终端威胁评估
ETA
技术白皮书
天擎团队
2019年04月
目录
一、引言 (1)
二、产品概述 (2)
三、产品架构 (2)
3.1单机模式 (2)
3.2单机模式+管理中心 (3)
四、产品特性 (5)
4.1产品自身安全性保障 (5)
4.1.1国密芯片 (5)
4.1.2专有安全接口支持 (5)
4.1.3易用兼容 (6)
4.1.4存储隔离 (6)
4.2产品价值 (6)
4.2.1评估病毒木马的问题 (6)
4.2.2评估安全基线达标的问题 (6)
4.2.3评估终端管控合规的问题 (7)
4.2.4评估数据安全性泄露问题 (7)
4.3接入灵活性 (7)
4.3.1授权唯一性 (7)
4.3.2无缝升级 (7)
终端威胁评估产品白皮书
4.3.3多平台多场景多适应性 (7)
五、主要功能 (8)
5.1客户端 (8)
5.1.1病毒检测 (8)
5.1.2高危漏洞扫描 (13)
5.1.3系统安全性检测 (13)
5.1.4数据安全性检测 (14)
5.1.5管控合规性检测 (14)
5.2管理中心 (15)
5.2.1设备及授权管理 (15)
5.2.2终端威胁数据管理 (16)
5.2.3威胁评估模版定制 (17)
5.2.4升级管理 (17)
六、技术优势 (18)
6.1自主知识产权 (18)
6.2便捷无缝应用 (18)
终端威胁评估产品白皮书一、引言
随着IT技术的飞速发展以及互联网的广泛普及,各级政府机构、组织、企事业单位都分别建立了网络信息系统。虽然防火墙、入侵检测系统等常规的网络安全产品可以解决信息系统一部分安全问题,但计算机终端的信息安全一直是整个网络信息系统安全的一个薄弱环节。据权威机构调查,超过85%的安全威胁来自企事业单位内部。在国内,高达80%的计算机终端应用单位未部署有效的终端安全管理系统和完善的管理制度,造成内部网络木马、病毒、恶意软件肆虐,各种0day漏洞、APT攻击层出不穷。同时系统与应用软件的安全漏洞使得黑客入侵有机可乘;自主知识产权操作系统的缺乏,使得国内广大XP用户在停服后面临前所未有的挑战。除此之外,企事业单位内部网络与终端安全问题还包括:
终端病毒、木马问题严重,不能高效检测;
全网被动防御病毒、木马的传播与破坏,无法应对未知威胁;
不能及时发现系统漏洞并进行补丁分发与自动修复;
终端出了安全事件后需依靠大量人工现场处理,不能提前预警;
未经认证的U盘、移动硬盘等设备载体的不正当接入;
光驱、网卡、蓝牙、USB接口、无线等设备管理不当成为风险引入的新途径;
终端随意接入网络,入网后未经授权访问核心资源;
非法外联不能及时报警并阻断,导致重要资料数据外传流失;
终端随意私装软件,恶意进程持续消耗有限网络带宽资源;
核心资料文档的操作确实必要的终端审计措施;
……
针对以上问题,奇安信推陈出新,发布了针对终端威胁发现的安全评估软件-终端威胁管理。
二、产品概述
针对终端、服务器建立终端威胁评估手段,通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估,帮助用户去检测、评估、自查本身终端安全威胁和风险。三、产品架构
ETA产品具备灵活拆分和组合的产品架构特性,客户端即插即用载体可以单机独立使用,同时对于需要对评估数据和客户端设备集中管理需求的用户,可提供集中管理中心进行统一的管理。
3.1单机模式
单机版ETA为即插即用式小型便携设备,无需安装,直接使用。
单机版为独立应用的客户端,ETA客户端为即插即用小型便携设备,内置国密芯片,并
配备专有安全接口定制,可以保证整个评估过程的安全性和保密性,无论是在隔离的机要终端,还是常规终端,都可以放心安全的使用。
客户端系统架构
安全性保障
设备出厂时会在隐藏分区存储一对公私钥,每个设备中的密钥都不相同。需要向本地硬盘存放关键临时文件时,UDiskOper.dll中的接口会自动从隐藏分区获取私钥,对内存中的buggfer加密后再写入本地硬盘;需要从本地硬盘拷贝文件时,UDiskOper.dll中的接口会自动从隐藏分区获取公钥,读取文件内容并作解密,解密的内容buffer头符合规范,才允许写入否则拒绝,这样可以保证数据的不可伪造和不泄漏,评估完成后本地的临时文件会被清除。
3.2单机模式+管理中心
管理中心是终端威胁评估的配置和集中管理中心,部署在服务器端,主要包括终端即插即用客户端的授权和管理、威胁评估模版的定义、评估模版的管理、数据报表的管理等几大功能。
管理中心系统架构
管理中心采用B/S架构,管理员可以随时随地的通过浏览器打开访问,对终端威胁评估上报上来的威胁数据进行管理。通过管理中心,管理员可以了解全网终端的风险信息,通过报表分析,掌握全网威胁状况。
数据流转架构图
四、产品特性
4.1产品自身安全性保障
4.1.1国密芯片
即插即用客户端设备采用国密芯片,是国家密码管理局认证通过的安全芯片,国密芯片集成了高速的安全算法和通讯接口,摒弃了传统的数据加解密处理方式,使数据流加解密速度大幅提升,适用于高速数据流加密。ETA产品采用此芯片,为产品的安全性保障奠定基石。
4.1.2专有安全接口支持
为提供一个安全的数据流转环境,保障数据的安全性,特定制专有固件接口,可以有效的防止终端恶意代码的侵害,同时,通过本地的评估,可对终端中恶意代码等威胁行为,进行有效的检测,通过特定的接口保存在存储区,物理隔离保证数据安全。
4.1.3易用兼容
无需在客户端中安装任何软件,即插即用,方便使用;
兼容多个业务场景和操作系统,不会与终端中的业务软件或办公环境进行影响。
4.1.4存储隔离
在终端评估后,抓取存储上万级别的恶意样本和信息,并独立存储。
4.2产品价值
4.2.1评估病毒木马的问题
随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。终端威胁评估系统集成了奇安信强大的病毒检测模块,拥有AVE启发式杀毒引擎、QEX特征识别引擎、BD引擎等能有效的对终端病毒及APT进行检测。
4.2.2评估安全基线达标的问题
在企业中,越来越多的单位的信息泄漏、数据丢失、遭受个人财产的勒索等问题,都是由于终端受到各种病毒的入侵所带来的危害,这些危害均来自终端本身的安全性配置较低导致,终端的安全标准配置过低,不定期的对终端的安全环境进行检测和评估,是导致终端面临风险的最大主因,终端威胁评估系统从系统本身出发,完善系统安全加固体系,通过制定自主可控的安全标准,对终端安全基线标准进行检测,检测后生成可视化的安全基线不达标的问题,帮助管理者和终端进行安全标准的完善来降低终端的安全风险。
4.2.3评估终端管控合规的问题
终端用户环境有很多时候不合规的电脑操作行为,导致终端被入侵或存在安全风险,终端威胁评估能结合合规性管理要求执行终端评估策略,有效对终端进行合规性管理,减低风险。
4.2.4评估数据安全性泄露问题
在企业中,每个终端中都存在各种各样的企业信息,它可能是日常的办公纪要,也可能是涉及到企业机密的关键信息,这些终端中的各种各样的关键信息都关系到涉密数据的外泄,数据安全性评估模块可统计终端中的关键信息,通过关键信息的评估,可以直观的量化终端中存在的敏感数据或涉密信息的数量,有效控制和保障终端数据的安全性。
4.3接入灵活性
4.3.1授权唯一性
每个客户端设备具有唯一性标识,可通过此标识来确认客户端的授权期限及版本情况。
4.3.2无缝升级
基于单机的客户端设备,可以通过连接公网进行无缝升级。
4.3.3多平台多场景多适应性
支持在多平台,不同的应用场景中,方便的使用客户端设备进行即插即用的便携检测。
五、主要功能
5.1客户端
