研鑫科技安全运营服务——详解篇(一)

“First:信息资产维护


信息资产维护是实现信息系统安全运行和维护管理的基础之一,信息资产是具有价值的资源,是安全防护的客观对象,只有明确具体的资产信息才能开展相应的安全运营工作,因此信息资产维护是网络与信息安全工作的起点。

信息资产维护服务根据信息资产的表现形式,在进行维护时可根据不同的资产分类使用不同的信息资产维护策略。依据资产的使用特点及部署方式,可将资产分为数据、服务、信息系统、平台或支撑系统、基础设施、人员等。信息资产维护服务的频率至少X次/月,定期对新增或下线的资产进行更新维护。


   安全运营团队通过查阅用户资产台账、与各信息资产负责人进行访谈沟通、使用工具进行扫描的方式,确认是否有遗漏的资产、影子资产或者常年不使用但没有下线的信息资产,通过全面的资产梳理形成字段信息丰富、直观的资产清单,同时在设备上线、版本升级、设备下线等重要时间节点对资产清单进行主动更新和盘点,形成与实际情况完全一致的资产清单,为其他安全工作的有序开展打下扎实基础。信息资产梳理的范围包括但不限于:

  1. 部署在内网的资产

    a)业务系统:系统名称、IP地址、系统描述、开放端口、开放服务、是否为核心资产、域名、服务器操作系统类型、Web系统特征(数据库类型及版本、中间件类型及版本、使用的脚本语言)、物理位置、所属部门、责任人及联系方式、系统厂商及联系方式;

    b)安全设备:设备名称、IP地址、功能用途、开放端口、开放服务、部署位置、物理位置、所属部门、责任人及联系方式、设备厂商及联系方式;

    c) 网络设备:设备名称、IP地址、软件版本号、开放端口、开放服务、部署位置、物理位置、所属部门、责任人及联系方式、设备厂商及联系方式;

    d)主机产品(服务器集群、虚拟化集群):软件名称、软件版本、主机IP、开放端口、开放服务、物理位置、所属部门、责任人及联系方式、产品厂商及联系方式。

  2. 部署在互联网的资产

    a)公有云系统:系统名称、系统描述、域名、开放端口、开放服务、服务器操作系统类型、是否购买云防护、Web系统特征(数据库类型及版本、中间件类型及版本、使用的脚本语言)、责任人及联系方式、所属部门、责任人及联系方式、系统厂商及联系方式;

    b)微信公众号:公众号名称、公众号描述、开放端口、开放服务、服务器操作系统类型、是否有链接至本地服务器功能、负责人及联系方式、所属部门、责任人及联系方式、系统厂商及联系方式;

    c)微信小程序:小程序名称、小程序描述、开放端口、开放服务、服务器操作系统类型、是否有链接至本地服务器功能、负责人及联系方式、所属部门、责任人及联系方式、系统厂商及联系方式。

  3. 数据及文档

    a)网络拓扑图、机柜立面图等;

    b) 网络链路:名称、带宽、数量、运营商、IP地址、接入设备、用途、到期时间;

    c) IP地址规划表:区域、网段、用途等。

  4. 人员资产

    a) 信息中心组织架构;

    b)系统、网络、安全管理员具体职能划分、人员联系方式。

“Second:安全巡检


安全巡检是指使用多种手段,对防火墙、IPSWAF、网页防篡改系统等安全设备的运行状态进行监控,对安全策略和安全日志进行检查,记录重点安全问题,有针对性地提出通告及解决建议,使用户能够提早预防,最大限度降低安全风险


      安全巡检会定期进行安全设备的日常运行状态的监控,对各种安全设备的日志检查,对重点事件进行记录,对安全事件的产生原因进行判断和解决,及时发现问题,防患于未然。

安全巡检的具体工作包括但不限于:

  1. 日常巡检

    定期查看设备(包含但不限于:防火墙、AC、数据库审计、IDS、IPS、WAF、防病毒、VPN、堡垒机、态势感知)的运行状况、分析设备运行日志,发现网络中潜在的安全威胁并及时进行处理,输出巡检结果及维护记录。

    巡检的内容包括但不限于:

    a)检查并记录软硬件设备自身的安全性,制定安全配置加固策略(口令策略、限制不必要端口和服务、合理账号权限分配、加密传输方式、设备冗余情况等)对设备进行安全加固;

    b)检查并记录软硬件设备的配置、系统版本、License、硬件模块数量、CPU、内存和硬盘使用情况等是否满足实际应用的要求;

    c)检查并记录软硬件设备访问控制策略、安全事件告警信息、病毒/漏洞特征识别规则库升级策略和查杀策略;

    d 检查在网络边界处是否有对网络攻击进行检测的相关措施。

  2. 设备优化

    根据业务及安全需求,调整设备部署,定期对设备安全策略进行梳理、归并和调优。a)针对网关设备,根据网络安全区域的划分优化访问控制策略,防护DDOS分布式拒绝服务攻击、恶意IP攻击、telnet攻击、SSH攻击和暴力破解攻击;

    b)针对网络安全设备进行安全策略的优化,如高峰时段PSP线路单用户流速上限策略,禁止代理策略等;

    c)开启设备日志功能,配置日志服务器并对核心设备的日志进行收集、分析和回溯;d)调整各类冗余策略、隐藏策略、过期策略、可合并策略、空策略等,根据分析结果再对策略进行精简和优化,保证访问控制规则最小化;

  3. 设备升级

    在设备系统软件或特征库新版本发布后,协助用户完成设备系统的升级,实现对新的安全威胁进行检测。

    a)按照安全补丁更新流程在设备升级前,应对系统配置进行备份,同时避开业务高峰时段进行实施。

    b)判断与分析补丁对于业务环境与业务的风险和影响,确认安全补丁安装的评估步骤,对补丁进行测试、记录测试结果,配置补丁部署策略并在系统环境中实施,保证设备升级有效性、稳定性和安全性。

    c)设备升级回滚,若补丁实施不成功,则需要进行补丁回退。

  4. 配置备份

    为防止在设备在配置策略或升级补丁过程中出现系统异常的情况,均应在配置之前进行一次完整的系统备份,以便在系统发生故障后能够迅速恢复正常;另外在日常巡检过程中,也需定期对安全设备配置进行备份。

  5. 故障处置

    对信息安全产品发生的故障进行处置,输出设备故障处理报告

“Third:漏洞管理


漏洞扫描|漏洞验证|漏洞修复


漏洞扫描范围

操作系统Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统

数据库Oracle、MySQL、MSSQL、Sybase、DB2、Informix等主流数据库

常见应用服务Apache、IIS、Tomcat、WebLogic等主流应用服务,常见FTP、EMAIL、DNS、TELENT、POP3、SNMP、SMTP、Proxy、RPC服务等

WEB应用程序ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序等

网络设备常见的路由器、交换机等设备

漏洞验证

对扫描结果进行人工分析确认,减少误报率,提高漏洞处置效率

漏洞修复

根据漏洞扫描结果,与客户方共同进行技术研判

正式修复之前,需要在测试环境中确认是否能够正常修复,且不影响正常业务运行;如修复漏洞会导致业务异常,或相关厂商暂无解决方案,则利用已有防护设备安全策略进行加固,综合评估漏洞带来的影响,对问题持续跟踪

根据客户方要求协助对客户方业务系统的操作系统、中间件、通用软件中高危漏洞进行修复