化。(b)管理层升级 通知到相关管理层,由管理层进行协调资源去
37、处理事件,包括但不限于:供应商、服务商等。(4)事件处置跟踪对威胁事件的处置结果进行跟踪,确保风险得到有效处理和缓解。安全威胁处置是一个复杂的流程,需要多级、多人的协同配合。监控运营人员通过监控、分析、预警给用户相关部门情况,协助用户利用态势感知与安全运营平台的工单统一跟踪。并将多个人的分析处置结果通过工单统一跟踪和记录,从而使得威胁的处置可追踪。保障每一个威胁都能够通过工单进行及时有效的跟踪,强化了安全威胁的闭环管理,做好安全事件管理工作,确保安全事件有人盯、有人查、有人管。(5)处置结果验证安全事件处置完成之后,将与安全事件相关联的告警信息、日志信息、情报信息、资产信息等进行归纳整理,对事
38、件处置的结果采用观察、分析、主动验证等方式对威胁的处理结果进行确认,确认风险威胁消除,确认采用的措施对于风险控制有效。7.提供处置意见针对突发的安全事件,在确认事件类型、影响范围后,按照专业人员给出的紧急修复建议对系统进行修复。实现与监控、分析、通告环节的有效衔接,能够对安全事件的处置状态进行跟踪和记录。保障每一个威胁事件都能够通过工单进行及时有效的跟踪,实现安全威胁的闭环管理,确保安全事件有人盯、有人查、有人管。通过网络、终端主机、应用部门运维部门等部门间协同沟通,及时安排受影响主机应急响应措施,采用隔离/下线、版本升级、防火墙策略更新、安装杀毒软件等措施,保障事件妥善处置,恢复内部业务网络
39、安全。8. 运营质量管理定期对运营实施过程中的风险进行评估并改进,确保控制活动设计与执行,负责管理、协调技术工程师工作内容;组织建立安全事故风险预测、发现、控制体系,失陷对安全运营工作中的质量进行控制风险把握。1.1.2.2 增值服务清单增值服务包括XX1.风险评估通过识别用户的信息资产及其价值,按照信息系统等级保护的相关要求,结合ISO/IEC 27001的安全管理要求,从整体安全的角度对现有的网络与信息系统安全策略进行全局性的预评估,包含了技术和管理方面的内容,分析信息资产存在的安全漏洞,分析信息资产面临的安全威胁及威胁发生的可能性,检查现有安全措施的有效性,从而识别出信息资产中存在的安全
40、风险点,并根据客户所能接受的风险,对用户信息资产所面临的风险程度做出准确的评价,提供相关整改修复加固建议。风险评估将从下列对象范围展开:检查对象检查范围检查内容备注服务器主机和设备服务器机房内的工作站、服务器、存储设备以及相关的操作系统软件检查服务器物理安全、操作系统的用户、权限、口令的安全性、防病毒部署、系统补丁以及相关的运维管理等客户端软件和硬件安全检查业务操作终端和自助终端设备客户端的操作系统配置和补丁、办公应用程序、客户应用程序合法有效性、杀病毒软件部署和更新情况等;应用系统软件安全检查包括由省公司统一推广的应用系统和各地自行开发的应用系统应用系统口令、审计日志、应用系统软件漏洞、SQ
41、L注入攻击数据库软件和数据介质安全检查包括数据中心内各个应用系统支撑的数据库软件数据库软件帐号、补丁、数据保密性、数据完整性和备份存储介质网络安全检查网络架构、设备部署及配置,包括核心交换机、防火墙 、路由器及其他安全设备和审计设备;网络设备配置和部署不当,导致网络存在风险,局域网到互联网边界;局域网到综合数据网边界;区县局到城域网的边界。管理检查信息服务(对外依赖该系统开展的各类服务);网络服务(各种网络设备、设施提供的网络连接服务);办公服务(为提高效率而开发的管理信息系统,包括各种内部管理、文件流转管理等服务)服务提供商是否能达到安全要求人员信息部主任、安全专责、网络管理员、系统管理员等
42、人员配置、责任分配、人员备份等问题设置不当,造成安全风险相关管理制度使用手册、操作手册、数据备份恢复文档、应急预案记录、软件开发流程、记录等,或用于完成客户使命任务的知识产权;由于纸质文件为保存方式为满足安全要求,而导致记录缺失协助完善纸质文档风险评估应采用准确和足够的数据以及恰当的技术手段。评估使用漏洞获取手段包括但不限于以下方式: 漏洞管理设备; 互联网公开漏洞信息发布; 安全组织内部情报; 内部人员反馈等渠道来发现测试和生产环境风险。 评估结束后评估人员应提交正式的评估报告,报告中应包含针对所发现漏洞的建议解决方案。 负责人员应根据评估报告组织制定加固方案和加固实施计划,计划应包含人员、
