xxxx局重保服務(wù)方案

xxx局重保服務(wù)方案2021年5月目錄一、 組織及職責(zé)分工 3二、 資產(chǎn)清單 4三、 防護(hù)工作方案 53.1. 資產(chǎn)梳理工作 53.2. 安全自查和整改工作 63.2.1.網(wǎng)絡(luò)安全檢查 63.2.2.主機(jī)安全檢查 73.2.3. 應(yīng)用系統(tǒng)安全檢查 73.2.4.日志審計 73.2.5.備份有效性檢查 83.2.6.安全整改加固 83.3. 重保期間防護(hù)工作 83.3.1.安全事件監(jiān)測 83.3.2.事件分析與處置 93.3.3.防護(hù)總結(jié)與整改 9四、 重要安全防護(hù)措施優(yōu)化匯總 10五、 應(yīng)急預(yù)案流程 11

組織及職責(zé)分工為確保本次重要時期安全保障（以下簡稱“重?！保┤蝿?wù)的順利完成，擬成立重保領(lǐng)導(dǎo)小組（以下簡稱“領(lǐng)導(dǎo)小組”）和項目工作組（以下簡稱“工作組”），組織架構(gòu)如下圖。（1）領(lǐng)導(dǎo)小組：組長:XXX,副組長:XXX成員組成：信息管理處、xxx局主要負(fù)責(zé)人。工作職責(zé)：負(fù)責(zé)領(lǐng)導(dǎo)、指揮和協(xié)調(diào)本次重保工作開展，向上級領(lǐng)導(dǎo)和有關(guān)部門匯報重保工作情況。（2）項目工作組(含重保工作小組、應(yīng)用系統(tǒng)支撐小組、安全廠商支撐小組)：組長:何林成員組成：xxx局運維單位、應(yīng)用系統(tǒng)廠商、安全廠商技術(shù)支持服務(wù)人員組成。工作職責(zé)：負(fù)責(zé)整體的項目溝通、人員籌備、任務(wù)分工、分析研判、防護(hù)監(jiān)測、應(yīng)急處置、安全整改、事件匯報等工作。項目工作組中各小組具體工作職責(zé)如下：序號小組名稱工作職責(zé)重保工作小組負(fù)責(zé)制定《重保服務(wù)方案》、《重保應(yīng)急預(yù)案》；對指定范圍內(nèi)的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)、安全監(jiān)測與防護(hù)設(shè)備相關(guān)資產(chǎn)進(jìn)行全面梳理和安全檢查，摸清網(wǎng)絡(luò)安全現(xiàn)狀、發(fā)現(xiàn)安全漏洞、弱點和不完善的策略設(shè)置；排查整體網(wǎng)絡(luò)中的安全薄弱點，對薄弱點進(jìn)行安全整改或提出安全整改建議。重保工作期間利用甲方已有的安全防護(hù)設(shè)施（防火墻、IPS、安全審計、日志審計系統(tǒng)、主機(jī)加固軟件、防病毒軟件、云WAF）和新增的安全防護(hù)措施（租賃WEB應(yīng)用防火墻）對網(wǎng)絡(luò)攻擊行為進(jìn)行監(jiān)測、分析、預(yù)警和處置。依據(jù)《重保應(yīng)急預(yù)案》，負(fù)責(zé)重保工作期間的安全事件的應(yīng)急響應(yīng)和處置。負(fù)責(zé)對本次重保工作中的重要事件進(jìn)行每日匯報，重保工作結(jié)束后進(jìn)行總結(jié)，編寫總結(jié)報告。應(yīng)用系統(tǒng)支撐小組負(fù)責(zé)配合重保工作小組的應(yīng)用訪談工作。負(fù)責(zé)配合重保工作小組的安全檢查和整改工作。負(fù)責(zé)配合重保工作小組的應(yīng)急處置工作。安全廠商支撐小組負(fù)責(zé)配合重保工作小組的安全整改工作。負(fù)責(zé)配合重保工作小組的應(yīng)急處置工作。資產(chǎn)清單序號應(yīng)用系統(tǒng)名稱地址位置用途已有防護(hù)措施xxx局門戶網(wǎng)站（門戶服務(wù)器及數(shù)據(jù)庫服務(wù)器）XxxxxxXxxxXxx主機(jī)加固軟件：支持病毒木馬、未知惡意代碼、入侵攻擊、APT攻擊、服務(wù)器和WEB應(yīng)用防護(hù)。虛擬主機(jī)殺毒軟件：企業(yè)版服務(wù)器安全殺毒軟件，支持防病毒、打補(bǔ)丁等。云WAF：支持網(wǎng)頁篡改、網(wǎng)頁黑鏈、網(wǎng)頁掛馬、業(yè)務(wù)可用性安全事件監(jiān)測；支持應(yīng)用層攻擊防護(hù)、網(wǎng)頁防竄改等防護(hù)功能。其他安全防護(hù)措施：云平臺提供的邊界和平臺層安全防護(hù)措施。