网络与信息安全管理中心安全值守技术方案.pdf

1技术建议书 1.1 服务方案 1.1.1 项目概况 近几年来，信息安全的重要性逐步得到了各行业的广泛关注，国家相关部门也出台 了多项政策、法规和标准，用以指导各行业的信息安全建设。由于信息安全相关的标准 和法规相对抽象，加之信安中心承担了管理和生产职能，在突发事件处置等方面人员储 备不足，受限于人员配置和资源问题，部分安全工作需要大量安全工具及专人参与。为 保障中国公司结合自身情况制定长期、系统、有效的安全建设规划，提出驻场服务的需 求。 1.1.2 建设目标 1、为安全工作开展提供高质量的安全保障服务。 2、在发生网络调整，系统升级扩容，新系统上线等变更时，进行评估，给出明确 的、可实施的安全建议及建设规划，配合相关安全工作开展。 3、在日常工作中，协助安全人员开展定期的自查评估工作，设备或系统上线时， 实施上线前的安全评估和反馈相关的制度、规X和流程的落实情况。 4、保障日常工作中的网络安全。 5、应急响应及安全事件分析。 6、开展安全培训工作，提升相关人员的安全专业水平。 7、对重要系统（网络安全整合平台）进行协助运维和推广。 1.1.3 服务方法 本次安全值守服务项目我们提供以下服务方法： 日常安全工作 常态化漏洞扫描，弱口令检查，web 业务系统渗透测试及相关文档、总结撰写 定期安全检查：  全网扫描（X 围）。  根据目标主机数量制定扫描计划，每个月能保证至少完成一次对全部维护对象 的安全扫描工作。  出具安全扫描结果并和维护人员进行面对面沟通确认，督促维护人员进行整改 和加固，加固结束后进行再次复查并出具复查报告，对于不能加固的漏洞提供 安全解决建议。 系统上线安全检查： 对于新的业务系统上线前，值守人员配合完成上线设备的安全检查工作，安全检查 包含以下几项工作： ➢ 远程安全扫描  通过使用现有远程安全评估系统对上线设备进行扫描，确保没有高、中等级的 安全问题，对于低等级的安全问题，应确保该问题不会泄露设备敏感信息 ➢ 本地安全检查  配合安全加固的 checklist 对上线设备进行检查，以确保上线设备已进行了必 要的安全设置  注：若已制定相关的安全准入规 X，将使用提供的 checklist 替代的 checklist ➢ 远程渗透测试  对复杂的应用系统，如：WEB 系统，根据需求进远程渗透测试 .1渗透测试概述 渗透测试（Penetration Test）是指是从一个攻击者的角度来检查和审核一个网络 系统的安全性的过程。通常由安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和 攻击手段，对目标网络/系统/主机/应用的安全性作深入的探测，发现系统最脆弱的环 节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。 作为一种专业的安全服务，类似于军队里的“实战演习”或者“沙盘推演”的概念， 通过实战和推演，让清晰了解目前网络的脆弱性、可能造成的影响，以便采取必要的防 X措施。 .2渗透测试意义 从渗透测试中，客户能够得到的收益至少有：  协助发现组织中的安全短板 一次渗透测试过程也就是一次黑客入侵实例，其中所利用到的攻击渗透方法，也是 其它具备相关技能的攻击者所最可能利用到的方法；由渗透测试结果所暴露出来的问题， 往往也是一个企业或组织中的安全最短木板，结合这些暴露出来的弱点和问题，可以协 助企业有效的了解目前降低风险的最迫切任务，使在信息安全方面的有限投入可以得到 最大的回报。  作为信息安全状况方面的具体证据和真实案例 渗透测试的结果可以作为向投资方或管理人员提供的信息安全状况方面的具体证 据，一份文档齐全有效的渗透测试报告有助于 IT 组织管理者以案例的形式向相关人员 直观展示目前企业或组织的安全现状，从而增强员工对信息安全的认知程度，提高相关 人员的安全意识及素养，甚至提高组织在安全方面的预算。  发现系统或组织里逻辑性更强、更深层次的弱点 渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是 存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题； 渗透测试的价值直接依赖于实施者的专业技能和素养但是非常准确，