AAA商业连锁股份有限公司安全服务方案.doc

AAA商业连锁股份有限公司安全服务方案湖南东软软件有限公司2011年3月文档控制1. 文档生成拟 制戴开明签字日期审 核席斐签字日期会 签签字日期签字日期批 准曹鹏签字日期2. 修改记录序号修改日期人员更新说明1、12.28戴开明文档新建3. 版本控制版本日期备注1.003.19建立目 录1.项目背景51.1.项目背景及概述51.2.项目的范围和目标51.2.1.项目的范围51.2.2.项目的目标61.3.评估原则和依据71.3.1.评估原则71.3.2.评估依据82.总体项目思路92.1.参考模型92.1.1.P2DR模型92.1.2.PADIMEETM模型102.1.3.APPDRR模型112.2.总体项目策略123.风险评估与加固方案123.1.已有安全事件分析123.2.网络安全评估与加固133.2.1.网络架构分析133.2.2.网络流量分析143.2.3.网络设备安全漏洞检查153.2.4.网络设备安全配置检查153.2.5.设备安全加固163.3.系统安全评估与加固183.3.1.主机安全检查183.3.2.主机安全加固203.4.应用安全评估与加固233.4.1.应用安全检查233.4.2.应用安全加固253.5.渗透测试273.6.安全评估总结分析及规划建议294.安全培训方案304.1.面向管理层的培训304.2.面向技术人员的培训314.3.面向普通员工的培训345.技术支持351.1.应急响应服务356.东软信息安全服务资质427.案例介绍431. 项目背景1.1. 项目背景及概述随着安全事件的不断增加，人们安全意识的不断提高，如何有效地选择安全措施，如何使安全产品发挥应有的作用，如何快速经济地提升系统的安全状况成为用户关心的问题。人们已不再满足于单纯地购买安全产品，开始寻找全面的、系统的解决方法。在这种环境下，安全服务逐渐被用户接受，成为贯穿安全工作各个阶段、渗透各个方面的重要措施。安全服务是信息系统安全体系中不可或缺的一部分，是整个IT环境的成熟度的一个衡量指标，当整个产业的IT基础设施建设到一定程度后，在规避安全风险、控制安全成本及商业持续性保障需求的压力之下，就需要开始考虑如何制定符合自身的安全策略并使之与业务结合，这就是安全服务产生的基础。完整的安全体系不仅能帮助用户解决现有的安全问题，还能够帮助他们预计未来的趋势，规划安全的长期发展。AAA集团为响应国家对信息安全的要求和AAA集团自身对信息安全的重视，全面的了解自身信息安全隐患，从物理、网络、系统、应用及管理几个层面分析可能存在的风险，将风险解决于发生之前，特进行此次安全评估项目。1.2. 项目的范围和目标1.2.1. 项目的范围AAA集团此次安全评估服务项目涉及的范围主要是以下几个方面：n 物理环境 n 网络架构n 主机与网络设备 服务器 桌面主机 网络设备 n 业务与应用系统 通用应用服务（Web、FTP、Mail、DNS等） 专用业务系统 数据库 n 数据存储状况 n 通讯/数据传输状况 n 管理制度 n 人员意识与技能 n 组织结构 n 安全产品和技术应用状况n 安全事件处理能力1.2.2. 项目的目标AAA集团此次安全评估服务将在自身网络系统现有的安全策略和标准的基础之上，进一步明确安全策略、安全标准在 IT安全基础设施建设方面的地位和作用。 并且，通过本项服务的工作使得AAA集团对服务范围内的信息资产及其风险得到很好的分析，对安全基础设施的建设提供全面的需求分析、功能分析、框架设计、部署和实施初步方案设计等。 通过本项服务，对于服务范围内的重要信息数据（比如，技术文档、源程序、企业运行数据、电子邮件、管理文档商业文档）的安全保护框架，以及承载这些数据的系统的安全保护框架进行全面的设计。 具体来讲，此次安全评估服务可以帮助AAA集团解决以下几个方面： n 准确了解企业的信息安全现状 n 明晰企业的信息安全需求 n 制定企业信息系统的安全策略和安全解决方案n 加固信息系统n 指导企业未来的信息安全建设和投入n 建立企业自身的信息安全管理框架1.3. 评估原则和依据1.3.1. 评估原则n 保密性原则：东软对安全服务的实施过程和结果将严格保密，在未经客户授权的情况下不会泄露给任何单位和个人，不会利用此数据进行任何侵害客户权益的行为； n 标准性原则：服务设计和实施的全过程均依据国内或国际的相关标准进行； n 规范性原则：东软在各项安全服务工作中的过程和文档，都具有很好的规范性（东软安全服务实施规范），可以便于项目的跟踪和控制； n 可控性原则：服务所使用的工具、方法和过程都会在东软与客户双方认可的范围之内，服务进度遵守进度表的安排，保证双方对服务工作的可控性； n 整体性原则：服务的范围和内容整体全面，涉及的IT运行的各个层面，避免由于遗漏造成未来的安全隐患； n 最小影响原则：服务工作尽可能小的影响信息系统的正常运行，不会对现有业务造成显著影响。