项目背景:
随着近年来信息技术的高速发展,信息安全风险也日益加大,北京工业大学作为代表性教育机构,面对严峻的信息安全形势,对如何有效的防范网络安全风险高度重视,多年中联合专业的安全服务厂商提供的安全服务来保证系统的稳定运行,构建了一个基本的边界安全防护体系;由于网络安全受关注程度较高,加强推进北京工业大学的安全基础建设和安全管理工作不仅能够解决许多信息安全问题,同时也能成功的规避一定的安全风险。从目前北京工业大学信息化的整体发展和信息安全的整体态势角度观察,北京工业大学信息系统仍然存在一些问题和安全隐患有待解决。
从相关要求和北京工业大学自身业务的需求出发,迫切要将目前的信息安全保障水平进一步提高,需要进一步进行安全组织、安全制度、安全管理和技术方面的安全建设工作,增强系统的可靠性,根据信息安全的动态性特点更深层次引入专业安全服务,结合深度防御体系充分保障某某大学整个系统的安全、正常运行。
为切实有效的提高北京工业大学信息中心各系统的稳定运行,持续不断的发现系统安全风险并及时进行纠正。保证甲方网络资源不会被一些别有用心的组织和个人利用或破坏,提升应急保障能力,提升北京工业大学信息中心相关人员信息安全技术水平以及应急响应速度,特提出《北京工业大学应用系统安全建设方案》。
项目分析:
紧随相关部门下发的“关于深入开展教育行业网络与信息化系统安全检查工作的通知”的要求,北京工业大学将全面对学校信息化建设的网络架构、服务器系统、存储系统、业务信息化管理系统、数据库系统以及公共服务系统等进行科学的检查、漏洞分析,并进行风险评估和处置,使信息系统风险程度处于可控可接受之内。
根据现有30多个业务系统信息化的安全程度和系统服务等级的不同,制定并落实符合《信息安全技术 信息系统安全管理要求》(GB/T20269-2006)、《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范的安全管理制度。设计符合学校信息化建设的信息安全保障体系,选择适合的信息安全技术措施和管理措施,以指导信息安全等级保护建设,完成北京工业大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。
建立一个信息安全的保障机制和运行机制,提供基本的扫描、检测、审计和系统加固的系统平台。主要内容包括漏洞和威胁扫描、分析、日志审计和系统安全加固工具、日志审计与WEB相关防火墙等产品,最终给相关人员进行产品培训。
北京工业大学在2009年已经完成对20多个信息系统的定级工作,并在市公安部门备案,但是目前信息安全基础建设还比较薄弱,与当前严峻的信息安全形势相比还有较大的差距。目前我校已经成功备案的信息系统有环境与能源工程学院网站、北京工业大学制冷与低温工程系、环境与能源工程学院化学化工系网页、教育部传热强化与过程节能重点实验室,传热与能源利用重点实验室、北京工业大学室内环境检测中心信息系统、北工大化学实验教学中心实验室信息管理系统、校办主页、财务信息系统等30多个信息系统。
项目范围
对现有北京工业大学内重要业务系统及网络进行规范化的资产与威胁识别、风险分析等工作。
部署相应的基本的扫描、检测、审计和系统加固的软件或系统平台
编写北京工业大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。
协助完善制定学校的信息安全规章制度、规范等建议书
对北京工业大学综合信息支撑平台(包括统一身份认证、统一门户平台和公共数据库平台)、校主页、网站群平台、一卡通等主要校级应用系统进行等级保护服务。
主要工作内容:
通过风险评估、安全保障体系的设计以及等级保护安全保障体系设计,达到下述客户需求:
风险评估 | 差距分析 | 技术分析 | 根据国家信息安全等级保护相应级别的技术要求,通过访谈、调研问卷、技术测试、查阅资料等多种手段,逐项分析信息系统安全防护水平与等级保护相应级别技术要求的差距。 | |
管理分析 | 根据国家信息安全等级保护相应级别的管理要求,通过访谈、调研问卷、查阅资料、要求客户举证等多种手段,逐项分析信息系统安全防护水平与等级保护相应级别技术要求的差距。 | |||
