安全运维服务白皮书v2.0.doc

《安全运维服务白皮书v2.0.doc》由会员分享，可在线阅读，更多相关《安全运维服务白皮书v2.0.doc（48页珍藏版）》请在三一文库上搜索。

1、安全运维服务白皮书 红科网安安全运维服务白皮书目 录1.前言32.运维目标43.运维服务内容53.1日常检查维护53.2安全通告服务53.3安全评估服务63.4安全风险评估113.5渗透测试143.6补丁分发143.7安全配置与加固163.8安全保障173.9安全监控服务183.10安全产品实施服务193.11安全应急响应193.12安全培训服务234.运维体系组织架构265.运维服务流程285.1日常检查流程295.2安全评估服务流程305.3安全监控服务流程325.4安全事件处理流程365.5安全培训服务流程395.6渗透测试的流程406.安全事件处理与应急响应436.1安全事件分类436

2、2安全事件处理与上报流程446.3安全事件现场处理456.4安全事件的事后处理47版权所有 HonkWin 第48页 共48页1. 前言经过多年的信息化建设，大多数企业已经建立起了比较完整的信息系统。但是，在安全运维及应急响应方面缺少一套完整的运维和应急体系来保证各类紧急事件的处理。因此，客户通过引入专业的信息安全服务团队，来保障自身信息系统的稳定安全运行，同时通过专业的安全咨询和服务，逐步构建动态、完整、高效的客户信息安全整体，形成能持续完善、自我优化的安全运维体系和安全管理体系，提高客户信息系统的整体安全等级，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。2. 运维目标红科网安

3、简称：M-Sec)是国内专业的信息安全服务及咨询公司，同时，拥有国内一流的安全服务团队M-Sec Team。我们可以为用户提供全面的、专业的、客户化的安全服务及其相关信息安全管理咨询，从而保障用户的安全系统的正常运行和持续优化。我们以客户信息安全服务的总体框架为基础、以安全策略为指导，通过统一的安全综合管理平台，提供全面的安全服务内容，覆盖从物理通信到网络、系统平台直至数据和应用平台的各个层面的安全需求，保障信息平台的稳定持续运行。3. 运维服务内容红科网安根据建立的信息安全管理运维体系对客户的信息安全系统进行实时的维护管理，针对客户信息安全软、硬件提供全面的安全运维服务。3.1 日常检查维

4、护红科网安下属的M-Sec安全专业团队提供网络安全日常维护服务，来帮助用户管理日益复杂的系统和应用平台，以减轻用户的压力，使客户公司以最优的性价比得到最有效的网络安全管理，主要内容如下：l 主机系统的运行检测包括系统日志检查与问题分析、开放服务检查、系统自身漏洞检查、漏洞补丁更新l 病毒系统的运行检测、病毒库更新l 入侵检测、CA、扫描系统等安全系统的运行检测、漏洞库更新l 防火墙运行状态检测、策略配置校验l 网络设备运行检测、策略配置校验3.2 安全通告服务 对于网络管理人员，特别是复杂网络的管理人员，由于时间和工作关系，通常会遇到无法收集并分类相关的安全报告，使得网络中总或多或少的存在被忽

5、视的安全漏洞。而安全问题目前正以每周新增几十甚至几百例的速度在全世界得到反馈，并同时涉及信息技术的众多领域。企业所掌握的安全知识的更新速度所受到的压力非常大。M-Sec Team凭借国内领先的安全研究能力，广泛的采集途径，以及完善的漏洞信息收集系统，使得我们能高质量，高效率的完成安全信息整理、分析、测试、分类等工作。将最新最严重的网络安全问题以最快的速度通报给客户公司，并且给出相应的解决办法，从而大大减轻网管人员做安全技术追踪和分析的压力。在多年服务经验的积累之上，M-Sec将以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、病毒、补丁升级、定期安全通告汇总

