电信行业综合业务审计平台建设方案

背景

随着互联网与信息技术的发展,几乎所有的电信行业从业务运营到内部管理都实现了网络信息化,无论是核心关键业务还是边缘业务,或者是内部的支撑系统已经越来越多地运行在网络上。业务是电信行业的生命和核心竞争力,保障业务安全是电信行业发展的基础。

电信行业的业务系统遇到的安全威胁正由单纯的网络层向应用与业务层演进。来自黑客的入侵篡改敏感数据,来自企业内部员工和第三方人员的误操作、越权操作或是资料窃取,却无时无刻不在威胁着业务系统的安全,内部安全管理同样不可忽视,例如,2006年某资深软件研发工程师4次侵入北京移动公司充值中心数据库,盗窃价值370多万元的充值卡密码;又如,2011年陕西移动泄露1300万条手机用户的手机号码、姓名、年龄、性别、身份证号、住址、每月通讯费用等个人信息,影响颇为严重。

因此,如何掌控和保障业务系统的安全,是电信行业一项非常迫切的工作。

审计需求分析

数据是电信行业的核心资产。由于电信行业业务支撑系统中各业务系统众多,使用人员较复杂,涉及DBA、网管、内部员工、营业厅以及第三方运维合作人员等。因此,安全管理更加复杂,电信数据库面临的内网安全威胁与风险如下:

● 数据库账户和权限的滥用

缺少针对数据库管理员监控机制:数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便,窃取、篡改、毁坏重要业务数据,对单位数据库安全的打击将是巨大的。

合法用户权限滥用。数据库系统的操作管理采用分权管理形式,包括多个账号,如普通账号、用于数据库日常维护的临时账号;如果上述账号权限被内部人员或合作方人员用来窃取、恶意损毁数据库的重要业务数据,在短时间内管理者极难察觉发现数据被篡改或删除,事后也难以追查取证,造成难以弥补的损失。

● 数据库自身日志审计的缺陷

难以实时监测数据库发现问题:数据库系统自身的日志审计功能可以记录各种数据库系统修改、权限使用等日志信息,并不能帮助管理者及时发现定位问题;同时由于不能实时监测报警,因此在数据库异常安全事件发生时,无法第一时间报告给管理者,导致管理者不能及时采取有效措施。

影响数据库服务器运行与性能:数据库自身日志审计也会占用了大量的硬盘空问,降低数据库服务的性能,甚至可能影响正常应用的顺利进行,同时面对成千上万条日志记录,很少有数据库管理员为了寻找几条有用的项目,去查看数千的审计日志条目,因此如何筛选出有用信息也是客观存在的问题。

● 数据库与业务系统无法关联分析

无法追踪到最原始的访问者:在现有的三层或多层架构应用系统中,通过客户端访问业务系统到最终的数据操作请求,中间通过有WEB服务器、应用中间件、数据库等多层架构,从数据库查看信息时只有一个数据库前端的访问信息,无法查询到最原始的客户端信息,因此也发生安全事件时无法精确定位到事件的发生源头。

● 数据库自身存在问题

数据库自身存在安全隐患。由于数据库管理系统自身存在着很多的安全漏洞,如补丁更新,管理方面也可能存在着同样的问题,如弱口令、不安全的配置等,都可能对整个信息系统造成影响。

● 第三方运维工作的隐患

现有业务系统的维护工作大部分由第三方运维公司来负责,维护人员有时需要在数据库中建立一些临时帐户或使用高权限账户,用于数据库的日常维护,然而这样的账户如果被非系统维护人员恶意利用,由于使用时间较短,系统管理员很难发现数据资源被窃取或是被恶意修改。

此外,黑客通过业务数据库的漏洞入侵数据库,篡改或窃取业务数据,也无从防范。

针对以上安全威胁,虽然电信行业采取了一定的安全措施,如部署防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、网闸等。但是,这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT计算环境及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。

另一方面,电信企业日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

综上所述,电信企业迫切需要一个全面的、面向电信企业IT计算环境的、集中的安全审计平台及其系统,这个系统能够收集来自电信企业计算环境中各种设备和应用的安全日志,并进行存储、监控、分析、报警、响应和报告。