资产识别 | 资产识别 | 对信息系统业务及其关键资产进行识别,并合理分类;在资产识别过程中,需要详细识别核心资产的安全属性,重点视别出资产在遭受泄密、中断、损害等破坏时所遭受的影响。 | ||
威胁识别 | 威胁识别 | 通过威胁调查、取样等手段识别被评估信息系统的关键资产(主机、服务器、网络、应用系统等)所面临的威胁源,及其威胁所常采用的威胁方法,对资产所产生的影响。 | ||
脆 弱 性 识 别 | 基础环境脆弱性识别 | 对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别。 | ||
安全管理脆弱性识别 | 从以下几方面分析信息系统:策略、组织架构、校方人员、安全控制、资产分类与控制、系统接入控制、网络与系统管理、业务可持续性发展计划、应用开发与维护及可适应性。 | |||
技术脆弱性识别(工具) | 采用扫描工具软件对评估工作范围内的主机、服务器、网络设备、操作系统、关键软件进行系统脆弱性评估以及对Web服务器的脆弱性评估。主要包含:安全管理、审计、服务、系统漏洞、拒绝服务等各方面的脆弱性。 | |||
技术脆弱性识别(手工) | 采用手动检查、问卷调查、人工问询等方式对评估工作范围内的主机、服务器、网络设备、操作系统和关键软件进行系统脆弱性评估。主要包含:安全管理、审计、服务、系统漏洞、拒绝服务等各方面的脆弱性。 | |||
安全措施识别 | 安全措施 识别 | 通过问卷调查、人工检查等方式识别被评估系统的有效对抗风险的防护措施(包含技术手段和管理手段)。 | ||
风 险 分 析 | 资产分析 | 分析系统及其关键资产在遭受泄密、中断、损害等破坏时对系统所承载的业务系统所产生的影响。并进行赋值量化。 | ||
威胁分析 | 分析系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法。并依据其发生的可能性和成功后所产生的影响进行赋值量化。 | |||
脆弱性分析 | 分析系统及其关键资产所存在的各方面脆弱性即基础环境脆弱性、安全管理脆弱性、技术脆弱性。并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化。 | |||
日志审计 | 对主机、服务器、网络的运行日志进行审计,分析可能造成的威胁事件、恶意攻击的源节点进行分析、查找等。 | |||
安全措施有效性分析 | 对安全措施所采取后的有效性进行分析,分析其安全措施对防范威胁、降低脆弱性的有效性。 | |||
综合风险 分析 | 分析系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,同时将风险量化。 | |||
风险处理 | 风险处理 计划 | 根据系统安全风险大小、客户能够接受的风险程度,分析不同风险的处理方式和方法,如接受、转移或降低等。 | ||
风险的处理措施 | 部署相应的基本的扫描、检测、审计和系统加固的软件或系统平台 | |||
安全保障体系的设计 | 1、基于信息系统级别,根据差距分析和风险评估结果,依据国家信息安全等级保护技术要求和管理要求,设计符合学校信息化建设的信息安全保障体系,选择适合的信息安全技术措施和管理措施,以指导信息安全等级保护建设,完成某某大学安全保障系统的整体规划、实施方案、经费预算和预期的目标。 2、协助完善制定学校的信息安全规章制度、规范等建议书。 | |||
等级保护 安全保障 体系设计 | 对北京工业大学综合信息支撑平台(包括统一身份认证、统一门户平台和公共数据库平台)、校主页、网站群平台、一卡通等主要校级应用系统进行等级保护服务。具体需求如下: 1)等保定级:协助学校对信息系统进行划分,确定等级,完成或完善保护等级备案工作,2013年完成一卡通系统、综合信息支撑平台等级保护工作。 2)等保评估:对上述系统进行全面评估,根据评估结果和确定的保护等级,结合“信息系统安全等级保护基本要求”中对各级别信息系统的技术和管理要求,协助学校调整相应的安全保护措施,等保管理整改:根据等级保护基本管理要求,结合学校实际需求,协助学校建设相应的组织体系、策略体系、运行体系,从而全面提升用户安全管理的层次和能力。 3)制定详细的等级保护技术整改方案; 4)协助学校完成等级保护测评材料,在测评过程中提供技术支持服务。 | |||
