xxxx局重保服务方案

xxx局重保服务方案2021年5月目录一、 组织及职责分工 3二、 资产清单 4三、 防护工作方案 53.1. 资产梳理工作 53.2. 安全自查和整改工作 63.2.1.网络安全检查 63.2.2.主机安全检查 73.2.3. 应用系统安全检查 73.2.4.日志审计 73.2.5.备份有效性检查 83.2.6.安全整改加固 83.3. 重保期间防护工作 83.3.1.安全事件监测 83.3.2.事件分析与处置 93.3.3.防护总结与整改 9四、 重要安全防护措施优化汇总 10五、 应急预案流程 11

组织及职责分工为确保本次重要时期安全保障（以下简称“重保”）任务的顺利完成，拟成立重保领导小组（以下简称“领导小组”）和项目工作组（以下简称“工作组”），组织架构如下图。（1）领导小组：组长:XXX,副组长:XXX成员组成：信息管理处、xxx局主要负责人。工作职责：负责领导、指挥和协调本次重保工作开展，向上级领导和有关部门汇报重保工作情况。（2）项目工作组(含重保工作小组、应用系统支撑小组、安全厂商支撑小组)：组长:何林成员组成：xxx局运维单位、应用系统厂商、安全厂商技术支持服务人员组成。工作职责：负责整体的项目沟通、人员筹备、任务分工、分析研判、防护监测、应急处置、安全整改、事件汇报等工作。项目工作组中各小组具体工作职责如下：序号小组名称工作职责重保工作小组负责制定《重保服务方案》、《重保应急预案》；对指定范围内的应用系统、网络、安全监测与防护设备相关资产进行全面梳理和安全检查，摸清网络安全现状、发现安全漏洞、弱点和不完善的策略设置；排查整体网络中的安全薄弱点，对薄弱点进行安全整改或提出安全整改建议。重保工作期间利用甲方已有的安全防护设施（防火墙、IPS、安全审计、日志审计系统、主机加固软件、防病毒软件、云WAF）和新增的安全防护措施（租赁WEB应用防火墙）对网络攻击行为进行监测、分析、预警和处置。依据《重保应急预案》，负责重保工作期间的安全事件的应急响应和处置。负责对本次重保工作中的重要事件进行每日汇报，重保工作结束后进行总结，编写总结报告。应用系统支撑小组负责配合重保工作小组的应用访谈工作。负责配合重保工作小组的安全检查和整改工作。负责配合重保工作小组的应急处置工作。安全厂商支撑小组负责配合重保工作小组的安全整改工作。负责配合重保工作小组的应急处置工作。资产清单序号应用系统名称地址位置用途已有防护措施xxx局门户网站（门户服务器及数据库服务器）XxxxxxXxxxXxx主机加固软件：支持病毒木马、未知恶意代码、入侵攻击、APT攻击、服务器和WEB应用防护。虚拟主机杀毒软件：企业版服务器安全杀毒软件，支持防病毒、打补丁等。云WAF：支持网页篡改、网页黑链、网页挂马、业务可用性安全事件监测；支持应用层攻击防护、网页防窜改等防护功能。其他安全防护措施：云平台提供的边界和平台层安全防护措施。xxx局综合办公系统XxxXxxXxx主机加固软件：支持病毒木马、未知恶意代码、入侵攻击、APT攻击、服务器和WEB应用防护。虚拟主机杀毒软件：企业版服务器安全杀毒软件，支持防病毒、打补丁等。其他安全防护措施：平台提供的边界和平台层安全防护措施。xxx信息系统XxxxXxxx网络边界：部署有防火墙、IPS（特征库已过期）、WEB应防火墙（特征库已过期）。主机层：部署有免费版主机杀毒软件防护工作方案资产梳理工作（一）网络路径梳理对目标系统相关的网络访问路径进行梳理，明确系统访问源（包括用户、设备或系统）的类型、位置和途径的网络节点，绘制准确的网络路径图。