6、和安全知识库更新等。M-Sec 的安全通告服务有：l 厂商安全通告：提供主流厂商的中文安全通告，包括Windows、AIX、HP-UX、Solaris、Linux、CISCO等。l M-Sec安全通告：M-Sec发现的安全问题通告和其他有必要预警的重要安全问题通告。l 其他安全通告：其他应用系统和安全组织（如CERT等）的安全通告。安全通告服务为客户安全创造了远远大于它自身价值的无形财富，节省了大量的人力资源，是客户安全预警体系建立的基本安全需求。同时，M-Sec将通过电子邮件和电话的方式向客户提供相应回访服务，对信息安全事件发出预警，协助客户在大规模安全事件爆发前做好预防和处理工作。M-Se

7、c以安全通告的形式为客户提供最新的安全动态、技术和定制的安全信息，包括实时安全漏洞通知、病毒、补丁升级、定期安全知识库更新等。l 登记通告服务用户信息，分配用户支持号，提供服务热线号码，服务支持邮箱以供联系。l 以电话、传真和电子邮件等方式回答客户的相关安全咨询。l 提供724小时电话技术支持。l 专人记录用户技术人员的咨询、投诉，并及时反馈。l 定期提交相应的安全咨询服务汇总。l 必要时，安全技术人员会到现场做咨询支持。3.3 安全评估服务您的网络安全状况如何？存在那些安全问题？哪里是高安全风险的地带？在日常的安全运维工作当中，定期进行安全评估服务将全面有效地为您解释这些问题。首先，M-Se

8、c将定义客户公司的安全需求，然后实施最有效的诊断服务来评估。服务的范围从网络元素配置评估到风险评估、漏洞分析及模拟入侵测试等等。安全评估对象安全评估的主要对象分为以下几个层次，各部分相对独立，而又相互关联相互作用着，通过对每一层次各方面详细深入的分析、评估，才能提供一个完整的结果，对整体的信息体系进行说明。物理层安全评估物理基础设施的安全是保障信息系统安全的基础，对物理层的安全评估主要包括这几个部分：1、机房安全场地安全机房环境、温度、湿度、电磁、噪声、防尘、静电、振动建筑、防火、防雷、围墙、门禁、监控2、设施安全设备可靠性通讯线路安全性辐射控制与防泄露电源、空调 网络安全评估从网络层出发，深

9、入了解客户公司的逻辑网络结构，由什么物理网络组成以及网络关键设备的位置所在。了解网络基本信息包括网络带宽，协议，硬件（例如：交换机，路由器等）Internet接入，地理分布方式和网络管理方式等。通过对网络结构的分析以及对网络设备的扫描等多种手段，提出用户目前网络结构所存在的不足和潜在的安全隐患。如像客户公司这样庞大复杂的网络，需要从网络上进行统一合理的规划、策略配置和管理策划，我们将针对具体的情况进行评估，然后提出适合的评估意见，包括通过对资源的重新分配合规划、划分功能域、划分VLAN、加强访问控制等等措施。 主机与系统安全评估由于现代操作系统的代码庞大，从而不同程度上都存在安全漏洞。一些广泛

10、应用的操作系统，如Unix，Window NT，其安全漏洞更是广为流传。客户公司复杂信息平台中多种系统并存，系统管理员或使用人员可能对复杂的操作系统和其自身的安全机制了解不够，配置不当等会造成许多安全隐患。我们对用户整个网络平台中的所有特别是重要的主机与系统使用多种方法对其进行分析、检查。提出各主机系统自身存在的漏洞并且给出弥补的措施和改进的建议。 应用系统安全评估目前随着客户公司各种信息系统业务的扩展，大量复杂的应用软件在设计、使用中不可避免地存在着安全隐患，因此通过应用安全评估来针对客户公司的这些应用进行有针对性的检测、评估，以保证这些体系在业务交往中是否发挥应有的作用。本服务主要包括以下

11、几个方面：l 应用软件的程序安全性检测(bug分析)l 业务交换的防抵赖评估l 业务资源的访问控制验证检测l 业务实体的身份鉴别检测l 业务现场的备份与恢复机制检查l 业务数据的唯一性/一致性/防冲突检测l 业务数据的保密性评估l 业务系统的可靠性评估l 业务系统的可用性评估l 数据安全评估信息安全非常基本的一点就是数据的安全，主要是体现了数据的保密性，完整性和不可抵赖性等指标。针对数据的安全评估，包括以下几点：l 介质与载体安全保护l 系统数据访问控制检查l 标识与鉴别l 数据完整性l 数据可用性l 数据监控和审计机制评估l 数据存储与备份机制评估l 通信安全评估客户公司中心机房与各分支机房