建设目标

通过先进高端的安全产品,结合专业的安全服务,在合理正规的管理制度下全方位实施方案,实现电信行业综合业务支撑系统主机、数据库、中间件、网络设备及业务日志的集中采集、集中存放、关联分析和审计,实现对数据库访问记录的旁路采集和审计,最终实现提高电信行业综合业务支撑系统的安全性和稳定性。

平台建设方案


设计原则

● 安全可靠性:使用的安全产品能够稳定可靠的系统中运行。

● 技术先进性:采用的安全技术必须有足够的先进性。

● 技术成熟性:必须是已经经过实际应用的安全技术和产品。

● 可管理性:安全产品应该宜于管理,非专业安全技术人员也能在指导下使用。

● 可扩展性:在系统升级或扩容时,能保持一定的扩充性能。

● 良好的性能价格比。

● 满足国家相关法律法规和国家标准。

平台组成

根据上述的电信行业安全需求分析,安恒设计了以数据库审计系统、数据库扫描系统、综合日志采集系统、综合日志管理中心平台为核心,结合堡垒主机建立综合业务审计平台。方案示意图如下:



实现目标如下:

数据库审计系统实现对业务系统的操作审计和业务数据库的审计;

数据库扫描系统实现对数据库漏洞与弱配置的发现,以便进行安全加固;

综合日志采集系统实现对基础设备日志的收集,以及安全事件的关联分析;

综合日志管理中心平台实现了所有业务相关设备的智能综合管理;

业务系统安全审计系统(堡垒主机)实现对人员操作的审计

数据库审计系统

数据库审计系统是安恒信息结合多年数据库安全的理论和实践经验积累的基础上,结合各类法令法规(如SOX、PCI、企业内控管理、等级保护等)对数据库审计的要求,自主研发完成的业界首创细粒度审计、精准化行为回溯、全方位风险控制的数据库全业务审计产品。

我方部署数据库审计系统有效解决电信行业业务系统深层次应用及逻辑层面的安全问题及审计需求,该产品重点实现根据业务特点的三层关联伸进、细粒度审计、精准化行为回溯、全方位风险控制,为电信行业的核心业务数据提供全方位、细粒度的保护功能。数据库审计系统主要功能如下:

● 全方位的实时审计:实时监控来自各个层面的所有数据库活动(也包括通过远程命令行方式运行的SQL命令)。如:来自应用程序发起的数据库操作请求、来自数据库客户端工具的操作请求等。

● 细粒度的行为检索:一旦发生安全事件,提供基于数据库对象(用户、表、字段及记录内容)的完全自定义审计查询及审计数据展现,彻底摆脱数据库的黑盒状态(快速掌握:安全事件发生前后谁对数据库做了操作?做了什么操作?什么时候做的操作?通过什么方式做的操作?)。

● 灵活的策略定制:根据登录用户、源IP地址、数据库对象(分为数据库用户、表、字段)、操作时间、SQL操作、记录内容的灵活组合来定义客户所关心的重要事件和风险事件。

● 多形式的实时告警:当检测到可疑操作或违反审计规则的操作时,系统可以通过监控中心告警、短信告警、邮件告警、SYSlog/SNMP告警等方式通知数据库管理员及综合日志管理平台。

● 友好真实的操作过程回放:对于客户关心的操作可以回放整个相关过程,让客户可以看到真实输入及屏幕显示内容。

● 多协议的远程访问监控:提供对数据库服务器的远程访问(如:ftp、telnet)实时监控及回放功能,有助于安全事件的定位查询、成因分析及责任认定。

数据库扫描系统

为了发现电信行业数据库系统的数据库漏洞与弱配置,通过明鉴数据库弱点扫描器建立数据库扫描系统,定期地为电信行业的数据库系统进行扫描,输出扫描结果,进行安全加固,针对扫描结果中弱点及时修复,从而提高电信行业数据库系统的安全性。

明鉴数据库弱点扫描器(简称:DAS-DBScan)是安恒在深入分析研究数据库典型安全漏洞以及流行的攻击技术基础上,研发的一款数据库安全评估工具。该产品融合了权威数据库安全专家数年的安全经验与技术积累,是全球首创、拥有自主知识产权、专门用于扫描数据库弱点的产品,能够扫描几百种不当的数据库配置或者潜在漏洞,具有强大的发现弱口令及数据库潜藏木马的功能。