xxx局綜合辦公系統(tǒng)XxxXxxXxx主機(jī)加固軟件：支持病毒木馬、未知惡意代碼、入侵攻擊、APT攻擊、服務(wù)器和WEB應(yīng)用防護(hù)。虛擬主機(jī)殺毒軟件：企業(yè)版服務(wù)器安全殺毒軟件，支持防病毒、打補(bǔ)丁等。其他安全防護(hù)措施：平臺提供的邊界和平臺層安全防護(hù)措施。xxx信息系統(tǒng)XxxxXxxx網(wǎng)絡(luò)邊界：部署有防火墻、IPS（特征庫已過期）、WEB應(yīng)防火墻（特征庫已過期）。主機(jī)層：部署有免費版主機(jī)殺毒軟件防護(hù)工作方案資產(chǎn)梳理工作（一）網(wǎng)絡(luò)路徑梳理對目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)訪問路徑進(jìn)行梳理，明確系統(tǒng)訪問源（包括用戶、設(shè)備或系統(tǒng)）的類型、位置和途徑的網(wǎng)絡(luò)節(jié)點，繪制準(zhǔn)確的網(wǎng)絡(luò)路徑圖。網(wǎng)絡(luò)路徑梳理須明確從互聯(lián)網(wǎng)訪問的路徑、內(nèi)部訪問路徑等，全面梳理目標(biāo)系統(tǒng)可能被訪問到的路徑和數(shù)據(jù)流向，為后續(xù)有針對性的網(wǎng)絡(luò)安全防護(hù)和安全設(shè)備的部署和調(diào)整奠定基礎(chǔ)。（二）系統(tǒng)資產(chǎn)梳理梳理目標(biāo)系統(tǒng)的關(guān)聯(lián)及未知資產(chǎn)，形成目標(biāo)系統(tǒng)的關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，關(guān)聯(lián)資產(chǎn)包括目標(biāo)系統(tǒng)網(wǎng)絡(luò)路徑中的各個節(jié)點設(shè)備、節(jié)點設(shè)備同一區(qū)域的其它設(shè)備以及目標(biāo)系統(tǒng)相關(guān)資產(chǎn)，未知資產(chǎn)包括與目標(biāo)系統(tǒng)可有關(guān)聯(lián)但未記錄在關(guān)聯(lián)資產(chǎn)清單里的資產(chǎn)，為后續(xù)安全自查和整改加固等工作提供基礎(chǔ)數(shù)據(jù)。（三）安全資產(chǎn)梳理根據(jù)已梳理的重要資產(chǎn)和網(wǎng)絡(luò)路徑，梳理當(dāng)前已有的安全監(jiān)測和防御產(chǎn)品，對其實現(xiàn)的功能、效果、防御范圍、安全日志、特征庫更新情況等進(jìn)行綜合分析。依據(jù)梳理結(jié)果對已有防護(hù)設(shè)施進(jìn)行調(diào)整或提出相關(guān)安全建議。安全自查和整改工作根據(jù)資產(chǎn)梳理工作形成的目標(biāo)系統(tǒng)關(guān)聯(lián)資產(chǎn)清單、未知資產(chǎn)清單，對與組成目標(biāo)系統(tǒng)相關(guān)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、安全設(shè)備等開展安全自查和整改工作。通過安全自查對目標(biāo)系統(tǒng)的安全狀況得以真實反映，結(jié)合整改加固手段對評估發(fā)現(xiàn)的問題逐一進(jìn)行整改。設(shè)置必要的防御規(guī)則，基于最小權(quán)限原則制定，即僅僅開放允許業(yè)務(wù)正常運行所必須的網(wǎng)絡(luò)和系統(tǒng)資源。3.2.1.網(wǎng)絡(luò)安全檢查網(wǎng)絡(luò)架構(gòu)檢查 針對目標(biāo)系統(tǒng)開展網(wǎng)絡(luò)架構(gòu)檢查工作，以評估目標(biāo)系統(tǒng)在網(wǎng)絡(luò)架構(gòu)方面的合理性，網(wǎng)絡(luò)安全防護(hù)方面的健壯性，是否已具備有效的防護(hù)措施；網(wǎng)絡(luò)安全策略檢查針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行策略檢查，確保目前已有策略均按照“按需開放，最小開放”的原則進(jìn)行開放；確保目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備中無多余、過期的網(wǎng)絡(luò)策略； 網(wǎng)絡(luò)安全基線檢查針對目標(biāo)系統(tǒng)所涉及的網(wǎng)絡(luò)設(shè)備進(jìn)行安全基線檢查，重點檢查多余服務(wù)、多余賬號、口令策略，禁止存在默認(rèn)口令和弱口令等配置情況；安全設(shè)備/軟件基線檢查針對目標(biāo)系統(tǒng)所涉及的安全設(shè)備進(jìn)行安全基線檢查，重點檢查多余賬號、口令策略、策略啟用情況、應(yīng)用規(guī)則、特征庫升級情況、系統(tǒng)版本情況，禁止存在默認(rèn)口令、弱口令、系統(tǒng)版本具有漏洞的情況；3.2.2.