信息安全运维方案

1.1安全运维的重要性系统生命周期70%-80%的信息安全运维体系的建设已经越来越被广大用户重视。特别1.2安全运维的定义用系统发生的影响其正常运行的事件(包含关联事件)通称之安全事件，而围绕运维服务的经验，同时结合信息安全保障体系建设中运维体系建设的要求，遵循ITIL 1.3深信通安全运维五大架构体系信息系统运行动态的快速掌握，与运行保护管理过程中的事前预警、事发时快速定位。2.综合展现：合理规划与布控，整合来自各类不一借鉴并融合了ITIL(信息系统基础设施库)/ITSM(IT服务管理)的先进管理规范ITIL/ITSM的要紧运维管理流程，又可根据用户的实际管理要求全程的事件处理监控：实现对事件响应处理全过程的跟踪记录与监控，根据ITIL评估：遵循国际与工业标准及指南建立平台的运行质量评估框架，通过评估模型使用户熟悉运维需求、认知运行风险、采取相应的保护与操纵，有效的保证信息系统的建设投入与运行风险的平衡，系统地保证信息化建设的投资效益，提高关键业务应用的连续性。IT资产管理是全面实现信息系统运行保护管理的基础，提供的丰富的IT资产信息用系统的运行保护内容，实现各类IT基础设施与用户关键业务的有机结合，与全面的安全管理原则深信通负责业务支撑中心的安全、保密管理工作，遵守规定，以此为基础制定全面的《安全管理实施办法》,并采取适当措施保证有保密原则深信通严格遵守南方基地各项安全保密制度，加强服务深信通有关计费清单、用户资料、业务数据、重要文件1.6硬件层安全运维1.7人员管理安全运维1.8应用层安全运维4.各系统用户数据属性应包含用户中文姓名与用户中文ID,原则上用户中文ID就是用户姓名，当不一致用户具有相同中文名称时，系统除了按2、3的命名规范为其名文10.省公司11.李明12.李明14.清远移动明明明18.深圳公司19.李明20.李明322.图1.8-1帐号说明23.测试人员与代维人员帐号：各系统测试人员与代维人员帐号原则上应以该系统的英文缩写作为前缀加上用户名称的汉语拼音生成。24.各系统用户密码长度不得低于6位；不得使用弱密码(弱密码定义参见《南方基地管理支撑系统帐号密码管理办法》);最少每90天务必强制用户更换密码；并不得使用5次以内重复的密码；登录系统时，如重复尝试3次不成功，则系统暂停该帐25.园区信息化系统安全体系26.系统平台管理27.检查点保护31.核心系统定义的定义(如DNS/DHCP、防病毒等要业务或者包含敏感信息的系统等)34.应急与演练需有详尽故障应急预案台与关键服务器都至少进行一次演练38.应急演练报告案，并保留更新记录，记录至少管理的重要性、操作系统/数据库)份介质管理制度43.备份管理制策略管理制度与备份介质管理制度业务要求制定数据的本地与异45.备份管理制策略管理制度与备份介质管理制度略的结果进行每季度审核制度保数据的可用性，每年很多于一次录进行每半年审核备份管理制度录进行每半年审核备份管理制度管理55.各地市需制定相应的园区信息保护人员根据有关流程在规定时间内处理的故障处理记录管理设备上线前务必安装防病毒系统及更新操作系统补丁，并对设备进行进行安全扫描评估，针对安全漏洞进行安全加固管理办法64.为避免系统上线对其它系统与中对系统进行模拟运行一周以上功能更新，务必由系统管理员或员进行更新操作，严格按照公司安全管理规范执行2、更新记录设计原则进行安全编码，合理划分帐号权限，确保用户帐号密码安全，加强敏感数据安全保护提供全面的日志69.1、中国移动门术规范(全部合订)2、根据规范对修正，用户名求、敏感数据的管理要求、系统日志的开发要求3、现有应用的安全检查70.漏洞与防71.定期进行服务器漏洞扫描，并根72.扫描记录与扫描结果报告74.1、WSUS服务单，每个月1份端每次更新的新(五日以内)录除病毒威胁录79.核心系统与关日志审计80.在操作系统层、数据库层、应用中储存1年的内容，日志安全记81.1、操作系统层日志策略3、应用层日志规范中83.操作系统层日志策略略88.应用层日志需记录每次应用系统出错的信息89.应用层日志要范中90.检查关键错误日志、应用程序日志中的关键错误记录，保证日志审核正常92.关键访问与操作应立即启用日志记录功能，避免因日志记录不全，造成入侵后无法被追踪的问题公布管理95.每天检查平台短信发送、接收的96.每天短信检查月进行关键字更新，并检查其有效性98.短信关键字更性检查记录防泄密100.需对所有园区信息化系统、的界定，核心信息包含但不限于涉及客户资料、客户账户信息、阵图施制度问操纵号密理107.服务器上任何账号务必有审批人员审核确认109.所有系统与服务器上账号务必每季度进行审核表账号审核位或者以上，密码应由大小写字母、数字或者标点符号等字符构二.动态密码。改记录表问114.不得有互联网远程保护的116.MDCN网系统的远程访问只能通过省公司的SSLVPN或者IBMVPN,不得在市公司层面存问121.