5.1.1病毒检测
病毒检测模块设计目标/产品价值
随着黑客攻击手段的不断进化,新兴病毒样本成指数倍增长,传统杀毒引擎已疲于应对。终端威胁评估安全管理系统集成了奇安信强大的杀毒模块,拥有AVE启发式杀毒引擎、QEX特征识别引擎、BD引擎等可对各种新兴变种病毒进行有效检测。
终端威胁评估系统防病毒组件通过在终端机器上安装一个终端安全代理软件,有效对终端进行安全加固,提供防护能力,抵御来自外来网络的黑客攻击。
管理员可以通过控制中心对终端进行统一的病毒查杀行为管理,制定定时查杀任务,辅以我们的主动防护引擎,确保内网安全。也可通过对检测出来的威胁文件进行隔离,保护内网安全。
病毒检测模块原理介绍
通过客户端程序进行文件扫描,根据客户环境可以使用强大检测引擎,进行威胁文件的识别。在扫描过程中除了上述引擎,同时启用PE启发式引擎AVE引擎、非PE病毒扫描引擎QEX 引擎、BD引擎等几大引擎,全方位扫描文件,不放过一个死角。
病毒检测模块组成与架构
病毒检测模块是由多种本地查杀引擎主导,本地查杀引擎有PE启发式引擎AVE引擎、非PE病毒扫描引擎QEX引擎、第三方引擎BD引擎等。
该引擎适用于纯隔离网环境下终端威胁评估客户端进行样本查询,引擎内置2亿样本MD5
库,可通过升级的方式进行病毒库更新。
病毒检测模块数据流程图
?AVE引擎
AVE引擎基于传统广谱反病毒查杀特征引擎,采用病毒记录/库的架构模式,由数据驱动(病毒记录)对样本进行匹配查毒。该引擎对每个待查PE文件(Windows可执行文件)进行多重解析,提供高于传统特征引擎的解析的信息供给记录进行匹配。
广谱反病毒查杀技术是一个基于传统Windows可执行文件反病毒特征码查杀引擎上发展起来的改进型特征码查杀引擎,在传统的特征码查杀引擎的基础上,增强了广谱查杀和病毒修复能力,添加了基于脚本的逻辑控制能力,同时其利用奇安信强大的大数据处理能力的维护流程,具有高灵活性、高查杀、高效率、反应快、无误报的特点。
该引擎由COM组件编写构成,具有很灵活的可扩展性,对于其核心的“方法”可以随时添加。该引擎的分析处理和执行流程示意如下:
AVE广谱病毒查杀引擎示意图
该引擎的病毒记录不同于传统特征引擎,提供了复杂逻辑控制,每条记录基于自定义的脚本编写,通过解释执行编译成二进制的病毒库来进行遍历匹配查毒。每条病毒记录由1个或多个方法构成,方法包括定位、匹配、逻辑控制等方法,执行一条记录时依次执行该记录的方法(逻辑控制方法可改变执行顺序),当所有方法执行成功表示执行成功,或者通过逻辑控制方法直接控制返回成功或失败。
该引擎具备如下特点:
(1)增强的广谱病毒查杀能力
传统的特征码查毒引擎,其原理基于定位和匹配,方法较为单一。而该引擎提供了多种高级复杂的定位、匹配方法,并提供了更加高级抽象的查毒方法,大大提高了查毒的灵活性、与查毒能力。
在定位方面,引擎在传统特征引擎常见的“文件偏移”、“入口偏移”、“节偏移”的基础上,提供了如“输出函数偏移”、“资源偏移”、“导入函数调用偏移”等多种定位方法,使得可以在多个层次对目标文件进行定位。
在匹配方面,该引擎提供了高效率的普通匹配和模糊匹配方法,在不影响效率的情况下,大大提高了匹配能力与速度。
除在传统特征引擎具有的定位和匹配能力上提高外,还提供了许多高级抽象方法用于查毒,如“导入函数匹配”、“指令分析匹配”、“资源匹配”等多种基于样本解析抽象匹配方法。
(2)基于脚本的复杂逻辑控制能力
传统特征码引擎的查杀记录的结构和方式比较固定,无逻辑控制能力,对于复杂病毒,通常需要分析员另为编写专杀程序或模块,编写、测试、更新反应速度较慢。
该引擎提供了较为复杂的逻辑控制能力,提供了“可编程”的查杀能力。查杀记录基于自定义脚本语言,提供了选择、循环等编程语言具有的逻辑控制能力,可以提供接近于编程实现的灵活控制能力。同时由于其查杀脚本编译为病毒库中的数据,由引擎模块解释执行,因此在编写、测试、升级等方面大大高于传统引擎应对复杂病毒的速度。
查杀脚本语言为类x86的汇编语言,使精于汇编的病毒分析人员极易上手,同时其编译后解释执行的速度很快。
(3)依托于奇安信大数据处理能力的高效、严格的处理维护流程
传统特征码查杀引擎的最大缺点就是只有获取样本后才能查杀,反应速度较慢。该引擎依托大数据处理能力,在这方面具有明显提高,有以下特点:
(4)极强的样本修复能力
感染型病毒虽然在种类上在病毒中占比很小,但其破坏性最大,如查到不能修复将极大
的破坏用户计算机。该引擎针对感染型病毒的修复,提供了多种复杂的修复能力,结合逻辑控制能力,可以支持修复绝大多数感染型病毒,降低了写病毒专杀程序或模块的开销,提高了对感染型病毒处理的反应速度。
(5)高效快速的轻量级引擎
该引擎是一个轻量级的引擎,相比于其它方式的反病毒引擎,具有极高的性价比。
QEX引擎
恶意代码种类繁多,除了可执行程序、动态库、驱动程序等PE文件外,办公中经常会用到的word文档,excel表格,powerpoint幻灯片等office文件,pdf文档,计算机辅助设计的CAD文件,人们上网会接触到的html页面,swf动画,甚至图片、mp3等都有可能是病毒或漏洞利用程序,QEX引擎基于文件格式解析多种非PE文件,使用动静态特征匹配与启发式检测算法,具备虚拟执行脚本功能,能够准确识别脚本、文档等格式的恶意文件并进行清除,全面支持对这些非PE文件恶意程序的查杀。
QEX引擎工作流程
QEX引擎在处理这些文件时不是简单的特征匹配,而是按照不同文件的特定格式深入进行解析。首先,在文件格式判定上,根据文件头或签名进行判断,其次采用自有专利技术的基于决策树的文件格式智能判定方法,对文件进行格式判定区分。第二,在格式解析上又区分为二进制格式与文本格式,二进制格式采用内嵌文件提取、解密、解压缩等格式解析方法,文本格式则采用语法制导的语法分析方法,在有可能放置恶意代码或者导致漏洞利用的
地方进行特征码、正则特征、启发式特征多种方法检测;针对js,vbs,bat等可以进行多态变形的脚本类病毒,QEX引擎还采用了虚拟执行技术,通过运行环境的模拟,系统调用跟踪来分析样本运行的行为特征,深入观察分析内存和指令属性的变化,有效规避了高级恶意样本漏洞利用后的逃避行为,在漏洞利用阶段发现高级恶意未知样本的攻击。
?BD引擎
由于BD引擎为第三方引擎,技术细节暂不阐述。
5.1.2高危漏洞扫描
终端威胁评估系统具备高危漏洞识别能力,可检测常见的Winodows操作系统存在的各种高危漏洞,减少安全隐患。
5.1.3系统安全性检测
评估终端的使用配置和习惯是否存在安全隐患,从身份鉴别、安全设计、访问控制、资源控制和入侵防范5个领域进行系统安全性评估。
评估结果可以代表终端是否存在易被入侵的安全风险。
身份鉴别
对用户的身份安全性进行检测,包括登录失败限制、本地身份防盗用、密码维护要求这三方面的检查项配置,可有效避免攻击者通过暴力破解,字典尝试,hash碰撞,或使用破解工具破解口令等方式,使用户的计算机隔离风险。
安全审计
包括账户管理审核、登录注销审核、其他补充审核这三方面的检查项配置,可有效反应终端所处环境的安全状态,有助于管理员了解终端系统运行的动态情况。
访问控制
包括网络安全访问控制、数据泄漏控制、账户访问控制、账户权限控制这四方面的检查项配置,可有效预防未加固系统容易被攻击者在未授权的情况下访问或破坏系统的情况。
资源控制
包括服务资源控制、功能组件控制、设备资源控制这三方面的检查项配置,通过有效控制系统的资源,防止误配置或策略漏洞的出现,造成设备带漏洞入网和运营,防止攻击者通过这些缺陷进行非授权访问网络资源,从而造成信息泄露的安全威胁。
入侵防范