风险评估、评估内容:
本次项目的风险评估的主要对象对现有网络结构、网络设备、防火墙等硬件及30于台业务服务器操作系统、数据库、网络机房物理安全的基础评估工作。
评估方法及流程:
风险评估是安全防护体系建立过程中极其关键的一个步骤,它连接着安防重点和商业需求。通常采用以下特定的步骤来进行风险评估。
第一步:资产清单、定义和要求(所有需要保护的对象都是资产,如:数据库、软件等)
第一阶段 确定校方关键性的商务活动
第二阶段 编制关键性商务活动使用的资产清单
第三阶段 对这些资产进行重要性评估并赋值
第二步:脆弱性和威胁评估
第一阶段 运行自动化安防工具软件开始分析工作
第二阶段 人工复查
第三步:安全控制措施评估
认真考虑各种安防控制措施以及实施成本
第四步:分析、决策和文档
第一阶段 各种威胁的安防控制措施及实施成本分析表
第二阶段 针对威胁选定将要实施的安防控制措施
第三阶段 编写评估工作报告,得出结论
第五步:沟通与交流
与有关方面沟通评估结论
第六步:监督实施
密切注意和分析新的威胁并对安防控制措施作必要的修改。校方的重大变革将导致一次新的风险评估过程
以上步骤中,第二步脆弱性和威胁评估是比较重要的,它是决定校方安全策略的基础。目前有许多工具软件能够帮助完成脆弱性和威胁评估的任务。
评估结果分析:
根据评估结果得到的相关信息网络或服务器上需要对哪些安全风险问题进行关联分析。首先,根据现有的网络结构、网络设备漏洞、操作系统漏洞、数据库安全等安全问题,结合使用中的已存在安全风险的安全点上进行有效的风险控制,通过网络结构的调整、防火墙的策略调整等方式给出最佳评估解决方案,以及如何避免以后系统添加新功能、新业务的时候改动时需要遵循的安全建议。
交付成果:
根据对校方最终的了解后,会对上述评估结果进行汇总并出具下列成果文档:
《风险评估综合报告》
《资产评估报告》
《威胁评估报告》
《脆弱性评估报告》
提交关于北京工业大学信息化建设安全管理的规章制度、规范等建议书
在本项目中,应急预案内容将包含制定相应应急响应组织、预防预警机制、事件定义分类、应急响应程序、事件上报处理机制、后期处理机制等内容。具体将分为不同的预案。
实施方案/主机安全检查/检查内容:
北京工业大学主机安全检查是对现有50于台业务服务器系统进行的安全审计检查,并对结果进行分析,包括Windows、Unix、类Linux等操作系统检查策略配置等安全项。
检查操作系统、常用中间件、常用数据库各配置项的设置是否安全。
日志分析:
对操作系统、常用中间件、常用数据库的日志进行初步分析,判断系统是否存在异常,根据判定情况,及时发现最新漏洞隐患及入侵痕迹,可以向信息中心申请开展进一步的主机安全检查和应急相应,确保各类主机系统日常安全稳定的运行。
补丁检查:
升级更新是否及时。对操作系统、常用中间件、常用数据库的升级更新情况进行确认,确认是否存在没有更新补丁和没有升级版本的情况,并确认已更新补丁和升级版本是否存在空窗期过长的现象。
进程检查:
判定可疑程序。对应用系统是否存在可疑可执行程序,包括后门、木马文件、病毒等。根据判定情况,可以向信息中心申请开展进一步的主机安全检查和应急相应。
实施过程中将根据系统保护对象价值的不同,分别进行常规安全检查与高级安全检查,分析服务器系统深层次的、更加隐蔽性的安全漏洞、系统配置不当、隐蔽型木马后门等。
操作系统安全检查 Linux安全检查
版本及补丁:版本是否为存在安全隐患的版本,内核是否存在脆弱性;系统中是否存在安全漏洞,是否安装必要的安全补丁;
搜索路径:是否存在过大权限而存在隐患;
口令安全:检查是否存在未设置口令的帐户、口令强度是否符合安全标准;
进程检查:主要检查自启动项及已启动的进程是否存在可以进程;
访问安全:包括banner信息、远程登录SSH、Telnet、FTP、ICMP等方式是否设置了安全的配置,包括连接信息、用户、权限、访问限制等;