应用层的漏洞扫描，实现对南方基地园区信息化系统上的所有系统进行安全扫描，做好应用防护，防止出现SQL注入、网页后门程序、跨站脚本等重大安全漏洞，避免因2应用系统自身漏洞造成敏感信息泄露的安全问题；123.报警策略管理是防止集群中的服务器某个压力值过高或者者过低而造成集群127.用户安全策略用于应用接入平台权限设置。它确定用户身份权限设置，比如：1.8.1备份安全指遵照有关的数据备份管理规定，对园区信息化系统及其产品的数据信息进行备份与还原操作。根据园区信息化系统及其产品的数据重要性与应用类别，把需要备份的数据分为数据库、系统附件、应用程序三部分。1.8.2防病毒安全2.对病毒分析处理1.8.3系统安全2.安装操作系统补丁，系统重启，应用系统4.对系统用户的系统登录、使用情况进行检查，对系统日志进行日常审计1.8.4主动安全1.监控Agent的配置与管理，对端对端监控产生检查结果核实，处理4.根据应急演练结果更新应急预案，并保留更新记录，记录至少保留3年1.8.5系统及网络安全3.提供流量分析与应用分析提供10个以上的专题分析报告，并根据报告提供具1.8.6防篡改防攻击器1.8.7合理授权1.合理授权的定义：合理授权是指对IT管理支撑应用系统及其有关资源的访问设定严格的授权审批机制，确保IT管理支撑应用系统的安全性。2.为了保证南方基地IT管理支撑应用系统的安全性，确保有关IT资源的访问通过合理授权，所有IT管理支撑应用系统及其有关资源的访问务必遵照申请→评估→授权的合理授权管理流程。3.需要合理授权的IT资源包含但不局限于应用系统的测试环境、程序版本管理服务器、正式环境(包含应用服务器与数据服务器等)。4.申请：由访问者(通常是应用开发商、应用系统管理员等)提交书面的访问申请表(书面访问申请表，包含但不局限于纸质、Word文档与电子邮件等),提交安全管理员(通常是系统管理员或者者专职的安全管理员)进行风险评估。5.评估：安全管理员对接到的访问申请书进行风险评估，并根据访问者及被访问IT资源的具体情况，进行灵活处理。6.授权：在访问申请表通过安全风险评估后，安全管理员会对访问者进行合理授权。原则上，对程序版本管理服务器与正式环境的访问申请，安全管理员必需根据有关管理流程给出正式授权，以满足安全审计的要求。7.各系统超级管理员帐号的分配，务必由系统负责人员提出书面申请，申请内容应包含系统名称、帐号、帐号有效期、帐号使用负责人、帐号权限等内容，由部门副经理或者以上的管理人员进行审核批准后，超级管理员帐号方可生效。8.系统超级管理员密码设置应符合本管理办法中用户密码管理的有关规则；各系统应最少每90天对超级管理员帐号进行审查，同时将审查结果写入书面记录，由部门副经理或者以上管理人员审核存档。9.各应用层超级管理员帐号的分配，务必由系统负责人员提出书面申请，申请内容应包含应用系统名称、帐号、帐号有效期、帐号使用负责人、帐号权限等内容，由部门副经理或者以上的管理人员进行审核批准后，超级管理员帐号方可生效。应最少每90天对超级管理员帐号进行审查，同时将审查结果写入书面记录，由部11.为了保证帐号安全管理，各系统应最少每90天对本系统涉及的帐号(包含各类管理员帐号与普通用户帐号)进行检查，对已经超过有效期的帐号进行清理，对不符13.关于帐号申请、授权、登记、变更等管理表1.8.8安全隔离14.安全隔离的定义：安全隔离是指对IT应用系统的有关数据(包含应用系统的程序代码、数据文件等)进行逻辑隔离、物理隔离等，以确保应用系统的安全性。假如15.对安全等级为机密的IT应用系统(包含但不局限于企业内部的机密档案信息等),等级为秘密的IT应用系统与应用系统的基础数据(如综合应用平台的基础数据、组织架构等),需要进行逻辑隔离。系统应用层面的访问务必通过帐号进行访问，1.8.9安全审计17.安全审计的定义：安全审计是指出于安全考虑，通过对IT应用系统的18.安全审计的范围：我们需要对一些重要的具有较高安全风险的操作进行安全审计，定检查内容(如超级管理员的帐户登陆操作、正式环境的访问、数据转换的操作活动、版本升级的操作活动、补丁升级操作活动等等)负责每月进行审核。系统所需20.统一用户管理的安全审计：用户帐户信息(包含组织单元属性、岗位属性等)是所有应用系统最基础的数据，用户帐户所对应的应用系统访问权限(这里特指是否对应用系统具有访问权限，而不考虑在应用系统本身的具体授权)是安全管理的重要21.安全审计的目的：在指定周期内对信息系统的系统(操作系统、数据库)用户、系信息系统安全审计流程ST-02系统审计/用户审计QR-01签CF-02根据审计内容户清单列表(系统用户)清单列表(应用用户)表(审计后)24.图9.1.4-1信息系统安全审计流程25.说明：系统安全审计由各系统安全审计员发起，本流程涉及角色为：安全审计员、27.统一用户管理的安全审计：用户帐户信息(包含组织单元属性、岗位角色属性等)是所有应用系统最基础的数据，用户帐户所对应的应用系统访问权限(这里特指是否对应用系统具有访问权限，而不考虑在应用系统本身的具体授权)是安全管理的重要内容，因此原则上需要对用户的异动信息及应用系统访问权限进行安全审计，