包括服务资源控制、功能组件控制、设备资源控制这三方面的检查项配置,防止因系统自身的安全脆弱性导致任何人都可以通过终端服务、客户端得到该机管理员权限,防止盗用者随意利用系统管理账号进入相应的系统,通过高权限修改其他账号的权限,增加或删除有关账号,窃取文件等危险操作。
5.1.4数据安全性检测
评估终端的数据资产的价值,通过数据内容检查和数据类型检查,判断终端数据对企业的价值。
评估结果可以表现终端沦陷后,造成企业数据泄漏沦陷的损失风险比重。
5.1.5管控合规性检测
评估终端的使用行为是否符合企业安全管理要求,包括是否安装违规的软件,违规的进程、违规外联,违规外设使用,违规访问行为等等。
评估结果可以表现终端挑战安全管理规范的严重程度。
5.2管理中心
在集中管理的需求场景下,可部署管理中心,对客户端设备和评估后的终端数据进行统一的管理汇总,也可以在管理中心制定终端设备评估的内容,方便制定自有的评估标准供客户端检测。
5.2.1设备及授权管理
如安装了管理中心,通过授权进行设备数量的控制,终端设备需要注册到管理中心,方可同步控制中心的评估模版,及上传评估数据。
注册设备
?客户端发起注册申请,网络连通时自动注册完成;
?解绑需由管理中心发起,客户端在连通时,自动获取解绑状态,自动解绑。
5.2.2终端威胁数据管理
通过终端设备评估过,存储在设备中的评估数据,可以通过配置,手动上传至管理中心,进行数据的分析汇总,日志报表的展示,并可以直接导出进行管理。
点击文章中飘蓝词可直接进入官网查看 安全监控运维管理平台系统 传统的运维管理系统已经不能满足企业对安全监控运维的需求,对于目前日益严重的网络安全问题,一套比较靠谱的安全监控运维管理平台系统非常重要。可以更好的实现对网络、应用服务器、业务系统、各类主机资源和安全设备等的全面监控,安全监控运维管理平台系统,哪家比较靠谱? 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向前发展。 目前公司软件研发部门绝大部分为大学本科及以上学历;团队中拥有系统架构师、高级软件工程师、中级软件工程师、专业测试人员;服务项目覆盖用户需求分析、系统设计、代码开发、测试、系统实施、人员培训、运维整个信息化过程,并具有多个项目并行开发的能力。 安全监控运维管理平台系统功能主要表现以下方面: 服务器硬件状态监控:通过服务器主板IPMI协议,可以监控服务器风扇转速、机箱内部和CPU温度、电源电压、电源状态、CMOS电池容量、CPU、磁盘、内存、RAID卡等硬件状态。 监控操作系统运行状态:包括 linux、windows、Vmware等操作系统运行状态的监控,以及所运行的进程和服务等。 数据库和应用监控:包括MSSQL、ORACLE、MYSQL等数据库监控,WEB服务器,URL页面等状态监控。 线路监控:包括内部专网、互联网等线路的通断和质量、流量的监控。
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
360网络安全准入系统 技术白皮书 奇虎360科技有限公司 二O一四年十一月
360网络安全准入系统技术白皮书更新历史 编写人日期版本号备注刘光辉2014/11/11 1.2 补充802.1x 目录
第一章前言 (5) 第二章产品概述 (5) 2.1产品构成 (5) 2.2设计依据 (5) 第三章功能简介 (6) 3.1 网络准入 (6) 3.2认证管理 (6) 3.2.1保护服务器管理 (6) 3.2.2 例外终端管理 (6) 3.2.3重定向设置 (6) 3.2.3 认证服务器配置 (6) 3.2.4 入网流程管理 (7) 3.2.5 访问控制列表 (7) 3.2.6 ARP准入 (7) 3.2.7 802.1x (7) 3.2.8 设备管理 (7) 3.3用户管理 (8) 3.3.1认证用户管理 (8) 3.3.2注册用户管理 (8) 3.3.3在线用户管理 (8) 3.3.4用户终端扫描 (8) 新3.4 策略管理 (8) 3.4.1 策略配置 (8) 3.5系统管理 (8) 3.5.1系统配置 (8) 3.5.2接口管理 (9) 3.5.3 路由管理 (9) 3.5.4 服务管理 (9) 3.5.5 软件升级 (9) 3.5.6 天擎联动 (9)
3.6系统日志 (9) 3.6.1违规访问 (9) 3.6.2心跳日志 (10) 3.6.3 认证日志 (10) 3.6.4 802.1x认证日志 (10) 第四章产品优势与特点 (10) 第五章产品性能指标 (10) 5.1测试简介 (10) 5.2被测设备硬件配置 (10) 5.3 360NAC抓包性能指标 (11) 第六章产品应用部署 (11) 6.1 360NAC解决方案 (11) 6.1.1部署拓扑 (11) 6.2.基本原理 (13) 6.2.1 360NAC工作流程图 (13) 6.2.2 360NAC工作流程图详述 (14) 6.2.2.1 360NAC流程一部署 (14) 6.2.2.2 360NAC流程二部署 (14) 6.2.2.3 360NAC流程三部署 (14)
企业网络安全管理制度文件编号:企业网络安全管理制度 版本历史 编制人: 审批人:
为加强公司网络系统的安全管理,防止因偶发性事件、网络病毒等造成系统故障,妨碍正常的工作秩序,特制定本管理办法。 一、网络系统的安全运行,是公司网络安全的一个重要内容,有司专人负责网络系统的安全运行工作。 二、网络系统的安全运行包括四个方面: 网络系统数据资源的安全保护、网络硬件设备及机房的安全运行、网络病毒的防治管理、上网信息的安全。 (一)数据资源的安全保护 1、办公室要做到数据必须每周一备份。 2、财务部要做到数据必须每日一备份。 3、一般用机部门要做到数据必须每周一备份。 4、系统软件和各种应用软件要采用光盘及时备份。 5、数据备份时必须登记以备检查,数据备份必须正确、可靠。 6、严格网络用户权限及用户名口令管理。 (二)硬件设备及机房的安全运行 1、硬件设备的供电电源必须保证电压及频率质量,一般应同时配有不间断供电电源,避免因市电不稳定造成硬件设备损坏。 2、安装有保护接地线,必须保证接地电阻符合技术要求(接地电阻≤2Ω,零地电压≤2V),避免因接地安装不良损坏设备。 3、设备的检修或维护、操作必须严格按要求办理,杜绝因人为因素破坏硬件设备。
4、网络机房必须有防盗及防火措施。 5、保证网络运行环境的清洁,避免因集灰影响设备正常运行。 (三)网络病毒的防治 1、各服务器必须安装防病毒软件,上网电脑必须保证每台电脑要安装防病毒软件。 2、定期对网络系统进行病毒检查及清理。 3、所有U盘须检查确认无病毒后,方能上机使用。 4、严格控制外来U盘的使用,各部门使用外来U盘须经检验认可,私自使用造成病毒侵害要追究当事人责任。 5、加强上网人员的职业道德教育,严禁在网上玩游戏,看于工作无关的网站,下载歌曲图片游戏等软件,一经发现将严肃处理。 (四)上网信息及安全 1、网络管理员必须定期对网信息检查,发现有关泄漏企业机密及不健康信息要及时删除,并记录,随时上报主管领导。 2、要严格执行国家相关法律法规,防止发生窃密、泄密事件。外来人员未经单位主管领导批准同意,任何人不得私自让外来人员使用我公司的网络系统作任何用途。 3、要加强对各网络安全的管理、检查、监督,一旦发现问题及时上报公司负责人。公司计算机安全负责人分析并指导有关部门作好善后处理,对造成事故的责任人要依据情节给予必要的经济及行政处理。 三、未经公司负责人批准,联结在公司网络上的所有用户,严禁在同过 其它入口上因太网或公司外单位网络.