数据库出现安全风险并被恶意利用所造成的后果是众所周知的。使用DAS-DBScan可帮助用户充分了解数据库存在的安全隐患,通过定期数据库系统安全自我检测与评估,提升用户各类数据库的抗风险能力。同时可以协助用户完成数据库建设成效评估,协助数据库安全事故的分析调查与追踪。

DAS-DBScan由系统管理、项目管理、安全扫描、报表管理几大模块组成,其中:
弱口令检测:依据内嵌的弱口令字典完成对口令强弱的检测。系统管理:提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测。

● 风险趋势管理:通过基线创建生成数据库结构的指纹文件,通过基线扫描发现数据库结构的变化,从而实现基于基线的风险趋势分析。

● 弱点检测与弱点分析:根据内置自动更新的弱点规则完成对数据库配置信息的安全检测及数据库对象的安全检测。

● 弱口令检测:依据内嵌的弱口令字典完成对口令强弱的检测。

● 补丁检测:根据补丁信息库及被扫描数据库的当前配置,完成补丁安装检测。

● 项目管理:按项目方式对扫描任务进行增/删/改管理。

● 报表管理:提供扫描报告的存储、查看、多文件格式导入/导出功能。

● 扫描预通知:向被扫描的数据库发送预扫描通知,及时提醒数据库管理员。

● 系统管理:提供鉴权管理、许可管理、日志管理、升级管理及自身完整性检测。

综合日志采集系统

我方通过部署综合日志采集系统,从而实现所有业务相关设备的智能综合管理,实现网络资产安全状况的统一管理,使企业的利益受损风险降低。

综合日志采集系统主要实现事件收集、事件标准化和预处理功能。通过收集数据库业务审计系统、应用系统、网络资产和安全资产的事件信息,根据内置的事件解析规则,将所有的事件进行统一的标准化,即归一化处理,为事件的进一步分析做准备。在收集事件的同时,可以通过灵活的事件过滤规则对事件进行过滤。同时支持可根据IP、事件类型等进行日志归并功能。对重复事件进行压缩,所有重复事件只记录和显示一条,并提供告警事件的第一次发生的时间和最后一次发生的时间以及发生次数。

为了防止由于网络或其它故障导致通信中断,综合日志采集系统可以提供对事件的临时存储,根据存储空间的大小和存储策略,将事件信息暂时在本地存储,待通信恢复后可再将重新将事件上报,保证了事件收集的完整性。

下图所示为综合日志采集及分析系统的详细功能模块。



综合日志管理中心平台

综合日志管理中心平台作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;智能综合日志审计系统通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。

综合日志管理中心平台由采集器、通信服务器、关联引擎及平台管理器组成,如图:



 综合日志管理中心平台主要功能如下:

● 采集器。全面支持Syslog、SNMP日志协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。

● 通信服务器。实现采集器与平台间的通信,将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理。通信服务器可以接收多个采集器的日志;在平台尚未支持统一日志格式时,能够根据要求,将定义的统一日志转换为所需要的日志格式。

● 关联引擎。实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。

● 平台管理器。实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。

● 集中配置管理。系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。

● 灵活的可扩展性。提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。

● 其他功能。支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。


传感器:收集并预处理各种网络会话对应的数据,并上传至数据机;


数据:收集传感器获得的各种网络会话数据,并按照控制台的控制指令进行相应的处理和查询;


控制台:人机界面,提供各种管理功能,并且负责监视审计系统的整体运行状况。


堡垒主机主要功能如下

● 全面协议的行为审计。堡垒主机系统攻克了对加密信息审计的世界性难题,并且在行为审计方面,以“完全真实再现”方式进行展现,被誉为网络上的摄像机。主要加密协议为RDP、CITRIX ICA、SSH、HTTPS,涵盖了UNIX、WINDOWS、网络设备、安全设备等几乎所有系统,因此任何违规的行为都逃不过系统的监控。

● 强大的数据挖掘功能。该产品的智能审计不仅能够对文本协议还能对图形协议方便定制各种审计策略与脚本,解决了传统审计所无法解决的多种问题,可以对图形操作过程进行内容搜索与定位,此功能就像摄像机或照相机的人脸识别技术,能从各种信息中进行深度的数据挖掘,例如在中国移动的手机资料防泄露中,除了对一般文本信息能检索外,对于使用图形客户端操作里的内容也能搜索出目标手机号码。