扫描、检查、评估并帮助修补安全网络漏洞。

管理整个网络部署与管理补丁与服务程序包，自动检查并删除未经授权的应用程序。

能够扫描识别出多种主流防毒软件安装及病毒库更新情况。

拥有强大的报告系统，能够对服务器的安全策略与整体系统环境做出来安全

提供一个完整的网络拓扑。

整个网络安全历史记录。

完整的文本搜索。

修复中心操纵台。Microsoft系统还支持Linux、Unix操作系统、路由器、

GFILANguard集成了1000多款安全软件的信息，能集中管理整个网络部署

GFILANguard加入了一个功能强大、能够互动的全新仪表盘。它能根据安全客户端程序也能够定时自动上传客户机状态到LANgu

G(FILANguard支持虚拟环境的扫描，能够检测到被扫描电脑上的虚拟主机，这样管理员能够更好地全览虚拟环境架构。22160VAL:12566:MicrosoftWindowsHmanInter图9.2.1-1GFI扫描报告3.错课详细信息请参考微软KB,/kb/9032目录分区：DC=ZS,DC=GD,DC=IAPtombstone生存时间内复制的DC可能要夫一监对象的删除。因此可能阻鑫。直到它重新协词要用名称识别域控制器，请安装installationCD上包含的支持工具井运行dodiag.exe。您也可以用支持工具repadmin.exe来显乐林内城控制器的复制庭退。命令是Tshowvector/latency<par1.现场手助检测DC的服务状态，并手助测试复制的情况，复制成功；2.建议使用Netdiag.Dodiag命会测试DC间的复制信息。命令(netdiag/v>a\netdiagbxt)3.建议使用repadmin/showverctor命令查看DC间复制的详细信息；总空间(GB)可用空间(GB)CD图9.2.2-1基本健康分析PhysicalDisk\%DiskTimePhysicalDisk\DiskWrites/secNetworkInterface\BytesReceived/secMemory/AvailableMByt06Processorl%ProcessorT01ProoessorlInterrupts/SystemiProcessorQueue050SystemiContextSwitch(启动Diskperf)00PhysicalDisk\Avg.DiskQueveL070PhysicalDiskiDiskReads018(安装网络监视驱动)NetworkInterfaceiByNetworkInterfaoelBytesS00HH9294最大最后Intel[R]PBO_1000_Tetal_TetalFhysicalDisk个图9.2.2-2服务器性能分析审核缩果4、未更新的安全修补程序(16个补丁全部品示。请点击查君)Sevcepacxvesoie:MMcoso#NETFnamewok3.5SevcePacmp-gomicresocomwrk/?Lncg=133全部县示。请点击查看)Bacxdoors-OpenportscommontyusedUnauthorizsdAppocationsUnsJhorasappcanondesad.WindowsSevr2003实金足UnauhonzedappleationdeneciadtWindicwsSeve2003实金见KB949014)Unaumonaedapplafiondeeciad:WindcwsSever2003实金见(B980762)UnamoraeaooaondesetWndowsSevr2003文金卫KB950974)emewsoieaiskcontainingmawa6、注册表安全风险漏洞(供安全评估7、密码贸略(供安全评估参考)出制注销8、审核策略(供安全评估参考)AuaraccountmansgemAud?s/siemvers9、自动加载的程序(供安全评估参MEKRI0OG.1:CIWINOONSmeimioPHME2002ASme:CWNOONSS/SEm32MEITNTLONTITNTSETPECE/PHME20C2A:CIWNDONSSJSEm3EMEITNTLGNTITNTSETPEXEAMEcAop:CFrogramFiesCommonFiesB,marn4.