运维管理系统方案 概述 伴随着企事业网络规模的不断扩大,企事业服务器的增多,企事业管理的信息化,企事业网络管理也变的越来越重要。一旦网络、服务器、数据库、各种应用出现问题,常常会给企事业造成很大的损失。怎样能7x24小时检测网络系统的运行情况,避免各种故障的发生,改进传统的网络管理方式来适企事业信息化发展的需要? 因此,运维管理系统就有他的必要性。一个完备的运维管理系统能够提供7x24小时检测网络、服务器、数据库、各种应用系统,及时发现将要出现的问题,并通过短信、Email、声音报告给运维管理人员。运维管理人员就可以及时排除故障,避免造成重大损失。 运维管理系统的功能: ?故障发现与警报; ?记录日常运维日志信息; ?服务器故障统计; ?服务器软硬件信息统计; ?服务进程管理; ?将数据信息存储到数据库,并使用图形方式直观的展示出来; ?权限、密码管理; ?将数据生成报表。 运维管理系统的特点: ?邮件和短信实时故障报警; ?B/S结构,能够通过web对远程服务器下达指令; ?监控服务器和被监控服务器之间通过python socket来发送信息; ?统计日常故障处理,以便下次出现同样故障时能够更快的解决问题; ?实现自动化管理和自动化监控; ?安全管理服务器性能; ?操作流程统计与管理。
系统结构 运维管理系统采用B/S构架,运维管理人员随时随地可以对服务器进行管理、配置及故障处理。它是将部署在同一个局域网内的所有服务器统一管理,服务器之间的信息通讯、指令发送、运维管理都通过python来实现。监控服务器端负责采集、统计和分析数据,在数据出现异常时发送报警信息到管理员的email、手机中,并将错误日志存储到数据库中。 运维管理系统主要通过LAMP服务器、python编程、snmp和shell编程来实现。在被监控端安装python服务,并在被监控服务器上部署python程序和shell脚本用于接受监控服务器端指令、信息采集并发送会监控服务器端。监控服务器端部署python程序和LAMP服务器,用于发送指令、接受数据信息、存储数据、统计数据以及异常报警。 运维管理人员日常通过web浏览器远程登录监控管理系统,检测各被监控服务器的运行状态、服务状态、防火墙配置、进程信息、操作日志等信息。在出现异常时,通过运维系统可以查看到具体的异常服务器、进程等信息,并根据这些信息来处理异常。
360运维安全管理与审计系统 产品白皮书 2017年2月
目录 1.产品概述 (3) 2.产品特点 (3) 健全的账号生命周期管理 (3) 丰富多样的安全认证机制 (4) 细粒度的访问授权与控制 (4) 监控与敏感过程回放 (4) 性能资源弹性调度 (5) 成熟的高可用性机制 (5) 3.主要功能 (5) SSO单点登录 (5) 集中账号管理 (5) 集中身份认证 (6) 统一资源授权 (6) 集中访问控制 (6) 集中操作审计 (6) 4.核心功能列表 (7) 5.产品价值 (8) 规范运维管理 (8) 降低资源风险 (8) 提高管理效益 (8) 过程透明可控 (8) 完善责任认定 (8) 满足各组织合规要求 (8)
1.产品概述 随着企业信息系统规模的不断扩大,业务范围的快速扩张,运维工作量也随之增多。在运维过程中存在事前身份不确定、授权不清晰,事中操作不透明、过程不可控,事后结果无法审计、责任不明确导致客户业务及运维服务面临安全风险。 360运维安全管理与审计系统是针对政府、金融、医疗、电力、教育、能源、企业、军队、海关等重点行业客户推出的,主要解决事企业IT运维部门账号难管理,身份难识别,权限难控制,操作过程难监控,事件责任难定位等问题。360运维安全管理与审计系统基于软硬件一体化设计,集账号、认证、授权、审计为一体的设计理念,实现对事企业IT中心的网络设备、数据库、安全设备、主机系统、中间件等资源统一运维管理和审计。对运维人员整个操作过程处于可管、可控、可见、可审的状态,为事企业IT中心运维构建一套事前预防、事中监控、事后审计完善的运维管理体系。 2.产品特点 健全的账号生命周期管理 通过主从账号分离的方式来将账号与具体的自然人相关联。通过这种关联,可以实现多级的用户管理和细粒度的用户授权,并针对自然人的行为审计。 密码强度策略对主从账号密码强度进行监测,强制对密码强度进行修改至符合强度要求才可进行修改或登录。 360运维安全管理与审计系统提供账号密码到期提醒功能,强制对密码到期的用户进行密码修改,结合密码强度实现定期对密码按照密码强度强制修改。 360运维安全管理与审计系统可对用户帐号密码、资源帐号密码按照密码策略要求进行定期、定时自动变更密码,防止口令因为过于简单易于猜测而被破解
8.3I T运维信息安全解决方案 随着信息安全管理体系和技术体系在企业领域的信息安全建设中不断推进,安全运维占信息系统生命周期70% - 80%的信息,并且安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系的建设已经被提到了一个空前的高度上。它不仅单单是一个体系的建设,更是IT系统管理中的夯实基础。 运维服务的发展趋势对于企业的安全运维服务管理的发展,通常可以将其分为混乱阶段、被动阶段、主动阶段、服务阶段和价值阶段这五个阶段。 1、在混乱阶段:运维服务没有建立综合的支持中心,也没有用户通知机制; 2、在被动阶段:运维服务开始关注事件的发生和解决,也开始关注信息资产,拥有了统一的运维控制台和故障记录和备份机制; 3、在主动阶段:运维服务建立了安全运行的定义,并将系统性能,问题管理、可用性管理、自动化与工作调度作为重点; 4、在服务阶段,运维服务工作中已经可以支持任务计划和服务级别管理; 5、在价值阶段,运维服务实现了性能、安全和核心几大应用的紧密结合,体现其价值所在。
安全的概念 信息安全的概念在二十世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪后,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已经成为了全社会关注的问题。国际上对于信息安全问题的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国目前也已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形。 关于信息安全的定义也有很多,国内学者与国外学者、不同的社会组织也给出了不同的定义。 ?国内学者的定义:“信息安全保密内容分为:实体安全、运行安全、数据安全和管理安全四个方面。” ?我国“计算机信息系统安全专用产品分类原则”中的定义是:“涉及实体安全、运行安全和信息安全三个方面。” ?我国相关立法给出的定义是:“保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全”。这里面涉及了物理安全、运行安全与信息安全三个层面。 ?国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说,就是要保障电子信息的有效性。”