● 部署与控制优势。该产品集状态防火墙与审计于一体进行串行部署,防止任何行为旁路或者绕过此系统;使用了透明部署方式可以应用于各种网络环境,不需要对用户网络进行任何改造,也不会改变用户的使用习惯;不仅对TCP而且对UDP协议也能实现即时阻断。

服务组成


风险评估与脆弱性管理


信息安全评估


我们把整个评估过程可以分成评估准备、安全评估、安全分析、评估收尾等四个阶段,具体如下图所示。



下面对评估流程中的各步骤进行说明。

1~3步骤为评估准备阶段:

1、评估准备

明确责任与义务等,组建评估工作组,从人员方面做好准备。

2、评估计划

根据被评估单位信息系统的范围、规模,编制评估计划,细化评估工作步骤,明确各工作步骤中评估机构和被评估单位的工作职责和相互配合事项。

3、资料收集

在收集资料的同时,尽可能收集以下资料,为评估工作奠定基础。

技术资料

● 每个系统业务的设计文档;

● 系统各种业务应用网络拓扑(电子版);

● 每个相关系统的业务流程,例如系统故障处理流程,业务服务提供方式等;

● 安全产品配备情况,当前已使用的安全产品及使用情况,配置情况;

● 特别的安全策略、应用系统特殊运行的环境、必须开放的端口、服务等;

● 其它有必要提醒和说明的技术资料。

管理资料

● 现有的信息系统安全体系框架;

● 信息系统安全管理制度;

● 遵循的行业法规或规范;

● 系统维护手册或制度等;

● 人员、密码、资料等管理方法;

● 安全管理策略文档。

日常维护资料

● 网络负载、利用率、网络质量等网络维护统计资料;

● 安全事件发生成功或未成功统计数据文档;

● 安全信息资料,包括签名备份、日志安全审计、安全产品日志备份等。

4~11步骤为安全评估阶段,这些评估方法是评估主要方式——访谈、检查和测试的具体表现形式:

4、人工访谈

通过和管理层、决策层、执行层中的管理人员、安全员、系统维护员等各种角色的人员进行访谈,了解信息系统的大概状况。

5、业务数据流分析

结合资料阅读和人工访谈,了解信息系统中数据流转的节点和过程。

6、网络架构分析

网络架构分析是对信息系统的网络拓扑及网络层面细节架构的评估,主要从以下几个方面进行分析:网络安全规划、设备命名规范性、网络架构安全性、网络设备和链路冗余、设备选型及可扩展性、网络设备的ACL、防火墙、隔离网闸、物理隔离、网络协议分析、网络流量分析、通信监控、通信加密、VPN分析、网管系统、设备身份验证等。

7、漏洞扫描

漏洞扫描主要是通过扫描工具对信息系统的主机和网络进行安全扫描,来查找网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。

8、人工配置核查

信息系统的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描工具全面发现,人工配置核查将对网络设备和主机以下几个方面进行核查:

● 是否最优的网段划分,保证了每个用户的最小权限原则;

● 路由器、交换机等网络设备的配置是否最优,是否配置了安全参数。

9、渗透测试

通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的发现最严重的安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。

10、管理体系调研

就是从信息系统整体安全的角度对现有的管理体系进行全局性的调研和评估,它也包含了技术和管理方面的内容,具体包括:

● 所有安全控制、管理和使用措施是否正确和有效;

● 所有安全控制、管理和使用措施是否符合相关要求。

11、物理环境验证

主要通过现场查看的方式,对物理安全和环境进行评估。

12~14步骤为安全分析阶段:

12、安全分析

根据评估结果的符合性判定情况,对现场评估的单个评估对象的单个评估项的评估结果是否符合要求进行判断,即单项判定,形成单项判定结论,判定结论分为三种情况:符合、不符合、不适用。

层面汇总分析主要是按照各个层面评估结果情况,分别统计物理安全、网络安全、主机系统安全、应用安全等各层面的不同安全控制的不同评估对象的单项评估结论。再根据单项判定结论,进行系统整体评估分析,分析单项判定结论为不符合的评估项是否影响系统的整体安全保护能力,分析系统的整体结构是否合理。