文件安全:默认重要文件安全属性是否配置正确、全局可写的文件或目录等;
日志审计:是否开启了日志审计,审计数据是否全面且可使用,系统是否增加FTP、inetd日志并审计日志内容、是否存在安全攻击或威胁记录等;
系统服务:被评估的主机中是否系统采用默认值等;Openssh、Tcp_Wrapper:系统是否安装openssh替代telnet和做相关的访问控制;
账号、角色和设置:系统是否存在许多无关的帐户例如guest、lp等;重要用户的权限是否配置正确,避免出现权限过大;
网络参数:是否设定了必要的网路参数,主要包括网络服务、Tcp/ip协议栈等安全检查,应对基于IP协议栈的攻击,例如:SYN FLOOD攻击、ip欺骗、ip spoofing攻击等,AIX采用默认值;
Windows安全检查
防病毒、防火墙:是否安装防病毒软件,所有主机防病毒软件的特征码和检查引擎是否保持更新到最新;是否安装第三方防火墙;或者开启Windows本身FW;
l 进程检查:主要检查自启动项及已启动的进程是否存在可以进程;
l 注册表安全设置:大多数主机的的注册表默认配置是否已经修改,例如:允许光盘自动运行;允许自动运行程序调试程序;允许蓝屏后自动重启系统;少数TCP/IP协议栈的安全加固没有做,如TcpMaxHalfOpen;在检查主机注册表配置的基础上,检查该主机时候有被入侵,木马植入等危险行为的痕迹;
l 账号、角色和口令设置:是否设置安全的密码策略;是否有必要的审核配置,利于系统的排错和安全事件处理;
l 不必要的服务:是否开启不必要的服务,例如 Alerter、Messenger、telnet等服务;
l 文件系统:是否使用了较安全的NTFS 文件系统格式;
l 重要文件权限:是否对重要文件权限进行安全设置例如:cmd.exe、tftp.exe、netstat.exe、regedit.exe、format.com等;
l 屏幕保护:是否设置屏幕保护;关键按键询问操作等;
l 无关的组件、软件:被评估的WINDOWS主机是否存在服务器无关的组件例子如:game、多媒体;
l 日志审计:系统是否设置相关的安全日志审计、日志大小空间分配、日志的具体内容,包括是否存在入侵行为,同时记录正常使用中的误操作以及恶意操作等;
l 默认共享:被评估的主机是否关闭系统默认共享(包括C、D、E、F等盘符);是否存在隐藏共享;
l 补丁审计:首先,检查补丁是否为最新状态,比对当前系统安装补丁时间与微软发布时间的差距,通过统计最新的补丁发布时间和被测主机实际更新的时间的时间差,查找在及时更新补丁之前可能发生的、利用该未修复漏洞发起的攻击和安全威胁.
数据库安全检查
l 版本及补丁:版本是否为存在安全隐患的版本,内核是否存在脆弱性;系统中是否存在安全漏洞,是否安装必要的安全补丁;
l 账号、角色和口令设置:是否设置安全的密码策略;是否有必要的审核配置,避免出现空口令,利于系统的排错和安全事件处理;
l 权限最小化:帐户及角色权限最小化,操作权限的配置是否合理;
l 日志审计:系统是否设置相关的安全日志审计、日志大小空间分配、日志的具体内容,包括是否存在入侵行为,同时记录正常使用中的误操作以及恶意操作等;
l 通信协议:是否设定了必要的网路参数,主要包括网络服务、Tcp/ip协议栈等安全检查,应对避免IP协议栈的攻击;使用加密通讯协议,避免信息劫持;
l 存储过程:删除不必要的存储过程;
中间件安全检查
l 版本及补丁:版本是否为存在安全隐患的版本,内核是否存在脆弱性;系统中是否存在安全漏洞,是否安装必要的安全补丁;
l 账号、角色和口令设置:是否设置安全的密码策略;是否有必要的审核配置,避免出现空口令,利于系统的排错和安全事件处理;
l 权限最小化:帐户及角色权限最小化,操作权限的配置是否合理;
l 日志审计:系统是否设置相关的安全日志审计、日志大小空间分配、日志的具体内容,包括是否存在入侵行为,同时记录正常使用中的误操作以及恶意操作等;