点击文章中飘蓝词可直接进入官网查看 it安全运维系统 随着互联网大数据的发展,企业的IT系统会变得越来越庞大、复杂,it安全运维部门的职责也随之不断增加。但是与此同时,it安全运维还要降低IT成本,减少IT运维人员 的压力。这需要IT部门选择一个比较好的it安全运维系统来提供效率,提升系统性能, 并降低风险。 南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的 软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终 保持在领域上向前发展。 目前公司软件研发部门绝大部分为大学本科及以上学历;团队中拥有系统架构师、软 件工程师、中级软件工程师、专业测试人员;服务项目覆盖用户需求分析、系统设计、代码开发、测试、系统实施、人员培训、运维整个信息化过程,并具有多个项目并行开发的 能力。 自公司成立已来,本团队一直从事IT系统运维管理以及网络信息安全审计产品的开发,同时在电力、制造行业及政府部门的信息化、智能化系统的开发及信息安全系统的开发中 有所建树;在企事业协同办公管理、各类异构系统的数据交换与集成(企业总线ESB)、 电力行业软件系统架构设计、电网大数据量采集和数据分析、电能质量PQDF算法解析等应用方面拥有丰富开发的经验。特别在网络信息安全、IT应用系统的智能化安全监控领域具有独特的技术优势和深厚的技术储备。近年来随着企业的不断发展和技术的不断更新, 公司的开发团队正在拓展更多业务范围和更新的技术应用。
浅析构建信息安全运维体系 周晓梅-201071037 2018年11月20日 摘要:交通运输行业经过大规模信息化建设,信息系统数量成倍增加,业务依赖性增强,系统复杂度提高,系统安全问题变得更加突出、严重。建设系统信息安全运维管理体系,对保证交通运输行业信息系统的有效运行具有重要意义。 关键词:信息系统安全运维体系构建 安全不仅仅是一个技术问题,更是一个管理问题。实际上,在整个IT产品的生命周期中,运营阶段占了整个时间和成本的70% - 80% 左右,剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说"三分技术、七分管理"是突出管理的重要性,而这个"管理"则是大部分的精力花费在"运营"方面。随着信息安全管理体系和技术体系在政府或企业领域的信息安全建设中不断推进,占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,政府或企业运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。 任何为了信息安全所采取的任何安全措施,不管是技术方面的还是管理方面的,都是为了保障整个信息资产的安全,安全运维体系就是以全面保障信息资产安全为目的,以信息资产的风险管理为核心,建立起全网统一的安全事件监视和响应体系,以及保障这一体系正确运作的管理体系。 一、面临的问题 “十一五”以来,我国交通运输行业和部级信息化建设工作发展迅猛,取得了长足的进步,而部级信息化建设和管理工作中存在的一些问题和矛盾也日益凸显。当前部级信息化项目来源较多、资金筹措渠道复杂、建设和运行维护单位众多,而信息化标准规范体系不完善,由于缺乏有效的技术管理规范,非基本建设项目的建设实施还存在管控盲区,现有标准规范贯彻执行不足,系统建设实施过程中存在安全和质量风险,并对系统运行维护形成障碍,整体运行安全存在隐
应用管理系统安全运维管理制度 第一章总则 第一条编写目的:为统一规范应用管理系统(以下称本系统)的运行维护管理工作, 保障系统正常运行,特制订本制度。 第二条运维管理制度的适用范围:系统主管领导、系统运维人员、系统研发人员。 第二章运维部工作职责 第三条系统运维和技术支持: (一) 根据本系统的实施推进和发展目标,负责系统协同管理及支持数据交换策略调整、技术开发等工作,保障系统持续的、稳定的运行。 (二) 负责本系统的使用培训和操作使用指南编写,对用户使用过程中出现问题的沟通和解决; (三) 本系统日常运行过程中信息安全和技术问题的协调解决,保障网站24小时安全稳定运行。
(四) 负责本系统管理及设备保密口令的设置和保存,保密口令设定后任何人不得随意更改,保密口令每季度更新一次。 (五) 本系统管理实施过程新的需求方案的设计、开发和升级工作。 第四条信息和技术安全应遵循如下原则: (一) 执行国家有关网络信息技术安全的法律法规,与通信管理和网络安全监管部门联络,及时处理信息技术安全方面存在的问题,确保平台安全、稳定、可靠运行。 (二) 本系统安全保密制度和工作流程的制定,落实本系统技术安全保密责任制,执行“谁主管、谁负责,谁主办、谁负责”的原则,责任到人。 (三) 在服务器安装防病毒软件,确保本系统不受病毒和黑客攻击。 (四) 负责本系统的应急处理预案制定、修订和实施。 (五) 建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 (六) 建立本系统集中式权限管理,按照岗位职责设定工作人员操作权限,针对不同应用系统、终端、操作人员,设置共享数据库信息的访问权限,并设置密码。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏密码。
网神SecFox运维安全管理与审计系统 介绍
内容提纲 1.应用场景及需求分析 2.产品功能与优势 3.核心技术 4.部署场景分析CONTENTS
1 应用场景及需求分析
2013年6月,斯诺登事件将美国国家安全局的涉密文件曝光,给美国国家安全局造成了严重的声誉影响和信任危机 案例一 来自内部的威胁 ——安全公司 SailPoint 做了一个小调查,大概有20%的人很爽快地表示,只要价钱合适,出卖自己的工作账号和密码其实没问题! 2017年6月苹果内部和外包人员造成个人信息泄漏,涉案金额达5000万,涉及内部和外包人员22余人 案例五 2017年6月,智联招聘内部员工申某和李某,利用系统漏洞,私自将15万余份简历低价买给余某,余某再卖给企业人力资源,构成泄漏公民个人信息罪,三人均被判刑 案例四2016年4月,央视曝光,某银行内鬼泄漏储户银行卡和密码 案例三 2015年2月,“国际调查记者同盟”(ICIJ )公布了一份名为《瑞士解密》的调查报告,爆出汇丰银行瑞士分行61名重量级客户的账户资料,包括英国亲王、约旦国王 案例二 内部泄密案例
运维面临的困境 身份管理难 权限分配难 责任认定难 运维效率低
面临的问题需求分析 ?服务器资产庞大?设备密码管理复杂?误操作、恶意操作?第三方代维监管?责任难定位除合规性要求外,等保要求,并有行业特殊性,重视内控审计管理,对内网管理要求高,安全性要求高,对第三方人员管控的需求旺盛,今年各地方加大安全信息建设。对运维需求的进一步提升,“运维+安全”是越来越多的企业迫切需要的。 问题带来的隐患: ?误操作,关键应用服务异常甚至宕机; ?违规操作,敏感信息泄露或者被篡改; ?无法快速定位操作事故的原因。 运维内需
信息化系统 安全运维服务方案
目录 1概述 (2) 1.1服务范围和服务内容 (2) 1.2服务目标 (2) 2系统现状 (2) 2.1网络系统 (2) 2.2设备清单 (3) 2.3应用系统 (5) 3服务方案 (6) 3.1系统日常维护 (6) 3.2信息系统安全服务 (11) 3.3系统设备维修及保养服务 (13) 3.4软件系统升级及维保服务 (14) 4服务要求 (14) 4.1基本要求 (15) 4.2服务队伍要求 (16) 4.3服务流程要求 (16) 4.4服务响应要求 (17) 4.5服务报告要求 (18) 4.6运维保障资源库建设要求 (18) 4.7项目管理要求 (19) 4.8质量管理要求 (19) 4.9技术交流及培训 (19) 5经费预算 (19)