主機(jī)安全檢查 主機(jī)安全基線檢查 針對目標(biāo)系統(tǒng)所涉及的主機(jī)進(jìn)行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠(yuǎn)程管理等情況； 數(shù)據(jù)庫安全基線針對目標(biāo)系統(tǒng)所涉及的數(shù)據(jù)庫進(jìn)行安全檢查，重點檢查多余賬號、口令策略、賬號策略、遠(yuǎn)程管理等情況；中間件安全基線針對目標(biāo)系統(tǒng)所涉及的中間件進(jìn)行安全檢查，重點檢查中間件管理后臺、口令策略、賬號策略、安全配置等情況；主機(jī)漏洞掃描針對目標(biāo)系統(tǒng)所涉及的主機(jī)、數(shù)據(jù)庫以及中間件進(jìn)行安全漏洞掃描；應(yīng)用系統(tǒng)安全檢查應(yīng)用系統(tǒng)合規(guī)性檢查針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行安全合規(guī)檢查，重點檢查應(yīng)用系統(tǒng)多余賬號、賬號策略、口令策略、后臺管理等情況；滲透測試 針對目標(biāo)系統(tǒng)應(yīng)用進(jìn)行滲透測試（灰盒測試）；3.2.4.日志審計網(wǎng)絡(luò)設(shè)備/主機(jī)/數(shù)據(jù)庫日志針對本次目標(biāo)系統(tǒng)中網(wǎng)絡(luò)設(shè)備/主機(jī)/數(shù)據(jù)庫的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄； 明確日志開通級別和記錄情況，并對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。中間件/應(yīng)用系統(tǒng)/安全設(shè)備日志針對本次目標(biāo)系統(tǒng)中中間件/應(yīng)用系統(tǒng)/安全設(shè)備的日志記錄進(jìn)行檢查，確認(rèn)能夠?qū)υL問和操作行為進(jìn)行記錄；對未能進(jìn)行日志記錄的情況進(jìn)行標(biāo)記，明確改進(jìn)措施。3.2.5.備份有效性檢查備份策略檢查針對本次目標(biāo)系統(tǒng)中的備份策略（配置備份、重要數(shù)據(jù)備份等）進(jìn)行檢查，確認(rèn)備份策略的有效性；對無效的備份策略進(jìn)行標(biāo)記，明確改進(jìn)措施。備份系統(tǒng)有效性檢查針對本次目標(biāo)系統(tǒng)中的備份系統(tǒng)有效性進(jìn)行檢查，確認(rèn)備份系統(tǒng)可用性；對無效的備份系統(tǒng)進(jìn)行標(biāo)記，明確改進(jìn)措施。3.2.6.安全整改加固基于以上安全自查發(fā)現(xiàn)的問題和隱患，及時進(jìn)行安全加固、策略配置優(yōu)化和改進(jìn)，切實加強(qiáng)系統(tǒng)的自身防護(hù)能力和安全措施的效能，減少安全隱患，降低可能被外部攻擊利用的脆弱性和風(fēng)險。重保工作組協(xié)同業(yè)務(wù)主管單位完善網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案，針對可能產(chǎn)生的網(wǎng)絡(luò)安全攻擊事件建立專項處置流程和措施。重保期間防護(hù)工作在防護(hù)階段，重點加強(qiáng)防護(hù)過程中的安全保障工作，各崗位人員各司其職，從攻擊監(jiān)測、攻擊分析、攻擊阻斷、漏洞修復(fù)和追蹤溯源等方面全面加強(qiáng)重保期間的安全防護(hù)效果。3.3.1.安全事件監(jiān)測當(dāng)重保正式開始后，重保工作小組組織各小組人員，根據(jù)崗位職責(zé)開展安全事件監(jiān)測工作。重保工作小組借助安全防護(hù)設(shè)備（Web防火墻、IPS、主機(jī)加固軟件等）開展攻擊安全事件監(jiān)測，對發(fā)現(xiàn)的攻擊行為進(jìn)行確認(rèn)，詳細(xì)記錄攻擊相關(guān)數(shù)據(jù)，為后續(xù)處置工作開展提供信息。