主机安全加固服务项目概要实施方案.doc

目 录 1 项目背景 5 2 系统现状 6 3 项目目标及工作范围 8 3.1 项目实施目标 8 3.1.1 目标1：漏洞修补 8 3.1.2 目标2：安全确认 11 3.1.3 目标3：完成主机加固报告 11 3.2 项目工作范围 11 4 项目实施概要方案 13 4.1 实施方案设计原则 13 4.2 项目实施概要方案 13 4.2.1 前期准备阶段 14 4.2.2 综合测试阶段 17 4.2.3 生产实施阶段 19 4.2.4 安全验证阶段 20 4.2.5 项目验收阶段 21 4.3 实施人员安排 21 4.4 项目实施计划 22 4.5 项目相关方分工界面 24 4.6 项目文档 27 4.7 项目验收 27 5 项目管理 28 5.1 项目管理原则 28 5.1.1 统一领导原则 28 5.1.2 协调工作原则 28 5.1.3 实时监控原则 28 5.1.4 定期会议原则 28 5.2 项目管理办法 29 5.3 组织架构 30 5.3.1 项目管理组织结构图 31 5.3.2 项目组织运作方式 31 5.3.3 人员角色和职责 32 5.4 风险管理 34 5.5 沟通管理 36 5.6 质量控制 37 5.6.1 质量计划和质量指标 37 5.6.2 质量管理 39 5.6.3 项目过程控制 39 5.6.4 质量提高 41 5.7 进度管理 42 5.8 变更管理 43 6 相关案例简介 45 附录1 图表目录 46 附录2 已知安全漏洞汇文件 47 附件3 高、中级别危险漏洞汇总表 48 项目背景 近年来，国家对信息安全地重视程度不断提高，尤其对于和国计民生密切相关的电信、金融、互联网等重要行业不断提出各种安全要求、规范、标准，从规划、建设、运维等多个角度加强行业从业人员和企业对信息安全地重视程度，切实提高信息系统的安全级别，保障重要业务系统的稳定、健康运行。 近期，工信部发出了《开展2014年电信和互联网行业网络安全防护检查工作的通知》，明确了要进行针对运营商的安全防护检查工作。 在通知中第三点检查内容中，第三条检查内容为符合性（达标）评测和风险评估情况。要求重点检查已备案的二级及二级以上网络和系统是否按照网络安全防护系列标准落实防病毒、防攻击、防篡改、防瘫痪、防泄密等安全防护措施，是否开展符合性评测和风险评估，并对评测和评估过程中发现的安全隐患及时整改；是否将符合性评测、风险评估和整改情况的结果报送电信主管部门。 为了加强XXXX自身的安全性建设，提高系统安全管理水平，顺利完成工信部的相关检查工作，XXXX采用主机漏洞扫描系统对现有的核心业务主机进行安全扫描并形成了安全扫描报告。 在扫描过程中，绝大部分主机上都或多或少的发现存在多类安全漏洞，很多高危险、中危险的系统漏洞带来的风险可能将造成主机系统的稳定性下降，存在泄密、被攻击、系统瘫痪等多重风险。XXXX希望能尽快对高风险和中等风险级别的漏洞进行修补。本项目的主要工作就是为了修补这些主机操作系统、中间件、数据库等各类漏洞，进行主机加固服务工作。 系统现状 根据安全策略，XXXX组织对数据中心内的主机系统进行了漏洞扫描操作，通过漏洞扫描发现了主机系统上各层面的软件漏洞，包括操作系统层、中间件层、数据库层等。 此次扫描中XXXX采用的是启明星辰公司提供的天境脆弱性扫描与管理系统，分多个批次对目前运行的业务主机进行安全漏洞扫描并生成了相关报告。通过扫描，共发现存在的高危险和中危险级别漏洞1180个，涉及主机77台。 表 21高危险级别漏洞统计表和表 22中危险级别漏洞统计表是经过对安全扫描报告统计后对这77台主机所涉及到的高危险和中危险漏洞情况汇总表。经过统计可以看出： 漏洞类型涉及7个方面，包括：操作系统、Apache和Tomcat、Oracle数据库、DB2数据库、Websphere中间件、MySQL数据库、Samba共享软件； 按照漏洞数量总计排序，从多到少依次为： Oracle数据库（620个） Apache和Tomcat漏洞（278个） 操作系统漏洞（172个） Websphere漏洞（81个） MySQL漏洞（21个） Samba漏洞（6个） DB2漏洞（2个） 所涉及的操作系统包括： Linux：17台，涉及5种内核版本 Windows：6台，涉及3种系统版本 AIX：42台，涉及5中操作系统版本 HP-UX：2台，涉及1种操作系统版本 Linux或UNIX（扫描过程中未明确）：10台  序号 主机类型 主机数量 操作系统版本 操作系统漏洞 Apache Tomcat漏洞 Oracle漏洞 DB2漏洞 WebSphere漏洞 MySQL漏洞 Samba漏洞 漏洞小计 1 Linux主机 17 5种内核版本 18 9 13 12