《安全服务项目管理制度.pdf》由会员分享,可在线阅读,更多相关《安全服务项目管理制度.pdf(19页珍藏版)》请在三一文库上搜索。
1、. . 1. 前言 随着网络经济和网络时代的发展,网络已经成了一个无所不有、无所不用 的工具。经济文化、 军事和社会活动将会强烈地依赖于网络。网络系统的安全性 和可靠性成为了世界各国共同的焦点。而网络自身的一些特点, 在为各国带来发 展机遇的同时, 也必将带来巨大的风险。 其中有很多是敏感信息, 甚至是国家机 密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、 数据篡改、数据删添、计算机病毒等)。 通常利用计算机犯罪很难留下犯罪证据, 这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加, 使各 国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题
2、之一。 因此网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都 希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏。 所以解 决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。 根据不同用户现网环境及目前我单位的安全服务流程,为了提高我单位的 安全服务品质, 保障用户网络和终端的安全运行,特制定以下安全服务管理制度 方案。 2.现场服务管理规定 2.1.1.1.服务方式 我单位提供的现场技术支持服务:包括 58 小时的现场技术支持服务和7 24 小时电话支持和电子邮件支持。 . . 日常工作时间,我方服务人员随用户方工作人员一起上下班;工作时间外 可以直
3、接拨打服务人员的移动电话或单位固话,在紧急情况下或由用户方提出需 求,我单位工作人员可随时返回工作现场。 2.1.1.2.工作内容 防病毒系统 数据防泄漏系统系统 Liveupdate系统 安全预警 防病毒服务内容与输出结果: 组件类别目标编号组件名称提交结果 终端安全系 统的维护1、完善策略 2、清理网络中 出现的病毒 3、安全审核 4、漏洞修补 Jd-cs.sep01 客 户 端 版 本 统 计 与 升级 版本统计报告 Jd-cs.sep02 定期检查安全策略终端安全策略修正建 议 Jd-cs.sep03 修正安全策略终端安全策略修正报 告 Jd-cs.sep04 定期全网病毒扫描全网病毒
4、扫描分析报 告 Jd-cs.sep05 定 期 审 核 未 安 装 安 全客户端的终端 未安装终端安全客户 端的终端列表 . . 5、主机完整性 检查 Jd-cs.sep06 清 除 客 户 端 出 现 的 病毒 病毒清除纪录 Jd-cs.sep07 统 计 活 动 最 多 的 病 毒前十名 病毒活动TOP10 表 Jd-cs.sep08 统 计 感 染 病 毒 最 多 的终端前十名 统计病毒感染TOP10 表 Jd-cs.sep09 统 计 长 时 间 未 在 服 务器注册的终端 未登入服务器的终端 列表 Jd-cs.sep10 病毒活动情况统计病毒活动情况表 Jd-cs.sep11 定 时
5、 审 核 终 端 的 安 全状况 终端安全状况报告 Jd-cs.sep12 对 发 现 病 毒 的 处 理 情况统计 统计处理病毒情况表 Jd-cs.sep13 对 存 有 安 全 漏 洞 的 终端进行漏洞修补 安全漏洞待修补终端 外列表 Jd-cs.sep14 统 计 旧 定 义 的 客 户 端 旧定义客户端列表 Jd-cs.sep15 主机完整性检查不符合安全要求的终 端列表 Jd-cs.sep16 应 用 程 序 与 设 备 控 制 安装应用程序与外设 设备不符合规定的列 表 . . Jd-cs.sep17 统 计 没 有 及 时 更 新 策略的终端 未及时更新策略的终 端列表 数据防泄