12、联成一个整体网络，在各部分之间每时每刻都有大量的业务数据交换，因此数据在通信中的安全问题也是至关重要的。对系统之间通信的数据安全性进行评估，主要包括：l 通信线路和网络基础设施安全性检测l 加密系统的检测l 身份认证机制的有效性、可靠性、安全性评估l 安全通道测试l 管理安全评估网络安全“三分技术、七分管理”，良好、系统的管理体系是信息系统安全的根本保障，管理安全评估是对人员、操作、文档、设备和运行等安全管理机制进行稽核和诊断，主要内容有：人员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理等。安全评估内容安全评估的主要内容包括以下几个方面：l

13、 信息收集/需求分析 l 风险评估 l 绘制网络拓扑图 l 网络设备配置审计 l 漏洞分析 l 数据分析 l 模拟入侵检测 l 源代码分析 l 信息收集/需求分析 从客户公司的资源、组织人员、管理等各方面入手，与客户公司的相关人员合作，对所有需要的信息进行统一的收集、整理、分析，在实际调查之后，从安全角度生成信息报告。报告从网络的可用性、功能性和成本花费等方面说明各网络风险元素（包括软硬件、人员、管理）的现状。 绘制网络拓扑图 通常，在网络工程结束后，经过一段时间的运行和调整（包括人员的调整和网络设备的调整），用户会在一定程度上对网络的实际情况有所失控。以M-Sec的经验来看，引发网络安全漏洞

14、的一个重要原因是对网络中的设备和主机不了解。制作清晰有效的拓扑图并及时更新是了解自身网络的基础。 环境风险评估 生成详尽全面的有关客户公司整个机构当前信息安全环境的评估报告。 M-Sec将使用专用的检测工具在网络的重要位置，收集有关攻击的频率和复杂度等重要信息。这些工具包括可用的商业入侵检测产品和特殊安全工具。专家小组对收集到的数据进行分析，评估入侵行为，并提供一份报告记录所有的发现。这份报告可以使客户公司了解到真正的威胁，以便采取合理的措施来保护企业资产。 设备、应用配置审计 从工程的角度来审计各种网络设备、主机系统、各主要应用系统以及其他设备的配置和网络结构，确保防火墙、路由器、交换机、主

15、机设备或其他应用系统的配置使用规则的有效性、安全性、可靠性，确保其符合客户公司的安全策略。此工作是对正确实施和配置各对象的独立认可。 漏洞扫描分析 漏洞分析比做一次扫描要复杂得多，M-Sec可以提供对客户公司当前外部和/或内部网络或计算机系统的漏洞分析，以确保识别漏洞并减少其发生的可能性。 我们将使用各类先进的漏洞扫描工具对用户的系统主机和各类设备进行安全检测，我们的专家小组将分析扫描检测后所得到的数据，评估这些已被检测到的漏洞的存在将可能产生的影响。 源代码分析 针对应用程序的源代码，从安全的角度进行分析、审计，提出改善意见。 渗透性测试M-Sec将集合各类安全专家利用各种黑客工具和手段通过

16、扫描当前网络、从黑客角度做仿真模拟攻击测试，并对结果进行数据采集，产生评估报告，报告将直观地暴露出一些不为人注意或忽视的安全漏洞和可入侵点。 在网络中使用模拟入侵测试, 以确保漏洞被识别和修补。我们使用商业化、大众化和M-Sec自有的成熟工具和技术来收集漏洞数据。我们的工作专家组会分析数据，通过攻击尝试来评估可能造成的影响。3.4 安全风险评估评估方法为了充分了解客户信息系统存在的安全风险，以及面临的网络安全威胁，就需要使用多种安全检查方法收集准确的基础数据信息，从而客观的从技术脆弱性上分析出客户网络中存在的安全风险。漏洞扫描运用安全扫描工具效果好、见效快、与网络的运行相对独立、安装运行简单，