43、时间、材料的安排及出现异常情况的处理方法,并给出可行性分析报告。 在实施加固之前,需要通过测试环境进行加固测试以确保加固方案不存在问题。 加固实施计划必须得到相关部门的批准后方可实施。 在实施加固前应对被加固系统进行备份,并确保备份的有效性。 实施加固时制定专人负责发生问题时的系统恢复,并详细记录每一个步骤的工作内容和结果。 系统加固结束后应进行二次评估对实施结果进行核查,最终以核查报告的形式告知风险消除情况;同时更新相关系统的安全标准和主机加固检查脚本。2.基线配置核查针对xx集团的主要网络设备、安全设备、操作系统、数据库等编制核查基线,并定期通过基线验证工具或收购验证方式对所配置基线进行验
44、证,保证各类设备的安全运行。3.安全日志分析(是手段不是服务)安全日志分析以web日志分析为主,通过专用分析工具结合云端大数据对Web日志进行人工分析,以此判断Web业务是否失陷,对已经失陷的Web业务进行深度溯源分析,最终提交Web失陷检测服务报告。Web日志分析服务需要工程师将待测Web应用系统的日志导入专用分析系统中,该系统中使用了多种先进的基础支撑手段,方便工程师对应用日志的性质进行判断,系统产生机器分析的中间结果供工程师参考和进一步判断。导入的日志会进行模型筛选和攻击者机器评分,并进行威胁情报自动匹配。由专家针对行为标记结合威胁情报匹配结果进行综合行为研判,然后根据研判的结果生成安全
45、事件路线图,汇总结果梳理形成最终交付报告。4.高级威胁分析专业分析人员通过安全运营平台,进行以下各个维度的深入威胁分析。 APT深度告警分析 普通IOC告警分析 传感器漏洞分析 暴力破解分析 网站后门分析 数据库安全分析 邮件安全分析专业分析人员确认APT告警,对受害ip的流量行为、资产特性、时间节点、客户性质和apt组织进行关联分析,结合对攻击目标组织或机构的信息收集,能够比较容易获取组织人员的相关邮箱地址信息、排查告警产生原因、攻击路径和影响范围。 专业分析人员通过命中的IOC详情、攻击类型、攻击严重级别、相关安全事件或团伙、当前远控的状态信息等,帮助轻松研判事件优先级、响应处置方式等。配
46、合可选的云端威胁分析平台进行进一步的分析,了解攻击者背景信息并通过自动化关联分析等方式,了解攻击者的相关的网络资源和历史攻击行为,并进行深入追踪。最后确认告警,对受害IP与远控端的流量进行分析,并给出处置建议。专业分析人员通过分析客户传感器流量,迅速验证漏洞Webshell上传是否成功、Web服务器是否存在安全漏洞,确认入侵成功事件、排查影响访问并给出处置建议;聚合传感器的攻击数据,梳理出高威胁IP。专业分析人员在日志检索系统中的“网络日志”中的“登录行为”中进行搜索,目前主要分析有哪些服务被成功暴力破解。目前主要针对邮箱、数据库、FTP等服务进行分析。专业分析人员通过深入分析网络流量,恶意后
47、门被植入服务器中,不法分子都会通过后门进行高危操作,如执行命令、下载文件、删除文件等,行为直接会被平台捕获,常见网络中存在的服务器主机后门、网站后门,溯源分析、行为分析、影响分析并给出处置建议。专业分析人员通过深入分析数据系统登录行为、高风险数据操作语句,发现数据库系统异常登录、SQL注入漏洞和系统命令执行等影响,并分析给出处置建议。在日志检索系统中的“网络日志”中的“数据库操作”中进行搜索,主要目的是查询有哪些数据库被执行了敏感的SQL语句。通过搜索语句确定是业务正常执行SQL语句还是被攻击者控制数据库执行敏感操作语句,如增加、删除、更新等高危命令操作。专业分析人员通过深入分析邮件系统的登录行为、恶意邮件投递行为、信息泄露、身份仿冒、木马病毒、垃圾邮件泛滥、APT攻击