1概述 1.1服务范围和服务内容 本次服务范围为XX局信息化系统硬件及应用系统,各类软硬件均位于XX局第一办公区内,主要包括计算机终端、打印机、服务器、存储设备、网络(安全)设备以及应用系统。服务内容包括日常运维服务(驻场服务)、专业安全服务、主要硬件设备维保服务、主要应用软件系统维保服务、信息化建设咨询服务等。 1.2服务目标 ●保障软硬件的稳定性和可靠性; ●保障软硬件的安全性和可恢复性; ●故障的及时响应与修复; ●硬件设备的维修服务; ●人员的技术培训服务; ●信息化建设规划、方案制定等咨询服务。 2系统现状 2.1网络系统 XX局计算机网络包括市电子政务外网(简称外网)、市电子政务内网(简称内网)以及全国政府系统电子政务专网(简称专网)三部分。内网、外网、专网所有硬件设备集中于XX局机房各个独立区域,互相物理隔离。 外网与互联网逻辑隔离,主要为市人大建议提案网上办理、XX局政务公开等应用系统提供网络平台,为市领导及XX局各处室提供互联网服务。外网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务,建立IPS、防火墙等基本网络安全措施。 内网与外网和互联网物理隔离,为XX局日常公文流转、公文处理等信息化系统提供基础网络平台。内网安全加固措施:WSUS服务器、瑞星杀毒软件服务器为各联网终端提供系统补丁分发和瑞星杀毒软件管理服务;配备防火墙实现内网中服务器区域间的逻辑隔离及安全区域间的访问控制,重点划分服务器区,实现相应的访问控制策略。 专网由XX局电子政务办公室统一规划建设,专网和互联网、内网及其他非涉密网络严格物理隔离,目前主要提供政务信息上报服务和邮件服务。
360网神网络安全准入系统NACV7.0 解决方案协同联动,合规入网
目录 一.“网络堡垒”往往是从内部攻破 (1) 二.我们面临的挑战 (2) 三.天擎NAC解决方案 (3) 3.1概述 (3) 3.2方案组成 (4) 四.解决方案应用 (6) 4.1天擎协同,应用合规入网 (6) 4.1.1方案应用 (6) 4.1.2优势特点 (7) 4.2基于W EB P ORTAL认证 (7) 4.2.1方案应用 (8) 4.2.2访客入网管理 (8) 4.3基于网络接入层认证 (9) 4.3.1802.1x认证 (9) 4.3.2MAB Mac认证 (9) 4.3.3优势特点 (10) 4.4终端安检合规入网 (10) 4.4.1强制检查流程 (11) 4.4.2多种强制检查条件 (11) 4.4.3“一站式”流程管理 (12) 4.5其他应用特性 (13) 4.5.1第三方认证源联动认证 (13) 4.5.2安全管理与接入访问控制 (13) 4.5.3认证绑定管理 (14) 4.5.4动态在线连接及强制下线 (14) 4.5.5用户管理 (15) 4.5.6设备例外管理 (15) 4.5.7强制隔离手段 (15) 4.5.8主机快速认证 (15) 4.5.9入网和安检日志报表 (16) 五.优势特点 (17) 5.1分布式部署,集中管理 (17) 5.2协同联动,构建“篱笆墙” (18) 5.3网络环境适应性强 (19) 5.4软硬一体化设备 (19)
5.5支持高可用和逃生方式 (20) 5.6多种入网认证因子 (20) 5.7入网检查、隔离、修复一站流程 (20) 5.8细粒化的访问控制 (20) 5.9统一授权管理 (21) 六.产品核心价值 (21) 七.方案部署 (22) 7.1小规模集中式部署 (22) 7.2大型网络分布式部署,统一管理 (23) 7.3天擎多级架构下的部署 (25) 八.高可用及逃生方案 (26) 8.1HA双机热备 (26) 8.2双机冗余逃生方式 (27) 8.3双机HA+软B YPASS逃生方式 (28)
平台运维保障方案 1.目的 为了保障平台各项业务的正常开展,确保信息系统的正常运行,规范信息系统日常操作及维护阶段安全要求,特制订此方案。 2.系统日常操作及维护管理 2.1.建立双向联动责任人机制 所有涉及到业务平台的资源,包括主机操作系统、应用系统、网络设备和安全设备,指定电信接口人和支撑单位接口人双向联动,由电信公司指定维护接口人专门负责对接支撑单位的技术负责人和维护人员,电信公司的接口人对支撑单位的日常工作进行监督,支撑单位对业务系统的日常操作和维护按照本方案进行记录,做到责任到人,保证各个业务平台的正常运行。 2.2.操作系统日常操作及维护 (1)必须严格管理操作系统账号,定期对操作系统账号和用户权限分配进行检查,系 统维护人员至少每月检查一次,并报信息技术管理员审核,删除长期不用和废弃 的系统账号和测试账号。 (2)必须加强操作系统口令的选择、保管和更换,系统口令做到: ●长度要求:8位字符以上; ●复杂度要求:使用数字、大小写字母及特殊符号混合; ●定期更换要求:每90天至少修改一次。 (3)支撑单位维护人员需定期进行安全漏洞扫描和病毒查杀工作,平均频率应不低于 每月一次,重大安全漏洞发布后,应在3个工作日内进行上述工作。为了防止网 络安全扫描以及病毒查杀对网络性能造成影响,应根据业务的实际情况对扫描时 间做出规定,需安排在非业务繁忙时段。技术负责人应为每个系统指定专门的系 统维护人员,由系统维护人员对所负责的服务器进行检查,至少每天一次,确保 各系统都能正常工作;监控系统的CPU利用率、进程、内存和启动脚本等使用情况。
(4)当支撑单位维护人员监测到以下几种已知的或可疑的信息安全问题、违规行为或 紧急安全事件系统时,应立即报告技术负责人,同时采取控制措施,并进行记录: a)系统出现异常进程; b)CPU利用率,内存占用量异常; c)系统突然不明原因的性能下降; d)系统不明原因的重新启动; e)系统崩溃,不能正常启动; f)系统中出现异常的系统账户; g)系统账户口令突然失控; h)系统账户权限发生不明变化; i)系统出现来源不明的文件; j)系统中文件出现不明原因的改动; k)系统时钟出现不明原因的改变; (5)系统日志中出现非正常时间登录,或有不明IP地址的登录; (6)系统维护人员对操作系统的任何修改,都需要进行备案,对操作系统的重大修改 和配置(如补丁安装、系统升级等操作)必须向技术负责人提交系统调整方案,由信息技术管理员审核通过后方可实施。操作系统的配置和修改必须在非业务时间进行,重大调整必须提前准备应急预案和回退方案。 (7)保证操作系统日志处于运行状态,系统维护人员应定期对日志进行审计分析,至 少每月审计一次,重点对登录的用户、登录时间、所做的配置和操作做检查,在发现有异常的现象时及时向信息技术管理员报告。 (8)系统维护人员应设置操作系统日志归档保存功能,历史记录保持时间不得低于一 年。 2.3.业务系统安全日常操作及维护 (1)新的应用系统在正式上线运行前应由技术负责人进行安全检查,检查通过方能正 式运行使用。严禁在不检查或检查未通过的情况下将应用部署到正式环境中。检查的内容包括: a)检查应用系统的软件版本;
