全面介绍安全管家服务的内容、流程、SLA定义等。

1.『前言』

1.1背景

伴随着云计算技术如火如荼的发展,越来越多的各行业企业或组织将自身的业务迁移到云平台上,让业务迎来了新一轮的技术变革,但在业务迁移上云的过程中,云上业务的可用性、安全性、完整性面临了新的挑战和问题。

云上租户面临的普遍问题如下:

  • 缺少全局云安全方案,影响安全防护体系建设及防护效果

    传统厂商对云环境不熟悉,在安全技术防护体系建设过程中,原有的安全防御方案是否可以继续使用?如何在云上建立牢固的安全防御体系?

  • 安全方案不确定性导致成本增加

    在制定整体安全解决方案时,关于现有业务安全问题描述分析缺乏,造成安全策略落地没有针对性,增加企业在安全管理工作中投入的成本。

  • 专业安全管理人员缺失或难求

    对于缺少专业、高水平的安全人才的企业或组织,当发生信息安全事件后,不能保障及时响紧急安全事,给企业或组织带来影响和损失。

1.2安全服务的必要性

安全管理不是产品叠加,用户需要完整的企业安全解决方案和建立完整的企业信息安全策略,这是单个攻防类安全产品无法做到的。

安全管理是一个体系化和动态调整的管理过程,需要按照科学的方法论和指导思想持续运营,不可能做到一劳永逸。

安全管理需要的是适度管理以满足企业或组织的长远管理目标,在管理过程中,需要有轻重缓急之分的计划和长远的规划视觉。

安全技术是一个广泛而复杂的工种,需要专业的具备一定的安全水平能力的人专职,一般的企业很难依靠自身的技术力量根本解决在不同阶段遇到的安全问题。

各种行业和类型的企业对信息安全有不同的需求,必须进行具体的分析才能制定出适合自身要求的整体安全解决方案。

2.『服务定位-基于产品化管家式服务』

阿里云安全是致力于为云上客户提供全面的信息安全解决方案的互联网公司,它通过阿里巴巴十多年的攻防实战历练的技术能力和经验,开创了以“云盾”为核心品牌的安全产品体系,在网络、系统、应用、风控、安全管理等方面已形成一套完整而又丰富的技术安全解决方案。

阿里云安全管家服务(以下简称:安全管家)是阿里云云盾安全专家团队经过多年的技术实战和经验沉淀,根据客户的业务需求,以云盾安全产品为防护基础,面向云上租户提供全面的、专业的、客户化的安全服务及安全咨询安全服务,从而保障用户安全体系能正常运行和持续优化。提供强有力的技术能力支撑,保障客户业务稳定、安全运行。

阿里云云盾为云上客户提供的安全管家服务类型如下表:

服务类别 服务子项 服务描述
云安全体系 咨询服务 安全体系咨询 参照国内外云安全标准和最佳安全实践,基于客户业务的基础环境,为客户提供安全技术或管理方面的安全方案
云上业务安全风险评估服务 安全风险评估 经验丰富的阿里安全专家加入您的团队,通过定期的安全分析报告,更直观的帮助用户了解自己网络安全状况,解决用户难以全面掌握安全态势的问题
安全事件管理服务 日常安全事件和应急响应事件处理 服务通过对用户信息系统的实时监控,可以及时、准确的发现安全事件、定位事件源,并协助用户对安全事件进行处理,降低用户的损失。对突发的安全事件应急响应分析与处理,帮助客户快速解决事件,降低业务影响。
安全漏洞管理服务 漏洞管理服务 通过巡检及运营方式,帮助客户发现业务安全漏洞,提供漏洞修复方案,防止安全事件发生。
安全产品运营服务 安全产品运营服务 提供专业的安全产品托管服务(包括云盾安全产品和第三方安全产品),为用户代维安全产品,帮助客户根据安全威胁管理安全产品策略,并根据情况,私人定制安全策略,为用户搭建牢固的安全防御体系。

3.『安全管家服务介绍』

阿里云安全管家服务是阿里云安全专家基于阿里云多年安全最佳实践经验为云上用户提供的全方位安全技术和咨询服务,为云上用户建立和持续优化云安全防御体系,保障用户业务安全。