1.3.2. 评估依据在整个评估过程中，东软将遵循和参照最新及最权威的信息安全标准，作为评估实施的基本原则。这些安全标准包括： 安全技术依据（作为技术度量功能、脆弱性）： n GB 17859：计算机信息系统安全保护等级划分准则 n GB18336（ISO15408）：信息技术-安全技术-信息技术安全评估准则 （等同于 Common Criteria for Information Technology Security Evaluation V2.1，简称CC V2.1） n CVE：Common Vulnerabilities & Exposures，通用脆弱性标准。CVE是个行业标准，为每个漏洞和弱点确定了惟一的名称和标准化的描述，可以成为评价相应入侵检测和漏洞扫描等工具产品和数据库的基准。安全管理依据（作为管理度量体系、运行情况）： n ISO27001：Code of practice for information security management，信息安全管理纲要 n ISO13335：Information technology-Guidelines for the management of IT Security，信息技术-安全技术-IT 安全管理指南 n AS/NZS 4360：Australian / New Zealand Standard for Risk Management，信息安全风险管理（澳大利亚和新西兰联合制定的国家标准） n 信息安全风险管理指南（国务院信息化办公室征求意见稿，即将成为我国国标）国家文件精神n 国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）n 关于信息安全等级保护工作的实施意见（公通字200466号）n 信息安全等级保护管理办法（试行）（公通字20067号）2. 总体项目思路2.1. 参考模型2.1.1. P2DR模型P2DR 模型是在整体的安全策略的控制和指导下，在综合运用防护工具(如防火墙、操作系统身份认证、加密等)的同时，利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力。作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻击成功花费的时间就是安全体系提供的防护时间Pt；在入侵发生的同时，检测系统也在发挥作用，检测到入侵行为也要花费时间检测时间Dt；在检测到入侵后，系统会做出应有的响应动作，这也要花费时间响应时间Rt。P2DR模型是可适应网络安全理论或称为动态信息安全理论的主要模型。P2DR模型是TCSEC模型的发展，也是目前被普遍采用的安全模型。P2DR模型包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response （响应）。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。网络安全防范体系应该是动态变化的。安全防护是一个动态的过程， P2DR是东软推崇的基于时间的动态安全体系。2.1.2. PADIMEETM模型信息系统安全生命周期模型可以归纳成PADIMEE模型。即以安全策略为核心，设计实现管理评估形成围绕策略的闭环(其中紧急响应是管理的一个组成部分)，教育覆盖核心和各个环节。PADIMEE模型n Policy Phase策略制订阶段：确定安全策略和安全目标； n Assessment Phase评估分析阶段：实现需求分析、风险分析、安全功能分析和评估准则设计等，明确表述现状和目标之间的差距；n Design Phase方案设计阶段：形成系统安全解决方案，为达到目标给出有效的方法和步骤； n Implementation Phase工程实施阶段：根据方案设计的框架，建设、调试并将整个系统投入使用。 n Management Phase运行管理阶段：在管理阶段包括两种情况正常状态下的维护和管理(Management Status)，以及异常状态下的应急响应和异常处理(Emergency Response Status)。 n 客户信息系统安全加固对系统中发现的漏洞进行安全加固，消除安全隐患。 n Education Phase安全教育：是贯穿整个安全生命周期的工作，需要对企业决策层、技术管理层、分析设计人员、工作执行人员等所有相关人员进行教育。 