信息系统安全运维 1.服务背景 随着信息系统的网络规模、地域分布和复杂性的不断增加,组织面对黑客攻击、未经授权入侵和其它威胁的风险也在逐渐增加。许多组织的系统管理人员常常忙于解决日常运维过程中出现的琐碎问题,以维持信息系统的持续可用,而没有更多精力定期检查信息系统中是否存在安全隐患、跟踪并获得相应的漏洞补丁、及时修复信息系统安全问题。为了降低信息系统中安全隐患被非法利用的可能性或在被利用后能及时加以响应,需要有专业的信息安全服务人员协助组织的系统管理人员进行安全运维工作。 2.服务定义 国信天辰信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。 3.服务内容 国信天辰信息系统安全运维服务包括如下内容: 1) 确定安全运维所涉及的信息系统及关键技术设施; 2) 根据所约定的服务范围,执行首次技术设施安全评估,评估关键技术设施所存在的安全隐患; 3) 根据首次技术设施安全评估的结果,制定加固方案,沟通并最终对关键技术设施进行安全加固; 4) 此后定期执行技术设施安全评估,针对评估所发现的安全隐患,提出改进建议,并指导系统管理人员进行安全加固; 5) 当被服务单位的主机或网络正遭到攻击或已经发现遭受入侵的迹象时,及时进行应急响应,分析事故原因并防止损失扩大; 6) 在服务期内,及时跟踪并提供安全漏洞及补丁信息或相应安全建议; 7) 针对系统管理人员在日常维护时发现、产生的安全技术问题提供咨询服务。
注册信息安全专业人员(渗透测试方向) 白皮书 发布日期:2018年9月 中国信息安全测评中心 网神信息技术(北京)股份有限公司?版权2018-攻防领域考试中心
CISP-PTE/CISP-PTS白皮书 咨询及索取 关于中国信息安全测评中心CISP-PTE/CISP-PTS考试相关的更多信息,请与注册信息安全专业人员攻防领域考试中心联系。 注册信息安全专业人员攻防领域考试中心联系方式 【邮箱】CISP@https://www.doczj.com/doc/ab8562789.html, 【网址】https://www.doczj.com/doc/ab8562789.html,/service/examcisp 【地址】北京市朝阳区来广营创远路36号院朝来高科技产业园7号楼【邮编】100015 网神信息技术(北京)股份有限公司是以“保护大数据时代的安全”为企业使命,以“数据驱动安全”为技术思想,专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。公司与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,负责注册信息安全专业人员渗透测试工程师(CISP-PTE)、注册信息安全专业人员渗透测试专家(CISP-PTS)考试开发维护、业务推广、市场宣传及持证人员的服务。CISP-PTE/CISP-PTS专注于培养、考核高级实用型网络安全渗透测试安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
目录 引言 (1) 一、CISP-PTE/CISP-PTS考试要求 (2) 二、CISP-PTE/CISP-PTS考试方向 (2) 三、CISP-PTE/CISP-PTS注册流程 (4) 四、CISP-PTE/CISP-PTS职业准则 (4) 五、CISP-PTE/CISP-PTS考生申请资料要求 (5) 六、CISP-PTE/CISP-PTS收费标准 (6) 七、注册信息安全专业人员攻防领域考试中心联系方式 (7)
信息系统运行维护及安全管理规定 第一章总则第一条为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法》,结合总公司实际,特制定本规定。第二条本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。第三条信息系统安全管理实行统一规划、统一规范、分级管理和分级负责的原则。第二章管理机构及职责第四条总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通;(二)负责总公司机关局域网的运行维护管理;(三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全;(四)指导、协调所属单位局域网系统的安全运行管理。第五条总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是:(一)负责广域网本单位节点、本单位局域网的运行维护和安全管理,保证与总公司网络连接
的畅通;(二)负责本单位人员的信息安全教育和培训,建立健全安全管理制度;(三)与总公司办公室密切配合,共同做好总公司信息系统的安全运行、管理和维护工作。第三章网络接入及IP地址管理第六条需要接入总公司网络的所属单位应向总公司办公室提交申请,经审批同意后方可接入。第七条总公司机关内部局域网的IP地址由办公室统一规划、管理和分配,IP 地址的申请、补充、更换均需办理相关手续。第八条申请与使用IP地址,应与登记的联网计算机网卡的以太网地址(MAC 地址,即硬件地址)捆绑,以保证一个IP地址只对应一个网卡地址。第九条入网单位和个人应严格使用由总公司办公室及本单位网络管理员分配的IP地址和指定的网关和掩码。严禁盗用他人IP地址或私自设置IP地址。总公司办公室有权切断私自设置的IP地址入网,以保证总公司内部局域网的正常运行。第四章安全运行管理第十条总公司机关和各所属单位均应指定专人担任信息系统管理员,负责信息系统的日常运行维护、故障处理及性能调优工作。第十一条建立电子设备运行档案,对所发生的故障、处理过程和结果等要做好详细的记录。关键设备应有备品备件,并进行定期的检测和维护,确保随时处于可用状态。第十二条系统软件(操作系统和数据库)必须
360态势感知与安全运营平台 产品白皮书 █文档编号█密级 █版本编号█日期
目录 1 产品概述 (2) 2 平台介绍 (2) 2.1 产品组成 (2) 2.2 产品架构 (4) 3 技术特点 (6) 3.1 全面的数据采集与分析 (6) 3.2 大数据基础架构 (7) 3.3 高性能关联分析 (7) 3.4 丰富的威胁情报 (9) 3.5 精准的多维度威胁检测 (9) 4 产品功能 (10) 4.1 威胁管理 (10) 4.2 资产管理 (11) 4.3 拓扑管理(收费模块) (11) 4.4 漏洞管理(收费模块) (12) 4.5 日志搜索 (12) 4.6 调查分析(收费模块) (13) 4.7 报表管理 (14) 4.8 仪表展示 (14) 4.9 态势感知(收费模块) (15) 5 服务支持 (16) 5.1 安全规则运营服务 (16) 5.2 全流量威胁分析服务 (16) 6 应用价值 (17) 6.1 安全监控的范围更大 (17) 6.2 威胁发现及时性提升 (17) 6.3 安全管理效率提升 (17) 6.4 降低宏观安全理解成本 (18)