17、有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具之一。在本项目中，安全扫描主要是通过评估工具以本地扫描的方式对安全检查范围内的系统和网络进行安全扫描，从网络内部和外部两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。安全扫描项目包括如下内容：l 信息探测类 l 网络设备与防火墙 l RPC服务 l Web服务 l CGI问题 l 文件服务 l 域名服务 l Windows远程访问 l 数据库问题 l 后门程序 l 其他服务 l 其他问题 从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。1系统层安全：该层的安全问题

18、来自网络运行的操作系统，安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。l 身份认证：通过telnet进行口令猜测，l 访问控制：注册表 HKEY_LOCAL_MACHINE 普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录，l 系统漏洞：System V系统Login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞，l 安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统，l 2网络层安全：该层的安全问题主要指网络信息的安全性，包

19、括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性、远程接入、域名系统、路由系统的安全，入侵检测的手段等。l 网络资源的访问控制：检测到无线访问点，l 域名系统：ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞，Microsoft Windows NT DNS拒绝服务攻击，l 路由器：Cisco IOS Web配置接口安全认证可被绕过，交换机/路由器缺省口令漏洞l 3应用层安全：该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性，包括：数据库软件、Web服务、域名系统、交换与路由系统、防火墙及应用网管系统、业务应用软件以及其它网络服务系统等。l 数据库软件：没

20、有设置口令，Microsoft SQL Server 2000 Resolution服务多个安全漏洞，l Web服务器：Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞，Microsoft IIS.printer ISAPI远程缓冲区溢出，Sun ONE/iPlanet Web服务程序分块编码传输漏洞，l 防火墙及应用网管系统：Axent Raptor防火墙拒绝服务漏洞，l 其它网络服务系统：Wingate POP3 USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞，l 为了确保扫描的可靠性和安全性，M-Sec将根据客户网络系统评估业务情况，与客户一起确定

21、扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。手工检查安全扫描是利用安全评估工具对绝大多数安全检查范围内的主机、网络设备等系统环境进行的漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。系统的网络设备和主机的安全性评估应主要考虑以下几个方面：u 是否最优的划分了VLAN和不同的网段，保证了每个用户的最小权限原则；u 内外网之间、重要的网段之间是否进行了必要的隔离措施；u 路由器、交换机等网络设备的配置是否最优，是否配置了安全参数；

22、u 安全设备的接入方式是否正确，是否最大化的利用了其安全功能而又占系统资源最小，是否影响业务和系统的正常运行；u 主机服务器的安全配置策略是否严谨有效。同时，许多安全设备如防火墙、入侵检测等设备也是人工评估的主要对象。因为这些安全系统的作用是为网络和应用系统提供必要的保护，其安全性也必然关系到网络和应用系统的安全性是否可用、可控和可信。目前还没有针对安全系统进行安全评估的系统和工具，只能通过手工的方式进行安全评估。安全系统的安全评估内容主要包括：u 安全系统是否配置最优，实现其最优功能和性能，保证网络系统的正常运行；u 安全系统自身的保护机制是否实现；u 安全系统的管理机制是否安全；u 安全系

23、统为网络提供的保护措施，且这些措施是否正常和正确；u 安全系统是否定期升级或更新；u 安全系统是否存在漏洞或后门。3.5 渗透测试渗透测试，也叫白客攻击测试，它是一种从攻击者的角度来对主机系统的安全程度进行安全评估的手段，在对现有信息系统不造成任何损害的前提下，模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显，直观的结果来反映出系统的安全现状。该手段也越来越受到国际/国内信息安全业界的认可和重视。为了解本项目主机系统的安全现状，在许可和控制的范围内，将对主机系统进行渗透测试，。本次测试将作为安全评估的一个重要组成部分。测试范围渗透测试的范围限制于经过客户以书面形式进行授权的主机，使用

24、的手段也须经过客户的书面同意。MSec承诺不会对授权范围之外的主机及网络设备进行测试和模拟攻击。本项测试内容以抽样测试的方式进行，在实施中会与客户具体协商。注：所有白客攻击测试将在客户的授权和监督下进行，详细内容可参见红科网安渗透测试安全服务白皮书。客户职责：指定需要进行测试的设备，安排测试时间。3.6 补丁分发补丁分发服务如下图所示： 图1：补丁管理功能构架图1. 补丁分析：自动建立补丁库，支持补丁库信息查询。针对下载的补丁进行归类存放，按照不同操作系统、补丁编号、补丁发布时间、补丁风险等级、补丁公告等进行归类，帮助管理人员快速识别补丁。2. 补丁策略制订：支持用户自定义补丁策略自由配置分发