东软以服务为本，针对用户的信息安全需求，推出了由安全管理咨询、安全系统集成服务、安全客户支持、安全培训等一系列服务组成的完整解决方案，帮助用户在安全建设生命周期中获得良好的效果。2.1.3. APPDRR模型网络安全的动态特性在DR模型中得到了一定程度的体现，其中主要是通过入侵的检测和响应完成网络安全的动态防护。但DR模型不能描述网络安全的动态螺旋上升过程。为了使DR模型能够贴切地描述网络安全的本质规律，人们对DR模型进行了修正和补充，在此基础上提出了APPDRR模型。APPDRR模型认为网络安全由风险评估（Assessment）、安全策略（Policy）、系统防护（Protection）、动态检测（Detection）、实时响应（Reaction）和灾难恢复（Restoration）六部分完成。根据APPDRR模型，网络安全的第一个重要环节是风险评估，通过风险评估，掌握网络安全面临的风险信息，进而采取必要的处置措施，使信息组织的网络安全水平呈现动态螺旋上升的趋势。网络安全策略是APPDRR模型的第二个重要环节，起着承上启下的作用：一方面，安全策略应当随着风险评估的结果和安全需求的变化做相应的更新；另一方面，安全策略在整个网络安全工作中处于原则性的指导地位，其后的检测、响应诸环节都应在安全策略的基础上展开。系统防护是安全模型中的第三个环节，体现了网络安全的静态防护措施。接下来是动态检测、实时响应、灾难恢复三环节，体现了安全动态防护和安全入侵、安全威胁“短兵相接”的对抗性特征。APPDRR模型还隐含了网络安全的相对性和动态螺旋上升的过程，即：不存在百分之百的静态的网络安全，网络安全表现为一个不断改进的过程。通过风险评估、安全策略、系统防护、动态检测、实时响应和灾难恢复六环节的循环流动，网络安全逐渐地得以完善和提高，从而实现保护网络资源的网络安全目标。2.2. 总体项目策略安全策略是一个单位对信息安全目标和工作原则的规定，其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心，是信息安全管理工作、技术工作和运维工作的目标和依据。安全策略体系文件应由总体方针和分项策略两个层次组成并具备以下七个特性：指导性：安全策略体系文件应对单位整体信息安全工作提供全局性的指导。原则性：安全策略体系文件不涉及具体技术细节，不需要规定具体的实现方式，只需要指出要完成的目标。 可行性：安全策略体系文件应适应本单位的现实情况和可预见的变化，在当前和未来的一段时间内切实可行。动态性：安全策略体系文件应有明确的时效性，不能长期一成不变。随着信息安全形势的动态变化和信息技术的不断发展，需要对策略体系文件进行不断的调整和修正。可审核性：安全策略体系文件应可作为审核和评价本单位内部对信息安全策略遵守和执行情况的依据。 非技术性：安全策略体系文件不是具体的技术解决方案，应以非技术性的语言详细说明。 文档化：安全策略体系文件应用清晰和完整的文档进行描述。3. 风险评估与加固方案3.1. 已有安全事件分析阶段目标：分析以往安全事件的发生根源，并制定完善的解决方案。阶段内容：在本次项目中，我方将根据AAA集团过去一年内发生的安全事件概要，结合科学合理的评估模型，分析各安全事件发生的原因，提供包括技术手段和管理手段的解决方案，并协助AAA集团实施解决方案，杜绝类似事件的再次发生。3.2. 网络安全评估与加固网络层安全评估与加固的对象包括网络总体架构、网络设备、安全设备、网络流量等。安全评估的目标是通过对网络架构的分析评估现有网络结构的合理性；通过分析网络流量了解流量的安全性（包括但不限于分析病毒流量、扫描流量与攻击流量）和流量的合理性（包括但不限于分析正常流量与异常P2P流量等）；通过对网络设备、安全设备的安全检查发掘设备的版本缺陷和配置错误。随后针对评估过程中发现的安全问题进行全方位加固。3.2.1. 网络架构分析阶段目标：分析AAA集团网络现有架构，提出网络架构调整建议及安全域规划建议。阶段内容：我方将至少从下列方面对现有网络架构进行分析：边界安全：包括但不限于L3 ACL、防火墙、VLAN、物理隔离等；网络协议分析：包括但不限于路由、交换、NAT、IGMP、IPv4等；设备自身安全：包括但不限于SNMP、口令、设备版本、系统漏洞、端口等；网络流量分析：包括但不限于大带宽流量分析、异常流量分析、DDOS能力等；网络管理：包括但不限于网管系统、远程登陆协议、日志审计、设备身份验证等；可靠性：包括但不限于网络设备和链路冗余、设备处理能力及可扩展性；网络通信安全：包括但不限于通信监控、通信加密、VPN分析等；规范性：包括但不限于设备命名规范性、网络架构安全性等。