重大活动网络安全服务保障解决方案.docx

《重大活动网络安全服务保障解决方案.docx》由会员分享，可在线阅读，更多相关《重大活动网络安全服务保障解决方案.docx（15页珍藏版）》请在第一文库网上搜索。

1、重大活动网络安全服务保障解决方案1项目概述1.1 项目背景随着我国网络建设和信息化建设速度的加快，政府、企业、电力能源等组织的业务和信息化的结合越来越紧密,业务信息化在给组织带来巨大经济和社会效益的同时,也给组织的信息安全和管理带来了严峻的挑战。近年来针对各级ZF网站的攻击日趋严重，特别在重大活动期间更有可能发生突然的网络安全事件。ZF和重要单位、媒体的官方网站不仅承担着面向公众和国内外公布准确信息的责任,更是国家形象的一张名片，保证其安全的重要性不言而喻。重点单位受到网络攻击的风险骤然增加，面对此种情形，需要依据具体的情形制定一整套完整的重大活动网络安全保障方案。1.2 遵循原则本次为企业提

2、供的重大活动网络安全服务保障,全程遵循以下原则。先进性原则安全服务和形成的规划方案,在路线上应与业界的主流发展趋势相一致，保证依据此方案进行安全防护的企业具备先进性。标准性原则安全服务和产品的选择，按照国家安全管理、安全控制、安全规程为参考依据。实用性原则具备多层次、多角度、全方位、立体化的安全保护功能。各种安全技术措施尽显其长，相互补充。当某一种或某一层保护失效时，其它仍可起到保护作用。可控性原则安全服务和安全规划的技术和解决方案，涉及的工程实施应具有可控性。 系统性、均衡性、综合性研究原则安全保障服务从全系统出发，综合分析各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安

3、全措施，提供具有最优的性能价格比的安全解决方案。 可行性、可靠性原则技术和解决方案，需在保证网络和业务系统正常运转的前提下,提供最优安全保障。 可扩展性原则良好的可扩展性,能适应安全技术的快速发展和更新，能随着安全需求的变化而变化，充分保证投资的效益。2项目目标和范IiI2.1 项目目标本次为企业拟定的安全服务保障方案,是为了实现以下工作目标。D发现并消除企业重要业务系统的高危安全隐患，降低安全事件发生的可能性，高质量完成网络安全重保工作任务。确保在活动期间，保障目标的安全稳定运行,防止出现网页被篡改、被挂反动信息的情况；有效满足国家监管机构的要求，防止出现因遭受安全攻击，而被追责的情况。2）

4、以实战出发，构建贴合企业自身的安全体系。发现信息安全管理制度和流程存在问题，提供建议提升安全水平，与信息安全技术相结合，形成“三分技术+七分管理”的信息安全保障体系，提升企业的安全防护水平。2.2 项目范围本项目的范围，包括企业的重要信息系统。3安全保障服务思路3.1思路总图本次安全保障服务项目主要分为三大阶段,活动前从资产安全评估入手，结合物理、网络、应用和安全管理等方面的评估和加固，在网络关键节点部署全流量检测平台，实时发现僵木蠕威胁、高级攻击威胁、网络异常行为等，通过态势感知平台进行展示。活动中提供30人天以上的安全值守服务，对发现的安全风险及时处置，组织和协调全体保障人员，共同分析研判

5、和封堵网络攻击行为。活动后通过时间和事件维度进行总结分析,并进行整体长期防护优化建议及安全意识培训。3.2保障计划序号工作名称工作子项工作内容配合内容重大活动保障总指挥工作职责：1）协调监控分析组和应急处置组之间的工作2）协调相关人员对接工作3）每日工作总结及次日工作计划4）组织开展总结会议并把关总结报告文档。监控分析研判组工作职责：1雕定并布置指挥部、分析组、处置组工重保活动团队1）分析安全设备及监控平台产生的日志信息，深入挖掘入侵事件，填写安全作地点，监控大屏。前组建事件报告提交给应急处置组2逢员安全意识培2）接收应急处置组的防护策略调整方案，并知道处置组调整防护策略训，尤其是社会工程学攻

6、击防护意识应急处置组工作职责：1）确认事件是否由正常业务引起，对真实攻击根据事件定级按次序进行应急，完成后编写提交安全事件应急处置报告2）防护调整策略输出到监控分析组，配合业务部门修补漏洞2隐患自查1）资产梳理，暴露面检查2）网络拓扑结构梳理3）账户与弱口令检查4）漏洞与基线检查5）泄露信息与入侵痕迹排查6）渗透测试1办同收集和确认资产2）确认资产赋值方案3）重要信息资产价值3防护措施落地（评估与加固）1）安全运维策略优化2）安全检测与防护设备部署（慧眼检测平台、应急处置装置、安全态势感知）1）协调网络运维人员、业务系统运维人员现场配合设备上线及策略优化4攻防演练（应急预案）1）模拟攻击演练，

7、发现问题解决问题1办调相关人员全程参与5活动中应急值守1 ）安全态势监控分析2 ）入侵事件行为分析，包含扫描、破解行为，漏洞利用行为，木马上传与利用行为，横向肉机利用行为3 ）多产品联合策略优化分析4 ）安全应急响应处置1办调相关人员全程参与1）活动总结汇报，通过时间和事件维度同时分析6活动后汇报总结2）防护整改优化建议，包含防护策略优化建议，网络安全域改进建议，防护设备确实补充建议，安全服务能力提升建议3）安全意识培训1办调相关人员全程参与4重大活动保障服务内容4.1 安全风险评估安全风险评估，是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估