6、漏服务内容与输出结果: 组件类别目标编号组件名称提交结果 数据防泄漏系 统的维护1、服务器系统漏 洞检查与修补 2、疑难问题解决 3、日常使用问题 解答 4、策略编辑与测 试 5、服务器日常运 行监控与统计 Jd-cs. 数 据 防 泄 漏 系 统 01 系统版本升级支持版本升级报告 Jd-cs. 数 据 防 泄 漏 系 统 02 监控策略检查监控策略修正建议 Jd-cs. 数 据 防 泄 漏 系 统 03 修正策略策略修正报告 Jd-cs. 数 据 防 泄 漏 系 统 04 服务器运行状态监控服务器运行状态监控报告 Jd-cs. 数 据 防 泄 漏 系 统 05 服务器系统漏洞检查服务器系统
7、漏洞检查报告 . . Jd-cs. 数 据 防 泄 漏 系 统 06 服务器系统漏洞修补服务器系统漏洞修补报告 Jd-cs. 数 据 防 泄 漏 系 统 07 数据防泄漏系统使用支持数据防泄漏系统使用支持 服务报告 Jd-cs. 数 据 防 泄 漏 系 统 08 使用中遇到的疑难问题解 决 使用中遇到的疑难问题解 决服务报告 Jd-cs. 数 据 防 泄 漏 系 统 09 数据防泄漏系统使用指导数据防泄漏系统使用指导 服务报告 Jd-cs. 数 据 防 泄 漏 系 统 10 敏感信息统计敏感信息统计报告 2.1.2. 突发(重大)事件应急响应 我单位现场服务成员(及单位后台技术专家) 保证 7
8、*24 小时手机待机状态, 在突发重大网络故障或安全事件时, 我方现场服务人员将立即与用户相关人员取 得联系同时联系我单位后台技术专家,启动用户的安全应急响应机制。 我们保证 在 1 个小时内对用户的事件进行响应,并进行分析,给用户一个应急建议, 0.5-1.5 小时内到达用户现场。 到达用户现场后,对用户现场进行记录,根据安全事件的严重程度,采取 . . 不同的应急措施, 如切断攻击源, 紧急关闭应用系统的相关端口,和用户工程师 共同协调,使用户重要的信息系统在最短时间内能够恢复正常工作。 对于甲方终端安全服务, 我单位将成立专门的售后服务小组,小组成员不低 于 5 人,其中两人为一个小组,
9、 每个小组成员都应有独立解决数据防泄露系统出 现问题的经验及能力,该小组紧密配合甲方。小组成员保证7*24 小时手机待机 状态,在突发安全事件时, 立即主动与甲方相关人员取得联系,启动甲方应急响 应机制。此期间人员随叫随到,提供针对性的方案,实时地进行阻断行为,恢复 客户系统的机密性、完整性和可用性。 组件类别目标编号组件名称提交结果 紧急响应 针对防病毒 和数据防漏 洞系统的重 大故障事件, 第一时间派 专业性的技 术工程师现 场解决,最大 程度减少事 件所带来的 损失。 Jd-cs.rp.01 系统重大故障分 析 系统重大故障分 析报告 Jd-cs.rp.02 系统重大故障解 决 系统重大
10、故障解 决、处理报告 . . 2.1.3. 防病毒系统安全服务管理规定 2.1.3.1.每天定时对系统的健康状况进行检查 我方工作人员,每天对合同内的服务器软、硬件进行定时和不定时的运行状 态进行检查, 发现问题及时汇报和解决同时做好记录。我方每季度进行一次针对 合同范围内设备系统的全面的现场系统健康检查,并向服务接受者提交系统健康 性分析报告,由用户进行评价改进。 2.1.3.2.每天通报感染病毒过多终端 鉴于病毒的危害特性, 我们建议及时的对感染病毒较多的终端进行断网处理, 处理过程中主要检查终端感染较多病毒的原因、修复病毒破坏的系统组件、 清除 病毒残留文件等。 所以: 每天上午 9 点
11、统计在过去 24 小时内感染病毒总数超过100 次的终端, 通报相应分单位,由分单位安全管理员安排人员处理。 发现感染病毒较多的终端, 及时处理,以防止病毒传播到其他终端对网络造 成影响。 2.1.3.3.每天通报未更新病毒定义终端 同理:每天下午三点提取日志信息,经过比对处理,匹配相应分单位,然后 下发给分单位处理, 由分单位处理, 通过通报旧定义的终端发现长时间不更新病 毒定义的终端, 发时间不更新病毒定义就无法查杀新型病毒,而新型病毒一般传 播较快,所以终端要保持定义库为最新。 . . 2.1.3.4.每周通报未安装SEP的终端 终端安全管理原则是所有Windows主机都要安装防病毒软件