3.1服务内容

阿里云安全根据建立的云安全管理运维体系对客户的云安全系统进行实时的维护管理,针对云上客户的业务提供全面的安全运维服务。

阿里云云盾安全管家服务包括以下内容:

3.1.1云安全体系咨询服务

全面的安全管理是需要一个时时刻刻对网络施行监控的专家团队来解析网络结构中发生的每一个变化的,然而精通安全管理的专职人员目前在国内非常短缺,很少有企业机构能真正具有这样一支属于自己的专注于信息系统安全的团队,通常将信息系统安全的维护任务交由系统管理员团队承担。此外,安全管理工作复杂性和技术的不断发展与挑战要求安全管理专家们承担更多的责任,不断提高自己专业技能,这一切使系统管理员的工作日趋复杂沉重。除专业公司外,很少有公司拥有足够雄厚的实力来自理网络安全。越来越多的企业通过外包安全服务来保障服务来确保他们业务的安全运行。

阿里云安全管家服务团队针对客户云上业务情况,提供面向全面的云信息安全管理周期的模式和方法,基于行业认可的最佳策略、国内外云安全相关规范标准和程序化的流程,提供完善的咨询服务和丰富的安全管理服务,从而使企业把精力集中在最关键的信息安全需求上,保障云上业务的安全性。

3.1.2安全风险评估服务

您的网络安全状况如何?存在那些安全问题?哪里是高安全风险的地带?面对这些安全问题,应该如何去解决?

为了充分了解系统存在的安全风险,以及面临的网络安全威胁,就需要使用多种安全检查方法收集准确的基础数据信息,从而客观的从技术脆弱性角度分析出客户业务中存在的安全问题。

阿里云安全管家服务团队将根据客户公司的安全需求,然后实施最有效的诊断服务来评估客户业务安全现状,找出当前客户业务与安全最佳实践存在的差距,为客户制定相应的安全解决方案。

安全评估的主要对象分为以下几个层次,各部分相对独立,而又相互关联相互作用着,通过对每一层次各方面详细深入的分析、评估,才能提供一个完整的结果,对整体的信息系统体系进行说明。

安全风险评估服务主要包括以下内容:

服务类别 描述 方式
网络安全评估 -检查网络访问控制策略合理性 -探测高危端口 -对以上发现的问题进行安全分析,并制定修复方案,指导客户修复安全漏洞 人工检查和工具扫描
主机安全评估 -探测主机操作系统和应用软件的安全漏洞 -发现操作系统和应用软件的配置弱项 -对以上发现的问题进行安全分析,并制定修复方案,指导客户修复安全漏洞 人工检查和工具扫描
应用安全评估 -发现业务应用代码层的安全漏洞 -对以上发现的问题进行安全分析,并制定修复方案,指导客户修复安全漏洞 人工发现和工具扫描

为确保在安全评估过程中业务的可靠性和安全性,安全管家将根据客户网络系统评估业务情况,与客户一起确定检查计划、风险规避措施、应急预算措施和授权说明,防止并能够及时应对在检查过程中发生的意外事件。

3.1.3安全事件管理服务

3.1.3.1安全监测与巡检

管家服务提供安全日常监测和巡检服务,帮助分析和管理日益复杂的系统和应用平台每天遭受的安全攻击事件,并提供解决方案,以减轻用户的压力,使客户公司以最优的性价比得到最有效的网络安全管理。

日常安全巡检内容如下:

安全层面 内容
安全产品及策略 安全产品及策略启用状态、授权状态、配置状态和规范性
网络安全层 -访问流量趋势 -网络异常访问行为 -DDOS、CC攻击行为
云服务器操作系统层 -云服务器高危端口,例如:22、3389、3306等高危端口直接发布在互联网上 -云服务器配置弱项,例如:弱口令、root账号直接登录 -针对登录协议的暴力破解攻击事件、远程登录事件 -应用中间软件漏洞,例如:tomcat漏洞、Jboss漏洞 -服务器其他异常事件
应用安全层 -业务可用性监测-Webshell事件 -网站被挂马、暗链、被篡改监测等 -Web应用安全漏洞
数据层 -RDS SQL日志审计状态 -数据脱裤状态