1产品概述 360 态势感知与安全运营平台(以下简称NGSOC,Next Generation Security Operation Center)是360企业安全集团基于大数据架构自主构建的一套面向政企客户的新一代安全管理系统。该系统利用大数据等创新技术手段,结合360的安全能力和传统安全技术积累针对各种网络安全数据进行分析处理,可以为政企客户的安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。 NGSOC产品继承了360企业安全集团下属网神子公司长期以来在SOC产品上的历史经验,同时将来自互联网公司的大数据技术注入到了产品的开发过程中,可以既满足海量日志下的快速计算分析需要,又能够兼顾大量基础管理功能,同时也汲取了国内SOC 经常无人使用的失败经验,有针对性的在产品设计中考虑了更多有关提升使用效率、分析效率的相关实现,并对产品的后续服务提供了一整套相关方案以帮助用户更好的使用NGSOC产品。 NGSOC产品在架构演进以外,也使用了大量新型安全技术,其中威胁情报能够快速的帮助单一企业补足在安全知识上的短板,既可以帮助企业发现威胁,也可以提供更广泛的威胁分析手段和能力。而其他诸如依赖于机器学习的web攻击发现功能等一系列威胁检测手段则能有效增强针对传统安全问题的检测率和准确度。 在架构革新和新技术的推动下,NGSOC产品正在引领国内安全管理产品市场的变革,同时也获得着国内客户的认可。据权威资讯机构赛迪顾问的统计数据,360企业安全的NGSOC产品在2016年中国安全管理平台产品市场中市场占有率第一。 2平台介绍 2.1产品组成 NGSOC产品主要包括流量传感器、日志采集探针、关联规则引擎和分析平台4个硬件组件,同时能够对接360天眼新一代威胁感知系统中的文件威胁鉴定器和360天擎系统的EDR组件,如下图所示:
管理制度编号:LX-FS-A29319 信息系统运行维护及安全管理规定 标准范本 In The Daily Work Environment, The Operation Standards Are Restricted, And Relevant Personnel Are Required To Abide By The Corresponding Procedures And Codes Of Conduct, So That The Overall Behavior Can Reach The Specified Standards 编写:_________________________ 审批:_________________________ 时间:________年_____月_____日 A4打印/ 新修订/ 完整/ 内容可编辑
信息系统运行维护及安全管理规定 标准范本 使用说明:本管理制度资料适用于日常工作环境中对既定操作标准、规范进行约束,并要求相关人员共同遵守对应的办事规程与行动准则,使整体行为或活动达到或超越规定的标准。资料内容可按真实状况进行条款调整,套用时请仔细阅读。 第一章总则 第一条为了确保总公司信息系统的安全、稳定和可靠运行,充分发挥信息系统的作用,依据《计算机信息网络国际联网安全保护管理办法》,结合总公司实际,特制定本规定。 第二条本规定所称的信息系统,是指由网络传输介质、网络设备及服务器、计算机终端所构成的,为正常业务提供应用及服务的硬件、软件的集成系统。 第三条信息系统安全管理实行统一规划、统一
规范、分级管理和分级负责的原则。 第二章管理机构及职责 第四条总公司办公室是公司信息系统运行维护和安全管理的主管部门,其安全管理职责是:(一)负责总公司机关内互联网的运行管理,保证与城建局、各所属单位网络连接的畅通; (二)负责总公司机关局域网的运行维护管理; (三)落实安全技术措施,保障总公司信息系统的运行安全和信息安全; (四)指导、协调所属单位局域网系统的安全运行管理。 第五条总公司各所属单位信息员负责本单位局域网的运行维护和安全管理,服从总公司办公室的指导和管理。其安全管理职责是: (一)负责广域网本单位节点、本单位局域网的
目录 第一章概述 (1) 1.1 360安全卫士的诞生 (1) 1.2 360安全卫士的发展状况 (1) 1.3 360安全卫士的优点 (2) 1.4 360安全卫士的功能 (2) 小结 (2) 第二章盈利 (2) 2.1广告方面 (2) 2.2附属软件 (2) 2.3 功能 (3) 小结 (3) 第三章现状分析 (3) 3.1 永久免费 (3) 3.2合作关系 (3) 3.2.1与卡巴斯基关系断裂 (3) 3.2.2与ESET NOD32的新关系 (4) 3.2.3 与游戏的合作 (4) 3.3 360的恶评 (4) 3.3.1是安全还是控制 (4) 3.3.2 360是流民软件 (5) 3.4 金山与360的斗争 (6) 3.5 360的“兼容门” (7) 小结 (7) 总结 (7)
第一章概述 1.1 360安全卫士的诞生 2006年上半年,互联网安全形势已经变得非常严峻。越来越多的流氓软件厂商兴起,广大网民已经不堪忍受流氓软件的骚扰。正在这时,360安全卫士的团队成立了。当时的“奇虎360”是奇虎公司旗下的一个业务部门,奇虎董事长周鸿祎、原360事业部负责人傅盛带着一个规模不大的团队,做起了这项帮助广大网民消灭流氓软件的事业。由于当时的老百姓正处于对流氓软件忍无可忍的时机,而360又是单纯而专注地致力于为老百姓提供免费查杀流氓软件的公益服务,因此360刚刚问世就受到了广大网民的欢迎和喜爱,在没有做任何市场推广的情况下,仅仅依靠着网民之间的口碑传播,360用户在初创的几个月内就一直呈几何数量的急速增长。 360安全卫士(https://www.doczj.com/doc/ab8562789.html,)是2006年6月诞生的国内第一款免费网络安全软件。在不到两年的时间内,360安全卫士已经迅速成长为国内用户使用量第一的网络安全软件,覆盖国内近50%的互联网用户,深受广大网民的喜爱。2008年3月6日,360安全卫士的原域名https://www.doczj.com/doc/ab8562789.html,正式切换为新域名https://www.doczj.com/doc/ab8562789.html,,完成了从产品到安全平台的蜕变。2008年3月11日,360安全卫士宣布正式从奇虎公司剥离,单独成立公司进行运作。 1.2 360安全卫士的发展状况 周鸿祎在98年的时候创立了3721网络公司,推广中文上网服务,销售业绩连续火爆了6年之久,而后在04年被雅虎1.2亿美元收购,同年3月周鸿祎出任了雅虎中国区的总裁,这一年周鸿祎带领雅虎中国在搜索领域超过了GOOGLE中文。 然而在接下来的日子里,周鸿祎从一个教父突然变成了一个流氓。原因是一个新的网络词汇——流氓软件,周的推广策略引发了一场互联网的乱战,各个公司争相把自己的产品整合到用户的操作系统里,一时间中国用户的电脑瞬间变成了各网络公司免费的战场,也就在这个时候,杀毒软件公司和电脑公司都发了一笔大财,因为这些流氓软件几乎让所有的电脑都瘫痪过。网民也觉悟了,对这些网络公司的声讨一天高过一天,3721在一夜之间就身败名裂。 接来的周鸿祎,面对如此混乱的局面,声称:打开的潘多拉盒子,要自己亲自关上。开始免费公测360安全卫士软件,并且集成可用半年的正版杀毒软件——在中国已经颇具威名的卡巴斯基。这个时候,被流氓软件闹的惶惶不的中日的网民就像抓到了救命的稻草。但是因为周鸿祎的素质问题(请原谅我这么说,不过随便就定性别人的软件为流氓软件的人,估计自己也好不到哪去吧)雅虎和众多的网络公司纷纷指责,但是烂磨经不住驴拉,360安全卫士还是普及开来了。 当然,流氓软件这个东西,有繁荣的时候旧有灭亡的时候,现在基本上普通的杀毒软件也直接把这类软件当作广告软件清除了,360也已经没有了当初的嚣张,在软件中的一些关键字也收敛了一些,例如把“流氓软件”改成了“恶评软件”,把责任推给了网民。