8、安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。安全风险评估是对网络中已知或潜在的安全漏洞、安全风险、安全隐患，进行探测、识别、控制、消除的全过程，它是信息安全服务工作的必要组成部分，是信息安全工作中非常重要的一个环节。强调安全须为业务服务,以“最佳实践”作为信息安全工作的落脚点，通过有效安全风险评估，让安全技术更有效地为业务发挥作用。安全风险评估，是科技参考当前国内外的信息安全标准，依托专业的安全服务团队,通过资料收集、调查问卷、人员访谈、现场查勘、漏洞扫描、基线检测等方法，对用户网络和信息系统，进行安全分析的过程。4.1.1 现场勘直对用户网络进行现场检查，

9、查找可能存在的安全隐患和漏洞，如物理机房安全评估,安全意识标语检查等。4.1.2 渗透测试渗透测试服务,是在企业客户授权的前提下，以模拟黑客攻击的方式，对业务系统的安全漏洞、安全隐患进行全面检测，最终目标是查找业务系统的安全漏洞、评估业务系统的安全状态、提供漏洞修复建议。在渗透过程中,我们会采用业界领先的漏洞检测技术、攻击技术、攻击工具和安全团队编写的脚本。过程分为四步：计划与准备、信息收集、实施渗透、输出报告。计划与准备阶段主要是根据网站反馈的内容制定项目实施方案与计划；信息收集与实施渗透是项目的实施阶段,输出报告主要是汇总和评估项目中发现的安全威胁,并输出文档。4.1.3 漏洞扫描漏洞扫描

10、指利用带有安全漏洞知识库的扫描工具,对组织信息系统资产进行基于网络或本机层面的安全扫描,检测信息系统所存在的安全隐患和漏洞。漏洞扫描是进行安全风险评估的必要手段,可以识别主机开放的服务端口、用户帐号、系统漏洞等信息。尤其在对大范围IP进行漏洞检查的时候,扫描评估能对被评估目标进行覆盖面广泛的安全漏洞查找，能较真实地反映主机系统、网络设备所存在的网络安全问题和面临的网络安全威胁。4.1.4 基线检测系统基线核查是指通过安全技术专家的经验,根据安全配置基线手册，对本次指定的目标主机的操作系统进行安全检查，发现其潜在的安全隐患，是作为漏洞检测发现弱点方式的补充。通过基线检测和渗透测试发现应用服务在配

11、置、补丁和日常维护和管理上存在的安全问题。对企业的基线检测,我们将采用我司自主研发的DPSCanner设备对信息系统进行基线检测。基线检测的内容主要包括安全配置检测、安全漏洞检测。安全配置检测通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大，同一yZb配置项在不同业务环境中的安全配置要求是不一样的，如在WEB系统边界防火墙中需要开启HTTP通信，但一个WAP网关边界就没有这样的需求，因此在设计业务系统安全基线的时候，安全配置是一个关注的重点。安全漏洞检测通常是系统自身的问题引起的安全风险，一般包括了登

12、录漏洞、拒绝服务漏洞、缓冲区溢出、信息泄漏、蠕虫后门、意外情况处置错误等,这些漏洞可通过系统配置进行行检查，从而反映出系统自身的安全脆弱性。4.2防护措施落地4.2.1 安全检测与防护设备部署示意图网络层的访问控制被证明是最有效的，其次使用系统层限制，搭配使用应用层限制。4.2.2 部署说明类型技术措施主要功能威胁检测安全检测探针（慧眼）网络资产盘点边界完整性检测漏洞检测及验证全流量分析探针僵木蠕检测高级威胁检测异常行为分析态势监测态势感知及安全运莒平台事件关联分析安全态势监控辅助决策联动处置装置应急处置应急处置装置快速IP封禁IP信誉值分析4.3服务保障清单类型产品类型产品型号主要参数及功能

13、威胁检测安全检测探针（慧眼）Scanner1OOO-GA-XIU机架,16G内存,IT3.5寸7200转硬盘SATA,8千兆电口，单电源全流量分析探针SAC3000-S-GC2U机架,CPU8核心8线程义2,64G内存,硬盘SATA4T,2个千兆电口，双电源态势监测态势感知及安全运营平台SAC3000-P-GA2U机架,CPU8核心8线程x2,64G内存,硬盘SATA4T,2个千兆电口，双电源应急处置应急处置装置Edsiooo-TM2U机架，40Gbps吞吐量，16G内存，4万兆光口8千兆comboz双电源人员驻场30人天现场安全值守,活动前一周到现场5日常运维保障服务内容5.1 安全风险评估

14、5.1.1 漏洞扫描漏洞扫描指利用带有安全漏洞知识库的扫描工具,对组织信息系统资产进行基于网络或本机层面的安全扫描,检测信息系统所存在的安全隐患和漏洞。漏洞扫描是进行安全风险评估的必要手段,可以识别主机开放的服务端口、用户帐号、系统漏洞等信息。尤其在对大范围IP进行漏洞检查的时候,扫描评估能对被评估目标进行覆盖面广泛的安全漏洞查找，能较真实地反映主机系统、网络设备所存在的网络安全问题和面临的网络安全威胁。5.1.2 基线检测系统基线核查是指通过安全技术专家的经验,根据安全配置基线手册，对本次指定的目标主机的操作系统进行安全检查，发现其潜在的安全隐患，是作为漏洞检测发现弱点方式的补充。通过基线检测和渗透测试发现应用服务在配置、补丁和日常维护和管理上存在的安全问题。对企业的基线检测,我们将采用我司自主研发的DPScanner设备对信息系统进行基线检测。基线检测的内容主要包括安全配置检测、安全漏洞检测。安全配置检测通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。安全配置方面与系统的相关性非常大，同一ZZb配置项在不同业务环境中的安全配置要求是不一样的,如在WEB系统边界防火墙中需要开启HTTP通信，但一个WAP网关边界就没有这样的需求,因此在设计业务系统安全基线的时候