3.1.3.2安全加固服务

计算环境中不断增长的系统平台面临各种安全威胁,包括数据窃取、数据篡改、非授权访问等。这时就需要专业的安全服务,以保障运行和存贮在这些系统平台上数据的机密性、完整性和可用性。

安全管家提供基于安全评估发现的问题实施安全加固指导服务,提高操作系统或网络设备安全性和抗攻击能力。在对系统作相应的安全配置后,结合定期的安全评估和维护服务就使得系统保持在一个较高的安全线之上。

3.1.3.3安全事件应急响应

“安全是相对的,没有绝对的安全”。任何管理和技术上的疏忽都有可能导致运营中断、数据泄漏、声誉受损以及监管并发问题。因此,在信息网络系统中,无法避免安全紧急事件的产生,对突发事件应做到忙而不乱,需要建立有序高效的汇报机制以及事件分析处理的制度,以最短时间,快速从事件中恢复、使影响降至最低,并避免再次发生。

安全管家的应急服务是依靠阿里巴巴多年的安全攻防实战技术能力和管理经验,参照国家信息安全事件响应处理相关标准,在发生安全事件后,按照预防、情报信息收集、遏制、根除、恢复流程,提供专业的7*24远程紧急响应处理服务,帮助云上用户快速响应和处理信息安全事件并从中恢复业务,同时事后帮助您规划和设计最佳的云上安全管理方案,从根本上遏制安全事件的发生,降低业务影响。

3.1.3.3.1 服务参考依据

安全管家应急服务参考了国家标准,从服务内容上和服务流程上保障服务规范性和服务质量:

  • 《信息安全技术-信息安全事件管理指南》-GB/Z 20985-2007
  • 《信息安全技术-信息安全事件分类分级指南》-GB/Z 20986-2007
  • 《信息安全技术-信息系统应急响应规范》-GB/T 20988-2007
  • 《信息安全技术-信息安全应急响应计划规范》-GB/T 24364-2009

3.1.3.3.2 安全事件定义

安全管家应急服务针对客户业务出现以下安全问题时,提供远程的安全技术支持服务,协助客户处理安全事件。

事件类别 描述
有害程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合程序攻击事件、网页内嵌恶意代码事件和其他有害程序事件
网络攻击事件 后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件和其他网络攻击事件
信息破坏事件 信息篡改事件、信息伪造假冒的冒事件、信息泄露事件、信息窃取事件、信息丢失事件和其他信息破坏事件
信息内容安全事件 通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件
信息内容安全事件 通过网络传播法律法规禁止信息,组织非法串联、煽动集会游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件
Note
本事件分类依据GB/Z 20986—2007《信息安全技术信息安全事件分类分级指南》。

3.1.3.3.3 服务人员与职责



安全管家应急服务由在阿里巴巴具有3年以上的安全攻防实战经验的安全专家为客户提供一对一专业的安全应急响应服务,整个服务过程中使用规范的服务流程和项目管理流程,帮助客户用最短的时间和成本解决遇到的紧急问题。同时在整个服务过程中,结合阿里云云盾提供的安全产品为客户制定完整的安全解决方案,为客户从根源上解决安全问题,帮助客户搭建安全防御体系。

3.1.3.3.4 安全应急响应服务内容

阿里云云盾提供的安全应急响应服务内容包括以下包括两个方面:

  • 安全事件入侵分析和业务恢复

    当入侵事件正在发生或已经发生,阿里云安全管家服务团队安全专家协助客户进行事件调查、保存证据、查找后门、恢复业务、协助取证等内容,同时提供事件处理报告以及后续的安全状况跟踪。

  • 其他紧急安全事件分析与处理

    只有出现了上述严重影响网络、主机正常运行的安全事件才启用紧急响应服务,其他日常安全事件均属于安全咨询及日常安全事件处理服务范围。

3.1.3.4重大活动护航保障服务

安全管家护航服务提供专业的安全技术保障,为客户定制重保方案,通过安全防御产品和人工服务相结合措施,全方位保障客户在重大活动期间(例如:国家重要活动期间、企业重大营销活动期间等)的业务安全。