12、, 由于新入网 终端或重新安装操作系统等情况,有未及时安装SEP的,所以:至少每周通报 一次。 扫描未安装防病毒客户端的工作原理是:在每个网段找一个未受管探测器, 该探测器上报本网段IP 信息,服务器收到客户端上报的信息存入数据库,我们 提取日志,排除打印机、摄像头、机顶盒、linux 主机、网络设备等不需要安装 SEP或无法安装 SEP的 IP 地址,然后再对未安装的IP 地址做 ping 处理,确认 终端在网使用,然后通报分单位处理。 不安装防病毒软件的终端存在更大的安全隐患,并且感染病毒后还会影响其 他终端或者对网络造成影响。 2.1.3.5.每月通报计算机名不符合要求终端 终端在入网或
13、重装系统后, 特别是使用 GHOST 重装系统,会使用随机的计 算机名,GHOST 的出现使重装系统的门槛降低,懂点计算机知识的都会重装系 统,而省单位对计算机名有要求, 比如郑州单位市场部张三的终端计算机名应该 是 ZZ-SCB-ZHANGSAN,而很多非系统管理员重装了系统后不改计算机名,就 成了类似 XP-201202131727、PC201307051401、lenovo-dfab88f3等这些 计算机名, 无法根据计算机名判断终端的位置,一旦发生故障, 不能及时定位到 问题终端。 . . 所以:我们将协助省单位定期通报分单位计算机名不合规的终端,由分单位 处理。 2.1.3.6.服务
14、器运行情况监控 为了确保防病毒服务器的正常运行, 我们将定时或不定时的检查服务器运行 状态,检查病毒定义更新情况,检查系统是否有异常,有异常及时上报并处理。 定时检查时间:在每天上午十点。 2.1.3.7.SEP 策略编辑、测试与优化 根据安全管理的要求和用户的实际情况,安全策略会不断的发生变化,如: 上级部门安全检查要求或者策略在使用过程中发现有遗漏或者策略存在BUG 等 情况。为了更好的满足贵方的需求,我们将定期梳理安全策略, 发现策略不足等 原因,及时进行优化调整策略。 组件类别目标编号组件名称 策略制定与 测试 针 对 策 略 的 应 用,进行相应的 测试,以确保策 略在应用之前得 到
15、实际的应用测 试。 Jd-cs.sep.01 防病毒与防间谍软件策略制定与测试 Jd-cs.sep.02 入侵防护的策略制定与测试 Jd-cs.sep.03 应用程序与设备控制策略制定与测试 Jd-cs.sep.04 防火墙策略制定与测试 Jd-cs.sep.05 主机完整性策略制定与测试 Jd-cs.sep.06 LIVEUPDATE 策略制定与测试 Jd-cs.sep.07 集中式例外策略的制定与测试 Jd-cs.sep.08 策略组件的设置与测试 . . 2.1.4. 敏感数据防泄漏系统安全服务管理规定 2.1.4.1.监控数据防泄漏系统服务器运行情况 为了确保服务器运行正常, 可以不间
16、断的对敏感数据的流动进行发现同时记 录并存储,方便以后审计使用,所以我们制定: 人工:每天定时和不定时的检查服务运行是否正常,网络端口是否正常, 监 控各服务器 CPU、内存、硬盘、网络的利用率,并分析是否存在异常。 2.1.4.2.监控数据防泄漏系统命中事件 每天在确保服务器及服务运行正常的情况下,我们还将定期和不定期的检查 数据防泄漏系统命中事件的可用性, 因为服务器运行正常并不代表监控事件的功 能正常,所以还需要人工定期和不定期的检查数据防泄漏系统的监控状态,确保 监控事件的功能正常运行。 2.1.4.3.监控流量镜像是否正常 由于数据防泄漏系统的网络监控模块的工作原理是流量分析,需要把
17、 核心交换机上的被监控的网络流量镜像到数据防泄漏系统服务器上,数据防泄漏 系统才能分析, 这需要确定镜像流量是否正常,每天检查流量通过情况, 如果流 量过大或无流量的异常情况,通知局方人员协调处理。 . . 2.1.4.4.数据防泄漏系统监控范围与监控策略的持续优化 企业内 IT 的应用 (或网络结构)在根据业务和企业规模的发展不断的变化, 新的应用可能就会造成新的敏感数据存储或流动点,同时也存在敏感数据泄漏的 风险,所以数据防泄漏系统在监控范围(点)上需要随着IT 的应用(或网络结 构)变化而变化,所以我们将定期对用户应用的变化(或网络结构)对数据防泄 漏系统的监控范围进行优化, 尽可能做到
