信息安全運(yùn)維方案(廣東移動(dòng))

安全運(yùn)維實(shí)施方案安全運(yùn)維實(shí)施方案安全運(yùn)維的重要性隨著信息安全管理體系和技術(shù)體系在企業(yè)領(lǐng)域的信息安全建設(shè)中不斷推進(jìn)，占信息系統(tǒng)生命周期70%-80%的信息安全運(yùn)維體系的建設(shè)已經(jīng)越來越被廣大用戶重視。尤其是隨著信息系統(tǒng)建設(shè)工作從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型到“建設(shè)和運(yùn)維”并舉的發(fā)展階段，運(yùn)維人員需要管理越來越龐大的IT系統(tǒng)這樣的情況下，信息安全運(yùn)維體系建設(shè)已經(jīng)被提到了一個(gè)空前的高度上。運(yùn)維服務(wù)的發(fā)展趨勢對于企業(yè)的安全運(yùn)維服務(wù)管理的發(fā)展，通?？梢詫⑵浞譃槲鍌€(gè)階段：混亂、被動(dòng)、主動(dòng)、服務(wù)和價(jià)值階段。在混亂階段：沒有建立綜合支持中心，沒有用戶通知機(jī)制；在被動(dòng)階段：是開始關(guān)注事件的發(fā)生和解決，關(guān)注信息資產(chǎn)，擁有了統(tǒng)一的運(yùn)維控制臺(tái)和故障記錄和備份機(jī)制；在主動(dòng)階段：建立了安全運(yùn)行的定義，并將系統(tǒng)性能，問題管理、可用性管理、自動(dòng)化與工作調(diào)度作為重點(diǎn)；在服務(wù)階段，已經(jīng)可以支持任務(wù)計(jì)劃和服務(wù)級別管理；在價(jià)值階段，實(shí)現(xiàn)性能、安全和核心應(yīng)用的緊密結(jié)合，體現(xiàn)價(jià)值之所在。安全運(yùn)維的定義通常安全運(yùn)維包含兩層含義：是指在運(yùn)維過程中對網(wǎng)絡(luò)或系統(tǒng)發(fā)生病毒或黑客攻擊等安全事件進(jìn)行定位、防護(hù)、排除等運(yùn)維動(dòng)作，保障系統(tǒng)不受內(nèi)、外界侵害。對運(yùn)維過程中發(fā)生的基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、安全、主機(jī)、中間件、數(shù)據(jù)庫乃至核心應(yīng)用系統(tǒng)發(fā)生的影響其正常運(yùn)行的事件（包含關(guān)聯(lián)事件）通稱為安全事件，而圍繞安全事件、運(yùn)維人員和信息資產(chǎn)，依據(jù)具體流程而展開監(jiān)控、告警、響應(yīng)、評估等運(yùn)行維護(hù)活動(dòng)，稱為安全運(yùn)維服務(wù)。目前，大多數(shù)企業(yè)還停留在被動(dòng)的、傳統(tǒng)意義上的安全運(yùn)維服務(wù)，這樣安全運(yùn)維服務(wù)存在以下弊端：出現(xiàn)故障縱有眾多單一的廠商管理工具，但無法迅速定位安全事件，忙于“救火”，卻又不知火因何而“著”。時(shí)時(shí)處于被動(dòng)服務(wù)之中，無法提供量化的服務(wù)質(zhì)量標(biāo)準(zhǔn)。企業(yè)的信息系統(tǒng)管理仍在依靠各自的“業(yè)務(wù)骨干”支撐，缺少相應(yīng)的流程和知識(shí)積累，過多依賴于人。對安全事件缺少關(guān)聯(lián)性分析和評估分析，并且沒有對安全事件定義明確的處理流程，更多的是依靠人的經(jīng)驗(yàn)和責(zé)任心，缺少必要的審核和工具的支撐。正是因?yàn)槟壳斑\(yùn)維服務(wù)中存在的弊端，深信通公司依靠長期從事應(yīng)用平臺(tái)信息系統(tǒng)運(yùn)維服務(wù)的經(jīng)驗(yàn)，同時(shí)結(jié)合信息安全保障體系建設(shè)中運(yùn)維體系建設(shè)的要求，遵循ITIL（最佳實(shí)踐指導(dǎo)）、ISO/IEC27000系列服務(wù)標(biāo)準(zhǔn)、以及《中國移動(dòng)廣東公司管理支撐系統(tǒng)SOA規(guī)范》等相關(guān)標(biāo)準(zhǔn)，建立了一整套完善和切實(shí)可行的信息安全運(yùn)維服務(wù)管理的建設(shè)方案。深信通安全運(yùn)維五大架構(gòu)體系建立安全運(yùn)維監(jiān)控中心基于關(guān)鍵業(yè)務(wù)點(diǎn)面向業(yè)務(wù)系統(tǒng)可用性和業(yè)務(wù)連續(xù)性進(jìn)行合理布控和監(jiān)測，以關(guān)鍵績效指標(biāo)指導(dǎo)和考核信息系統(tǒng)運(yùn)行質(zhì)量和運(yùn)維管理工作的實(shí)施和執(zhí)行，深信通幫助用戶建立全面覆蓋信息系統(tǒng)的監(jiān)測中心，并對各類事件做出快速、準(zhǔn)確的定位和展現(xiàn)。實(shí)現(xiàn)對信息系統(tǒng)運(yùn)行動(dòng)態(tài)的快速掌握，以及運(yùn)行維護(hù)管理過程中的事前預(yù)警、事發(fā)時(shí)快速定位。其主要包括：集中監(jiān)控：采用開放的、遵循國際標(biāo)準(zhǔn)的、可擴(kuò)展的架構(gòu)，整合各類監(jiān)控管理工具的監(jiān)控信息，實(shí)現(xiàn)對信息資產(chǎn)的集中監(jiān)視、查看和管理的智能化、可視化監(jiān)控系統(tǒng)。監(jiān)控的主要內(nèi)容包括：基礎(chǔ)環(huán)境、網(wǎng)絡(luò)、通信、安全、主機(jī)、中間件、數(shù)據(jù)庫和核心應(yīng)用系統(tǒng)等。綜合展現(xiàn)：合理規(guī)劃與布控，整合來自各種不同的監(jiān)控管理工具和信息源，進(jìn)行標(biāo)準(zhǔn)化、歸一化的處理，并進(jìn)行過濾和歸并，實(shí)現(xiàn)集中、綜合的展現(xiàn)?？焖俣ㄎ缓皖A(yù)警：經(jīng)過同構(gòu)和歸并的信息，將依據(jù)預(yù)先配置的規(guī)則、事件知識(shí)庫、關(guān)聯(lián)關(guān)系進(jìn)行快速的故障定位，并根據(jù)預(yù)警條件進(jìn)行預(yù)警。建立安全運(yùn)維告警中心基于規(guī)則配置和自動(dòng)關(guān)聯(lián)，實(shí)現(xiàn)對監(jiān)控采集、同構(gòu)、歸并的信息的智能關(guān)聯(lián)判別，并綜合的展現(xiàn)信息系統(tǒng)中發(fā)生的預(yù)警和告警事件，幫助運(yùn)維管理人員快速定位、排查問題所在。同時(shí)，告警中心提供多種告警響應(yīng)方式，內(nèi)置與事件響應(yīng)中心的工單和預(yù)案處理接口，可依據(jù)事件關(guān)聯(lián)和響應(yīng)規(guī)則的定義，觸發(fā)相應(yīng)的預(yù)案處理，實(shí)現(xiàn)運(yùn)維管理過程中突發(fā)事件和問題處理的自動(dòng)化和智能化。其中只要包括：事件基礎(chǔ)庫維護(hù)：是事件知識(shí)庫的基礎(chǔ)定義，內(nèi)置大量的標(biāo)準(zhǔn)事件，按事件類型進(jìn)行合理劃分和維護(hù)管理，可基于事件名稱和事件描述信息進(jìn)行歸一化處理的配置，定義了多源、異構(gòu)信息的同構(gòu)規(guī)則和過濾規(guī)則。