我方将在网络架构现状分析的基础上完成AAA集团网络架构现状分析、改进措施，并负责实施，完成AAA集团网络安全域规划及实施，完成AAA集团网络集中管理规划等。3.2.2. 网络流量分析阶段目标：分析AAA集团网络流量合理性与安全性，并提出安全改善建议。阶段内容：我方将使用流量分析系统、NetEye IDS入侵检测等设备，并结合AAA集团网络中已有的分析设备，对AAA集团网络的流量进行半个月的监控，根据监控数据分析AAA集团网络面临的安全威胁，分析内容包括但不限于：流量安全性，分析病毒流量、扫描流量和攻击流量（包括但不限于DDOS、溢出攻击等），提出改进措施，并负责改进措施的实施。流量合理性，分析正常流量（包括但不限于HTTP页面浏览、FTP下载）和异常流量（包括但不限于bit torrent、edonkey、emule等P2P流量），提出改进措施，并负责改进措施的实施。3.2.3. 网络设备安全漏洞检查阶段目标：通过安全扫描发掘网络设备存在的版本漏洞、不需要开放的服务/端口以及空/弱口令帐户，并提出安全改善建议。阶段内容：针对网络设备和安全设备的安全评估主要通过安全工具检查完成。我方将使用专业的安全扫描工具对设备进行，通过扫描至少发现设备在以下方面的安全隐患：版本漏洞，包括但不限于IOS存在的漏洞，涉及设备包括AAA集团所有在线网络设备及安全设备，并实施加固。开放服务，包括但不限于路由器开放的Web管理界面、其他管理方式等，并实施加固。空弱口令，例如空/弱telnet口令、snmp口令等，并实施加固。3.2.4. 网络设备安全配置检查阶段目标：根据东软公司2008年网络与信息安全检查细则与安全配置规范及其它系列安全规范文件要求，检查网络设备的配置安全符合性。阶段内容：我方将搜集网络设备和安全设备的信息，包括但不限于：基本信息：属性、用途、机型、账号口令系统信息：IOS及版本网络信息：管理地址、接口地址配置文件其他通过检查路由器、交换机等网络设备配置是否最优，是否配置了安全参数；对防火墙、入侵检测等安全产品安全策略及其日志进行分析。根据东软公司2008年网络与信息安全检查细则与安全配置规范及其它系列安全规范文件要求，对路由器、交换机的安全检查项包括但不限于：n CON口、VTY口的访问控制，是否设置登录鉴权，VTY是否限制登录的允许地址范围。n 远程登陆启用SSH，禁用telnet等明文传送密码的登陆方式。n 设备密码使用加密模式存放，禁用明文存放密码。n SNMP服务的配置，禁止使用public、private等公用community，如需提供RW权限的community，需保证community的安全性。n 未使用的端口需明确使用shutdown指令关闭，在用端口需描述用途。n 接入层设备需启用访问控制列表禁止进行非法源地址转发。对与互联网连接防火墙设备的安全策略配置：检查远程登陆是否禁止telnet方式；检查最后一条策略是否是拒绝一切流量；检查是否存在允许any to any的策略；检查是否设置了管理IP，设备只能从管理IP登陆维护。3.2.5. 设备安全加固阶段目标：通过实施安全加固弥补网络设备和安全设备的安全漏洞。阶段内容：根据前期安全检查的结果，我方将提交针对各设备的安全加固方案，与AAA集团讨论通过后予以实施。对设备的安全加固包括但不限于：n 安全配置是否合理，路由、交换等网络设备及网络安全产品的不必要的服务、端口、协议是否关闭，网络设备的安全漏洞及其脆弱的安全配置方面的优化，如路由器的安全漏洞、访问控制设置不严密、数据传输未加密、网络边界未完全隔离等。n 删除不必要的测试账号，最小化合法用户的权限，最优化系统配置。n 交换机配置管理、物理接口管理。n 制订网络设备用户账号口令配置策略、账号权限及账号管理策略。n 网络管理及协议采取强口令认证，如SNMP字串、VTP认证密码、动态路由协议认证口令等，其口令强度应大于12位，并由数字、大小写字母和特殊字符共同组成。n 设置网络登录连接超时，例如，超过60秒无操作应自动退出。n 采用带加密保护的远程访问方式。如用SSH代替telnet。网络安全评估与加固实施流程：递交服务申请（附实施方案）输出报告用户签收网络流量分析设备漏洞检查设备配置检查实施设备安全加固网络架构分析制定设备安全加固方案Yes用户确认NoYes用户确认No3.3. 系统安全评估与加固系统安全评估与加固的对象是项目范围内的所有服务器。安全评估的目标是通过对主机的安全检查发掘主机在系统层的安全缺陷和配置错误。随后针对评估过程中发现的安全问题进行加固。3.3.1. 主机安全检查阶段目标：通过安全检查发掘主机的系统漏洞以及空弱口令系统帐户，并提出安全改善建议。