18、对监控范围全面不留监控死角,确保每 一次的敏感数据的使用和流动都在企业的监管范围内。 我单位可协助甲方制定和测试相关的应用策略,保证在每一个应用策略启 用之前都能得到实际应用的测试, 以确保各种策略在甲方网络内的准确性和有效 性及可用性。 组件类别目标编号组件名称 策略制定与 测试 针对待监控的敏 感数据,对监控 策略进行相应的 编辑与测试,以 确保策略在应用 之前得到实际的 应用测试。 Jd-cs. 数 据 防 泄 漏 系 统.01 策略的编辑 Jd-cs. 数 据 防 泄 漏 系 统.02 策略的测试 Jd-cs. 数 据 防 泄 漏 系 统.03 策略的应用 . . Jd-cs. 数 据
19、 防 泄 漏 系 统.04 策略的监控 Jd-cs. 数 据 防 泄 漏 系 统.05 策略的修正 Jd-cs. 数 据 防 泄 漏 系 统.06 策略组件的设置与测试 2.1.4.5.数据防泄漏系统月度审计报告 每个月的月底我们将向局方提交本月数据防泄漏系统报告,报告内容包括: 数据防泄漏系统服务器的监控状态、监控数量、 流出途径。 通过此报告局方审计 管理员可以清楚的了解当月的敏感数据的流动情况及使用情况和流出方法等。 通过以上报告提取在第一时间对业务支撑网敏感数据进行保护,从而实现严 格控制敏感数据的操作权限, 使涉及到敏感数据的所有操作行为都能及时的查到 有关日志记录,保证对所有敏感数
20、据的读取及修改操作的责任都能够落实到人。 2.1.5. 安全巡检管理规定 为了使用户对我方在贵方的建设的系统及我们的服务有一个阶段性的了解, 我们将在每月定时提交月度巡检报告,此巡检报告是一个全面的报告, 包括我方 . . 建设的所有系统的各服务器的运行状态监控结果,策略梳理, 功能结果分析、 存 在问题及解决方案和下步的安全或监控建议等内容。 防病毒系统: 我单位针对不同用户信息技术部的一些重要部位,进行定期的安全检查。(每 月一次安全巡检、重大节日前巡检)同时提交巡检报告和问题处理报告。 每月巡检内容要求: 1、检查服务器硬件运行情况 2、检查服务器系统软件运行情况 3、负责修复系统软件的
21、补丁 4、数据库备份与恢复 5、检查终端安全软件的运行情况,同时提交终端安全系统运行情况报告,要 求包括:服务器软件运行的状况、客户端软件运行情况汇总、客户端软件问 题汇总、客户端软件问题处理办法汇总、病毒定义升级情况与终端安全服务 器策略的执行情况,还可根据不同用户信息技术部的要求提供相应的可视性 报告。 6、网络安全情况分析报告,要求提供详细的分析内容。 病毒情况详细分析:包括网内病毒活动详细列表,终端安全软件对病毒事件 处理的情况统计、活动最多的病毒前十名统计、感染病毒最多的终端前十名 统计。 安全事件统计分析:针对网络内出现的各种攻击事件,提供相应的详细分析 . . 报告。 数据防泄漏
22、系统: 我单位针对甲方的数据防泄露系统, 进行定期的安全检查。 (每天一次安全、 系统巡检, 重大节日前进行全面的安全、系统巡检) 同时提交巡检报告和检查出 的问题处理报告。 巡检内容要求: 1、检查服务器硬件运行情况 2、检查服务器系统软件运行情况 3、负责修复系统软件的补丁 4、数据库磁盘空间使用情况监控 5、检查数据防泄露系统终端的运行情况 6、敏感数据监控情况分析报告,要求提供详细的分析内容。 周期监控到的敏感数据类型统计报告;周期监控到的敏感数据量统计报告; 2.1.6. Lua 病毒定义更新系统管理规定 LUA 担负着全网的防病毒软件的病毒定义、IPS 特征库及主动型威胁防护库 等
23、功能模块的更新, 一旦不能更新将造成全网终端的安全防护不及时性,也可能 形成更大的安全风险,所以我们现场服务人员每天定时和不定时的检查LUA 病 毒定义、IPS 同步情况,发现问题及时处理确保全省终端可以正常接受最新的安 全保护。 . . 2.1.7. 安全加固管理规定 社会在发展, 技术在进步, 微软每个月都会发布补丁以修补产品漏洞,其他 厂家像 ORACLE、REDHATE 等也会定期或不定期发布补丁修补产品漏洞,所以 发现存在安全漏洞的主机及时安装产品补丁防止不安全事件发生。 加固范围包括:与用户合作的安全所有服务器及全省终端的重要安全加固。 加固内容主要包括:漏洞修补、基线配置、系统安
24、全高级配置管理等,通过 加固确保系统的正常的运行,免造病毒或恶意的攻击,创造良好的生产环境。 加固完成后测试业务系统,保证加固不对业务造成影响。 组件类别目标编号组件名称提交结果 安全加固 针 对与 用 户 合 作 的 安 全 系统存在的安 全漏洞及安全 配置进行相应 的安全修补和 加固。 Jd-cs.jg.01 对与用户合作的安 全系统的操作系统中 存在的安全漏洞进行 修补 操作系统漏洞修补报 告 Jd-cs.jg.02 对与用户合作的安 全系统后台数据库系 统中存在的安全漏洞 进行修补 数据库漏洞修补报告 Jd-cs.jg.03 对与用户合作的安 全系统本身的漏洞与 BUG进行跟踪与修 补