总体评估4正常范围内5正常范围内6服务器基本健康状态良好，系统日正常范围内7正常范围内的补丁请评估后进行安装8正常范围内的补丁请评估后进行安装9正常范围内的补丁请评估后进行安装的错误和开放的1222端口请给于日志中的错误请给予关注正常范围内的1222端口请给予关注日志中的群集错误请给予关注正常范围内日志中的群集错误请给予关注正常范围内的错误和开放的2345端口给于关注日志的SQL错误监视是否维续出现正常范围内该Web服务器总体健康状态一般，1.9安全应急响应深信通“安全应急响应”服务向客户公司提供务必的资源来完善安全防护，抵抗攻击，进行安全修复，并减少未来安全漏洞产生的可能性。安全响应服务提供了快捷的服务支持与7×24的紧急响应服务，保证网络安全无忧，预防危险发在目前IT运维服务领域上，深信通的安全响应是同行业中出类拔萃的，提供计算机反击、事故反应、诉讼支持等咨询顾问服务。不管有关数据以任何形式存在或者栖身与任何地方，使用专用的工具与方法，我们的专家能够发现并抽取介质取证、安全修复，这一切都将成为企业的强大的后盾。紧急响应服务种类包含下列几个方面当入侵事件正在发生或者已经发生，深信通安全专家协助客户进行事件调查、储存证据、查找后门、追查来源等，同时提供事件处理报告与后续的安全状况跟当主机或者者网络特殊事件正在发生或者已经发生，深信通安全专家协助客户进行事件调查、储存证据、查找问题的原因、追查来源等，同时提供事件处理报告与后续的安全状况跟踪。只有出现了上述严重影响网络、主机正常运行的安全事件才启用紧急响应服务，其他日常安全事件均属于安全咨询及日常安全事件处理服务范围。安全应急响应服务也能够帮助客户公司预防未来的攻击，高效地进行攻击发生时与事后的调查及收取攻击证据等工作，为起诉罪犯提供法律根据。作为一个规范的信息安全运维服务商，深信通有一整套紧急响应机制，同时也具备处理各类紧急事件经验的工程师。我们把安全应急服务分为三等，具体请参见下表：服务等级服务内容一级5×8小时事件响应、处理及恢复服务电话、传真、email事故处理报告日常运营期间，不影响用处理二级7×24小时事件响应、处理及恢复服务电话、传真、email技术支持事故处理报告节假日期间，较为严重的安全事故三级7×24小时事件响应、应急响应、处理及恢复服务电话、传真、email技术支持安全专家现场守候服务事故处理报告安全突发事故反应预演两周内跟踪服务重大事件、节假日期间，用户业务重要性、时效性很强，发生严重影响用户业务开展，需要立即解决的突发事故遇到安全事件的发生，通常应该及时采取汇报机制。参考要求如下：1.任何系统用户发现系统运行可疑现象后，立即报告本部门安全保密管2.安全保密管理员应尽可能采取相应措施保护现场，并在1小时内向应急响应小组进行报告，同时报本部门安全主管领导，召集安全应急服3.应急响应小组与安全服务厂商应在2小时内确定现象的性质，并采取措施，收集现场数据，避免严重安全后果的发生，同时，关于安全事故，要上报信息安全领导小组；4.安全保密领导小组根据事故的性质，向相应的国家主管部门进行报告。汇报完毕，将事故定性之后，接到上级指示，关于被破坏的系统与数据，采取可行的措施进行恢复，使之重新正常运行。安全紧急响应服务内容如下：服务确认临时支持账号本地紧急响应响应情况简报紧急响应服务报告事故跟踪分析报告 关于每一个安全事件的处理，能够参照如上图所示的安全事故应急响应处理流程，具体流程包含：1、记录系统安全事件，记录事件的每一环节，包含事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话内容，并尽可能使用自动化的记录方法。2、系统安全事件核实与推断●核实系统安全事件真实性●推断系统安全事件类型与范围●推断系统安全事件危害性●确定事件的威胁级别3、系统安全事件现场处理方案选择●紧急消除参照广东移动运维的管理制度，如图所示高多，这监接入来自不同的部门准方可拨入平台操作中心隧端高范批准方可接入平台换作温温查高T在8个月内究或加回)《三大平台平台作业计划)平台管温员高过重、乱增饮杂物或品燃品爆品，将造成设备损坏、火灾等(三大平台平台作业计划)高时对病再库进行升级。(防病再软件要求自动更新病再库)6高自动备份失败曾理人员核意不高学器示及时更新，可能引起安全间学器修改，并作记录8高吊换作引起安金间题高用有整号，如不括制可的号高混十=开次温件进行开况警审批高曾理员投权量盛茜量盛茜到有及时到有及时安全授权安全曾理员要进行半年正状校权《东常公司帐号口令管理制度)《果统管理员投权