一、技术运维建设方案背景
伴随着IT技术和业务的不断发展,各种安全漏洞不断涌现,运维和安全两大行业日益融合,人们对运维安全的关注程度越来越高。技术运维在安全技术操作方面,充分发挥各类安全装备的价值,完善整个安全技术保障。
安全技术运维工作包括每周的安全设备日志分析与处理,针对所有IT设备每月的漏洞扫描工作,针对网上办事业务、网站业务、等业务系统每季度的渗透测试工作,针对新业务系统、新系统模块或新IT设备的上线安全评估工作、针对信息系统的应急响应服务工作、针对信息安全预案的修编及年度演练工作、针对设备自身脆弱性的定期安全修补工作等。
二、方案功能设计
1、风险评估
针对单位的物理机房环境、网络结构、网络服务、主机系统、中间件、数据库系统、容灾系统及数据存储安全、应用系统、应用代码、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等对象进行评估,包括采用漏洞扫描、人工安全审计、渗透测试、代码安全审计、客户端测试等方法,深入且全面的掌握单位的安全现状,为后续的持续安全改进提供科学、详细的依据。
2、建立安全风险模型
评估前建立安全风险模型,该模型必须包含但不限于以下要素:资产、影响、威胁、漏洞、安全控制、安全需求、安全风险,申请人应详细描述其风险模型的各个要素及之间的关系,并包括对威胁、漏洞、风险的等级划分标准。安全评估必须按照分层的原则,包括但不限于以下对象:物理环境、网络结构、网络服务、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等。
3、信息资产评估
收集单位所有信息资产,包括所有的有形资产和无形资产,如服务器、网络设备、存储设备、应用软件、数据、人员、管理等。并对所有资产根据关键安全要素进行赋值,为评估阶段的风险计算和安全优化阶段的风险控制提供依据。
4、安全审计
对单位的服务器和网络设备进行安全审计。其中,服务器的安全审计包括操作系统安全(WINDOWS、LINUX、Solaris、AIX)审计和应用软件(如数据库、IIS、APACHE、TOMCAT、WEBLOGIC)的安全审计。安全审计的每台被审计设备也必须体现CIA三要素包含的安全性、完整性、可用性。
5、漏洞扫描
漏洞扫描针单位的主要以及IT设备(服务器,网络设备,安全设备)以及新上线业务系统,得自身脆弱性进行安全评估。扫描内容包括端口扫描、系统扫描、漏洞扫描、数据库等应用软件扫描等,完成后应提供扫描报告,解决方案并对发现漏洞给予解决。
6、数据安全威胁分析
通过入侵检测系统对单位信息安全所面临的威胁进行细致分析,并给出报告。报告必须包括网络事件协议类型统计及对比饼图、事件危险级别统计及对比饼图、事件攻击类型统计及对比饼图、信息安全性综合分析等。
7、网络结构安全分析
为降低单位整体网络安全风险、增强IT内控的实效性、更清晰的评价和监控现有安全状况,需要对网络结构进行分析,并结合业务情况进行安全域的规划设计。安全域设计需要现有网络按照等级分为域、区、单元三个级别,描述安全域划分步骤及边界防护原则,对现有网络结构的每项不足之处提出可执行的措施,并在安全优化阶段实施。
8、渗透测试服务
对所有业务应用系统进行渗透测试。
9、综合风险分析
在对单位信息体系的各个层次进行技术安全评估基础上,综合分析信息系统面临的各方面威胁,依靠定量计算和定性分析结合的方式,计算出各方面的风险级别,并提出解决措施。
10、月度动态安全评估
结合每月的安全运维工作,随时获取信息系统安全要素的最新安全情况,监控信息系统的最新安全动态情况,并根据需要调整安全策略,确保应对最新的安全威胁。
11、数据安全保护
对业务数据、数据库系统提供实施保护技术服务,协助用户对数据设计及数据库漏洞进行分析整改,对敏感数据进行过滤规划,对测试数据提供脱敏服务。
12、设备安全加固
安全整改加固工作对通过安全配置核查、漏洞扫描、渗透测试、策略分析等工作中发现的安全漏洞、安全弱点、安全风险,通过多方面的安全加固措施进行修补;特别对问题源头进行整改与加固,以最大限度的降低风险。
13、全事件处置
1)所有用户均有责任报告自己发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;
2)制定安全事件报告和处置管理制度,规定安全事件的现场处理、事件报告和后期恢复的管理职责;
3)分析信息系统的类型、网络连接特点和信息系统用户特点,了解本系统和同类系统已发生的安全事件,识别本系统需要防止发生的安全事件,事件可能来自攻击、错误、故障、事故或灾难;
4)根据国家相关管理部门对计算机安全事件等级划分方法,根据安全事件在本系统产生的影响,将本系统计算机安全事件进行等级划分;
5)记录并保存所有报告的安全弱点和可疑事件,分析事件原因,监督事态发展,采取措施避免安全事件发生;
14、应急预案管理
在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程和事后教育和培训等内容;对系统相关的人员进行培训使之了解如何及何时使用应急预案中的控制手段及恢复策略,对应急预案的培训至少每年举办一次。
三、方案优势特点
1、技术优势
拥有跨行业、多领域的技术服务,对网络结构进行分析,结合情况进行安全域的规划设计,提供全方位的安全运维定制解决方案。
2、服务优势
提供定制化服务,包括体系结构、产品、功能整合的安全运维解决方案;通过7*24小时持续监测、发现问题、及时通报、协助处置等流程,为用户提供专业、贴心的管家服务。
3、风险规避
随时掌握网络安全状况,实现安全防范;主动监控安全事件,及时优化网络安全系统,帮助用户实现从被动反应到主动防御的转换。