阶段内容：对主机进行安全检查，发掘各主机在系统层的补丁漏洞与脆弱的空弱口令系统帐户。安全扫描服务的内容包括但不限于：操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷；空/弱口令系统帐户检测。主机安全检查的内容包括两部分，一是信息搜集，二是配置检查。在对主机信息进行搜集时，我方将统计以下主机信息：基本信息：属性、用途、机型、账号口令系统信息：OS及版本防病毒软件：型号、病毒定义日期端系统防火墙：名称、版本、配置其他软件信息网络信息：IP地址、网关及DNS信息、开放端口其他通过检查，分析主机系统的安全配置策略是否最优，是否进行了安全增强。Unix系统检查项：针对Unix和Linux系统（AIX、HP-UX、Solaris、Redhat、Suse）检查项包括但不限于：基本信息检查系统版本、补丁检查及漏洞检查用户账号及口令清查系统授权验证日志检查检查用户登录日志设置、登录失败日志和各种操作日志系统网络应用配置检查Windows系统检查项：针对Windows2003 Server系统检查项包括但不限于：系统基本信息操作系统版本补丁检查、各分区文件格式检查、自动更新检查、系统时钟检查用户身份检查用户登录和密码检查系统授权检查日志检查系统网络应用配置检查防火墙和防病毒软件检查我方将参考东软公司下发的2008年网络与信息安全检查细则与安全配置规范等系列安全规范制定符合AAA集团实际情况的系统安全检查项，并经甲方审核通过后，交由乙方负责实施。3.3.2. 主机安全加固阶段目标：通过实施安全加固弥补主机的安全漏洞。阶段内容：本工程涵盖范围为项目内的所有在线或离线（使用率较高的）服务器。具体的数量为200台左右。我方将对上述范围内的主机及操作系统等进行安全加固。根据前期安全检查的结果，我方将提交针对主机的安全加固方案，与甲方讨论并认可后由我方负责实施。对主机的安全加固应参考以下加固项：Windows操作系统安全加固：Windows操作系统包括但不限于Windows NT、Windows 2000 Server、Windows 2000 Professional、Windows 2003 Server、Windows 2003 professional，Windows Me、Windows XP、Windows Vista等。n 使用Windows update安装最新补丁；n 系统账号口令管理；n 卸载不需要的服务，将暂时不需要开放的服务停止，关闭不必要的端口；n 设置主机审核策略及系统日志策略；n 调整事件日志的大小、覆盖策略；n 禁止匿名用户连接；n 删除主机管理共享；n 限制Guest用户权限；n 安装个人防火墙。UNIX系统加固：n 补丁管理策略 安装系统最新补丁； 升级服务至最新版本。n 帐户与口令策略 所有帐户均应设置口令； 去除不需要的帐户、修改默认帐号的 shell 变量； 除 root 外，不应存在其他 uid=0 的帐户； 设置超时自动注销登陆，减少安全隐患； 禁止 root 远程登陆；n 网络服务策略 尽可能减少网络服务，关闭不必要的服务； 启用 inetd 进站连接日志记录，增强审计功能； 调整优化 TCP/IP 参数，来提高系统抵抗 DoS 攻击的能力； 调整TCP/IP 参数，禁止 IP 源路由； 限制使用 SNMP 服务。如果的确需要，应使用 V3 版本替代 V1、V2 版本，并启用 MD5 校验等功能； 调整内核参数打开“TCP随机序列号”功能。n 日志策略 对 ssh、su 登陆日志进行记录； 除日志服务器外，禁止 syslogd 网络监听514端口； 对于重要主机设备，建立集中的日志管理服务器，实现对重要主机设备日志的统一管理，以利于对主机设备日志的审查分析。我方将参考东软公司下发的2008年网络与信息安全检查细则与安全配置规范系列安全规范制定符合AAA集团实际情况的系统安全检查项，并经甲方审核通过后使用。系统安全评估与加固实施流程：递交服务申请（附实施方案）输出报告用户签收主机安全检查实施主机安全加固制定主机安全加固方案Yes用户确认NoYes用户确认No3.4. 应用安全评估与加固应用安全评估的目标是通过工具扫描或人工分析等方式发掘web应用、数据库及常规网络服务在应用与代码级的脆弱点；通过安全检查发掘业务层的安全缺陷和配置错误。随后针对评估过程中发现的安全问题进行加固。3.4.1. 应用安全检查阶段目标：通过安全扫描发掘应用层面的漏洞以及空弱口令应用帐户。阶段内容：对主机进行安全扫描，发掘应用层的版本漏洞与脆弱的空弱口令应用帐户。