25、发送至客户端后统一按策略执行应用。3. 补丁文件自动分发：在指定时间、指定网络范围内以不同方式（如推、拉）分发补丁，或者根据脚本策略统一控制客户端下载补丁。当系统监测到有客户端未打补丁时，可对漏打补丁客户端进行推送补丁。同时，通过推送安装，也可以为SUS系统不支持的客户端安装补丁及应用软件（补丁）。4. 补丁分发流量控制功能：为了适应将来可能的系统扩展，系统特别设计了利用多种方式进行下载流量控制：5. 补丁安全性测试：测试是补丁安装前必须进行的，系统支持网管测试组定义进行自动补丁安全性测试，即首先选定一定区域的计算机作为测试计算机，首先对这些计算机进行新补丁的安装测试，以便网管可选择有效对象

26、进行非模拟性自动测试。补丁自动测试可提高打补丁的成功性、安全性、可靠性，降低网管工作量。图2：补丁自动测试图6. 报表输出查询：服务器端补丁查询模块基于补丁名称等关键字对区域网络范围内的计算机终端进行补丁安装状况查询，通过相应的查询条件，能快速的获知所查询补丁的安装情况并生成报表，以保证补丁及时的安装。7. 客户端网页查询补丁安装信息：系统客户端的计算机可以通过访问内网的特定网页，对本机所缺少的计算机补丁进行查询，查询结果在网页上进行显示，计算机用户根据需要进行安装。8. 新（长时间关机）客户端入网先打补丁：系统可保证此新（长时间关机）的客户端刚接入网络时，不与网络中除补丁服务器外其它计算机

27、的通讯，只有在上网后首先进行补丁安装工作；只有在补丁安装完成后，才开放其与网内其它计算机的通讯，防止有漏洞的计算机在网上出现。客户责任：提供需要补丁的计算机信息，为补丁分发安装相应软件。3.7 安全配置与加固系统安全是信息安全中的基础组成部分，关键数据和信息直接由系统平台提供。计算环境中不断增长的系统平台面临各种安全威胁，包括数据窃取、数据篡改、非授权访问等。这时就需要专业的安全服务，以保障运行和存贮在这些系统平台上数据的机密性、完整性和可用性。 系统安全加固是指通过一定的技术手段，提高操作系统或网络设备安全性和抗攻击能力，通常这些技术手段，只能为实施这项技术的这一台主机服务。常见的安全加固服

28、务手段有：l 基本安全配置检测和优化l 密码系统安全检测和增强l 帐号、口令策略调整l 系统后门检测l 提供访问控制策略和工具l 增强远程维护的安全性l 文件系统完整性审计l 增强的系统日志分析l 系统升级与补丁安装l 网络与服务加固l 文件系统权限增强l 内核安全参数调整经过良好配置的系统或设备抗攻击性会有极大增强。在对系统作相应的安全配置后，结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。3.8 安全保障3.8.1安全加固随着技术的不断发展和信息系统应用的不断拓宽，要应对随之而来的风险也变得更为重要。M-Sec将为客户公司提供独特的安全加固服务，快速有效地弥补安全漏洞，以

29、降低企业的风险策略保护客户公司的网络。 伴随着软件和硬件开发商对产品的不断更新，黑客也不断的在寻找新的漏洞，探求破解信息系统的新方法，攻防双方斗争的关键，是在于时间。安全加固服务可帮助客户公司及时有效地发现问题并且在漏洞转变为威胁，威胁转变为损失之前解决它。经过良好配置的系统或设备，除了免除现有安全漏洞的威胁外，系统的抗攻击性也会有极大的增强。采用安全服务的方式对主机安全作加固，我们将对系统作相应的安全配置，并结合检测服务使得系统保持在一个较高的安全水准之上。在操作系统级别上，我们使用M-Sec自有的Security Tools Kit，为客户进行系统后门检测、基本系统安全配置、口令与帐户安全

