哪位朋友做过安全服务外包项目吗？？有这方面的经验请帮助下小弟！！

年初公司接了一个单位的安全维保项目，安全设备和服务器的数量众多，现在要对这些设备和服务器进行日志分析，还要制定对服务器安全的巡检报表（日，周，年）。

日志分析这块对安全设备来说倒不是很难，现在成熟的产品自身都带有很完善的日志管理系统，就是对于服务器日志分析和安全巡检报表这块犯愁了。
下面这些小弟自己摸石头过河慢慢总结出来的，可是在用户那边被否定了（原创作品就这样被XX了，真伤心）。不知道大家有没更好的建议来帮小弟完善呢

你的报表太简单了
既然是安全服务 重点把精力放在日志审核分析上
异常事件记录要单独列表记录及评估说明
还有服务器运行状态 稳定性都要在报表中体现出来 这基本的重头你都没出
报表要再发现危险的时候能看出问题来 你那个数据统计没意义

首先你要明确项目范围和服务内容，这是关键。如果是IT服务类，那么你要评估服务器的系统稳定性、数据可靠性、安全性、访问量等。
如果只是安全服务类，那么就应重点围绕安全性来做工作，但即便是这样，我看了你的附件，感觉还是简单了些，而且你列的都是脆弱性，所以不要在表下方附上风险计算公式，否则是自己挖坑埋自己。针对服务器的安全巡检，只谈脆弱性即可，不要涉及风险概念，否则你的项目实施成本会大大增加（当然，还要看你的项目合同是怎么签订的）。

结合我的项目经验，建议以下几点：
1、使用漏洞扫描器进行自动化的大范围脆弱性检查，检测结果可以作为项目报告的附件，在项目报告的正文里只需要加入检测结果的统计分析图表即可，及简单又直观（这只是项目报告的一部分）。
2、参考公认比较权威的安全Checklist进行人工审计，将总结分析加入到项目报告里。（Checklist见附件）
3、安全状态审计及日志审计，日志审计不用说了，OS、web、DB等都有自己的日志，重点查看有没有受攻击或入侵的迹象。
4、应用层评估检查，针对B/S架构，检测web服务平台的安全性，检测用户登录认证和用户输入认证安全性；针对C/S架构，检测客户端的登录认证安全性，检测客户端与服务器端数据传输的安全性。
5、数据库审计，检测数据库平台安全性，检测数据存储安全性。
6、安全防护审计，包括FW、IDS、防病毒等日志审计。
7、渗透测试，模拟攻击探测服务器综合安全性。
8、服务器安全运维管理审计，包括是否有服务器是否有具体的责任人，针对不同级别的服务器系统是否有相应和明确的安全保障要求和规范，以及遵守情况等。

上述是一个比较完整的服务器巡检内容，但是这只能仅供参考，一般来讲，单纯的服务器安全巡检只需要做到前3点即可，否则就会逐渐演变成一次风险评估项目了（当然，如果是风险评估，那么上述几点还是不够的）。
还是那句话，关键是要明确你签订的这个项目的具体范围和服务内容，否则在具体实施过程中很容易扯皮，项目范围会无限扩张，项目验收标准也无法定义，更谈不上回款。

Checklist：

[local]2[/local]










[ 本帖最后由 xif 于 2008-3-18 22:58 编辑 ]

好象比较虚.. 没有实际意义。
  既然是巡检，重点在服务器。服务器稳定性、安全、日志分析。
一切围绕脆弱性进行....

学习了，希望这类实际的东西能再多些，把我们对网络的理解不断提升到新的高度！

感谢前辈们的细心分析，XIF朋友的回答更是让我明确了目标。

根据实际情况我再提出几个问题

1、服务器安全每日巡检报表，每周巡检报表和每巡检月报表的内容是不是应该有不相同的地方？哪些安全因素会每天都变化，哪些安全因素会随周和月变化？

2、当时用户提到巡检的内容不要有些一成不变的东西，比如密码长度，复杂度，这些第一次巡检发现问题，实施整改了以后就不会有变化的，再检察这些内容是不是多余？系统或应用程序补丁这方面的内容就会变，每个月都会有新的补丁。

3、属于这次维保范围的服务器数量较多（22台），如果没有智能化的集体日志管理系统，仅靠手工审计日志分析，那工作量是无法想像的。所以各位有什么好的服务器日志收集和分析系统也可以介绍介绍

引用:

原帖由 yes9901 于 2008-3-19 10:46 发表
感谢前辈们的细心分析，XIF朋友的回答更是让我明确了目标。

根据实际情况我再提出几个问题

1、服务器安全每日巡检报表，每周巡检报表和每巡检月报表的内容是不是应该有不相同的地方？哪些安全因素会每天都 ...

1、你们巡检的周期定位为每天？如果是这样，要根据你们的合同额度估算一下每日的服务成本，然后才好定义每天的服务内容。一般来讲，每天的服务内容可以包括日志审计（ser、FW、IDS、防毒）和服务器性能审计（主要观察是否有蠕虫或DOS影响到CPU%）；每周除日志审计和性能审计外再做一次漏洞扫描，检查有没有更新的漏洞情况；每月在上述基础上再做一次抽查checklist（例如抽查10%），并形成总结报告。

2、服务器的安全配置（例如口令等）一般确实是很少发生变化的，所以不用每日检查；而每周的漏洞扫描虽然包括有口令检查，但是漏洞扫描的重点还是看有没有新的漏洞，如果客户比较固执，可以在周报里不体现口令等问题。