网络路径梳理须明确从互联网访问的路径、内部访问路径等，全面梳理目标系统可能被访问到的路径和数据流向，为后续有针对性的网络安全防护和安全设备的部署和调整奠定基础。（二）系统资产梳理梳理目标系统的关联及未知资产，形成目标系统的关联资产清单、未知资产清单，关联资产包括目标系统网络路径中的各个节点设备、节点设备同一区域的其它设备以及目标系统相关资产，未知资产包括与目标系统可有关联但未记录在关联资产清单里的资产，为后续安全自查和整改加固等工作提供基础数据。（三）安全资产梳理根据已梳理的重要资产和网络路径，梳理当前已有的安全监测和防御产品，对其实现的功能、效果、防御范围、安全日志、特征库更新情况等进行综合分析。依据梳理结果对已有防护设施进行调整或提出相关安全建议。安全自查和整改工作根据资产梳理工作形成的目标系统关联资产清单、未知资产清单，对与组成目标系统相关的网络设备、服务器、中间件、数据库、应用系统、安全设备等开展安全自查和整改工作。通过安全自查对目标系统的安全状况得以真实反映，结合整改加固手段对评估发现的问题逐一进行整改。设置必要的防御规则，基于最小权限原则制定，即仅仅开放允许业务正常运行所必须的网络和系统资源。3.2.1.网络安全检查网络架构检查 针对目标系统开展网络架构检查工作，以评估目标系统在网络架构方面的合理性，网络安全防护方面的健壮性，是否已具备有效的防护措施；网络安全策略检查针对目标系统所涉及的网络设备进行策略检查，确保目前已有策略均按照“按需开放，最小开放”的原则进行开放；确保目标系统所涉及的网络设备中无多余、过期的网络策略； 网络安全基线检查针对目标系统所涉及的网络设备进行安全基线检查，重点检查多余服务、多余账号、口令策略，禁止存在默认口令和弱口令等配置情况；安全设备/软件基线检查针对目标系统所涉及的安全设备进行安全基线检查，重点检查多余账号、口令策略、策略启用情况、应用规则、特征库升级情况、系统版本情况，禁止存在默认口令、弱口令、系统版本具有漏洞的情况；3.2.2.主机安全检查 主机安全基线检查 针对目标系统所涉及的主机进行安全检查，重点检查多余账号、口令策略、账号策略、远程管理等情况； 数据库安全基线针对目标系统所涉及的数据库进行安全检查，重点检查多余账号、口令策略、账号策略、远程管理等情况；中间件安全基线针对目标系统所涉及的中间件进行安全检查，重点检查中间件管理后台、口令策略、账号策略、安全配置等情况；主机漏洞扫描针对目标系统所涉及的主机、数据库以及中间件进行安全漏洞扫描；应用系统安全检查应用系统合规性检查针对目标系统应用进行安全合规检查，重点检查应用系统多余账号、账号策略、口令策略、后台管理等情况；渗透测试 针对目标系统应用进行渗透测试（灰盒测试）；3.2.4.日志审计网络设备/主机/数据库日志针对本次目标系统中网络设备/主机/数据库的日志记录进行检查，确认能够对访问和操作行为进行记录； 明确日志开通级别和记录情况，并对未能进行日志记录的情况进行标记，明确改进措施。中间件/应用系统/安全设备日志针对本次目标系统中中间件/应用系统/安全设备的日志记录进行检查，确认能够对访问和操作行为进行记录；对未能进行日志记录的情况进行标记，明确改进措施。3.2.5.备份有效性检查备份策略检查针对本次目标系统中的备份策略（配置备份、重要数据备份等）进行检查，确认备份策略的有效性；对无效的备份策略进行标记，明确改进措施。备份系统有效性检查针对本次目标系统中的备份系统有效性进行检查，确认备份系统可用性；对无效的备份系统进行标记，明确改进措施。3.2.6.