30、修补常见网络服务安全性问题等工作。在网络设备级别上，主要进行远程管理和维护的安全、口令安全性、配置确认与清理、系统升级与补丁安装等工作。在防火墙部分，主要进行远程维护安全性设置、防火墙规则的确认、审计与清理等工作。3.8.2安全保障严格的讲，真正全面的信息安全管理是需要一个时时刻刻对网络施行监控的专家团队来解析网络结构中发生的每一个变化的，然而精通安全管理的专职人员目前在国内非常短缺，很少有企业机构能真正具有这样一支属于自己的专注于信息系统安全的团队，通常将信息系统安全的维护任务交由系统管理员团队承担。此外，网络安全管理工作复杂性和技术的不断发展与挑战要求安全管理专家们承担更多的责任，不断提

31、高自己专业技能，这一切使系统管理员的工作日趋复杂沉重。除专业公司外，很少有公司拥有足够雄厚的实力来自理网络安全。越来越多的企业通过M-Sec的安全保障服务来确保他们业务的安全运行。M-Sec提供面向全面的信息安全管理周期的模式和方法，这包括行业认可的最佳策略、规范和程序化的流程、完善的咨询服务和丰富的安全管理服务，从而使企业把精力集中在最关键的信息安全需求上。 针对客户公司，我们的安全保障服务能为客户公司提供前所未有的方便，成为理想的安全资源。客户公司将再也不用为从各种不同的厂商定购安全咨询服务，防火墙，反病毒，入侵检测软件而烦恼，我们通过对客户公司进行周密的安全需求分析可以提供完整的、可定制

32、的服务。3.9 安全监控服务在安全监控服务中，将完成以下工作：1、通过安全管理平台实时监控客户防火墙、IPS系统及Bypass设备的运行状态。发现问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。同时根据需要有选择的监控防火墙产生的安全事件或日志信息，从中及时发现异常连接以及为事件溯源提供依据。2、通过安全管理平台实时监控客户防病毒系统产生的病毒事件，及时进行病毒预警和病毒扩散范围分析。发现严重病毒问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。3、通过安全管理平台实时监控客户其他安全系统，实时监控客户现有的HIDS软件系统、反垃圾邮件系统

33、漏洞扫描软件系统、SESA安全设备管理系统等的运行状态和安全事件。发现严重安全问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。4、通过安全管理平台实时监控终端管理系统。发现问题，通过界面报警、声音、手机短信、电子邮件等方式及时通知运维人员处理解决。5、运维人员每天通过安全管理平台对各种安全事件进行综合分析，根据安全风险和安全问题情况有针对性地采取措施解决问题，降低风险。6、在安全管理平台上，运维人员对安全系统的运行情况进行纪录，形成日检报告，并提供每周、每月、每年的分析报告。同时安全主管通过安全管理平台可以对这些报告进行检查、分析、统计。7、运维人员定期通过评估工

34、具软件和专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞，并通过安全管理平台结合资产信息和安全事件对这些漏洞信息进行综合分析，提供详细的情况报告和处理办法。8、通过安全管理平台实时监控IBM小型机、关键Windows服务器、重要网络设备的性能状况，包括：设备运行状态、CPU和内存利用率、磁盘利用率、网络流量、关键应用进程状态、网络端口状态和流量等。9、通过分析各类安全设备产生的安全事件或日志信息，获取网络中存在的各类病毒、蠕虫、非法访问、攻击事件，并进行及时的处理。3.10 安全产品实施服务M-Sec提供完整的安全产

35、品实施服务，协助客户公司建设完善的信息安全体系。主要内容包括： 安全产品的现场安装、调试 安全产品现场技术培训 安全体系构建与运行检测3.11 安全应急响应M-Sec的“安全应急响应”服务向客户公司提供必须的资源来完善安全防护，抵抗攻击，进行安全修复，并减少未来安全漏洞产生的可能性。安全响应服务提供了快捷的服务支持和724的紧急响应服务，保证网络安全无忧，预防危险发生。在目前电子商务和网络安全市场上，M-Sec的安全响应是同行业中出类拔萃的，提供计算机反击、事故反应、诉讼支持等咨询顾问服务。无论相关数据以任何形式存在或栖身与任何地方，使用专用的工具和方法，我们的专家能够发现并抽取相关的有害数据