3、如果服务器很多，日志审计确实是个非常消耗时间的事，不过你们才22台已经算少的了，我们以前曾审计过超过150台服务器，那么这时的日志审计才是一件非常痛苦的事情。但有两种解决方式，一种是先采用日志审计工具进行自动化的快速遍历，之后再抽样（一般是10%）详细审计，第二种方式是借助SOC系统，可以自动化的完成所有服务器的审计，而且还可以自动生成周报、月报等，当然，SOC系统是要花钱另外购买的，而且比较贵。

朋友您好。。


合同的要求是每日，周，月都要提交报表

你提到海量日志分析时的第一种方法，日志审计工具是什么厂家的什么产品？这样的产品在部署的时候是不是应该有个服务器端，客户端（安装在需要进行日志审计的服务器上，通过主动推送的方式把服务器产生的日志送到服务器端）。在服务器端把收集到的日志进行抽样分析。我现在也在寻找这样的软件，就是以前没做过类似的工作，不知道在这个领域都有哪些产品。


还有一个问题就是日志审计工具是有自身的日志审计策略（对服务器的哪些内容进行审计），还是简单的把服务器上操作系统自已产生的日志（windows系统有3种日志：应用程序，安全性，系统）发送到服务器端。

引用:

原帖由 yes9901 于 2008-3-19 12:43 发表
朋友您好。。


合同的要求是每日，周，月都要提交报表

你提到海量日志分析时的第一种方法，日志审计工具是什么厂家的什么产品？这样的产品在部署的时候是不是应该有个服务器端，客户端（安装在需要进行日 ...

我说的日志分析工具不是指日志收集器，日志收集器一般指的是将网络设备和操作系统的日志通过syslog、SNMP Trap等方式集中发送和存储在日志服务器上，而我说的日志分析工具是指自动分析日志中可能存在的入侵迹象，这就需要对攻击特征非常了解才行，所以到目前为止还没有一个非常全面的成熟的产品，像logs2intrusions也只能分析iis和apache的日志，而且特征库不够全，需要手工添加例如sql注入特征等。

网络设备（包括FW、IDS等）和unix系统都是支持syslog格式输出的，syslog支持自定义级别输出，windows也是可以通过工具将OS日志转换成syslog格式输出的，而其它应用程序的日志（例如防病毒、漏扫、C/S业务系统等）则需要针对程序接口制定开发转成syslog等格式。

嗯，您说的意思我明白了。


但对于报表的内容我现在还是有些模糊，您上面给出的CheckList的参考资料我觉得如果放在服务器安全加固方面将会是非常好的一个加固策略。因为CheckList还是涉及到一个问题，里面大部分的项目检查过一次后都是一成不变的。

下面是我自己想到的一些巡检内容

日报表巡察内容：注册表关键位置有没有被修改，有没有异常有服务启动，有没有恶意用户尝试暴力破解密码，杀毒软件查杀病毒情况，

周报表巡察内容：杀毒软件病毒库更新情况

月报表巡察内容：操作系统补丁更新情况

唉，能力有限，只能想出这么点东西，你们在这方面的经验要比我丰富，看能不能给些提示。

近段时间头脑要爆炸了，不知道是不是做技术的都这么命苦……

能讲到这么深不容易了 楼主根据3楼的意见更新你的巡检表吧

嗯，我肯定XIF朋友在信息安全方面的经验应该是非常的丰富。

但作为向学者，能碰到一位热心的专家是少之又少的机会。我并不是一味的要求XIF朋友把所有的工作都帮我做完，从我第一个贴子就可以看到，我总是先自己思考做了一些工作，然后再向你们请教是否合理，有没有更好的建议。

做技术重要思考，这样做出来的东西才是自己的。当然，在这过程中，如果仅凭主观直觉去做，对于这个领域的新手来说容易走错方向，虚心的向专家请教我觉得并不为过。论坛是大家交流讨论的地方，谁都希望能集大家之长来丰富自己的阅历。朋友您说呢？

引用:

原帖由 yes9901 于 2008-3-20 15:16 发表
但对于报表的内容我现在还是有些模糊，您上面给出的CheckList的参考资料我觉得如果放在服务器安全加固方面将会是非常好的一个加固策略。因为CheckList还是涉及到一个问题，里面大部分的项目检查过一次后都是一成不变的。
下面是我自己想到的一些巡检内容
日报表巡察内容：注册表关键位置有没有被修改，有没有异常有服务启动，有没有恶意用户尝试暴力破解密码，杀毒软件查杀病毒情况，
周报表巡察内容：杀毒软件病毒库更新情况
月报表巡察内容：操作系统补丁更新情况
唉，能力有限，只能想出这么点东西，你们在这方面的经验要比我丰富，看能不能给些提示。

具体的服务操作做哪些，一是跟合同签订的条款有关，另一个是跟用户的要求有关。
CheckList无论是做加固还是评估又或是巡检都是可以的，不过从你的描述来看，CheckList对于你们这个项目可能已经超越服务范围了。我感觉你们的这个项目还是一个相对较小的巡检项目，要求并不是很高。所以总的来看，你列的日周月巡检内容应该问题不大，也就是说：
日巡检：重点就是检查病毒情况、受入侵攻击情况（包括后门/木马/缓冲区溢出，检查点包括：账号、进程、服务、启动项、文件关联、恶意插件、驱动）。
周巡检：汇总日巡检情况，再增加病毒库更新情况
月巡检：汇总周巡检情况，再增加OS补丁更新情况、软件变更情况
另外就是，可以将巡检期间服务器发生的严重系统故障问题也一并加入到报告中，丰富报告内容，例如某服务器在某天出现硬盘故障导致系统崩溃等。

服务器安全巡检

感谢朋友们的分析和建议，特别是XIF朋友。。剩下的我自己整理了。。

学习中

好，学习ing

3楼的很专业！学习！

好贴！经过这样在讨论，对运维很有帮助，谢各位。

呵,XIF真是高手啊,分析得比较透切.