一、运营体系
等级保护2.0标准所规定的技术要求并不只是通过产品来落地的;等保的管理要求也不只是体现在文档上。要保证持续的践行等级保护的各项要求,还需要对安全产品和安全管理制度持续运营。通过运营将等保2.0中的技术要求和管理要求有效落地。安全运营工作即可以用户自己做,也可以由厂商提供安全服务,来帮助用户实现持续的安全运营。
安全运营体系保障等保2.0技术和管理落地
系统自身的漏洞、来自内外部的威胁,是管理的基本要素。以漏洞和威胁为基础,把技术和管理体系融合,帮助用户建立安全运营体系。
安全运营体系
二、漏洞管理服务
漏洞管理服务有现场服务、云端服务两种不同的服务方式,满足不用用户场景下的需求。
漏洞管理服务
服务内容:
服务名称
|
关键活动
|
服务描述
|
产出物
|
标准版
|
专业版
|
高级版
|
漏洞分析与管理服务
|
漏洞扫描
|
通过云镜对目标业务资产进行漏洞扫描。
|
《漏洞管理服务报告》、《紧急漏洞通告》
|
l
|
l
|
l
|
|
漏洞验证
|
对云镜扫描出来的漏洞信息进行人工验证
|
|
l
|
l
|
l
|
|
漏洞通告
|
通告真实的漏洞信息以及紧急漏洞
|
|
l
|
l
|
l
|
|
漏洞修复建议
|
针对存在的漏洞提供修复建议
|
|
l
|
l
|
l
|
|
漏洞状态追踪
|
对发现的漏洞建立状态追踪机制
|
|
l
|
l
|
l
|
|
漏洞报告
|
阶段性提供漏洞管理报告
|
|
l
|
l
|
l
|
最新漏洞预警与响应服务
|
资产深度梳理
|
梳理重要业务资产的详细信息,形成设备指纹后导入到漏洞管理平台中。
|
《漏洞分析与管理服务资产表》
|
|
l
|
l
|
|
最新漏洞预警和排查
|
实时抓取互联网最新漏洞与详细资产信息进行匹配,对最新漏洞进行预警与排查
|
《最新漏洞预警》
|
|
l
|
l
|
|
最新漏洞修复指导
|
提供最新漏洞的修复指导
|
|
|
l
|
l
|
|
最新漏洞状态跟踪
|
对最新漏洞建立状态追踪机制
|
《最新漏洞分析与管理报告》
|
|
l
|
l
|
漏洞协助处置服务
|
漏洞协助处置服务
|
制定漏洞处置方案,在用户授权下对漏洞进行处置验证工作
|
《漏洞协助处置报告》
|
|
|
l
|
三、安全评估服务
根据用户网络安全实际需求,为用户提供资产梳理、漏洞扫描、基线核查、安全加固建议等一体化的安全评估服务。
资产梳理:安全访谈和调研,梳理信息资产和业务环境状况,针对重要业务系统制定评估详细方案。
脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。
防御能力评估:通过模拟黑客进行信息收集、应用及系统入侵,验证防御体系的安全防御能力。
失陷检查:通过人工或工具产品检测主机系统上的恶意文件和网络行为,判断主机失陷状态。
安全整改建议:基于安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。
四、渗透测试服务
目前绝大部分的安全产品只能利用已知的安全漏洞对系统进行程序化的漏洞分析,缺少灵活性,而渗透测试却能够在可控的前提下进行最贴近于真实情况的漏洞发掘,弥补了仅仅使用安全产品对系统分析的不足,通过渗透测试可以以攻击者的角度发现一些隐性存在的安全漏洞和风险点,有助于后续的网络安全建设。深信服提供的渗透测试用于验证在当前的安全防护措施下网络、系统抵抗入侵者攻击的能力。渗透测试工作由深信服安全服务团队利用主流的攻击技术对目标网络、系统、数据库进行模拟攻击测试,将发现的安全漏洞进行整理,给出详细说明,并针对每一安全漏洞提供相应的解决方法。
通过实施渗透测试服务,可帮助客户的信息化系统:
1) 明确安全隐患
渗透测试是一个从空间到面再到点的过程,测试人员模拟黑客的入侵,从外部整体切入最终落至某个威胁点并加以利用,最终对整个网络产生威胁,以此明确整体系统中的安全隐患点。
1) 提高安全意识
任何的隐患在渗透测试服务中都可能造成“千里之堤溃于蚁穴”的效果,因此渗透测试服务可有效督促管理人员杜绝任何一处小的缺陷,从而降低整体风险。
2) 提高安全技能
在测试人员与用户的交互过程中,可提升用户的技能。另外,通过专业的渗透测试报告,也能为用户提供当前流行安全问题的参考。
服务内容:
测试大类
|
测试项
|
测试目的
|
身份验证类
|
用户注册
|
检查用户注册功能可能涉及的安全问题
|
用户登录
|
检查用户登录功能可能涉及的安全问题
|
修改密码
|
检查用户修改密码功能可能涉及的安全问题
|
密码重置
|
检查忘记密码、找回密码、密码重置功能可能涉及的安全问题
|
验证码绕过
|
检测验证码机制是否合理,是否可以被绕过
|
用户锁定功能
|
测试用户锁定功能相关的安全问题
|
会话管理类
|
Cookie重放攻击
|
检测目标系统是否仅依靠Cookie来确认会话身份,从而易受到Cookie回放攻击
|
会话令牌分析
|
检测Cookie是否具有明显含义,或可被预测、可逆向,可被攻击者分析出Cookie结构
|
会话令牌泄露
|
测试会话令牌是否存在泄露的可能
|
会话固定攻击
|
测试目标系统是否存在固定会话的缺陷
|
跨站请求伪造
|
检测目标系统是否存在CSRF漏洞