36、我们的专家队伍拥有多种专业技能，包括攻击识别、反击技术、介质取证、安全修复，这一切都将成为企业的强大的后盾。 紧急响应服务种类包括以下几个方面。3.11.1入侵调查当入侵事件正在发生或已经发生，M-Sec安全专家协助客户进行事件调查、保存证据、查找后门、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。3.11.2主机、网络异常响应当主机或者网络异常事件正在发生或已经发生，M-Sec安全专家协助客户进行事件调查、保存证据、查找问题的原因、追查来源等，同时提供事件处理报告以及后续的安全状况跟踪。3.11.3其他紧急事件只有出现了上述严重影响网络、主机正常运行的安全事件才启用紧急响应服务，

37、其他日常安全事件均属于安全咨询及日常安全事件处理服务范围。安全应急响应服务也可以帮助客户公司预防未来的攻击，高效地进行攻击发生时和事后的调查及收取攻击证据等工作，为起诉罪犯提供法律依据。 作为一个规范的网络安全服务商，M-Sec有一整套紧急响应机制，同时也具备处理各种紧急事件经验的工程师。我们把安全应急服务分为三等，具体请参见下表：服务等级服务内容适用对象一级基本的反应策略与流程58小时事件响应、处理及恢复服务电话、传真、email技术支持24小时内现场技术支持事故处理报告日常运营期间，不影响用户业务的普通安全事件处理二级完整的反应策略与流程724小时事件响应、处理及恢复服务电话、传真、ema

38、il技术支持4小时内现场技术支持事故处理报告节假日期间，较为严重的安全事件三级完整的反应策略与流程724小时事件响应、应急响应、处理及恢复服务电话、传真、email技术支持2小时内现场技术支持安全专家现场守候服务事故处理报告安全突发事故反应预演 两周内跟踪服务重大事件、节日期间，用户业务重要性、时效性很强，发生严重影响用户业务开展、需要立即解决的的网络突发事故3.11.4应急响应流程遇到安全事件的发生，一般应该及时采取汇报机制。参考要求如下：l 任何系统用户发现系统运行可疑现象后，立即报告本部门安全保密管理员；l 安全保密管理员应尽可能采取相应措施保护现场，并在1小时内向应急响应小组进行报告，

39、同时报本部门安全主管领导，召集安全应急服务厂商；l 应急响应小组和安全服务厂商应在2小时内确定现象的性质，并采取措施，收集现场数据，避免严重安全后果的发生，同时，对于安全事故，要上报信息安全领导小组；l 安全保密领导小组根据事故的性质，向相应的国家主管部门进行报告。汇报完毕，将事故定性之后，接到上级指示，对于被破坏的系统和数据，采取可行的措施进行恢复，使之重新正常运行。安全紧急响应服务内容如下：l 服务确认l 临时支持账号l 远程紧急响应l 本地紧急响应l 响应情况简报l 紧急响应服务报告l 事故跟踪分析报告具体流程如下：图3：应急响应流程示意图对于每一个安全事件的处理，可以参照如上图所示的安

40、全事故应急响应处理流程，具体流程包括：1、记录系统安全事件，记录事件的每一环节，包括事件的时间、地点。要打印拷贝、记录拷贝时间、记录对话内容，并尽可能采用自动化的记录方法。2、系统安全事件核实与判断(1) 核实系统安全事件真实性(2) 判断系统安全事件类型和范围(3) 判断系统安全事件危害性(4) 确定事件的威胁级别3、系统安全事件现场处理方案选择(1) 克制态度(2) 紧急消除(3) 紧急恢复(4) 切换(5) 监视(6) 跟踪(7) 查证辅助代码开发(8) 报警(9) 权力机关的反击4、系统安全事件处理服务和过程，系统安全事件处理过程本身需要工具，需要专门处理安全事件的服务和过程。这些过程

