項目背景
隨著近年來信息技術的高速發展,信息安全風險也日益加大,某某大學作為代表性教育機構,面對嚴峻的信息安全形勢,對如何有效的防范網絡安全風險高度重視,多年中聯合專業的安全服務廠商提供的安全服務來保證系統的穩定運行,構建了一個基本的邊界安全防護體系;由于網絡安全受關注程度較高,加強推進某某大學的安全基礎建設和安全管理工作不僅能夠解決許多信息安全問題,同時也能成功的規避一定的安全風險。從目前某某大學信息化的整體發展和信息安全的整體態勢角度觀察,某某大學信息系統仍然存在一些問題和安全隱患有待解決。
從相關要求和某某大學自身業務的需求出發,迫切要將目前的信息安全保障水平進一步提高,需要進一步進行安全組織、安全制度、安全管理和技術方面的安全建設工作,增強系統的可靠性,根據信息安全的動態性特點更深層次引入專業安全服務,結合深度防御體系充分保障某某大學整個系統的安全、正常運行。
為切實有效的提高某某大學信息中心各系統的穩定運行,持續不斷的發現系統安全風險并及時進行糾正。保證甲方網絡資源不會被一些別有用心的組織和個人利用或破壞,提升應急保障能力,提升某某大學信息中心相關人員信息安全技術水平以及應急響應速度,特提出《某某大學應用系統安全建設方案》。
項目分析
緊隨相關部門下發的“關于深入開展教育行業網絡與信息化系統安全檢查工作的通知”的要求,某某大學將全面對學校信息化建設的網絡架構、服務器系統、存儲系統、業務信息化管理系統、數據庫系統以及公共服務系統等進行科學的檢查、漏洞分析,并進行風險評估和處置,使信息系統風險程度處于可控可接受之內。
根據現有30多個業務系統信息化的安全程度和系統服務等級的不同,制定并落實符合《信息安全技術
信息系統安全管理要求》(GB/T20269-2006)、《信息安全技術 信息系統安全工程管理要求》(GB/T20282-2006)、《信息系統安全等級保護基本要求》等管理規范的安全管理制度。設計符合學校信息化建設的信息安全保障體系,選擇適合的信息安全技術措施和管理措施,以指導信息安全等級保護建設,完成某某大學安全保障系統的整體規劃、實施方案、經費預算和預期的目標。
建立一個信息安全的保障機制和運行機制,提供基本的掃描、檢測、審計和系統加固的系統平臺。主要內容包括漏洞和威脅掃描、分析、日志審計和系統安全加固工具、日志審計與WEB相關防火墻等產品,最終給相關人員進行產品培訓。
某某大學在2009年已經完成對20多個信息系統的定級工作,并在市公安部門備案,但是目前信息安全基礎建設還比較薄弱,與當前嚴峻的信息安全形勢相比還有較大的差距。目前我校已經成功備案的信息系統有環境與能源工程學院網站、某某大學制冷與低溫工程系、環境與能源工程學院化學化工系網頁、教育部傳熱強化與過程節能重點實驗室,傳熱與能源利用重點實驗室、某某大學室內環境檢測中心信息系統、北工大化學實驗教學中心實驗室信息管理系統、校辦主頁、財務信息系統等30多個信息系統。
項目范圍
對現有某某大學內重要業務系統及網絡進行規范化的資產與威脅識別、風險分析等工作。
部署相應的基本的掃描、檢測、審計和系統加固的軟件或系統平臺
編寫某某大學安全保障系統的整體規劃、實施方案、經費預算和預期的目標。
協助完善制定學校的信息安全規章制度、規范等建議書
對某某大學綜合信息支撐平臺(包括統一身份認證、統一門戶平臺和公共數據庫平臺)、校主頁、網站群平臺、一卡通等主要校級應用系統進行等級保護服務。
主要工作內容
通過風險評估、安全保障體系的設計以及等級保護安全保障體系設計,達到下述客戶需求:
風險評估
|
差距分析
|
技術分析
|
根據國家信息安全等級保護相應級別的技術要求,通過訪談、調研問卷、技術測試、查閱資料等多種手段,逐項分析信息系統安全防護水平與等級保護相應級別技術要求的差距。
|
|
管理分析
|
根據國家信息安全等級保護相應級別的管理要求,通過訪談、調研問卷、查閱資料、要求客戶舉證等多種手段,逐項分析信息系統安全防護水平與等級保護相應級別技術要求的差距。
|
|
資產識別
|
資產識別
|
對信息系統業務及其關鍵資產進行識別,并合理分類;在資產識別過程中,需要詳細識別核心資產的安全屬性,重點視別出資產在遭受泄密、中斷、損害等破壞時所遭受的影響。
|
|
威脅識別
|
威脅識別
|
通過威脅調查、取樣等手段識別被評估信息系統的關鍵資產(主機、服務器、網絡、應用系統等)所面臨的威脅源,及其威脅所常采用的威脅方法,對資產所產生的影響。
|
|
脆
弱
性
識
別
|
基礎環境脆弱性識別
|
對信息系統所處的物理環境即機房、線路、客戶端的支撐設施等進行脆弱性識別。
|
|
安全管理脆弱性識別
|
從以下幾方面分析信息系統:策略、組織架構、校方人員、安全控制、資產分類與控制、系統接入控制、網絡與系統管理、業務可持續性發展計劃、應用開發與維護及可適應性。
|
|
技術脆弱性識別(工具)
|
采用掃描工具軟件對評估工作范圍內的主機、服務器、網絡設備、操作系統、關鍵軟件進行系統脆弱性評估以及對Web服務器的脆弱性評估。主要包含:安全管理、審計、服務、系統漏洞、拒絕服務等各方面的脆弱性。
|
|
技術脆弱性識別(手工)
|
采用手動檢查、問卷調查、人工問詢等方式對評估工作范圍內的主機、服務器、網絡設備、操作系統和關鍵軟件進行系統脆弱性評估。主要包含:安全管理、審計、服務、系統漏洞、拒絕服務等各方面的脆弱性。
|
|
安全措施識別
|
安全措施
識別
|
通過問卷調查、人工檢查等方式識別被評估系統的有效對抗風險的防護措施(包含技術手段和管理手段)。
|
|
風
險
分
析
|
資產分析
|
分析系統及其關鍵資產在遭受泄密、中斷、損害等破壞時對系統所承載的業務系統所產生的影響。并進行賦值量化。
|
|
威脅分析
|
分析系統及其關鍵資產將面臨哪一方面的威脅及其所采用的威脅方法。并依據其發生的可能性和成功后所產生的影響進行賦值量化。
|
|
脆弱性分析
|
分析系統及其關鍵資產所存在的各方面脆弱性即基礎環境脆弱性、安全管理脆弱性、技術脆弱性。并依據其脆弱性被利用的難易程度和被成功利用后所產生的影響進行賦值量化。
|
|
日志審計
|
對主機、服務器、網絡的運行日志進行審計,分析可能造成的威脅事件、惡意攻擊的源節點進行分析、查找等。
|
|
安全措施有效性分析
|
對安全措施所采取后的有效性進行分析,分析其安全措施對防范威脅、降低脆弱性的有效性。
|
|
綜合風險
分析
|
分析系統及其關鍵資產將面臨哪一方面的威脅及其所采用的威脅方法,利用了系統的何種脆弱性,對哪一類資產,產生了什么樣的影響,并描述采取何種對策來防范威脅,減少脆弱性,同時將風險量化。
|
|
風險處理
|
風險處理
計劃
|
根據系統安全風險大小、客戶能夠接受的風險程度,分析不同風險的處理方式和方法,如接受、轉移或降低等。
|
|
|
風險的處理措施
|
部署相應的基本的掃描、檢測、審計和系統加固的軟件或系統平臺
|
|
安全保障體系的設計
|
1、基于信息系統級別,根據差距分析和風險評估結果,依據國家信息安全等級保護技術要求和管理要求,設計符合學校信息化建設的信息安全保障體系,選擇適合的信息安全技術措施和管理措施,以指導信息安全等級保護建設,完成某某大學安全保障系統的整體規劃、實施方案、經費預算和預期的目標。
2、協助完善制定學校的信息安全規章制度、規范等建議書。
|
|
等級保護
安全保障
體系設計
|
對某某大學綜合信息支撐平臺(包括統一身份認證、統一門戶平臺和公共數據庫平臺)、校主頁、網站群平臺、一卡通等主要校級應用系統進行等級保護服務。具體需求如下:
1)等保定級:協助學校對信息系統進行劃分,確定等級,完成或完善保護等級備案工作,2013年完成一卡通系統、綜合信息支撐平臺等級保護工作。
2)等保評估:對上述系統進行全面評估,根據評估結果和確定的保護等級,結合“信息系統安全等級保護基本要求”中對各級別信息系統的技術和管理要求,協助學校調整相應的安全保護措施,等保管理整改:根據等級保護基本管理要求,結合學校實際需求,協助學校建設相應的組織體系、策略體系、運行體系,從而全面提升用戶安全管理的層次和能力。
3)制定詳細的等級保護技術整改方案;
4)協助學校完成等級保護測評材料,在測評過程中提供技術支持服務。
|
|
|
|
安全服務項目方案設計
根據實施工作的具體內容不同,我們設計了不同的服務方案,并針對不同的方案進行逐一說明:
風險評估
評估內容
本次項目的風險評估的主要對象對現有網絡結構、網絡設備、防火墻等硬件及30于臺業務服務器操作系統、數據庫、網絡機房物理安全的基礎評估工作。
評估方法及流程
風險評估是安全防護體系建立過程中極其關鍵的一個步驟,它連接著安防重點和商業需求。通常采用以下特定的步驟來進行風險評估。
第一步:資產清單、定義和要求(所有需要保護的對象都是資產,如:數據庫、軟件等)
第一階段 確定校方關鍵性的商務活動
第二階段 編制關鍵性商務活動使用的資產清單
第三階段 對這些資產進行重要性評估并賦值
第二步:脆弱性和威脅評估
第一階段 運行自動化安防工具軟件開始分析工作
第二階段 人工復查
第三步:安全控制措施評估
認真考慮各種安防控制措施以及實施成本
第四步:分析、決策和文檔
第一階段 各種威脅的安防控制措施及實施成本分析表
第二階段 針對威脅選定將要實施的安防控制措施
第三階段 編寫評估工作報告,得出結論
第五步:溝通與交流
與有關方面溝通評估結論
第六步:監督實施
密切注意和分析新的威脅并對安防控制措施作必要的修改。校方的重大變革將導致一次新的風險評估過程
以上步驟中,第二步脆弱性和威脅評估是比較重要的,它是決定校方安全策略的基礎。目前有許多工具軟件能夠幫助完成脆弱性和威脅評估的任務。
評估結果分析
根據評估結果得到的相關信息網絡或服務器上需要對哪些安全風險問題進行關聯分析。首先,根據現有的網絡結構、網絡設備漏洞、操作系統漏洞、數據庫安全等安全問題,結合使用中的已存在安全風險的安全點上進行有效的風險控制,通過網絡結構的調整、防火墻的策略調整等方式給出最佳評估解決方案,以及如何避免以后系統添加新功能、新業務的時候改動時需要遵循的安全建議。
交付成果
根據對校方最終的了解后,會對上述評估結果進行匯總并出具下列成果文檔:
《風險評估綜合報告》
《資產評估報告》
《威脅評估報告》
《脆弱性評估報告》
提交關于某某大學信息化建設安全管理的規章制度、規范等建議書
在本項目中,應急預案內容將包含制定相應應急響應組織、預防預警機制、事件定義分類、應急響應程序、事件上報處理機制、后期處理機制等內容。具體將分為不同的預案。
實施方案
主機安全檢查
檢查內容
某某大學主機安全檢查是對現有50于臺業務服務器系統進行的安全審計檢查,并對結果進行分析,包括Windows、Unix、類Linux等操作系統檢查策略配置等安全項。
檢查操作系統、常用中間件、常用數據庫各配置項的設置是否安全。
日志分析:對操作系統、常用中間件、常用數據庫的日志進行初步分析,判斷系統是否存在異常,根據判定情況,及時發現最新漏洞隱患及入侵痕跡,可以向信息中心申請開展進一步的主機安全檢查和應急相應,確保各類主機系統日常安全穩定的運行。
補丁檢查:升級更新是否及時。對操作系統、常用中間件、常用數據庫的升級更新情況進行確認,確認是否存在沒有更新補丁和沒有升級版本的情況,并確認已更新補丁和升級版本是否存在空窗期過長的現象。
進程檢查:判定可疑程序。對應用系統是否存在可疑可執行程序,包括后門、木馬文件、病毒等。根據判定情況,可以向信息中心申請開展進一步的主機安全檢查和應急相應。
實施過程中將根據系統保護對象價值的不同,分別進行常規安全檢查與高級安全檢查,分析服務器系統深層次的、更加隱蔽性的安全漏洞、系統配置不當、隱蔽型木馬后門等。
操作系統安全檢查
Linux安全檢查
版本及補。版本是否為存在安全隱患的版本,內核是否存在脆弱性;系統中是否存在安全漏洞,是否安裝必要的安全補;
搜索路徑:是否存在過大權限而存在隱患;
口令安全:檢查是否存在未設置口令的帳戶、口令強度是否符合安全標準;
進程檢查:主要檢查自啟動項及已啟動的進程是否存在可以進程;
訪問安全:包括banner信息、遠程登錄SSH、Telnet、FTP、ICMP等方式是否設置了安全的配置,包括連接信息、用戶、權限、訪問限制等;
文件安全:默認重要文件安全屬性是否配置正確、全局可寫的文件或目錄等;
日志審計:是否開啟了日志審計,審計數據是否全面且可使用,系統是否增加FTP、inetd日志并審計日志內容、是否存在安全攻擊或威脅記錄等;
系統服務:被評估的主機中是否系統采用默認值等;Openssh、Tcp_Wrapper:系統是否安裝openssh替代telnet和做相關的訪問控制;
賬號、角色和設置:系統是否存在許多無關的帳戶例如guest、lp等;重要用戶的權限是否配置正確,避免出現權限過大;
網絡參數:是否設定了必要的網路參數,主要包括網絡服務、Tcp/ip協議棧等安全檢查,應對基于IP協議棧的攻擊,例如:SYN
FLOOD攻擊、ip欺騙、ip spoofing攻擊等,AIX采用默認值;
Windows安全檢查
防病毒、防火墻:是否安裝防病毒軟件,所有主機防病毒軟件的特征碼和檢查引擎是否保持更新到最新;是否安裝第三方防火墻;或者開啟Windows本身FW;
l 進程檢查:主要檢查自啟動項及已啟動的進程是否存在可以進程;
l 注冊表安全設置:大多數主機的的注冊表默認配置是否已經修改,例如:允許光盤自動運行;允許自動運行程序調試程序;允許藍屏后自動重啟系統;少數TCP/IP協議棧的安全加固沒有做,如TcpMaxHalfOpen;在檢查主機注冊表配置的基礎上,檢查該主機時候有被入侵,木馬植入等危險行為的痕跡;
l 賬號、角色和口令設置:是否設置安全的密碼策略;是否有必要的審核配置,利于系統的排錯和安全事件處理;
l 不必要的服務:是否開啟不必要的服務,例如 Alerter、Messenger、telnet等服務;
l 文件系統:是否使用了較安全的NTFS 文件系統格式;
l 重要文件權限:是否對重要文件權限進行安全設置例如:cmd.exe、tftp.exe、netstat.exe、regedit.exe、format.com等;
l 屏幕保護:是否設置屏幕保護;關鍵按鍵詢問操作等;
l 無關的組件、軟件:被評估的WINDOWS主機是否存在服務器無關的組件例子如:game、多媒體;
l 日志審計:系統是否設置相關的安全日志審計、日志大小空間分配、日志的具體內容,包括是否存在入侵行為,同時記錄正常使用中的誤操作以及惡意操作等;
l 默認共享:被評估的主機是否關閉系統默認共享(包括C、D、E、F等盤符);是否存在隱藏共享;
l 補丁審計:首先,檢查補丁是否為最新狀態,比對當前系統安裝補丁時間與微軟發布時間的差距,通過統計最新的補丁發布時間和被測主機實際更新的時間的時間差,查找在及時更新補丁之前可能發生的、利用該未修復漏洞發起的攻擊和安全威脅;
數據庫安全檢查
l 版本及補。版本是否為存在安全隱患的版本,內核是否存在脆弱性;系統中是否存在安全漏洞,是否安裝必要的安全補;
l 賬號、角色和口令設置:是否設置安全的密碼策略;是否有必要的審核配置,避免出現空口令,利于系統的排錯和安全事件處理;
l 權限最小化:帳戶及角色權限最小化,操作權限的配置是否合理;
l 日志審計:系統是否設置相關的安全日志審計、日志大小空間分配、日志的具體內容,包括是否存在入侵行為,同時記錄正常使用中的誤操作以及惡意操作等;
l 通信協議:是否設定了必要的網路參數,主要包括網絡服務、Tcp/ip協議棧等安全檢查,應對避免IP協議棧的攻擊;使用加密通訊協議,避免信息劫持;
l 存儲過程:刪除不必要的存儲過程;
中間件安全檢查
l 版本及補。版本是否為存在安全隱患的版本,內核是否存在脆弱性;系統中是否存在安全漏洞,是否安裝必要的安全補;
l 賬號、角色和口令設置:是否設置安全的密碼策略;是否有必要的審核配置,避免出現空口令,利于系統的排錯和安全事件處理;
l 權限最小化:帳戶及角色權限最小化,操作權限的配置是否合理;
l 日志審計:系統是否設置相關的安全日志審計、日志大小空間分配、日志的具體內容,包括是否存在入侵行為,同時記錄正常使用中的誤操作以及惡意操作等;
l 通信協議:是否設定了必要的網路參數,主要包括網絡服務、Tcp/ip協議棧等安全檢查,應對避免IP協議棧的攻擊;使用加密通訊協議,避免信息劫持;WEB服務使用SSL加密通訊協議、FTP和telnet使用SSH協議等;
l 存儲過程:刪除不必要的存儲過程;
l 默認端口:變更默認應用端口,避免被工具或病毒進行批量掃描攻擊;
l 登錄時長:設置登錄時長,避免出現DDOS及帳戶盜用現象;
l 錯誤重定向:WEB默認錯誤頁面重定向,避免被工具或病毒進行批量掃描攻擊;
檢查方法及流程
登錄服務器執行安全檢查,根據實際應用環境,可進行主機安全檢查、應用安全檢查和數據庫安全檢查。主要分為工具檢查和人工檢查兩種方式:
類型
|
檢查方式
|
配置安全
|
日志檢查
|
進程檢查
|
補丁檢查
|
操作系統
|
工具+人工
|
工具+人工
|
人工
|
工具+人工
|
人工
|
數據庫
|
工具+人工
|
工具+人工
|
人工
|
工具+人工
|
人工
|
中間件
|
工具+人工
|
工具+人工
|
人工
|
工具+人工
|
人工
|
工具掃描
使用最新版本的網域網絡掃描系統、榕基等掃描器對所選定的服務器和終端進行安全掃描,發現系統漏洞和不合理的安全配置,掃描器支持本次項目中的所有操作系統類型。漏洞掃描主要步驟為:
n 根據某某大學實際情況及要求,確定安全掃描實施范圍;
n 根據掃描對象選擇適合的掃描工具及策略;
n 制訂詳細的掃描方案,主要包括:
掃描范圍
掃描時間
實施人員
掃描工具部署位置
掃描策略
風險規避措施
n 根據安全掃描的結果,編制《安全掃描報告》。
在實施安全掃描服務的過程中,網御星云擁有完善的風險規避措施,避免在掃描過程中對客戶網絡或業務系統造成不必要的影響。
n 派遣有豐富安全掃描經驗的安全工程師進行安全掃描操作;
n 采用的掃描工具是通過國家權威測評機構認可的商用掃描工具;
n 網御星云會根據客戶實際情況在保證掃描效果的前提下,配置科學、高效的掃描策略,同時根據客戶業務的實際情況在非業務高峰期實施。
人工檢查
根據本次評估的操作系統類型參照相關的檢查列表進行手工檢查分析,對比差異項進行報告記錄。
人工檢查流程:
嚴格的實施流程控制能使得項目實施達到更好的效果,我們所實施的項目流程包括了計劃和設計(Plan)、建設和實施(Do)、運行和監控(Check)以及維護和改進(Action)。最終出具檢查報告并針對安全檢查項清單明確說明:1)已經符合要求的安全項;2)不符合要求,需要應維人員評估確認后自行修復的檢查項,并提出修復方法。
檢查結果分析
在主機檢查的基礎上需要對檢查中所暴露的問題進行關聯分析。首先,根據現有的應用系統操作系統使用防病毒軟件、防火墻的情況,結合使用中的被病毒和惡意軟件感染、遭受攻擊的可能性,識別該操作系統所需要的防病毒軟件、防火墻的級別,分析并給出該操作系統使用防病毒軟件、防火墻的最佳選擇。對于操作系統的注冊表,在檢測結果的基礎上,分析注冊表現有配置存在脆弱性的原因,以及如何避免以后應用系統添加新功能、新業務的時候注冊表改動時需要遵循的安全建議。
對于賬號和口令策略,重點結合實際情況,分析現有的賬號口令策略的安全程度,在實際使用的繁瑣程度能夠容忍的情況下,向用戶推薦安全程度最高的策略配置。對于網絡和服務,在結合應用系統的具體情況和所需的網絡和服務的情況下,對于已經開啟的服務,識別并建議關閉非必要、有脆弱性的服務,對于必須開啟的服務,結合應用系統的業務特點,給出加固建議。
對于操作系統所使用的文件系統,給出增強文件系統安全的措施,在保障業務流暢使用的情況下保證文件系統的安全性。同時對于該操作系統的各關鍵文件和目錄的共享,在前期調研和主機檢查的基礎上,對于必須使用共享服務的文件和目錄,通過分析給出共享和權限設置的建議。對于未及時安裝的操作系統補丁,在漏洞補丁公布到安裝補丁之間的這段時間里,該操作系統可能存在被針對該種漏洞的補丁攻擊的安全威脅,所以在檢查補丁安裝情況的時候,對于未及時安裝、且對應漏洞近期有重要的攻擊手段流行的情況需要重點查驗,以確定在未安裝相應補丁的時間段內是否遭受到攻擊。
最后,訪問控制方面,結合主機檢查的記過和實際應用系統使用的情況,分析得出最佳的訪問控制管控策略,給出訪問控制策略配置建議。