智能關(guān)聯(lián)分析：借助基于規(guī)則的分析算法，對獲取的各類信息進(jìn)行分析，找到信息之間的邏輯關(guān)系，結(jié)合安全事件產(chǎn)生的網(wǎng)絡(luò)環(huán)境、資產(chǎn)重要程度，對安全事件進(jìn)行深度分析，消除安全事件的誤報(bào)和重復(fù)報(bào)警。綜合查詢和展現(xiàn)：實(shí)現(xiàn)了多種視角的故障告警信息和業(yè)務(wù)預(yù)警信息的查詢和集中展現(xiàn)。告警響應(yīng)和處理：提供了事件生成、過濾、短信告警、郵件告警、自動(dòng)派發(fā)工單、啟動(dòng)預(yù)案等多種響應(yīng)方式，內(nèi)置監(jiān)控界面的圖形化告警方式；提供了與事件響應(yīng)中心的智能接口，可基于事件關(guān)聯(lián)響應(yīng)規(guī)則自動(dòng)生成工單并觸發(fā)相應(yīng)的預(yù)案工作流進(jìn)行處理。建立安全運(yùn)維事件響應(yīng)中心借鑒并融合了ITIL（信息系統(tǒng)基礎(chǔ)設(shè)施庫）/ITSM（IT服務(wù)管理）的先進(jìn)管理規(guī)范和最佳實(shí)踐指南，借助工作流模型參考等標(biāo)準(zhǔn)，開發(fā)圖形化、可配置的工作流程管理系統(tǒng)，將運(yùn)維管理工作以任務(wù)和工作單傳遞的方式，通過科學(xué)的、符合用戶運(yùn)維管理規(guī)范的工作流程進(jìn)行處置，在處理過程中實(shí)現(xiàn)電子化的自動(dòng)流轉(zhuǎn)，無需人工干預(yù)，縮短了流程周期，減少人工錯(cuò)誤，并實(shí)現(xiàn)對事件、問題處理過程中的各個(gè)環(huán)節(jié)的追蹤、監(jiān)督和審計(jì)。其中包括：圖形化的工作流建模工具：實(shí)現(xiàn)預(yù)案建模的圖形化管理，簡單易用的預(yù)案流程的創(chuàng)建和維護(hù)，簡潔的工作流仿真和驗(yàn)證?？膳渲玫念A(yù)案流程：所有運(yùn)維管理流程均可由用戶自行配置定義，即可實(shí)現(xiàn)ITIL/ITSM的主要運(yùn)維管理流程，又可根據(jù)用戶的實(shí)際管理要求和規(guī)范，配置個(gè)性化的任務(wù)、事件處理流程。智能化的自動(dòng)派單：智能的規(guī)則匹配和處理，基于用戶管理規(guī)范的自動(dòng)處理，降低事件、任務(wù)發(fā)起到處理的延時(shí)，以及人工派發(fā)的誤差。全程的事件處理監(jiān)控：實(shí)現(xiàn)對事件響應(yīng)處理全過程的跟蹤記錄和監(jiān)控，根據(jù)ITIL管理建議和用戶運(yùn)維要求，對事件處理的響應(yīng)時(shí)限和處理時(shí)限的監(jiān)督和催辦。事件處理經(jīng)驗(yàn)的積累：實(shí)現(xiàn)對事件處理過程的備案和綜合查詢，幫助用戶在處理事件時(shí)查找歷史處理記錄和流程，為運(yùn)維管理工作積累經(jīng)驗(yàn)。建立安全運(yùn)維審核評估中心該中心提供對信息系統(tǒng)運(yùn)行質(zhì)量、服務(wù)水平、運(yùn)維管理工作績效的綜合評估、考核、審計(jì)管理功能。其中包括：評估：遵循國際和工業(yè)標(biāo)準(zhǔn)及指南建立平臺(tái)的運(yùn)行質(zhì)量評估框架，通過評估模型使用戶了解運(yùn)維需求、認(rèn)知運(yùn)行風(fēng)險(xiǎn)、采取相應(yīng)的保護(hù)和控制，有效的保證信息系統(tǒng)的建設(shè)投入與運(yùn)行風(fēng)險(xiǎn)的平衡，系統(tǒng)地保證信息化建設(shè)的投資效益，提高關(guān)鍵業(yè)務(wù)應(yīng)用的連續(xù)性?？己耍菏菫榱嗽谠u價(jià)過程中避免主觀臆斷和片面隨意性，應(yīng)實(shí)現(xiàn)工作量、工作效率、處理考核、狀態(tài)考核等功能。審計(jì)：是以跨平臺(tái)多數(shù)據(jù)源信息安全審計(jì)為框架，以電子數(shù)據(jù)處理審計(jì)為基礎(chǔ)的信息審計(jì)系統(tǒng)。主要包括：系統(tǒng)流程和輸入輸出數(shù)據(jù)以及數(shù)據(jù)接口的完整性、合規(guī)性、有效性、真實(shí)性審計(jì)。以信息資產(chǎn)管理為核心IT資產(chǎn)管理是全面實(shí)現(xiàn)信息系統(tǒng)運(yùn)行維護(hù)管理的基礎(chǔ)，提供的豐富的IT資產(chǎn)信息屬性維護(hù)和備案管理，以及對業(yè)務(wù)應(yīng)用系統(tǒng)的備案和配置管理?；陉P(guān)鍵業(yè)務(wù)點(diǎn)配置關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施關(guān)聯(lián)，通過資產(chǎn)對象信息配置豐富業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)行維護(hù)內(nèi)容，實(shí)現(xiàn)各類IT基礎(chǔ)設(shè)施與用戶關(guān)鍵業(yè)務(wù)的有機(jī)結(jié)合，以及全面的綜合監(jiān)控。這其中包括：綜合運(yùn)行態(tài)勢：是全面整合現(xiàn)有各類設(shè)備和系統(tǒng)的各類異構(gòu)信息，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)和終端管理中各種事件，經(jīng)過分析后的綜合展現(xiàn)界面，注重對信息系統(tǒng)的運(yùn)行狀態(tài)、綜合態(tài)勢的宏觀展示。系統(tǒng)采集管理：以信息系統(tǒng)內(nèi)各種IT資源及各個(gè)核心業(yè)務(wù)系統(tǒng)的監(jiān)控管理為主線，采集相關(guān)異構(gòu)監(jiān)控系統(tǒng)的信息，通過對不同來源的信息數(shù)據(jù)的整合、同構(gòu)、規(guī)格化處理、規(guī)則匹配，生成面向運(yùn)行維護(hù)管理的事件數(shù)據(jù)，實(shí)現(xiàn)信息的共享和標(biāo)準(zhǔn)化。系統(tǒng)配置管理：從系統(tǒng)容錯(cuò)、數(shù)據(jù)備份與恢復(fù)和運(yùn)行監(jiān)控三個(gè)方面著手建立自身的運(yùn)行維護(hù)體系，采用平臺(tái)監(jiān)測器實(shí)時(shí)監(jiān)測、運(yùn)行檢測工具主動(dòng)檢查相結(jié)合的方式，構(gòu)建一個(gè)安全穩(wěn)定的系統(tǒng)。安全管理原則深信通負(fù)責(zé)業(yè)務(wù)支撐中心的安全、保密管理工作，遵守南方基地已有各項(xiàng)安全規(guī)定，以此為基礎(chǔ)制定詳細(xì)的《安全管理實(shí)施辦法》，并采取適當(dāng)措施保證有關(guān)措施的有效執(zhí)行。深信通定期檢查安全、保密規(guī)定的執(zhí)行情況；深信通定期組織系統(tǒng)病毒檢查，并對此負(fù)責(zé)；深信通及時(shí)向信息技術(shù)中心反映存在的安全隱患。保密原則深信通嚴(yán)格遵守南方基地各項(xiàng)安全保密制度，加強(qiáng)服務(wù)工程師的保密意識(shí)，制定有效的管深信通整理措施和技術(shù)措施，防止重要數(shù)據(jù)、文件、資料的丟失及泄漏。深信通有關(guān)計(jì)費(fèi)清單、用戶資料、業(yè)務(wù)數(shù)據(jù)、重要文件等均屬機(jī)密，不得任意抄錄、復(fù)制及帶出機(jī)房，也不得轉(zhuǎn)告與工作無關(guān)的人員。