3.3.2.事件分析與處置重保工作小組根據(jù)監(jiān)測到安全事件，協(xié)同進(jìn)行分析和確認(rèn)。如有必要可通過主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、入侵檢測設(shè)備日志等信息對攻擊行為進(jìn)行分析，以找到攻擊者的源IP地址、攻擊服務(wù)器IP地址、郵件地址等信息，并對攻擊方法、攻擊方式、攻擊路徑和工具等進(jìn)行分析研判。重保工作小組根據(jù)分析結(jié)果，應(yīng)采取相應(yīng)的處置措施，來確保目標(biāo)系統(tǒng)安全。通過遏制攻擊行為，使其不再危害目標(biāo)系統(tǒng)和網(wǎng)絡(luò)，依據(jù)攻擊行為的具體特點實時制定攻擊阻斷的安全措施，詳細(xì)記錄攻擊阻斷操作。重保工作小組對業(yè)務(wù)穩(wěn)定性進(jìn)行監(jiān)測并及時通報相關(guān)信息。重保工作小組應(yīng)針對可能產(chǎn)生的攻擊事件，根據(jù)已經(jīng)制定的網(wǎng)絡(luò)安全專項應(yīng)急預(yù)案進(jìn)行協(xié)同處置，同時在明確攻擊源和攻擊方式后，保證正常業(yè)務(wù)運行的前提下，可以通過調(diào)整安全設(shè)備策略的方式對攻擊命令或IP進(jìn)行阻斷，分析確認(rèn)攻擊嘗試?yán)玫陌踩┒?，確認(rèn)安全漏洞的影響，制定漏洞修復(fù)方案并及時修復(fù)。3.3.3.防護(hù)總結(jié)與整改全面總結(jié)本次重保服務(wù)各階段的工作情況，包括組織隊伍、攻擊情況、安全防護(hù)措施、監(jiān)測手段、響應(yīng)和協(xié)同處置等，形成總結(jié)報告并向業(yè)主單位匯報。針對重保服務(wù)期間存在的脆弱點，開展整改工作或提出安全整改建議，進(jìn)一步提高目標(biāo)系統(tǒng)的安全防護(hù)能力。

重要安全防護(hù)措施優(yōu)化匯總?cè)婧瞬楹驼{(diào)整：從密碼強(qiáng)度、端口開放、重要系統(tǒng)補(bǔ)丁更新、服務(wù)器基線、安全設(shè)備特征庫/補(bǔ)丁更新情況、安全軟件使用和安全策略設(shè)置等方面進(jìn)行梳理和排查高風(fēng)險項。針對高風(fēng)險項進(jìn)行調(diào)整或出具解決建議。針對本地應(yīng)用系統(tǒng)，新增WEB應(yīng)用防火墻（重保服務(wù)期間提供租借服務(wù)）。針對重要業(yè)務(wù)系統(tǒng)開展?jié)B透測試服務(wù)。本次采用灰盒測試的方式。滲透測試找出信息系統(tǒng)的安全弱點，協(xié)助進(jìn)行安全整改或提供修復(fù)建議。（注：灰黑測試指測試人員對目標(biāo)環(huán)境的細(xì)節(jié)了解有限，灰盒測試是外部安全攻擊的模擬。）重保服務(wù)期間，關(guān)閉所有遠(yuǎn)程運維終端訪問路徑和遠(yuǎn)程連接端口。（特殊情況需提前提出申請）

應(yīng)急預(yù)案流程重要時期安全保障應(yīng)急流程為保障重要時期安全保障（以下簡稱“重?！保┕ぷ髦校瑯I(yè)務(wù)單位方在發(fā)現(xiàn)各類網(wǎng)絡(luò)攻擊事件時，能驗證各方面人員應(yīng)對重保過程中的組織能力和應(yīng)急處置能力，為提高應(yīng)用系統(tǒng)的防護(hù)水平，特此制定本應(yīng)急流程。一、工作目標(biāo)本應(yīng)急流程主要是在重保期間，針對業(yè)務(wù)系統(tǒng)在遭受攻擊時，通過監(jiān)測發(fā)現(xiàn)、分析研判、處置上報等環(huán)節(jié)有效抑制安全事件發(fā)生及影響擴(kuò)散，保障業(yè)務(wù)系統(tǒng)安全運行。二、組織及職責(zé)注：具體各小組工作職責(zé)參見第一章節(jié)。工作內(nèi)容及流程結(jié)合單位實際工作情況，將應(yīng)急流程工作分為三個階段：監(jiān)測階段、分析階段和處置階段。具體應(yīng)急流程圖如下：1.監(jiān)測發(fā)現(xiàn)重保過程中，重保工作小組應(yīng)按照職責(zé)開展全網(wǎng)的監(jiān)測和分析工作，具體內(nèi)容如下：重保工作小組利用WAF、IPS、安全審計、主機(jī)加固軟件等安全監(jiān)測設(shè)備對攻擊行為進(jìn)行識別，同時對主機(jī)、