3.1.4安全漏洞管理服务

安全管家为客户提供漏洞生命周期 (VLM)的安全漏洞管理服务,漏洞管理包括操作系统漏洞、应用中间件漏洞、用户自身开发的代码漏洞,安全专家通过工具扫描探测和人工发现的方式去发现不同层面安全漏洞,安全专家从漏洞发现到漏洞修复全流程跟踪,帮助客户确实做好漏洞修复整改工作,防止不必要的安全风险。

漏洞生命周期管理流程包括以下内容:

  • 漏洞识别:实时对业务系统进行漏洞识别,并建议集中的漏洞数据库
  • 漏洞影响范围排查:0day漏洞出现时,及时调查业务影响范围
  • 漏洞验证:根据漏洞描述信息,验证漏洞是否存在及严重等级
  • 漏洞修复方案:根据漏洞描述及漏洞知识库积累,给出漏洞修复方案
  • 漏洞复测:按照漏洞验证的方式重试,确保漏洞已修复

3.1.5安全产品运营服务

3.1.5.1安全产品运营

针对没有专业安全人员的企业,我们提供专业的安全产品托管服务(包括云盾安全产品和第三方安全产品),为用户代维安全产品,帮助客户根据安全威胁管理安全产品策略,并根据情况定制安全策略,为用户搭建牢固的安全防御体系。

3.1.5.2安全效果分析

在实施了安全产品和安全服务之后,利用阿里云大数据平台,构建深度分析模型,对云上业务资产评估和关键系统识别、业务安全威胁分析、弱点评估、已有控制措施分析、可能性及影响分析、综合风险识别等过程进行威胁情报分析,发现业务存在的残留风险,并根据风险问题排定风险优先等级,为组织进行安全规划和建设提供依据和参考方案。

3.2服务流程

3.2.1『安全管家服务流程』



服务流程重点说明:

  • 用户购买安全管家任意版本后,安全管家会在1个工作日与您沟通,并建立交流机制,例如:电话、钉钉群、旺旺群、邮件等方式
  • 安全管家根据服务的业务范围,与您了解当前业务架构、运维情况、安全情况等内容,并根据收集的信息内容制定并与您确定方案。
  • 根据确定好的方案开始实施,根据不同版本提供不同的服务效果,第五章节有说明每个版本的SLA。
  • 定期安全服务报告,协助客户分析问题、制定问题解决方案并解决。
  • 安全管家对服务范围内业务进行周期性的巡检,确保安全效果。
  • 安全管家将事前、事中、事后全流程跟进,从而实现更高质量的安全管理水平,降低安全事件发生率。

3.2.2『安全管家应急服务流程』

安全管家应急服务,我们拥有专业、快速反应的紧急事件响应队伍,在遇到网络安全的突发事件时能够迅速、准确地发现并解决问题,将损失降低到最小。



应急服务流程重点说明

  • 事件分析与处理:

    安全工程师迅速接入地分析问题,判断其严重级别,并继续同客户沟通,给出响应的应急解决办法,安全事件紧急处理过程如下:

    1. 判定安全事件类型
    2. 抑制事态发展
    3. 排除系统故障
    4. 恢复信息系统正常操作
    5. 客户信息系统安全加固指导
    6. 重新评估客户信息系统的安全性能
  • 提交报告

    事件处理完毕后,根据整个事件情况写《应急报告》,文档中阐述整个安全突发事件的原因分析,处理方法和过程,处理结果,根据此次问题提出客户网络系统的安全问题,并给出相应的建议。确认后将报告提交给客户。

  • 事件跟踪与回访

    跟踪事件处理结果,提供更完善的解决方案,15天内不因该问题引发新的安全事件。

4.『服务亮点』

4.1一体化的专家“一对一”专属服务

安全管家提供主动式个性化服务,可全天候帮助客户处理安全问题和紧急需求。所有级别的专属咨询服务都将为您指定一名技术经理 ,即一名充分了解您业务的可信安全顾问。您的专属技术客户经理将根据当前云安全产品提供主动式通知并快速响应、解决发现的安全问题,为您打造私人定制化服务。

4.2集成化安全实现更好的安全性

安全管家服务含网络、系统、应用、业务、威胁情报等多方位问题的分析定位解决。通过全面的云安全产品防护,避免客户在业务出现问题时要找多家厂商来协调解决。结合持续化运营,实现一站集成化安全管控,提供从后台到前台全套的安全管理服务,实现安全产品的集成与协调。通过这种方式,既提高了解决问题的速度,同时也降低了客户解决问题的成本,用户只需安心使用服务,关注服务结果,将精力中心放到业务。