安全扫描服务的内容包括：应用程序（包括但不限于数据库Oracle、DB2、MS SQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测；空弱口令应用帐户检测。通过安全检查发现应用中存在的安全漏洞，如主机系统的安全配置策略是否最优，是否进行了安全增强等。C/S架构应用系统安全检查项：n 基本信息检查n 应用系统运行平台的安全性n 系统平台的设置不当与功能局限n 用户登录和密码验证n 应用系统数据通讯安全性n 应用系统的配置与管理不当n 应用程序通讯接口的抗攻击能力n 日志检查B/S架构应用系统安全检查项：n 基本信息检查n 用户登录和密码验证n 危险的HTTP方法 (e.g. PUT, TRACE, DELETE)n 跨站脚本攻击漏洞 n SQL注入漏洞n 恶意代码执行漏洞n 目录跳转漏洞n 源代码泄露漏洞n Cookie欺骗n 备份文件检查n 脚本语法错误n 输入验证n 身份认证n 缓冲区溢出n 程序配置失误n SSL密钥强度n 日志检查数据库安全检查项：n 基本信息检查n 用户身份验证n 用户登录和密码验证n 系统授权验证n 日志检查服务内容：对于C/S和B/S结构开发的业务软件进行应用层安全分析，识别业务应用系统在软件设计与实现过程中的安全隐患。我方将参考东软公司下发的2008年网络与信息安全检查细则与安全配置规范等系列安全规范制定符合AAA集团实际情况的系统安全检查项，并经甲方审核通过后使用。3.4.2. 应用安全加固阶段目标：通过实施安全加固，弥补应用的安全漏洞。阶段内容：本工程涵盖范围为项目范围内的应用系统。根据前期安全检查的结果，我方将提交针对各应用的安全加固方案，与甲方讨论通过后予以实施。针对数据库安全加固包括但不限于：n 安装最新的补丁，修补所有安全漏洞；n 使用Windows验证模式；n 为SA指派强壮的密码；n 限定SQL Server服务的权限等级：n 防火墙上过滤SQL Server端口：n 删除或保护旧的安装文件，这些文件包含明文密码和敏感的配置信息；n 审计与SQL Server的连接；n 在不影响其应用的情况下保留TCP/IP协议，删除其他通信协议；n 在系统层面设置数据库文件的访问控制权限；n 开启SQL Server登录和对象访问失败的日志审计功能；n 调整系统自带某些存储过程的权限，实现最小化。针对Oracle、DB2数据的加固均采用有如上类似的安全策略。针对B/S应用系统加固包括但不限于：n 实施SSLn 增加用户登录验证码n 增加用户口令强度强制要求n 去除危险和不必要的http方法n 改善用户非法输入字符的检查n 屏蔽目录遍历n 删除备份文件n 开启日志审计针对C/S应用系统加固包括但不限于：n 部署IPSec VPN实施通讯加密n 更新C/S应用程序补丁（如果有）n 协调软件开发商更改软件代码，修补或增强有关安全配置及功能应用安全检查和加固实施流程：递交服务申请（附实施方案）输出报告用户签收应用安全检查实施应用安全加固制定应用安全加固方案Yes用户确认NoYes用户确认No3.5. 渗透测试阶段目标：通过渗透测试，发现系统应用和代码级的脆弱点。阶段内容：模拟黑客可能使用的攻击技术和漏洞发现技术，对重点目标系统的安全作深入的探测，发现系统最脆弱的环节，主要针对web应用使用。针对web的测试内容将包括：n Web 服务器安全漏洞n Web 服务器错误配置n SQL 注入n XSS（跨站脚本）n CRLF 注入n 代码执行n 目录遍历n 文件包含n 输入验证n 认证n 逻辑错误n Google Hackingn 密码保护区域猜测n 字典攻击n 特定的错误页面检测n 脆弱权限的目录n 危险的 HTTP 方法（如：PUT、DELETE）渗透测试实施流程：递交服务申请（附实施方案）输出报告用户签收实施渗透测试实施安全加固制定安全修补方案Yes用户确认NoYes用户确认No3.6. 安全评估总结分析及规划建议阶段目标：综合风险分析，并制定安全规划建议。阶段内容：在上述各阶段的安全评估与加固工作完成后，我方会将各阶段的信息资料和成果物进行汇总整理，进行关联分析，并对安全评估与加固工作进行总结，形成综合性报告。安全评估和加固工作总结需要经过AAA集团的专业评审，对评审中发现的问题及时更正。评审合格后，方可进行下一步工作。实施流程：输出报告用户签收主机安全检查与加固阶段成果物汇总整理、综合报告Yes用户确认No已发生安全事件分析阶段成果物网络安全检查与加固阶段成果物应用安全检查与加固阶段成果物资产梳理阶段成果物渗透测试阶段成果物4. 安全培训方案4.1. 