25、 SEPBUG 或漏洞修 补报告 . . Jd-cs.jg.04 对与用户合作的安 全系统中的操作系统 的安全策略进行跟踪 与配置 操作系统安全策略修 补报告 Jd-cs.jg.05 对与用户合作的安 全系统的安全策略进 行跟踪与建议 SEP 安全策略建议报 告 Jd-cs.jg.06 切断多发病毒的传播 途径进行 病毒的传播途径修补 建议报告 2.1.8. 安全预警管理规定 2.1.8.1.安全预警的发送时间与方式 我单位每周固定时间会发布一次安全预警信息,发现重大风险时即时发送预 警信息,发送的主要方式为:邮件和彩信两种途径发送安全预警,以彩信为主, 如果用户方无法接受我方所发的彩信,将进
26、行邮件方式发送。 2.1.8.2.安全预警的内容 预警的主要内容包括:一、最新的病毒感染传播情况。二、漏洞预警。三、 业界最新的安全动态。四、安全新闻等 . . 2.1.8.3.病毒预警 针对最新出现的严重恶意病毒我们将在第一时间提供病毒的解决方案说明, 主要包括病毒特征、 发作原因、 传播方式和清除处理方法等,用户方的安全管理 人员能够及时了解新病毒的出现情况,同时我们将联系厂家进行样本分析并更新 厂家防病毒与 IPS 的特征库,终端用户可以通过更新终端病毒定义、 IPS定义等, 将病毒和恶意攻击造成的破坏和损失降到最低 2.1.8.4.漏洞预警 我们通过对过去几年中出现的较大破坏力TOP1
27、0 病毒样本的分析,发现这 些病毒的感染和传播途径都与计算机操作系统、应用程序等自身存在的安全漏洞 相关,特别是一些高危漏洞的出现对企业的IT 网络将可能产生重大的安全威胁。 针对以上情况我单位技术人员将密切关键当前互联网的安全动态,及时收集分析 实时严重漏洞隐患, 并在第一时间内把最新的漏洞信息及时发送给用户安全管理 员,使使贵方可以及时了解最新漏洞动态及相关修补系统漏洞的方法,避免重大 安全事件的发生。 2.1.8.5.业界动态 我单位通过与众多安全厂商、 及国内外知名的安全论坛等平台合作,特别关 注业界的主流和最新的安全动态及新闻事件,实时提供相应的安全信息, 为用户 的安全管理提供参考
28、思路。 . . 2.1.9. 安全培训管理规定 2.1.9.1.培训内容 我单位提供安全培训服务, 结合用户的实际情况, 进行定期或不定期的网络 安全培训,使参加培训的人员能够清楚的了解目前的网络安全面临的威胁,了解 目前最新的安全动态,掌握一些安全攻防技术,并能够根据自己需求将其应用; 具有病毒爆发应急处理能力;具有一定的网络故障排查能力。 培训内容包括:安全基础、病毒的应急处理、 网络故障排查、网络攻防基础。 使参加培训的人员能够清楚的了解目前的网络安全面临的威胁,掌握一些安全攻 防技术,并能根据自己需求将其应用;具有病毒爆发应急处理能力;具有一定的 网络故障排查能力。 另外,针对数据防泄
29、漏产品,我方也提供相关的技术培训: 组件类别目标编号组件名称提交结果 数据防泄漏 系统培训 针 对 不同 用户 的 实 际情 况进 行 相 对应 的培 训,通过培训使 参 训 人员 能够 清 楚 了解 数据 防 泄 漏系 统 的 架 构 与工 作原 理 及 相对 应的 Jd-cs.px01 数 据 防 泄 漏 系 统 系统架构 培训报告 Jd-cs.px02 数 据 防 泄 漏 系 统 系统工作原理 Jd-cs.px03 数 据 防 泄 漏 系 统 系 统 服 务 器 的 安 装与配置 Jd-cs.px04 用户管理 Jd-cs.px05 组管理 . . 实际操作。Jd-cs.px06 报告管理 Jd-cs.px07 策略配置 Jd-cs.px08 客 户 端 安 装 与 使 用 Jd-cs.px09 常 见 问 题 解 决 方 法 2.1.9.2.安全培训方式 集中培训:由用户负责统一组织、协调人员、场地和食宿,我单位负责提供 教材、师资。 远程异地培训:我单位可根据需要对地市单位的安全技术人员提供通过电话、 邮件等方式的远程技术培训。