4.3提高用户安全建设的投资收益

“三分产品技术,七分安全管理”,优质的安全产品是安全防御体系的基础,但长期且高水平的安全状态需要持续运营管理,安全管家可帮助用户对云上业务的安全威胁进行分析,解决安全无人维护或管理的现实问题,提高用户的投资收益,支持业务生产力和协作。

4.4专业化的服务团队解决客户的疑难杂症

在经历了阿里巴巴集团自身业务十年来的安全护航后,阿里巴巴积累了大量的安全研究成果、安全数据和安全运营方法,形成了一支专业的云安全专家团队。云上租户业务在云安全专家的保障下,可以直接享受与阿里巴巴自身业务安全防御体系同等效果的服务,帮助客户事前发现、事后解决问题,从而保障自身业务的安全。

4.5安全事件快速响应,降低风险影响

服务通过对用户信息系统的实时监控,可以及时、准确的发现安全事件、定位事件源,并协助用户对安全事件进行处理,降低用户的损失和影响。

4.6有针对性的全天候安全保障

安全管家服提供务提供7*24小时的服务响应级别,保障用户的网络及重要系统在任何时间发生任何安全问题都能够及时得到支持和救援,让客户安心。

5.服务SLA

作为一个规范的网络安全服务商,阿里云安全管家服务团队拥有完善的响应机制,同时也具备处理各种紧急事件经验的工程师。我们把安全管家服务分为三个版本,为客户提供符合客户实际需求的安全管家响应服务,且保证达到应有的服务效果,具体详细请参见下表:

服务内容 应急版 护航版 企业版
安全事件管理
  • 15分钟内响应
  • 5个自然日内解决
  • 15天内保障安全
  • 紧急安全事件:15分钟内响应
  • 非紧急安全事件:1小时内响应
(支持7*24小时服务响应)
  • 紧急安全事件:15分钟内响应
  • 非紧急安全事件:1小时内响应
(支持7*24小时服务响应)
安全检查 事件相关业务的安全检查 重点业务每天巡检 指定云上业务每天巡检
安全策略管理 针对本次事件提供安全策略改进建议 针对重点业务制定安全策略方案并协助策略配置 针对云上所有业务的发展需要制定安全策略方案并协助策略配置
漏洞管理 - -高危漏洞-15分钟内响应 -中危漏洞-1小时内响应 -低危漏洞-4小时内响应 (以上均在7*24时间内响应) -高危漏洞-15分钟内响应 -中危漏洞-1小时内响应 -低危漏洞-4小时内响应(以上均在7*24时间内响应)
安全架构咨询 - 1小时内响应 1小时内响应

6.服务常见问题Q&A

6.1安全管家服务是否会拿走用户的数据?

安全管家不接触客户任何数据。在服务过程中,如果需要登录到客户系统时,需要用户授权或指导用户工程师协助完成。

6.2工具扫描时是否会对被扫描系统产生影响?

安全扫描服务由安全管家使用专业的安全扫描工具实现,通常情况下不会对被扫描系统产生任何影响。但在业务繁忙时段,如果系统负载过高,扫描行为可能会对被扫描系统造成影响。因此安全扫描服务通常会在非业务繁忙时段实施,以规避风险。

6.3安全管家应急服务处理非安全问题吗?

不提供非安全问题分析和处理服务。只针对以上定义的突发安全事件提供应急响应处理服务,客户的软件问题、基础网络问题、云服务器问题不在此范围内,如果您有其他问题,您可以提交工单,阿里云售后人员会为您服务。

6.4安全管家应急服务可以找到根本原因吗?

安全管家应急服务不承诺100%可以找到安全事件事发原因,该结果取决于客户的IT基础环境,包括服务器日志、应用服务日志保存完整性等方面,但阿里云安全应急响应服务工程师会尽力而为的在事发后的环境中,通过各方面的信息帮助客户排查分析原因,从根本上发现安全技术问题和安全管理问题,从而进一步帮助客户制定完整的解决方案,防止后续再次发生安全事件。