機(jī)房內(nèi)重要文件、數(shù)據(jù)的銷毀，應(yīng)全部送入碎紙機(jī)，不得任意丟棄。安全保密工作深信通安排專人負(fù)責(zé)，定期向信息技術(shù)中心提交《安全工作報(bào)告》。硬件層安全運(yùn)維機(jī)房安全運(yùn)維基礎(chǔ)網(wǎng)絡(luò)安全運(yùn)維人員管理安全運(yùn)維應(yīng)用層安全運(yùn)維對于南方基地管理支撐應(yīng)用的帳戶，必需遵循《南方基地管理支撐系統(tǒng)帳號(hào)密碼管理辦法（V2.0）》，并結(jié)合實(shí)際情況，補(bǔ)充并完善相關(guān)管理辦法。系統(tǒng)用戶帳號(hào)原則上不允許存在共享帳號(hào)，所有帳號(hào)必須明確至個(gè)人；由于系統(tǒng)特殊原因必須使用共享帳號(hào)的情況下，系統(tǒng)必須制訂對共享帳號(hào)的審核授權(quán)流程，明確共享帳號(hào)的有效期以及使用帳號(hào)人員資料。用戶帳號(hào)原則上采用用戶中文名稱的漢語拼音，當(dāng)遇到用戶的中文漢語拼音相同時(shí)，系統(tǒng)將為重復(fù)的帳號(hào)后加上順序號(hào)，如此類推，如：liming,liming2,liming3，liming5……順序號(hào)將避開數(shù)字‘4’。各系統(tǒng)用戶數(shù)據(jù)屬性應(yīng)包括用戶中文姓名和用戶中文ID，原則上用戶中文ID就是用戶姓名，當(dāng)不同用戶具有相同中文名稱時(shí)，系統(tǒng)除了按2、3的命名規(guī)范為其分配用戶帳號(hào)外，用戶中文ID后面加上與帳號(hào)一致的后綴。而用戶的中文名后面不加順序號(hào)。如：@1.81帳號(hào)說明測試人員和代維人員帳號(hào)：各系統(tǒng)測試人員和代維人員帳號(hào)原則上應(yīng)以該系統(tǒng)的英文縮寫作為前綴加上用戶名稱的漢語拼音生成。各系統(tǒng)用戶密碼長度不得低于6位；不得采用弱密碼（弱密碼定義參見《南方基地管理支撐系統(tǒng)帳號(hào)密碼管理辦法》）；最少每90天必須強(qiáng)制用戶更改密碼；并不得使用5次以內(nèi)重復(fù)的密碼；登錄系統(tǒng)時(shí)，如重復(fù)嘗試3次不成功，則系統(tǒng)暫停該帳號(hào)登錄功能。園區(qū)信息化系統(tǒng)安全體系系統(tǒng)平臺(tái)管理檢查點(diǎn)檢查要求交付物日常維護(hù)核心系統(tǒng)及關(guān)鍵服務(wù)器定義需對關(guān)鍵系統(tǒng)和服務(wù)器有清晰的定義（如DNS/DHCP、防病毒等影響全網(wǎng)層面的服務(wù)器、承載重要業(yè)務(wù)或包含敏感信息的系統(tǒng)等）核心業(yè)務(wù)、關(guān)鍵服務(wù)器列表應(yīng)急與演練園區(qū)信息化系統(tǒng)和關(guān)鍵服務(wù)器需有詳盡故障應(yīng)急預(yù)案應(yīng)急預(yù)案應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保證每年所有的平臺(tái)和關(guān)鍵服務(wù)器都至少進(jìn)行一次演練應(yīng)急演練報(bào)告根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留3年應(yīng)急預(yù)案更新記錄，預(yù)案版本記錄備份管理系統(tǒng)所涉及不同層面（如系統(tǒng)的重要性、操作系統(tǒng)/數(shù)據(jù)庫）應(yīng)當(dāng)制定數(shù)據(jù)的備份恢復(fù)以及備份介質(zhì)管理制度備份管理制度，包括備份策略管理制度與備份介質(zhì)管理制度系統(tǒng)所涉及不同層面應(yīng)根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)的本地和異地備份（存放）策備份管理制度，包括備份策略管理制度與備份介質(zhì)管略理制度相關(guān)人員對本地和異地備份策略的結(jié)果進(jìn)行每季度審核策略審核表，加入備份管理制度備份的數(shù)據(jù)進(jìn)行恢復(fù)性測試，確保數(shù)據(jù)的可用性，每年不少于一次備份恢復(fù)應(yīng)急演練記錄相關(guān)人員對備份介質(zhì)的更換記錄進(jìn)行每半年審核備份介質(zhì)更換記錄表，加入備份管理制度相關(guān)人員對備份介質(zhì)的銷毀記錄進(jìn)行每半年審核備份介質(zhì)銷毀記錄表，加入備份管理制度故障管理各地市需制定相應(yīng)的園區(qū)信息化系統(tǒng)及服務(wù)器故障處理流程故障處理流程系統(tǒng)中發(fā)現(xiàn)的異常情況由系統(tǒng)維護(hù)人員根據(jù)相關(guān)流程在規(guī)定時(shí)間內(nèi)處理故障處理流程故障處理完成后必須留有相應(yīng)的故障處理記錄故障處理報(bào)告上線管理為保障設(shè)備接入網(wǎng)絡(luò)的安全性，設(shè)備上線前必須安裝防病毒系統(tǒng)及更新操作系統(tǒng)補(bǔ)丁，并對設(shè)備進(jìn)行進(jìn)行安全掃描評估，針對安全漏洞進(jìn)行安全加固1、企業(yè)網(wǎng)接入管理辦法2、接入記錄為避免系統(tǒng)上線對其它系統(tǒng)和設(shè)備造成影響，發(fā)布前必須對系統(tǒng)應(yīng)用站點(diǎn)、數(shù)據(jù)庫、后臺(tái)服務(wù)、網(wǎng)1、應(yīng)用系統(tǒng)接入申請流程2、接入記錄絡(luò)端口進(jìn)行安全評估。系統(tǒng)投入正式運(yùn)營前必須在測試環(huán)境中對系統(tǒng)進(jìn)行模擬運(yùn)行一周以上系統(tǒng)上線之后如需對系統(tǒng)進(jìn)行功能更新，必須由系統(tǒng)管理員或系統(tǒng)管理員指定專門維護(hù)人員進(jìn)行更新操作，嚴(yán)格按照公司安全管理規(guī)范執(zhí)行1、應(yīng)用系統(tǒng)更新申請流程2、更新記錄Web應(yīng)用應(yīng)根據(jù)業(yè)務(wù)需求與安全設(shè)計(jì)原則進(jìn)行安全編碼,合理劃分帳號(hào)權(quán)限，確保用戶帳號(hào)密碼安全,加強(qiáng)敏感數(shù)據(jù)安全保護(hù)，提供詳細(xì)的日志1、中國移動(dòng)門戶網(wǎng)站安全技術(shù)規(guī)范V1.0_20101229_1832_(全部合訂)2、根據(jù)規(guī)范對開發(fā)規(guī)范進(jìn)行修正，用戶名密碼的管理要求、敏感數(shù)據(jù)的管理要求、系統(tǒng)日志的開發(fā)要求3、現(xiàn)有應(yīng)用的安全檢查漏洞與防病毒定期進(jìn)行服務(wù)器漏洞掃描，并根據(jù)漏洞掃描報(bào)告封堵高危漏洞，每季度至少對所有服務(wù)器掃描一次掃描記錄與掃描結(jié)果報(bào)告需建立統(tǒng)一的WSUS服務(wù)器，并每季度對關(guān)鍵服務(wù)器進(jìn)行高危漏洞升級，并留有升級記錄1、WSUS服務(wù)器中的關(guān)鍵更新的補(bǔ)丁清單，每個(gè)月1份2、應(yīng)用服務(wù)器端每次更新的補(bǔ)丁清單任何終端必須安裝正版防病毒軟件，且保證90%以上病毒庫最新（五日以內(nèi)）防病毒檢查記錄每周檢查防病毒軟件隔離區(qū)，排除病毒威脅防病毒檢查記錄核心系統(tǒng)和關(guān)鍵服務(wù)器日志審計(jì)在操作系統(tǒng)層、數(shù)據(jù)庫層、應(yīng)用層建立日志記錄功能，日志記錄中保存1年的內(nèi)容，日志安全記錄能夠關(guān)聯(lián)操作用戶的身份1、操作系統(tǒng)層日志策略2、數(shù)據(jù)庫日志策略3、應(yīng)用層日志要求加入開發(fā)規(guī)范中操作系統(tǒng)日志中需記錄“賬戶管理”“登錄事件”“策略更改”“系統(tǒng)事件”等內(nèi)容操作系統(tǒng)層日志策略操作行為記錄需進(jìn)行定期審計(jì)數(shù)據(jù)庫層日志需記錄每次數(shù)據(jù)庫操作的內(nèi)容數(shù)據(jù)庫日志策略應(yīng)用層日志需記錄每次應(yīng)用系統(tǒng)出錯(cuò)的信息應(yīng)用層日志要求加入開發(fā)規(guī)范中檢查關(guān)鍵錯(cuò)誤日志、應(yīng)用程序日志中的關(guān)鍵錯(cuò)誤記錄，保證日志審核正常關(guān)鍵訪問與操作應(yīng)立即啟用日志記錄功能，避免因日志記錄不全，造成入侵后無法被追蹤的問題信息發(fā)布每天檢查平臺(tái)短信發(fā)送、接收的可用性每天短信檢查記錄管理短信必須設(shè)置關(guān)鍵字過濾，每個(gè)月進(jìn)行關(guān)鍵字更新，并檢查其有效性短信關(guān)鍵字更新記錄，有效性檢查記錄信息防泄密需對所有園區(qū)信息化系統(tǒng)、應(yīng)用系統(tǒng)的核心信息進(jìn)行清晰的界定，核心信息包括但不限于涉及客戶資料、客戶賬戶信息、客戶密碼、操作記錄應(yīng)用系統(tǒng)-核心信息矩陣圖需對核心信息設(shè)定保密措施應(yīng)用系統(tǒng)核心信息管理制度對核心信息的操作進(jìn)行特殊監(jiān)控，并留下記錄訪問控賬號(hào)密服務(wù)器上任何賬號(hào)必須有審批人員1、賬號(hào)管理辦法制碼管理審核確認(rèn)2、賬號(hào)申請表所有系統(tǒng)和服務(wù)器上賬號(hào)必須每季度進(jìn)行審核賬號(hào)審核表密碼復(fù)雜度要求：一．靜態(tài)密碼：密碼應(yīng)至少每90天進(jìn)行更新，密碼長度應(yīng)至少6位或以上，密碼應(yīng)由大小寫字母、數(shù)字或標(biāo)點(diǎn)符號(hào)等字符組成，五次內(nèi)不能重復(fù)二．動(dòng)態(tài)密碼。1、密碼修改記錄表2、歷史密碼記錄表遠(yuǎn)程訪問不得有互聯(lián)網(wǎng)遠(yuǎn)程維護(hù)的訪問方式?，F(xiàn)場檢查MDCN網(wǎng)系統(tǒng)的遠(yuǎn)程訪問只能通過省公司的SSLVPN或IBM現(xiàn)場檢查VPN，不得在市公司層面存在互聯(lián)網(wǎng)以VPN等形式的遠(yuǎn)程訪問應(yīng)用安全應(yīng)用層的漏洞掃描，實(shí)現(xiàn)對南方基地園區(qū)信息化系統(tǒng)上的所有系統(tǒng)進(jìn)行安全掃描，做好應(yīng)用防護(hù)，防止出現(xiàn)SQL注入、網(wǎng)頁后門程序、跨站腳本等重大安全漏洞，避免因2應(yīng)用系統(tǒng)自身漏洞造成敏感信息泄露的安全問題；服務(wù)器報(bào)警策略報(bào)警策略管理是防止集群中的服務(wù)器某個(gè)壓力值過高或者過低而造成集群性能的降低，通過報(bào)警策略的設(shè)定，管理可以及時(shí)的察覺每個(gè)服務(wù)器的故障并進(jìn)行及時(shí)修正，保證集群最有效的工作狀態(tài)。管理員可以根據(jù)服務(wù)器的不同應(yīng)用，通過報(bào)警策略的類型、極限參數(shù)和警告內(nèi)容的設(shè)置，將報(bào)警策略賦予服務(wù)器，并產(chǎn)生報(bào)警日志。用戶密碼策略密碼策略用于應(yīng)用接入平臺(tái)用戶身份模塊中用戶賬戶。它確定用戶賬戶密碼設(shè)置，例如：密碼復(fù)雜度、密碼歷史等設(shè)置。用戶安全策略用戶安全策略用于應(yīng)用接入平臺(tái)權(quán)限設(shè)置。它確定用戶身份權(quán)限設(shè)置，例如：能訪問服務(wù)器的那個(gè)磁盤，此用戶身份能運(yùn)行那個(gè)業(yè)務(wù)程序等設(shè)置。訪問控制策略管理員通過訪問控制策略來限定用戶和客戶端計(jì)算機(jī)以及時(shí)間等因素的綁定來實(shí)現(xiàn)用戶安全訪問應(yīng)用程序的設(shè)置。時(shí)間策略通過對訪問該應(yīng)用程序及使用的用戶身份進(jìn)行時(shí)間限制，從而提升對發(fā)布的應(yīng)用程序的訪問安全，使其只能在特定時(shí)間與被確認(rèn)身份的用戶身份所使用。防止被惡意用戶不正當(dāng)?shù)脑L問。備份安全指遵照相關(guān)的數(shù)據(jù)備份管理規(guī)定，對園區(qū)信息化系統(tǒng)及其產(chǎn)品的數(shù)據(jù)信息進(jìn)行備份和還原操作。根據(jù)園區(qū)信息化系統(tǒng)及其產(chǎn)品的數(shù)據(jù)重要性和應(yīng)用類別，把需要備份的數(shù)據(jù)分為數(shù)據(jù)庫、系統(tǒng)附件、應(yīng)用程序三部分。每周檢查NBU備份系統(tǒng)期備份結(jié)果檢查，處理相關(guān)問題。備份系統(tǒng)狀態(tài)、備份策略檢查，對備份策略以及備份狀態(tài)檢查以及調(diào)優(yōu)，主要服務(wù)器變更、應(yīng)用統(tǒng)一接入等防病毒安全導(dǎo)出防病毒安全檢查報(bào)告、對有風(fēng)險(xiǎn)和中毒的文件與數(shù)據(jù)進(jìn)行檢查對病毒分析處理定期檢測病毒，防止病毒對系統(tǒng)的影響系統(tǒng)安全定期修改系統(tǒng)Administrator密碼：主要修改AD、Cluster、服務(wù)器密碼；安裝操作系統(tǒng)補(bǔ)丁，系統(tǒng)重啟，應(yīng)用系統(tǒng)檢查測試數(shù)據(jù)庫的賬號(hào)、密碼管理，保證數(shù)據(jù)庫系統(tǒng)安全和數(shù)據(jù)安全對系統(tǒng)用戶的系統(tǒng)登錄、使用情況進(jìn)行檢查，對系統(tǒng)日志進(jìn)行日常審計(jì)主動(dòng)安全監(jiān)控Agent的配置與管理，對端對端監(jiān)控產(chǎn)生檢查結(jié)果核實(shí)，處理相應(yīng)問題園區(qū)信息化所有系統(tǒng)需有詳盡故障應(yīng)急預(yù)案應(yīng)定期進(jìn)行相關(guān)應(yīng)急演練，并形成演練報(bào)告，保證每年所有的平臺(tái)和關(guān)鍵服務(wù)器都至少進(jìn)行一次演練根據(jù)應(yīng)急演練結(jié)果更新應(yīng)急預(yù)案，并保留更新記錄，記錄至少保留3年系統(tǒng)及網(wǎng)絡(luò)安全流量分析（netscount）深信通根據(jù)南方基地的安全及分析需求，提供netscount分析服務(wù)支撐，對各系統(tǒng)性能提供全面分析。并提供優(yōu)化建議及方案。應(yīng)用分析（splunk）深信通根據(jù)南方基地的園區(qū)信息化系統(tǒng)安全，建立splunk的日志分析服務(wù)，并針對日志進(jìn)行全面分析。對系統(tǒng)的安全、保障提供優(yōu)化建議及優(yōu)化方案。提供流量分析和應(yīng)用分析提供10個(gè)以上的專題分析報(bào)告，并根據(jù)報(bào)告提供具體的實(shí)施方案及優(yōu)化手段。