面向管理层的培训课程一、信息安全管理体系时间：2小时培训内容：该课程对组织信息安全的需求和ISO/IEC 27000国际标准进行探讨，并讲解ISO27002对信息安全管理体系的要求，同时探讨了信息安全、控制方法和威胁的衡量等，本课程重点强调信息安全管理方面，包括：基本系统安全、网络安全及增强安全意识的重要性、网络安全的特征、主要网络安全威胁、网络安全层次、网络安全度量。培训目标：学员通过学习可以熟悉安全管理的内容和流程，掌握安全管理体系构建的方针。课程二、信息安全热点和案例分析时间：2小时培训内容：06-08年我国信息安全的热点问题和发展趋势总结，信息安全的特点，信息安全基本元素的介绍，PDRR的安全防护技术体系，安全项目建设过程中的两个阶段，安全管理员的工作态度。培训目标：学员通过学习可以系统地掌握信息安全相关的基础知识，建立理论化的安全体系。宏观上了解网络安全现状和发展。4.2. 面向技术人员的培训课程一：前门攻击与后门渗透技术时间：2小时培训内容：攻击和攻击者的分类、非直接攻击的信息收集手段、社交工程学的欺骗攻击、拒绝服务攻击的原理和演示、前门攻击与口令的收集嗅叹、后门攻击，内部和外部攻击者的区别、网络设备的安全性问题、网络钓鱼、挂马式攻击。实验环节：拒绝服务攻击软件进行大量虚假IP地址的伪造、CAIN软件应用、办公室里的ARP的中间人攻击、网络嗅探分析、WINDOWS缓冲区溢出攻击、QQ拒绝服务攻击、SQL语句注射式攻击分析、Office/PDF文档密码破解、流光软件破解密码、万能密码应用。培训目标：理论结合实验的方式来讲解黑客攻击，让学员了解到当前网络环境中常见的攻击手段与攻击原理，通过实验模拟和还原攻击的常见手段。不仅让学员了解到攻击，还掌握分析攻击的底层技术方法。课程二：安全弱点技术分析时间：2小时培训内容：了解风险评估所涉及的重要概念、风险评估的一般操作流程、介绍安全弱点评估工具、专家经验分析方法、如果分析动态脚本程序的注射攻击、口令的脆弱性尝试、网络设备健康状况的分析方法、自主开发的业务系统的安全评估方法、管理策略制度的软件评估方法。实验环节：NESSUS扫描软件的使用、SSS漏洞扫描软件的使用、端口扫描软件、网站脚本程序脆弱性分析工具、流光5针对应用服务的密码强度分析方法、WINDOWS的HASH密码强度分析方法、MBSA本地安全分析软件的使用、SolarWinds网管工作平台。培训目标：将评估理论细化到具体操作流程的重要步骤，系统脆弱性发现是评估工作中最为核心关键的内容，通过大量的工具软件实验操作和专家经验分析方法相结合让学员掌握一个切实可操作的系统脆弱性评估方法和操作流程。课程三：操作系统安全时间：4小时培训内容：Windows、Unix操作系统的安全体系，系统安全标准、操作系统的安全组件、系统帐号安全、系统安全风险等。实验环节：Windows、UNIX操作系统的安全配置、安全加固、配置操作说明。培训目标：通过本课程的学习，学员可以掌握操作系统的安全知识，能够独立管理维护操作系统的安全，对操作系统进行安全配置，及时发现不安全因素，主动采取措施，保护系统安全。课程四：Web应用安全和渗透测试时间：2小时培训内容：WEB应用安全的现状和严重性、WEB服务器日志分析技术、Web应用安全渗透测试、WEB日志特征介绍、WEB日志分析技巧、通过实际案例讲解如何从WEB日志中发现各种异常访问和攻击分析、WEB压力和性能测试。实验环节：WEB日志分析工具套件（Web Log Suite Pro、logs2intrusions），IRIS对于应用层分析工作中的实际应用，SQL注入渗透测试工具Matrixay，XSS跨站攻击渗透测试工具Acunetix，利用WINDOWS自带搜索功能进行WEB日志分析、WEB压力和性能测试工具套件（Web Application Stress Tool 、Webserver.Stress.Tool）。培训目标：WEB应用系统是每个大型行业用户都会使用和维护的应用系统，本课程将WEB安全评估理论细化到具体操作流程的重要步骤，通过学习，学员可以掌握如何发现自己维护的WEB应用系统存在的安全危机，是否存在有攻击者留下的攻击脚印，分析并了解网站资源被访问的情况，是否存在异常流量访问。课程五、信息安全技术、产品及应用时间：4小时培训内容：防火墙/IDS/VPN等的基本概念和原理、作用与重要性、各自的局限性、安全部署和配置技巧、产品自身的安全与日常维护。培训目标：能够有效的、快速的配置和维护防火墙/IDS/VPN等安全产品。课程六：精彩案例分析时间：2小时培训内容：典型行业案例分析、典型安全事件分析。包括社会工程学安全事件、蠕虫攻击安全事件、僵尸网络安全事件、网络钓鱼安全事件、Web应用安全事件等等。培训目标：通过分享，学员可以总结经验，一方面规划安全防护体系，尽量避免安全事件发生，另一方面在发生类似安全事件后，快速启动应急处理流程，减少安全事件所引起的经济损失和名誉损失等。