|
访问控制类
|
功能滥用
|
测试目标系统是否由于设计不当,导致合法功能非法利用
|
垂直权限提升
|
测试可能出现垂直权限提升的情况
|
水平权限提升
|
测试可能出现水平权限提升的情况
|
输入处理类
|
SQL注入
|
检测目标系统是否存在SQL注入漏洞
|
文件上传
|
检测目标系统的文件上传功能是否存在缺陷,导致可以上传非预期类型和内容的文件
|
任意文件下载
|
检测目标系统加载/下载文件功能是否可以造成任意文件下载问题
|
XML注入
|
测试目标系统是否存在XML注入漏洞
|
目录穿越
|
测试目标系统是否存在目录穿越漏洞
|
SSRF
|
检测目标系统是否存在服务端跨站请求伪造漏洞
|
本地文件包含
|
测试目标站点是否存在LFI漏洞
|
远程文件包含
|
测试目标站点是否存在RFI漏洞
|
远程命令/代码执行
|
测试目标系统是否存在命令/代码注入漏洞
|
反射型跨站脚本
|
检测目标系统是否存在反射型跨站脚本漏洞
|
存储型跨站脚本
|
检测目标系统是否存在存储型跨站脚本漏洞
|
DOM-based跨站脚本
|
检测目标系统是否存在DOM-based跨站脚本漏洞
|
服务端URL重定向
|
检查目标系统是否存在服务端URL重定向漏洞
|
信息泄露类
|
error code
|
测试目标系统的错误处理能力,是否会输出详尽的错误信息
|
Stack Traces
|
测试目标系统是否开启了Stack Traces 调试信息
|
敏感信息
|
尽量收集目标系统的敏感信息
|
第三方应用类
|
中间件
|
测试目标系统是否存在jboss、weblogic、tomcat等中间件
|
CMS
|
测试目标系统是否存在dedecms、phpcms等CMS
|
五、应急响应服务
鉴于近年来入侵技术的复杂性、隐蔽性越来越高,对于系统安全事故的处理不能只停于解决故障上,而应该要分析原因,查清入侵来源,提高整个系统安全水平。应急响应服务根据用户的响应请求进行初步判断,确定响应方式,进行入侵分析,处理被破坏的和非法的文件,恢复网络或系统正常操作,对事件进行分析报告,消除入侵隐患。实施相应的安全建议及服务。
应急响应服务
l 应急响应服务详情
1) 入侵影响抑制:通过事件检测分析,提供抑制手段,降低入侵影响,协助快速恢复业务;
3) 入侵威胁清除:排查攻击路径,恶意文件清除;
4) 入侵原因分析:排查攻击路径,分析入侵事件原因;
5) 加固建议指导:结合现有安全防御体系,指导用户进行安全加固,防止再次入侵。
l 服务响应时间与服务方式选择
1) 远程服务:7*24小时安全咨询服务,6*12小时远程调试服务(远程调试服务时间为:8:30-20:30);
6) 现场服务:本地现场响应2-4个小时,郊区及偏远地市根据地方交通而定。
在允许远程接入的的情况下我们建议您优先使用远程接入方式,这样可以让我们的安全服务专家更快地接入对问题进行抑制和分析,给出应急措施。当安全服务中心采用远程响应方式无法解决问题时,我们将根据问题实际情况评估,主动安排本地工程师上门,为您提供最合适的服务。
l 关于溯源结论分析
深信服本着诚信原则,给客户提供专业的应急服务工程师和分析方法。由于日志信息不完整或被黑客破坏等不可抗拒因素,本服务不承诺一定能找到入侵原因。
六、应急演练服务
网络安全事故接二连三,“WannaCry勒索病毒”等信息安全事件。XX行业成为不法黑客重要攻击目标,网络与信息安全突发事件的频繁发生,时刻挑战着单位在应对突发事件时的应急处置能力。如何应对网络与信息安全事件,在事件发生前及时预警、防止事件发生;事件发生时迅速处置、减少损失;事件发生后及时恢复,减少影响;成为单位面对的重要课题。
通过网络安全应急预案的演练,可以使单位相关技术人员掌握网络安全应急处理的正确方法,熟悉预案的相关程序,确保在网络安全事件发生时,单位的应急工作能快速、高效、有序地进行,从而****限度地保护信息系统的保密性、完整性和可用性。同时通过演练,不断提高团队掌握应急工作的水平和效率,发现预案设计的不足,进一步完善应急预案。
应急演练服务详情:
1) 应急体系建立:向客户导入应急响应体系,协助构建应急组织机构,完善应急制度;
7) 应急预案完善:配合梳理客户应急机制和监测预警系统,完善应急方案;
8) 应急实战演练:提供应急演练方案,开展演练活动,检测校验应急体系。
七、威胁监测与主动响应服务
随着《网络安全法》及其相关法律法规的发布及生效,监管及行业主管部门对组织的数据保护及安全防护提出了更高的要求,因此,对于安全威胁的有效监测、分析及响应对于组织至关重要。此外,当前的攻击者会运用先进和复杂的技术,并投入大量资源,来识别组织的脆弱点,以达到入侵组织的目的,因此,组织的安全监测能力须不断发展以应对日益升级的安全威胁。
威胁监测及主动响应服务定义了一系列应用场景,旨在通过这些应用场景来关联不同设备/产品所生成的网络流量、日志和告警记录,进而提供从数据收集到安全运营的全方位支持。
威胁监测与主动响应服务
八、网络安全培训服务
在网络安全培训方面,我们将根据单位的实际需求制订完善的人员培训计划,提供网络安全教育培训、网络安全常识和技能培训,为重点岗位提供定制培训;并提供一次全员网络安全意识培训。