l 通信协议:是否设定了必要的网路参数,主要包括网络服务、Tcp/ip协议栈等安全检查,应对避免IP协议栈的攻击;使用加密通讯协议,避免信息劫持;WEB服务使用SSL加密通讯协议、FTP和telnet使用SSH协议等;
l 存储过程:删除不必要的存储过程;
l 默认端口:变更默认应用端口,避免被工具或病毒进行批量扫描攻击;
l 登录时长:设置登录时长,避免出现DDOS及帐户盗用现象;
l 错误重定向:WEB默认错误页面重定向,避免被工具或病毒进行批量扫描攻击;
检查方法及流程
登录服务器执行安全检查,根据实际应用环境,可进行主机安全检查、应用安全检查和数据库安全检查。主要分为工具检查和人工检查两种方式:
类型 | 检查方式 | 配置安全 | 日志检查 | 进程检查 | 补丁检查 |
操作系统 | 工具+人工 | 工具+人工 | 人工 | 工具+人工 | 人工 |
数据库 | 工具+人工 | 工具+人工 | 人工 | 工具+人工 | 人工 |
中间件 | 工具+人工 | 工具+人工 | 人工 | 工具+人工 | 人工 |
工具扫描
使用最新版本的网域网络扫描系统、榕基等扫描器对所选定的服务器和终端进行安全扫描,发现系统漏洞和不合理的安全配置,扫描器支持本次项目中的所有操作系统类型。漏洞扫描主要步骤为:
n 根据某某大学实际情况及要求,确定安全扫描实施范围;
n 根据扫描对象选择适合的扫描工具及策略;
n 制订详细的扫描方案,主要包括:
扫描范围
扫描时间
实施人员
扫描工具部署位置
扫描策略
风险规避措施
n 根据安全扫描的结果,编制《安全扫描报告》。
在实施安全扫描服务的过程中,网御星云拥有完善的风险规避措施,避免在扫描过程中对客户网络或业务系统造成不必要的影响。
n 派遣有丰富安全扫描经验的安全工程师进行安全扫描操作;
n 采用的扫描工具是通过国家权威测评机构认可的商用扫描工具;
n 网御星云会根据客户实际情况在保证扫描效果的前提下,配置科学、高效的扫描策略,同时根据客户业务的实际情况在非业务高峰期实施。
人工检查
根据本次评估的操作系统类型参照相关的检查列表进行手工检查分析,对比差异项进行报告记录。
人工检查流程:
严格的实施流程控制能使得项目实施达到更好的效果,我们所实施的项目流程包括了计划和设计(Plan)、建设和实施(Do)、运行和监控(Check)以及维护和改进(Action)。最终出具检查报告并针对安全检查项清单明确说明:1)已经符合要求的安全项;2)不符合要求,需要应维人员评估确认后自行修复的检查项,并提出修复方法。
检查结果分析
在主机检查的基础上需要对检查中所暴露的问题进行关联分析。首先,根据现有的应用系统操作系统使用防病毒软件、防火墙的情况,结合使用中的被病毒和恶意软件感染、遭受攻击的可能性,识别该操作系统所需要的防病毒软件、防火墙的级别,分析并给出该操作系统使用防病毒软件、防火墙的最佳选择。对于操作系统的注册表,在检测结果的基础上,分析注册表现有配置存在脆弱性的原因,以及如何避免以后应用系统添加新功能、新业务的时候注册表改动时需要遵循的安全建议。
对于账号和口令策略,重点结合实际情况,分析现有的账号口令策略的安全程度,在实际使用的繁琐程度能够容忍的情况下,向用户推荐安全程度最高的策略配置。对于网络和服务,在结合应用系统的具体情况和所需的网络和服务的情况下,对于已经开启的服务,识别并建议关闭非必要、有脆弱性的服务,对于必须开启的服务,结合应用系统的业务特点,给出加固建议。
对于操作系统所使用的文件系统,给出增强文件系统安全的措施,在保障业务流畅使用的情况下保证文件系统的安全性。同时对于该操作系统的各关键文件和目录的共享,在前期调研和主机检查的基础上,对于必须使用共享服务的文件和目录,通过分析给出共享和权限设置的建议。对于未及时安装的操作系统补丁,在漏洞补丁公布到安装补丁之间的这段时间里,该操作系统可能存在被针对该种漏洞的补丁攻击的安全威胁,所以在检查补丁安装情况的时候,对于未及时安装、且对应漏洞近期有重要的攻击手段流行的情况需要重点查验,以确定在未安装相应补丁的时间段内是否遭受到攻击。
最后,访问控制方面,结合主机检查的记过和实际应用系统使用的情况,分析得出最佳的访问控制管控策略,给出访问控制策略配置建议。