4.3. 面向普通员工的培训课程一、网络安全基础知识时间：4小时培训内容：普通员工上网守则，口令和帐号，桌面计算机的信息安全保护，防范特洛伊木马和病毒，常用安全小工具等。培训目标：提升员工安全意识，能够识别基本的安全问题，独立排除基本的安全故障。5. 技术支持针对本次安全评估及加固项目，东软承诺将为AAA集团提供以下配套技术服务：n 在本项目现场安全评估及加固服务实施期间，我方将协助培养AAA集团维护人员的基础安全维护技能。n 我方在安全服务期间将提供全部安全工具的免费软件升级（包括但不限于：因故障修补或功能完善引起的软件更新；因相关标准/协议/规范变更引起的软件升级；原厂商在此期间的版本升级）。如果软件升级需对硬件增加或替换原有硬件，我方将免费提供。n 我方承诺：在服务期期满后5年内，我方仍可提供本文件要求的所有技术服务；如果在技术服务上有其它变动时，将会提前1年通知AAA集团。n 我方在服务期内，将会对AAA集团的安全状况进行长期规划，并协助AAA集团维护组执行维护计划。1.1. 应急响应服务我方将在本项目终验后一年内提供2次免费的安全技术应急服务。在此期间，我方将关注AAA集团的的安全运行状况，如发生系统被攻击、注入木马、或系统存在漏洞等安全事件时，我方将对相关设备的安全状态进行免费评估与加固，并恢复设备到正常运行状态。作为国内领先的整体信息安全解决方案提供商，东软拥有专业的信息安全服务团队NCSIRT（Neusoft Computer Security Incident Response Team），以及投资4000万元组建的信息安全攻防研究实验室和解决方案验证中心，同时东软也是中国最大的漏洞库提供者之一。2004年，东软入选首批国家计算机网络应急技术处理协调中心“公共互联网应急处理国家级服务试点单位”，2007年成为首批正式国家级应急服务支撑单位。近10年来为各行业客户组织处理了包括大规模病毒爆发、网络入侵事件、拒绝服务攻击、主机或网络异常事件在内的上百项重大紧急事故，以最快速度恢复系统的保密性、完整性和可用性，保障客户组织业务系统的连续性，阻止和减小安全事件带来的负面影响。应急响应服务形式本地应急响应n 由项目管理组指派安全服务工程师在第一时间赶往客户现场进行处理。原则上，对本地范围内的用户，36小时候到达现场；对异地用户，24小时内到达现场。远程应急响应（备选，仅当事件并非应急时）n 用户通过电话、Email、传真等方式请求安全事件响应，应急响应组通过相同的方式为用户解决问题。n 当无法通过远程访问的方式为用户解决问题时，经用户确认后，转到本地应急响应相关流程，同时此次远程响应无效，归于本地应急响应类型。应急响应服务流程应急响应服务方法1) 预先准备与计划n 基于该事件可能的威胁建立一组合理的防御和控制措施方案n 确定处理问题必须的组织和人员n 启动文档记录（服务操作的每一步都必须详细记录，包括由何人收集、如何收集、何时收集以及何人进行了访问。）n 建立一个支持事件响应活动的基础设施 独立和安全的物理环境 优先的网络访问通道与权限 充足的应急资源（各种利用工具、备份介质、监控系统等）2) 检测与分析事件n 迅速创建2份完整系统备份（一份用来充当日后的举报证据，一份可用来做系统恢复）n 初步评估： 确定事件是已经发生了还是在进行当中 根据严重程度和安全策略，判断是否需要通过让受影响的系统脱机将其隔离起来 估计事件的范围n 查找黑客踪迹 检查审计日志是否存在异常活动（不正常连接、安全审计失败，失败的登录尝试，非工作时间的活动）、日志不存在或日志有空缺 检查黑客工具（密码破解工具、特洛伊木马等等） 文件、目录和共享权限的更改 检查是否有未经授权的应用程序被配置为自动启动 检查帐户是否权限提高或有未经授权的组成员 检查是否有未经授权的进程 检查防火墙、IDS等系统日志n 扫描系统漏洞n 记录所发生的事件n 确认事件： 确定是否属于安全事件 确定攻击的类型、方式及严重程度 确定攻击来源与意图 识别所有受攻击的系统。如果发现其他系统，请重新调用检测步骤 重新评估，如果必要，可以给事件重新指定优先级别n 如有必要，通知联络员寻求其它IT部门的技术支持与帮助n 如有必要，通知信息交流官员寻求其它单位组织（例如ISP接入商）的帮助3) 信息取证与追查n 系统状态分析： 帐号、口令 后门、木马 遗留文件 配置或权限改动 受损文件、数据 针对基准比较受损后的系统性能n 日志提取： 系统日志 防火墙日志 入侵检测日志 其它日志审计n 设置诱饵服务器作为陷阱n 反向探测攻击者来源n 如有必要，通知NCSIRT联络员寻求