根據(jù)優(yōu)化建議及方案對平臺(tái)及網(wǎng)絡(luò)進(jìn)行安全整改，以全面提升平臺(tái)的性能、安全，解決瓶頸。防篡改防攻擊網(wǎng)頁文件保護(hù)，通過系統(tǒng)內(nèi)核層的文件驅(qū)動(dòng)，按照用戶配置的進(jìn)程及路徑訪問規(guī)則設(shè)置網(wǎng)站目錄、文件的讀寫權(quán)限，確保網(wǎng)頁文件不被非法篡改。網(wǎng)絡(luò)攻擊防護(hù)，Web核心模塊對每個(gè)請求進(jìn)行合法性檢測，對非法請求或惡意掃描請求進(jìn)行屏蔽，防止SQL注入式攻擊。集中管理，通過管理服務(wù)器集中管理多臺(tái)服務(wù)器，監(jiān)測多主機(jī)實(shí)時(shí)狀態(tài)，制定保護(hù)規(guī)則。安全網(wǎng)站發(fā)布，使用傳輸模塊從管理服務(wù)器的鏡像站點(diǎn)直接更新受保護(hù)的網(wǎng)站目錄，數(shù)據(jù)通過SSL加密傳輸，杜絕傳輸過程的被篡改的可能。網(wǎng)站備份還原，通過管理控制端進(jìn)行站點(diǎn)備份及還原。網(wǎng)頁流出檢查，在請求瀏覽客戶端請求站點(diǎn)網(wǎng)頁時(shí)觸發(fā)網(wǎng)頁流出檢查，對被篡改的網(wǎng)頁進(jìn)行實(shí)時(shí)恢復(fù)，再次確保被篡改的網(wǎng)頁不會(huì)被公眾瀏覽。實(shí)時(shí)報(bào)警，系統(tǒng)日志，手機(jī)短信，電子郵件多種方式提供非法訪問報(bào)警。管理員權(quán)限分級，可對管理員及監(jiān)控端分配不同的權(quán)限組合。日志審計(jì)，提供管理員行為日志，監(jiān)控端保護(hù)日志查詢審計(jì)。對站點(diǎn)主機(jī)進(jìn)行監(jiān)控，對CPU，內(nèi)存，流量的作統(tǒng)計(jì)，以便實(shí)時(shí)監(jiān)控站點(diǎn)服務(wù)器的運(yùn)作情況。站點(diǎn)系統(tǒng)賬號(hào)監(jiān)控，對站點(diǎn)服務(wù)器的賬號(hào)進(jìn)行監(jiān)控，對賬號(hào)的修改，添加等改動(dòng)有阻攔和日志記錄及報(bào)警，使站點(diǎn)服務(wù)器更加安全。合理授權(quán)合理授權(quán)的定義：合理授權(quán)是指對IT管理支撐應(yīng)用系統(tǒng)及其相關(guān)資源的訪問設(shè)定嚴(yán)格的授權(quán)審批機(jī)制，確保IT管理支撐應(yīng)用系統(tǒng)的安全性。為了保證南方基地IT管理支撐應(yīng)用系統(tǒng)的安全性，確保相關(guān)IT資源的訪問經(jīng)過合理授權(quán)，所有IT管理支撐應(yīng)用系統(tǒng)及其相關(guān)資源的訪問必須遵照申請→評估→授權(quán)的合理授權(quán)管理流程。需要合理授權(quán)的IT資源包括但不局限于應(yīng)用系統(tǒng)的測試環(huán)境、程序版本管理服務(wù)器、正式環(huán)境（包括應(yīng)用服務(wù)器和數(shù)據(jù)服務(wù)器等）。申請：由訪問者（一般是應(yīng)用開發(fā)商、應(yīng)用系統(tǒng)管理員等）提交書面的訪問申請表（書面訪問申請表，包括但不局限于紙質(zhì)、Word文檔以及電子郵件等），提交安全管理員（一般是系統(tǒng)管理員或者專職的安全管理員）進(jìn)行風(fēng)險(xiǎn)評估。評估：安全管理員對接到的訪問申請書進(jìn)行風(fēng)險(xiǎn)評估，并根據(jù)訪問者及被訪問IT資源的具體情況，進(jìn)行靈活處理。授權(quán)：在訪問申請表通過安全風(fēng)險(xiǎn)評估后，安全管理員會(huì)對訪問者進(jìn)行合理授權(quán)。原則上，對程序版本管理服務(wù)器和正式環(huán)境的訪問申請，安全管理員必需根據(jù)有關(guān)管理流程給出正式授權(quán)，以滿足安全審計(jì)的要求。各系統(tǒng)超級管理員帳號(hào)的分配，必須由系統(tǒng)負(fù)責(zé)人員提出書面申請，申請內(nèi)容應(yīng)包括系統(tǒng)名稱、帳號(hào)、帳號(hào)有效期、帳號(hào)使用負(fù)責(zé)人、帳號(hào)權(quán)限等內(nèi)容，由部門副經(jīng)理或以上的管理人員進(jìn)行審核批準(zhǔn)后，超級管理員帳號(hào)方可生效。系統(tǒng)超級管理員密碼設(shè)置應(yīng)符合本管理辦法中用戶密碼管理的相關(guān)規(guī)則；各系統(tǒng)應(yīng)最少每90天對超級管理員帳號(hào)進(jìn)行審查，并且將審查結(jié)果寫入書面記錄，由部門副經(jīng)理或以上管理人員審核存檔。各應(yīng)用層超級管理員帳號(hào)的分配，必須由系統(tǒng)負(fù)責(zé)人員提出書面申請，申請內(nèi)容應(yīng)包括應(yīng)用系統(tǒng)名稱、帳號(hào)、帳號(hào)有效期、帳號(hào)使用負(fù)責(zé)人、帳號(hào)權(quán)限等內(nèi)容，由部門副經(jīng)理或以上的管理人員進(jìn)行審核批準(zhǔn)后，超級管理員帳號(hào)方可生效。應(yīng)用層超級管理員密碼設(shè)置應(yīng)符合本管理辦法中用戶密碼管理的相關(guān)規(guī)則；各系統(tǒng)應(yīng)最少每90天對超級管理員帳號(hào)進(jìn)行審查，并且將審查結(jié)果寫入書面記錄，由部門副經(jīng)理或以上管理人員審核存檔。為了保證帳號(hào)安全管理，各系統(tǒng)應(yīng)最少每90天對本系統(tǒng)涉及的帳號(hào)（包括各類管理員帳號(hào)和普通用戶帳號(hào)）進(jìn)行檢查，對已經(jīng)超過有效期的帳號(hào)進(jìn)行清理，對不符合管理規(guī)范的帳號(hào)進(jìn)行補(bǔ)充授權(quán)與審批。各系統(tǒng)私有測試帳號(hào)和代維人員帳號(hào)：由各系統(tǒng)管理員自行管理。關(guān)于帳號(hào)申請、授權(quán)、登記、變更等管理表格詳見附件八《帳號(hào)管理相關(guān)表格》安全隔離安全隔離的定義：安全隔離是指對IT應(yīng)用系統(tǒng)的相關(guān)數(shù)據(jù)（包括應(yīng)用系統(tǒng)的程序代碼、數(shù)據(jù)文件等）進(jìn)行邏輯隔離、物理隔離等，以確保應(yīng)用系統(tǒng)的安全性。如果開發(fā)商在開發(fā)、維護(hù)合作過程當(dāng)中可能接觸到我公司的敏感數(shù)據(jù)，必須與南方基地簽訂安全保密協(xié)議。對安全等級為機(jī)密的IT應(yīng)用系統(tǒng)（包括但不局限于企業(yè)內(nèi)部的機(jī)密檔案信息等），我們需要對它的有關(guān)數(shù)據(jù)進(jìn)行物理隔離，以提高應(yīng)用系統(tǒng)的安全防范能力；對安全等級為秘密的IT應(yīng)用系統(tǒng)以及應(yīng)用系統(tǒng)的基礎(chǔ)數(shù)據(jù)（如綜合應(yīng)用平臺(tái)的基礎(chǔ)數(shù)據(jù)、組織架構(gòu)等），需要進(jìn)行邏輯隔離。系統(tǒng)應(yīng)用層面的訪問必須通過帳號(hào)進(jìn)行訪問，系統(tǒng)的帳號(hào)及口令管理參照本規(guī)定的帳號(hào)管理部分。