评估人员在评估结果分析的基础上,可以通过层面汇总分析和综合分析形成评估结论。

13、评估报告

通过对评估结果分析和形成的评估结论,编制评估报告。

评估报告编制完成后,评估单位根据评估协议书,提交的相关文档、评估原始记录和其他辅助信息。组织评估单位和被评估单位对评估报告进行评审。
 
14、加固改进建议
根据现状与要求之间的差距,分析系统存在的问题,并提出改进建议。

15、评估收尾

此阶段的主要工作为项目结束前的相关工作,包括报告递交、结过交流、经验传递、评估验收等。

安全漏洞扫描

安全漏洞扫描主要是通过评估工具模拟黑客真实的攻击步骤以本地扫描的方式对信息系统(操作系统、应用服务进行安全扫描,及时发现当前应用系统中存在的漏洞,检测和发现系统中的薄弱环节,最大程度地保证信息系统的安全运行。

通过对电信行业客户信息系统提供安全漏洞扫描服务,帮助系统管理员深入并详细掌握应用系统存在的脆弱性和漏洞,同时提供相应的信息帮助管理员了解如何弥补这些安全问题和修复安全脆弱性的细节,以保证信息系统始终处于最佳安全状态。

此次针对电信行业数据库系统进行漏洞扫描所采用的工具为“安恒信息”自主研发的明鉴数据库弱点扫描器,作为公安部等级保护测评中心专用应用安全测评工具,工信部安全中心运营商数据库安全检查工具,可以帮助用户充分了解数据库存在的安全隐患,建立安全可靠的数据库安全服务,减少数据库存在的弱点(如:弱口令、不安全配置等),提高数据库系统安全水平。

渗透测试

渗透测试是对安全情况最客观、最直接的评估方式,主要是利用存在的漏洞及黑客攻击技术,实施无害攻击(渗透测试前提前告知用户),目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。

渗透测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。

“安恒信息”渗透测试服务的主要流程如下:


信息收集

信息收集是指渗透实施前尽可能多地获取目标信息系统相关信息,例如网站注册信息、共享资源、设备/系统版本信息、已知漏洞及弱口令等等。通过对以上信息的收集,发现可利用的安全漏洞,为进一步对目标信息系统进行渗透入侵提供基础。

● 弱点分析

对收集到的目标信息系统可能存在的可利用安全漏洞或弱点进行分析,并确定渗透方式和步骤实施渗透测试。

● 获取权限

对目标信息系统渗透成功,获取目标信息系统普通权限。

● 权限提升

当获取目标信息系统普通管理权限后,利用已知提权类漏洞或特殊渗透方式进行本地提权,获取目标系统远程控制权限。

安全巡检

针对电信行业客户的应用及数据库系统进行漏洞扫描以及人员评估。

● 漏洞扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描,其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映主机系统、网络设备、应用系统及数据库所存在的网络安全问题和面临的网络安全威胁;

● 漏洞扫描对网络的影响很小,可以在不影响被扫描对象正常业务的情况下对其安全状况做出全面、准确的评估;

● 通过检查列表匹配人工收集被评估系统的漏洞;

● 整理系统漏洞列表;

● 方式包括现场和远程。

安全加固

网络安全加固主要从以下几个方面考虑:

● 主机系统主要从以下方面进行安全加固和优化:

● 安全补丁的选择性安装

● 最小服务原则的贯彻,禁用不必要系统服务

● 最小授权原则的贯彻,细化授权原则

● SSH管理数据加密配置

● 账号、密码安全策略

● 文件、目录访问控制

● 关键系统服务安全配置

● 安全日志策略

● Windows NT/2000/2003系统RPC DCOM安全配置

● Windows NT/2000/2003系统注册表安全配置

● 网络设备主要从以下方面进行安全加固和优化:

● 安全补丁的选择性安装

● 最小服务原则的贯彻

● 最小授权原则的贯彻

● SSH管理数据加密配置

● 配置身份认证、授权和统计(AAA)

● 对密码进行高级别的加密保护

● 加强对基于广播的风暴攻击的防范

● 加强对内部地址欺骗的防范

● 加强对源路由欺骗的防范

● 加强对于SNMP的默认管理字符串的安全管理

● 依据需求提升访问控制规则的严格程度

● 设置明确的禁止非授权访问的警告提示

● 安全设备

安全设备的加固和优化内容,视安全设备具体的配置策略而定。

● 数据库系统主要从以下方面进行安全加固和优化:

● 安全补丁的选择性安装

● 最小服务原则的贯彻,禁用不必要的服务模块

● 最小授权原则的贯彻,细化用户访问不同数据库、数据表的授权原则

● 数据库系统默认帐号的禁用或调整

● 数据库系统帐号、密码安全策略

● 数据库系统认证和审核策略配置

● MS SQL Server扩展存储过程的调整

● MS SQL Server注册表访问过程的调整

● MS SQL Server缓冲区溢出漏洞的安全加固

● Oracle缓冲区溢出隐患的安全加固

● 应用系统主要从以下方面进行安全加固和优化:

● 安全补丁的选择性安装

● 最小服务原则的贯彻,禁用不必要的服务模块

● 最小授权原则的贯彻,尽量削弱应用系统服务的运行权限

● IIS的针对性安全加固和优化

● Tomcat的安全加固和优化

● WebLogic的针对性安全加固和优化

● 邮箱的针对性安全加固和优化

应急响应

安恒安全服务客户服务中心提供7*24小时的电话支持安全服务,客户可以根据网络管理员或系统管理员的初步判断认为和安全事件相关,通过电话咨询安恒信息安全客户服务人员,服务人员会根据客户信息提供电话支持服务,在客户和安恒信息安全服务人员同时确认需要信息安全专家或安全服务队伍现场支持后,安恒根据客户安全事件级别进行应急响应。

应急内容

紧急事件响应,是当安全威胁事件发生后迅速采取的措施和行动,其目的是最快速恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响。

紧急事件主要包括:

● 病毒和蠕虫事件

● 黑客入侵事件

● 误操作或设备故障事件

但通常在事件爆发的初始很难界定具体是什么事件。通常根据安全威胁事件的影响程度来分类:

● 单点损害:只造成独立个体的不可用,安全威胁事件影响弱。

● 局部损害:造成某一系统或一个局部网络不可使用,安全威胁事件影响较高。

● 整体损害:造成整个网络系统的不可使用,安全威胁事件影响高。

当入侵或者破坏发生时,对应的处理方法主要的原则是首先保护或恢复计算机、网络服务的正常工作;然后再对入侵者进行追查。因此对于客户紧急事件响应服务主要包括准备、识别事件(判定安全事件类型)、抑制(缩小事件的影响范围)、解决问题、恢复以及后续跟踪。

应急流程



 ● 准备工作

● 建立客户事件档案

● 与客户就故障级别进行定义

● 准备安全事件紧急响应服务相关资源

● 为一个突发事件的处理取得管理方面支持

● 组建事件处理队伍

● 提供易实现的初步报告

● 制定一个紧急后备方案

● 随时与管理员保持联系

● 事件识别

● 在指定时间内指派安全服务小组去负责此事件

● 事件抄送专家小组

● 初步评估,确定事件来源

● 注意保护可追查的线索,诸如立即对日志、数据进行备份

● 联系客户系统的相关服务商厂商

● 缩小事件的影响范围

● 确定系统继续运行的风险如何,决定是否关闭系统及其它措施

● 客户相关工作人员与本公司相关工作人员保持联系、协商

● 根据需求制定相应的应急措施

● 解决问题

● 事件的起因分析

● 事后取证追查

● 后门检查

● 漏洞分析

● 提供解决方案

● 结果提交专家小组审核

● 后续工作

● 检查是否所有的服务都已经恢复

● 攻击者所利用的漏洞是否已经解决

● 其发生的原因是否已经处理

● 生成紧急响应报告

● 拟定事件记录和跟踪报告

● 服务方式

安恒信息安全紧急响应服务方式分为远程支持或现场支持。


远程支持安全服务方式可以分为以下几种:

● 电话在线支持服务;

● 7*24小时电话支持服务;

● 传真支持服务;

● E-MAIL支持服务。

当远程支持无法解决问题时,将派遣专业的紧急响应服务人员在第一时间到达客户所在地提供现场支持服务。我们承诺现场应急将在1小时内响应,2小时内赶到现场进行应急工作。


应急响应等级分类

返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |