安全服务季度报告(第一季度)(思维)080424.docVIP

文件编号 密级 信产公司2008年安全技术服务合同 季度报告（第一季度） 思维世纪科技有限责任公司 撰写 陈浪 时间 审核 时间 批准 时间 归档 时间 注意 本文档以及所含信息（以下简称“文档”）仅用于为最终用户提供信息，思维世纪有权随时更改或撤销其内容。此处的最终用户定义为四川电信信产公司，以下简称为信产公司。 未经思维世纪公司的事先书面许可，不得复印、翻译、复制、泄漏或转录本文档的全部或部分内容。本文档是思维世纪公司的专有信息。 本文档以及本文档所提及的任何产品的使用均受适用的最终用户许可协议限制。。 本文档由思维世纪制作。思维世纪 保留所有权利。 文档信息 文档信息 信产公司2008年安全服务季度报告-第一季度 电子文档 版本号 密级 文档编号 制写人员 陈浪 编订时间 2008-4-24 阅读人员 信产公司管理员 签字确认 版本控制信息 故障处理 本季度同进行了5次安全应急响应，包括荣明攀所属的业务系统2次，吴伟涛所有属的电视上网平台3次，均按照规定时间到达二枢现场查找出现问题的根源，并及时解决。故障处理后，向相关管理员出具问题处理报告。 时间 事件名称 所属系统 解决措施 事件描述 安全建议 2008年1月4日 疑似SYN半连接攻击 邮件系统 修改主机半连接数，限制IP 某些IP地址对邮件服务器发起SYN攻击 更改主机SYN连接限制，增加安全策略配置，该主机的本地安全策略未启用任何审核，所以未能获取系统的安全等相关日志，开启主机审核功能 2008年2月5日 黑客入侵并植入木马 日常工作下载服务器 首先杀掉木马病毒，在扫描系统存在的漏洞，并打更新杀毒软件和系统补丁，最后进行IPSEC等安全设置 攻击者通过windows2000 showhelp与helper漏洞入侵，获取高级权限，拷贝黑客工具到下载服务器，再以下载服务器为肉鸡，对网内主机进行扫描。 更打开主机UPDATES功能，定时对安全补丁进行选择性安装，安装实时木马监控软件，实时屏蔽高危险访问 2008年3月10日 病毒攻击 电视上网平台应用服务器 采用专杀工具进行杀毒删除存在于系统目录外其他目录的services.exe文件和注册表内相关键值 病毒通过拷贝文件，在空连接模式下影射到本地盘的路径进行传播 定时更新杀毒软件病毒库、系统补丁，关闭IPC共享 2008年3月11日 病毒攻击 电视上网平台应用服务器 采用专杀工具进行杀毒删除存在于系统目录外其他目录的explorer.exe文件和注册表内相关键值 病毒通过拷贝文件，在空连接模式下影射到本地盘的路径进行传播 定时更新杀毒软件病毒库、系统补丁，关闭IPC共享 2008年4月2日 木马植入造成ARP网关被更改 电视上网平台应用服务器 首先修改业务端口，保证业务正常。将问题主机断网进行处理，问题解决后将业务端口改回，经测试，可正常提供业务 通过木马病毒将系统内一台PC的ARP改为网关相同，并进行ARP广播，造成其他机器不能正常提供业务 定时更新杀毒软件病毒库 通过几次应急响应可以看出，出现病毒木马的主要原因是由主机的系统补丁和杀毒软件得不到及时更新造成的。建议各系统管理员督促厂商打开Updates功能，并定时更新杀毒软件病毒库。新服务器上线前，联系安全服务商进行安全评估后再上线，尽可能不遗留安全漏洞和风险。 安全预报 安全预报周报主要是在每周周二前向信产公司相关管理人员提供上周CVE和CERT/CC公布的新发现的系统类、应用类、软件类的漏洞和解决办法，以及中国病毒监测中心公布的上周高发病毒的统计，下周病毒的预报分析情况。 建议管理员将每周的安全预告分发到各业务系统平台负责人，对于报告上提及的针对操作系统缓冲区溢出等高风险漏洞应及时通知厂家联合安全服务商采取措施进行规避。 机房每月巡检 信产公司所属共包括莲花、二枢、太升、国际、沙河堡共5个机房，每个机房均有2-4台主机对机房网络情况、UPS情况、日常应用等进行监控和维护。由于这类主机对信产公司网络具有全部访问权限，一但有病毒、漏洞等安全隐患，将造成不可估量的后果。 我公司每月对5个机房进行安全巡检和评估加固，包括补丁更新、病毒库更新、安全策略审核、安全事件审核、访问/登陆事件审核等安全措施，检查完成后，提交相关报告给信产公司管理员。 通过安全巡检发现，各机房管理人员对监控主机安全都非常重视，及时更新了杀毒软件病毒库、操作系统补丁，并安装了主机防火墙和系统监测软件。在主机安全审计方面还需要加强， windows系统审核策略没有开启，不利于安全事件后查找痕迹。本次巡检将所有监控主机的安全审核策略全部进行调整，对成功和失败的事件都进行记录。 下月机房巡检的内容主要