應(yīng)用系統(tǒng)管理員或者專職的安全管理員應(yīng)根據(jù)具體應(yīng)用系統(tǒng)的數(shù)據(jù)的敏感度制定相應(yīng)的安全隔離措施，具體措施包括但不限于訪問控制列表、安全加固、文件系統(tǒng)權(quán)限設(shè)定等。安全審計(jì)安全審計(jì)的定義：安全審計(jì)是指出于安全考慮，通過對IT應(yīng)用系統(tǒng)的異動(dòng)記錄、操作過程、數(shù)據(jù)轉(zhuǎn)換等進(jìn)行詳細(xì)記錄，為事后的偵察和取證提供依據(jù)。安全審計(jì)的范圍：我們需要對一些重要的具有較高安全風(fēng)險(xiǎn)的操作進(jìn)行安全審計(jì)，操作系統(tǒng)層、應(yīng)用系統(tǒng)層以及數(shù)據(jù)庫層的所有重要操作，特別是管理層認(rèn)定對財(cái)務(wù)報(bào)表有關(guān)的操作留有系統(tǒng)日志。系統(tǒng)日志由系統(tǒng)主管部門根據(jù)風(fēng)險(xiǎn)和重要性的原則確定檢查內(nèi)容（如超級管理員的帳戶登陸操作、正式環(huán)境的訪問、數(shù)據(jù)轉(zhuǎn)換的操作活動(dòng)、版本升級的操作活動(dòng)、補(bǔ)丁升級操作活動(dòng)等等）負(fù)責(zé)每月進(jìn)行審核。系統(tǒng)所需的自動(dòng)或手動(dòng)批處理作業(yè)應(yīng)制定作業(yè)安排計(jì)劃，留有電子或紙質(zhì)文檔操作說明。自動(dòng)批處理作業(yè)應(yīng)在系統(tǒng)中留有運(yùn)行日志記錄，手工批處理作業(yè)的執(zhí)行結(jié)果由批處理操作人員負(fù)責(zé)檢察確認(rèn)。只有授權(quán)的系統(tǒng)維護(hù)人員可以在系統(tǒng)中維護(hù)作業(yè)安排計(jì)劃或安排手工作業(yè)安排計(jì)劃，批處理計(jì)劃上線前都必需通過測試，并由相關(guān)人員簽字審批。安全審計(jì)的管理流程：每年至少舉行一次全范圍的安全審計(jì)活動(dòng)，具體操作可以結(jié)合管理支撐系統(tǒng)的年終巡檢等活動(dòng)，由南方基地管理信息部根據(jù)實(shí)際情況自行決定。統(tǒng)一用戶管理的安全審計(jì)：用戶帳戶信息（包括組織單元屬性、崗位屬性等）是所有應(yīng)用系統(tǒng)最基礎(chǔ)的數(shù)據(jù)，用戶帳戶所對應(yīng)的應(yīng)用系統(tǒng)訪問權(quán)限（這里特指是否對應(yīng)用系統(tǒng)具有訪問權(quán)限，而不考慮在應(yīng)用系統(tǒng)本身的具體授權(quán)）是安全管理的重要內(nèi)容，因此原則上需要對用戶的異動(dòng)信息及應(yīng)用系統(tǒng)訪問權(quán)限進(jìn)行安全審計(jì)，以提高整個(gè)IT管理支撐應(yīng)用系統(tǒng)的安全性。安全審計(jì)的目的：在指定周期內(nèi)對信息系統(tǒng)的系統(tǒng)（操作系統(tǒng)、數(shù)據(jù)庫）用戶、系統(tǒng)管理員、應(yīng)用層面的用戶、系統(tǒng)批處理任務(wù)等涉及財(cái)務(wù)報(bào)表的操作進(jìn)行安全審計(jì)。流程：圖9.1.4-1信息系統(tǒng)安全審計(jì)流程說明：系統(tǒng)安全審計(jì)由各系統(tǒng)安全審計(jì)員發(fā)起，本流程涉及角色為：安全審計(jì)員、安全管理員、應(yīng)用管理員以及各系統(tǒng)使用相關(guān)部門。工具：附件九《帳號(hào)清單審核表》、附件十《系統(tǒng)權(quán)限，用戶責(zé)任權(quán)限矩陣表》、附件十一《系統(tǒng)安全審計(jì)報(bào)告》。統(tǒng)一用戶管理的安全審計(jì)：用戶帳戶信息（包括組織單元屬性、崗位角色屬性等）是所有應(yīng)用系統(tǒng)最基礎(chǔ)的數(shù)據(jù)，用戶帳戶所對應(yīng)的應(yīng)用系統(tǒng)訪問權(quán)限（這里特指是否對應(yīng)用系統(tǒng)具有訪問權(quán)限，而不考慮在應(yīng)用系統(tǒng)本身的具體授權(quán)）是安全管理的重要內(nèi)容，因此原則上需要對用戶的異動(dòng)信息及應(yīng)用系統(tǒng)訪問權(quán)限進(jìn)行安全審計(jì)，以提高整個(gè)IT應(yīng)用系統(tǒng)的安全性。當(dāng)南方基地或業(yè)務(wù)發(fā)生重大變更或半年時(shí)，系統(tǒng)主管部門應(yīng)組織各使用系統(tǒng)的部門對系統(tǒng)用戶的訪問權(quán)限清單進(jìn)行審閱，以合理確保用戶在系統(tǒng)中的權(quán)限與其職責(zé)相符；操作系統(tǒng)、數(shù)據(jù)庫層超級用戶的賬號(hào)(比如根用戶，系統(tǒng)管理員，批處理用戶賬號(hào)，數(shù)據(jù)庫管理員)、預(yù)設(shè)的用戶帳號(hào)、第三方人員帳號(hào)的授權(quán)應(yīng)具備書面審批記錄表格，各責(zé)任部門負(fù)責(zé)人或第三方人員對其進(jìn)行復(fù)核簽字確認(rèn)，并根據(jù)審閱結(jié)果對多余或不恰當(dāng)?shù)馁~號(hào)進(jìn)行調(diào)整。版本管理的安全審計(jì)：需要對所有IT應(yīng)用系統(tǒng)的源代碼、運(yùn)行代碼、配置文件、數(shù)據(jù)庫文件等的版本變更過程進(jìn)行安全審計(jì)。系統(tǒng)掃描分析系統(tǒng)掃描深信通為了深化自身服務(wù)能力，自購了相關(guān)掃描工具如：系統(tǒng)維護(hù)工具：天鏡脆弱性掃描與管理系統(tǒng)、MicrosoftBaselineSecurityAnalyzer2.2系統(tǒng)基線掃描工具：綠盟的基線掃描應(yīng)用維護(hù)工具：IBMRationalAppScan、NBSI_3.0、微軟Web壓力測試工具(MicrosoftWebApplicationStressTool)以滿足南方基地和系統(tǒng)的安全需要：以下對系統(tǒng)掃描工作GFILANguard進(jìn)行闡述系統(tǒng)安全掃描工作GFILANguardGFILANguard功能：掃描、檢查、評估并幫助修補(bǔ)安全網(wǎng)絡(luò)漏洞。管理整個(gè)網(wǎng)絡(luò)部署與管理補(bǔ)丁和服務(wù)程序包，自動(dòng)檢查并刪除未經(jīng)授權(quán)的應(yīng)用程序?？梢話呙枳R(shí)別出多種主流防毒軟件安裝及病毒庫更新情況。擁有強(qiáng)大的報(bào)告系統(tǒng)，能夠?qū)Ψ?wù)器的安全策略和整體系統(tǒng)環(huán)境做出來安全評定。提供一個(gè)完整的網(wǎng)絡(luò)拓?fù)洹Ｕ麄€(gè)網(wǎng)絡(luò)安全歷史記錄。完整的文本搜索。修復(fù)中心控制臺(tái)。支持虛擬主機(jī)的掃描。GFILANguard優(yōu)勢GFILANguard可以在幾分鐘內(nèi)完成幾百甚至上千的電腦的掃描，不止支持Microsoft系統(tǒng)還支持Linux、Unix操作系統(tǒng)、路由器、交換機(jī)和無線設(shè)備等系統(tǒng)的漏洞掃描，能夠檢查工作站中不必要的共享、開放端口和未用帳號(hào)。GFILANguard集成了1000多款安全軟件的信息，能集中管理整個(gè)網(wǎng)絡(luò)部署的服務(wù)及安裝程序，并可以集中分發(fā)安裝用戶所需的應(yīng)用程序，可以自動(dòng)檢查并刪除未經(jīng)授權(quán)的應(yīng)用程序，對Windows操作系統(tǒng)進(jìn)行統(tǒng)一的補(bǔ)丁更新管理，可以一次性得到各臺(tái)服務(wù)器上需要安裝補(bǔ)丁列表，并批量進(jìn)行安裝。支持報(bào)警功能，告知用戶什么時(shí)候有產(chǎn)品的更新。LANguard都將通知管理員，具體類型分為：防病毒、防間諜、防火墻、防釣魚、備份客戶端等。LANguard2011能報(bào)告他們的狀態(tài)并提示任何需要注意的潛在問題。LANguard可以掃描識(shí)別出多種主流防毒軟件安裝及病毒庫更新情況，并生成報(bào)告告之用戶及時(shí)更新病毒庫或者提醒用戶安裝殺毒軟件。GFILANguard加入了一個(gè)功能強(qiáng)大、可以互動(dòng)的全新儀表盤。它能根據(jù)安全審計(jì)信息給出現(xiàn)有網(wǎng)絡(luò)安全的一個(gè)概要，連同一份網(wǎng)絡(luò)變化情況的所有歷史記錄。它還能在問題出現(xiàn)時(shí)觸發(fā)安全報(bào)警器。用豐富的報(bào)告系統(tǒng)，來顯示用戶的網(wǎng)絡(luò)狀況，可以用來分析網(wǎng)絡(luò)漏洞，識(shí)別問題，預(yù)防故障的產(chǎn)生，可以通過LANguard查看整個(gè)網(wǎng)絡(luò)拓?fù)湫畔?，來查看系統(tǒng)狀態(tài)、軟件版本，及硬件概況來幫助行政部門。LANguard支持針對單個(gè)目標(biāo)掃描或者地址段甚至整域掃描，并生成用戶報(bào)告。該報(bào)告包括系統(tǒng)狀態(tài)，軟件詳細(xì)，端口的使用及補(bǔ)丁的狀態(tài)及硬件概況?？蛻舳顺绦蛞部梢远〞r(shí)自動(dòng)上傳客戶機(jī)狀態(tài)到LANguard服務(wù)器。只要一打開LANguard程序,管理員就有一份完全且即時(shí)的網(wǎng)絡(luò)安全狀況列表。所有的報(bào)告將基于所掃描電腦的當(dāng)前狀態(tài)，而不是某些特定的安全檢查。這些報(bào)告可以導(dǎo)出為PDF、HTML、XLS、XLSX、RTF和CVS文件，同時(shí)可以通過計(jì)劃任務(wù)發(fā)送到特定郵箱。這些模板報(bào)告可以自定義，還能加上自定義的logo。GFILANguard可以幫助用戶快速找到他們想要的信息。查找網(wǎng)絡(luò)掃描結(jié)果簡單地就像上網(wǎng)搜索一樣，查找到的結(jié)果將指向相關(guān)項(xiàng)。用戶不僅可以查找現(xiàn)在和以往的事件日志，還能對特定的產(chǎn)品的漏洞、已安裝的程序，和未打的補(bǔ)丁進(jìn)行搜索。同時(shí)，用戶還能保存、打印、查詢這些掃描報(bào)告。GFILANguard修復(fù)中心控制臺(tái)可以從一個(gè)中央位置修復(fù)漏洞，并監(jiān)控修復(fù)任務(wù)的狀態(tài)，并瀏覽所有已執(zhí)行修復(fù)任務(wù)的歷史記錄。GFILANguard支持虛擬環(huán)境的掃描，可以檢測到被掃描電腦上的虛擬主機(jī)，這樣管理員可以更好地全覽虛擬環(huán)境架構(gòu)。圖9.2.1-1GFI掃描報(bào)告分析報(bào)告服務(wù)器基本健康性分析服務(wù)器能正常啟動(dòng)與運(yùn)行服務(wù)與應(yīng)用程序能正常啟動(dòng)與運(yùn)行客戶端能正常地連接和訪問網(wǎng)絡(luò)服務(wù)與應(yīng)用程序EventLogs中的關(guān)鍵錯(cuò)誤日志應(yīng)用程序日志中的關(guān)鍵錯(cuò)誤記錄各邏輯磁盤空間使用和剩余狀況圖9.2.2-1基本健康分析服務(wù)器性能分析內(nèi)存Memory\AvailableMbytesMemory\Pages/sec處理器Processor\%ProcessorTimeProcessor\Interrupts/secSystem\ProcessorQueueLengthSystem\ContextSwitches/Sec磁盤PhysicalDisk\%DiskTimePhysicalDisk\Avg.DiskQueueLength PhysicalDisk\DiskReads/sec PhysicalDisk\DiskWrites/sec網(wǎng)絡(luò)NetworkInterface\BytesTotal/secNetworkInterface\BytesSent/secNetworkInterface\BytesReceived/sec圖9.2.2-2服務(wù)器性能分析服務(wù)器安全性檢查WindowsServicePack是否最新操作系統(tǒng)補(bǔ)丁是否最新是否安裝防病毒軟件并保持更新 未更新的安全修補(bǔ)程序高安全風(fēng)險(xiǎn)漏洞注冊表安全風(fēng)險(xiǎn)漏洞密碼策略審核策略自動(dòng)加載的程序開放的TCP端口圖9.2.2-3服務(wù)器安全性報(bào)告總體評估總體結(jié)論服務(wù)器基本健康狀態(tài)結(jié)論服務(wù)器性能結(jié)論服務(wù)器安全性結(jié)論圖9.2.2-4總結(jié)安全應(yīng)急響應(yīng)深信通“安全應(yīng)急響應(yīng)”服務(wù)向客戶公司提供必須的資源來完善安全防護(hù)，抵抗攻擊，進(jìn)行安全修復(fù)，并減少未來安全漏洞產(chǎn)生的可能性。安全響應(yīng)服務(wù)提供了快捷的服務(wù)支持和7×24的緊急響應(yīng)服務(wù)，保證網(wǎng)絡(luò)安全無憂，預(yù)防危險(xiǎn)發(fā)生。在目前IT運(yùn)維服務(wù)領(lǐng)域上，深信通的安全響應(yīng)是同行業(yè)中出類拔萃的，提供計(jì)算機(jī)反擊、事故反應(yīng)、訴訟支持等咨詢顧問服務(wù)。無論相關(guān)數(shù)據(jù)以任何形式存在或棲身與任何地方，使用專用的工具和方法，我們的專家能夠發(fā)現(xiàn)并抽取相關(guān)的有害數(shù)據(jù)，我們的專家隊(duì)伍擁有多種專業(yè)技能，包括攻擊識(shí)別、反擊技術(shù)、介質(zhì)取證、安全修復(fù)，這一切都將成為企業(yè)的強(qiáng)大的后盾。緊急響應(yīng)服務(wù)種類包括以下幾個(gè)方面入侵調(diào)查當(dāng)入侵事件正在發(fā)生或已經(jīng)發(fā)生，深信通安全專家協(xié)助客戶進(jìn)行事件調(diào)查、保存證據(jù)、查找后門、追查來源等，同時(shí)提供事件處理報(bào)告以及后續(xù)的安全狀況跟蹤。主機(jī)、網(wǎng)絡(luò)異常響應(yīng)當(dāng)主機(jī)或者網(wǎng)絡(luò)異常事件正在發(fā)生或已經(jīng)發(fā)生，深信通安全專家協(xié)助客戶進(jìn)行事件調(diào)查、保存證據(jù)、查找問題的原因、追查來源等，同時(shí)提供事件處理報(bào)告以及后續(xù)的安全狀況跟蹤。其他緊急事件只有出現(xiàn)了上述嚴(yán)重影響網(wǎng)絡(luò)、主機(jī)正常運(yùn)行的安全事件才啟用緊急響應(yīng)服務(wù)，其他日常安全事件均屬于安全咨詢及日常安全事件處理服務(wù)范圍。安全應(yīng)急響應(yīng)服務(wù)也可以幫助客戶公司預(yù)防未來的攻擊，高效地進(jìn)行攻擊發(fā)生時(shí)和事后的調(diào)查及收取攻擊證據(jù)等工作，為起訴罪犯提供法律依據(jù)。作為一個(gè)規(guī)范的信息安全運(yùn)維服務(wù)商，深信通有一整套緊急響應(yīng)機(jī)制，同時(shí)也具備處理各種緊急事件經(jīng)驗(yàn)的工程師。我們把安全應(yīng)急服務(wù)分為三等，具體請參見下表：服務(wù)等級服務(wù)內(nèi)容適用對象一級基本的反應(yīng)策略與流程5×8小時(shí)事件響應(yīng)、處理及恢復(fù)服務(wù)電話、傳真、email技術(shù)支持24小時(shí)內(nèi)現(xiàn)場技術(shù)支持事故處理報(bào)告日常運(yùn)營期間，不影響用戶業(yè)務(wù)的普通安全事件處理二級完整的反應(yīng)策略與流程7×24小時(shí)事件響應(yīng)、處理及恢復(fù)服務(wù)電話、傳真、email技術(shù)支持4小時(shí)內(nèi)現(xiàn)場技術(shù)支持事故處理報(bào)告節(jié)假日期間，較為嚴(yán)重的安全事故三級完整的反應(yīng)策略與流程重大事件、節(jié)假日7×24小時(shí)事件響應(yīng)、應(yīng)急響應(yīng)、處理及恢復(fù)服務(wù)電話、傳真、email技術(shù)支持2小時(shí)內(nèi)現(xiàn)場技術(shù)支持安全專家現(xiàn)場守候服務(wù)事故處理報(bào)告安全突發(fā)事故反應(yīng)預(yù)演兩周內(nèi)跟蹤服務(wù)期間，用戶業(yè)務(wù)重要性、時(shí)效性很強(qiáng)，發(fā)生嚴(yán)重影響用戶業(yè)務(wù)開展，需要立即解決的突發(fā)事故應(yīng)急響應(yīng)流程遇到安全事件的發(fā)生，一般應(yīng)該及時(shí)采取匯報(bào)機(jī)制。參考要求如下：任何系統(tǒng)用戶發(fā)現(xiàn)系統(tǒng)運(yùn)行可疑現(xiàn)象后，立即報(bào)告本部門安全保密管理員；安全保密管理員應(yīng)盡可能采取相應(yīng)措施保護(hù)現(xiàn)場，并在1小時(shí)內(nèi)向應(yīng)急響應(yīng)小組進(jìn)行報(bào)告，同時(shí)報(bào)本部門安全主管領(lǐng)導(dǎo)，召集安全應(yīng)急服務(wù)廠商；應(yīng)急響應(yīng)小組和安全服務(wù)廠商應(yīng)在2小時(shí)內(nèi)確定現(xiàn)象的性質(zhì)，并采取措施，收集現(xiàn)場數(shù)據(jù)，避免嚴(yán)重安全后果的發(fā)生，同時(shí)，對于安全事故，要上報(bào)信息安全領(lǐng)導(dǎo)小組；安全保密領(lǐng)導(dǎo)小組根據(jù)事故的性質(zhì)，向相應(yīng)的國家主管部門進(jìn)行報(bào)告。匯報(bào)完畢，將事故定性之后，接到上級指示，對于被破壞的系統(tǒng)和數(shù)據(jù)，采取可行的措施進(jìn)行恢復(fù)，使之重新正常運(yùn)行。安全緊急響應(yīng)服務(wù)內(nèi)容如下：服務(wù)確認(rèn)臨時(shí)支持賬號(hào)遠(yuǎn)程緊急響應(yīng)本地緊急響應(yīng)響應(yīng)情況簡報(bào)緊急響應(yīng)服務(wù)報(bào)告事故跟蹤分析報(bào)告具體流程如下：對于每一個(gè)安全事件的處理，可以參照如上圖所示的安全事故應(yīng)急響應(yīng)處理流程，具體流程包括：1、記錄系統(tǒng)安全事件，記錄事件的每一環(huán)節(jié)，包括事件的時(shí)間、地點(diǎn)。要打印拷貝、記錄拷貝時(shí)間、記錄對話內(nèi)容，并盡可能采用自動(dòng)化的記錄方法。2、系統(tǒng)安全事件核實(shí)與判斷核實(shí)系統(tǒng)安全事件真實(shí)性判斷系統(tǒng)安全事件類型和范圍判斷系統(tǒng)安全事件危害性確定事件的威脅級別3、系統(tǒng)安全事件現(xiàn)場處理方案選擇克制態(tài)度緊急消除緊急恢復(fù)切換監(jiān)視跟蹤查證輔助代碼開發(fā)報(bào)警權(quán)力機(jī)關(guān)的反擊4、系統(tǒng)安全事件處理服務(wù)和過程，系統(tǒng)安全事件處理過程本身需要工具，需要專門處理安全事件的服務(wù)和過程。這些過程包括：拷貝過程、監(jiān)視過程、跟蹤過程、報(bào)警過程、通報(bào)過程、對話過程、消除過程、恢復(fù)過程和其它過程等。5、系統(tǒng)安全事件后處理，包括事件后消除、彌補(bǔ)系統(tǒng)脆弱性、分析原因、總結(jié)教訓(xùn)、完善安全策略、服務(wù)和過程。風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制的目標(biāo)：風(fēng)險(xiǎn)的事前識(shí)別、分析和定位，從而制定相關(guān)的風(fēng)險(xiǎn)應(yīng)對策略，減低風(fēng)險(xiǎn)對項(xiàng)目產(chǎn)生的影響。風(fēng)險(xiǎn)控制的原則：對于高風(fēng)險(xiǎn)（即高頻度、影響大）的風(fēng)險(xiǎn)要盡量進(jìn)行規(guī)避，對低風(fēng)險(xiǎn)進(jìn)行管理、分析和識(shí)別。為規(guī)避風(fēng)險(xiǎn)，運(yùn)維人員應(yīng)定期進(jìn)行風(fēng)險(xiǎn)檢控，制定風(fēng)險(xiǎn)評估管理計(jì)劃，提交運(yùn)維管理員進(jìn)行審批，并召集人員進(jìn)行風(fēng)險(xiǎn)評估。跟蹤風(fēng)險(xiǎn)，風(fēng)險(xiǎn)隨著時(shí)間在變化，原則上定期進(jìn)行風(fēng)險(xiǎn)跟蹤并按照變化情況修改風(fēng)險(xiǎn)列表。需要對風(fēng)險(xiǎn)進(jìn)行控制。運(yùn)維人員將已經(jīng)消失的風(fēng)險(xiǎn)放入數(shù)據(jù)庫作為過期的風(fēng)險(xiǎn)，圍繞它的所有流程和過程均被保留。圖9.4-1應(yīng)急演練管理方法制度辦法參照廣東移動(dòng)運(yùn)維的管理制度，如圖所示圖9.4-2平臺(tái)運(yùn)維管理制度風(fēng)險(xiǎn)評估根據(jù)運(yùn)維情況，結(jié)合運(yùn)維管理制度、平臺(tái)基礎(chǔ)架構(gòu)，做出風(fēng)險(xiǎn)評估，如表4-10所示。圖9.4-3風(fēng)險(xiǎn)評估表應(yīng)急預(yù)案根據(jù)第二步做出的風(fēng)險(xiǎn)評估，針對技術(shù)相關(guān)核心問題，制定園區(qū)信息化系統(tǒng)相關(guān)應(yīng)急預(yù)案。應(yīng)急演練根據(jù)第三步制定的應(yīng)急預(yù)案，為了提升運(yùn)維的安全可靠實(shí)施，進(jìn)行周期的應(yīng)急演練。應(yīng)急演練完成后，對演練結(jié)果進(jìn)行學(xué)習(xí)，從而發(fā)現(xiàn)新的不足，達(dá)到持續(xù)改進(jìn)的目的。全省知識(shí)總結(jié)和分享運(yùn)維知識(shí)總結(jié)分享深信通除了南方基地本身的知識(shí)積累外，同時(shí)還利用和橫向運(yùn)維的優(yōu)勢，自2011年七月以來，每月都會(huì)總結(jié)日常碰到的技術(shù)和管理難題，深信通會(huì)組織相關(guān)技術(shù)和管理人才深度分析解決處理相關(guān)問題，同時(shí)每月分享給全省用戶，以下是7月以來所有的研究主題：Web網(wǎng)站常見三種漏洞及解決辦法—2013年1月自建系統(tǒng)轉(zhuǎn)維相關(guān)交