41、包括：拷贝过程、监视过程、跟踪过程、报警过程、通报过程、对话过程、消除过程、恢复过程和其它过程等。5、系统安全事件后处理，包括事件后消除、弥补系统脆弱性、分析原因、总结教训、完善安全策略、服务和过程。3.12 安全培训服务网络安全是动态的，技术的发展永无止境。站在最新的安全解决方案的制高点上就显得尤为重要，同时也很困难。M-Sec的安全培训课程为每个用户提供从最新技术到高级管理的操作简介，也包括对日常安全基础知识的强化教育。以下是部分培训课程的简单介绍：安全基础知识培训与教育课程名称培训内容 课程说明 时间信息安全基础知识A什么是信息安全；安全问题的原因、威胁；常见攻击和威胁及解决办法；典型安

42、全案例分析；个人安全防护意识与手段面对普通企业员工和非技术人员，提高安全意识和个人安全防护知识，了解企业的安全策略。1天信息安全基础知识B什么是信息安全；安全问题的原因及对企业的影响；典型安全案例分析；如何从管理上实施安全措施；安全方面的投入与效益面对企业管理人员，使学员掌握管理对于安全的影响，对企业信息安全的建设打下良好的基础1天高级安全技术培训课程名称培训内容 课程说明 时间系统安全培训（windows）Windows平台安全分析；Windows的主要漏洞分析；IIS/ASP/ISAPI安全问题；Windows系统安全加固；日常安全管理；安全工具的使用与编译面向系统管理员，通过培训使学员能

43、够掌握Windows系列平台的安全问题及解决方法1天系统安全培训（Unix）安全综述；Unix平台安全分析；Unix的主要漏洞分析；Unix系统安全加固；基本的系统安全处理；安全工具的使用与编译面向系统管理员，通过培训使学员能够掌握Unix系统安全的实施和分析1天Internet应用安全www服务介绍、配置及安全问题；email服务介绍、配置及安全问题；DNS服务介绍、配置及安全问题；FTP服务介绍、配置及安全问题；数据库服务介绍、配置及安全问题；面向系统管理员，通过培训使学员能够掌握各应用系统的安全策略制定和实施3天路由与交换安全网络基础知识；TCP/IP基础；路由、交换原理；Cisco I

44、OS配置；路由器交换机的安全配置方法；试验操作面向系统管理员，通过培训，掌握路由器、交换机的合理配置2天黑客攻击手段与防御黑客历史；黑客攻击手段概述；Dos攻击与防范；利用性攻击与防范；信息收集性攻击与防范；欺骗性攻击与防范；攻击手段详解面向网络管理员，为用户培养高素质的网络与系统安全管理人员，使客户自身具备一定的安全管理水平2天安全产品培训；课程名称培训内容 课程说明 时间防火墙/VPN安全设计网络安全基础；TCP/IP基础；防火墙基础知识；主流产品介绍；防火墙的作用、策略配置及高级应用面向系统、网络管理员，使学员了解防火墙基本原理，掌握一般的配置、部署和选型1天入侵检测系统入侵检测系统的功

45、能、基本原理；常见几种入侵检测系统介绍、比较及典型产品举例；各入侵检测系统的部署原则、工作原理；实例讲解面向系统、网络管理员，使学员理解入侵检测系统的概念，并能使用它来增加网络的防御能力1天防病毒防病毒系统的功能、基本原理；防病毒部署方法及工作原理；主流产品介绍；实例讲解面向系统、网络管理员，使学员理解防病毒系统的原理，并能用它来增加网络的防御能力1天安全审计安全审计产品的原理、功能；产品介绍、使用方法及数据的分析面向系统、网络管理员，使学员掌握使用漏洞扫描工具分析系统的问题1天桌面及终端安全管理系统原理、功能；产品介绍、使用方法面向系统、网络管理员，使学员掌握使用桌面安全管理系统分的方法1天安全管理平台原理、功能；产品介绍、使用方法面向系统、网络管理员，使学员掌握使用安全管理平台的方法。1天4. 运维体系组织架构图4：M-Sec安全运维体系组织架构图岗位职责说明l 一线支持岗位职责描述 安全服务顾问驻场维护组长：管理安全运维的驻场队伍，保证服务品质。 724驻场工程师：为保障用户的安全运维服务，提供724小时的本地服务。 技术支持工程师：为保障用户的安全运维服务，提供技术支持。l 二线支持岗位职责描述 值班顾问：响应各驻场队伍的安全服务请求，解决驻场安全运维队伍无法解决的问题。 值班顾问