安全整改加固基于以上安全自查发现的问题和隐患，及时进行安全加固、策略配置优化和改进，切实加强系统的自身防护能力和安全措施的效能，减少安全隐患，降低可能被外部攻击利用的脆弱性和风险。重保工作组协同业务主管单位完善网络安全专项应急预案，针对可能产生的网络安全攻击事件建立专项处置流程和措施。重保期间防护工作在防护阶段，重点加强防护过程中的安全保障工作，各岗位人员各司其职，从攻击监测、攻击分析、攻击阻断、漏洞修复和追踪溯源等方面全面加强重保期间的安全防护效果。3.3.1.安全事件监测当重保正式开始后，重保工作小组组织各小组人员，根据岗位职责开展安全事件监测工作。重保工作小组借助安全防护设备（Web防火墙、IPS、主机加固软件等）开展攻击安全事件监测，对发现的攻击行为进行确认，详细记录攻击相关数据，为后续处置工作开展提供信息。3.3.2.事件分析与处置重保工作小组根据监测到安全事件，协同进行分析和确认。如有必要可通过主机日志、网络设备日志、入侵检测设备日志等信息对攻击行为进行分析，以找到攻击者的源IP地址、攻击服务器IP地址、邮件地址等信息，并对攻击方法、攻击方式、攻击路径和工具等进行分析研判。重保工作小组根据分析结果，应采取相应的处置措施，来确保目标系统安全。通过遏制攻击行为，使其不再危害目标系统和网络，依据攻击行为的具体特点实时制定攻击阻断的安全措施，详细记录攻击阻断操作。重保工作小组对业务稳定性进行监测并及时通报相关信息。重保工作小组应针对可能产生的攻击事件，根据已经制定的网络安全专项应急预案进行协同处置，同时在明确攻击源和攻击方式后，保证正常业务运行的前提下，可以通过调整安全设备策略的方式对攻击命令或IP进行阻断，分析确认攻击尝试利用的安全漏洞，确认安全漏洞的影响，制定漏洞修复方案并及时修复。3.3.3.防护总结与整改全面总结本次重保服务各阶段的工作情况，包括组织队伍、攻击情况、安全防护措施、监测手段、响应和协同处置等，形成总结报告并向业主单位汇报。针对重保服务期间存在的脆弱点，开展整改工作或提出安全整改建议，进一步提高目标系统的安全防护能力。

重要安全防护措施优化汇总全面核查和调整：从密码强度、端口开放、重要系统补丁更新、服务器基线、安全设备特征库/补丁更新情况、安全软件使用和安全策略设置等方面进行梳理和排查高风险项。针对高风险项进行调整或出具解决建议。针对本地应用系统，新增WEB应用防火墙（重保服务期间提供租借服务）。针对重要业务系统开展渗透测试服务。本次采用灰盒测试的方式。渗透测试找出信息系统的安全弱点，协助进行安全整改或提供修复建议。（注：灰黑测试指测试人员对目标环境的细节了解有限，灰盒测试是外部安全攻击的模拟。）重保服务期间，关闭所有远程运维终端访问路径和远程连接端口。（特殊情况需提前提出申请）

应急预案流程重要时期安全保障应急流程为保障重要时期安全保障（以下简称“重保”）工作中，业务单位方在发现各类网络攻击事件时，能验证各方面人员应对重保过程中的组织能力和应急处置能力，为提高应用系统的防护水平，特此制定本应急流程。一、工作目标本应急流程主要是在重保期间，针对业务系统在遭受攻击时，通过监测发现、分析研判、处置上报等环节有效抑制安全事件发生及影响扩散，保障业务系统安全运行。二、组织及职责注：具体各小组工作职责参见第一章节。工作内容及流程结合单位实际工作情况，将应急流程工作分为三个阶段：监测阶段、分析阶段和处置阶段。具体应急流程图如下：1.监测发现重保过程中，重保工作小组应按照职责开展全网的监测和分析工作，具体内容如下：重保工作小组利用WAF、IPS、安全审计、主机加固软件等安全监测设备对攻击行为进行识别，同时对主机、