文档

安全管家服务

更新时间:
一键部署

点击查看/下载PDF版

1.服务概述

安全管家企业版(以下简称安全管家)是阿里云安全团队经过多年的技术实战和经验沉淀,面向云上客户提供的安全托管运营服务,在客户自身安全团队能力不足的情况下,将部分或全部的安全工作交付给阿里云安全团队来负责,由阿里云安全专家帮助用户进行安全方案设计及日常管理工作,保障云上业务的安全性。

2.服务范围

编号

服务范畴

工作范围

备注

1

安全咨询服务

基于云上安全最佳实践、结合客户业务的特点,为客户定制云上安全建议方案,

在线解答客户安全问题

阿里云为主,需要客户配合

2

安全评估

全面评估甲方阿里云上资产的安全性,包括云平台组件、网络安全、主机安全、应用安全等方面。

阿里云为主,需要客户配合

3

安全加固指导

依据最佳实践指导用户对甲方云上系统的网络、主机、应用软件进行安全加固(不包括应用程序代码层加固。)

阿里云指导,具体加固工作由客户自行完成

4

安全检测

每季度一次对甲方云上资产进行安全扫描。

阿里云

5

安全监控与巡检

针对甲方云上资产的安全事件、安全漏洞进行日常的安全巡检和安全监控,及时发现安全隐患。

阿里云

6

安全事件应急响应

帮助甲方在系统遭受入侵后进行应急处理。

阿里云为主导,需要客户配合

7

安全产品运营指导

指导甲方配置和使用云盾产品。

阿里云指导,具体配置工作由客户自行完成

8

安全护航

帮助云上客户在特殊时期更好地进行核心业务的安全防护。

阿里云为主导,需要客户配合

3.前提条件

为了保障服务效果和甲方云上系统的安全防护能力,安全管家服务依赖于以下前提条件:

  • 甲方应明确需要安全管家服务的云上资产范围,并授权阿里云扫描和评估;

  • 甲方需要提供必要的授权给阿里云工作人员,如云平台子账号、堡垒机或服务器的访问权限,便于阿里云安全人员开展工作;

  • 安全事件的监测依赖于态势感知产品,如果甲方未开通态势感知产品,则安全监控和巡检服务效果会受到影响。

4.服务内容

安全管家包括服务器安全托管、企业版安全管家和安全护航3个版本:

服务器安全托管面向个人客户或小型企业客户提供服务器安全运营托管服务,服务范围仅限于用户购买的服务器;

企业版安全管家是面向企业客户提供的云上资产安全运营托管服务,服务范围覆盖用户账户下的所有云上资产;

安全护航是由阿里云安全管家团队推出的在线值守保障服务,是安全管家一个独立版本,需单独购买。

服务器安全托管、企业版安全管家两者之间的服务内容有一定差异,请参见下表:

服务内容

服务器安全托管

企业版安全托管

安全咨询服务

包含

包含

安全评估

不包含

包含

安全加固指导

包含

包含

安全检测

不包含

包含

安全监控与巡检

包含

包含

安全事件应急响应

包含

包含

安全产品运营指导

不包含

包含

4.1安全咨询服务

安全管家提供以下咨询服务内容:

  • 针对每个客户建立安全管家服务钉钉群,及时在线沟通各种安全问题。

  • 企业版每年根据甲方的业务情况和云上资产安全情况设计一份安全建议方案。

4.2安全评估

为了充分了解信息系统存在的安全风险以及面临的网络安全威胁,需要使用多种安全检查方法收集准确的基础数据信息,从技术角度分析出客户业务系统中存在的安全问题。

阿里云安全管家服务团队将根据甲方的安全需求,评估甲方业务安全现状,找出当前甲方业务与安全最佳实践之间的差距,并提出对应的解决方案。

安全风险评估服务主要包括以下内容:

评估类别

评估内容描述

方式

云平台安全评估

l 评估云平台账号安全情况

l 评估云平台权限控制是否合理

l 评估是否存在敏感信息泄露情况(如AK信息泄露)

人工检查

云平台组件安全评估

对甲方使用的云平台组件(如RDS、OSS等)进行安全评估,分析安全风险

人工检查

网络安全评估

l 评估网络安全分组划分的合理性

l 检查网络访问控制策略合理性

l 扫描并探测对公网开放的高危端口

l 网络层安全攻击和威胁分析

人工检查和工具扫描

主机安全评估

l 通过扫描器全面探测主机操作系统和应用软件的安全漏洞

l 通过最佳实践基线检查发现操作系统和应用软件的配置弱项

l 对自动化的扫描工具结果进行人工分析验证

人工检查和工具扫描

应用安全评估

l 通过扫描器发现Web站点中存在的OWASP 10安全漏洞,发现业务应用代码层的安全漏洞

l 对人工对站点进行安全测试,并对扫描器发现的问题进行安全分析验证

l 对其他非Web应用进行安全评估

l 制定修复方案,指导甲方修复安全漏洞

人工检查和工具扫描

4.3安全加固指导

安全加固指导基于安全评估发现的问题以及最佳实践经验开展,安全管家服务团队将针对甲方的应用部署环境和业务状况定制安全加固方案,并指导甲方在生产环境加固。安全加固方案包括以下几个方面:

  • 网络安全策略调整,如网络架构调整、安全组策略加固等

  • 对RDS、OSS等云产品进行安全加固

  • 对ECS操作系统进行安全基线加固和补丁升级

  • 对Apache、Nginx等应用软件进行安全加固

考虑到客户生产环境的依赖性和复杂性,安全管家服务团队不直接在客户生产环境操作安全加固。如果用户需要全托管的安全运维服务,甲方需要在安全管家企业版的基础上单独购买安全加固服务,并授权安全管家服务团队上线操作生产环境。

4.4安全检测

随着时间的推移,信息系统可能会因为业务变化、操作系统或应用软件被发现新的0day漏洞、代码调整、配置变更等因素而带来新的安全隐患;因此,周期性的安全检测对于保障业务系统的长期安全是非常有必要的。

安全管家企业版每季度会为甲方进行一次安全扫描,扫描内容包括但不限于以下方面:

  • 所有云上资产的开放端口情况

  • 主机操作系统安全漏洞检测

  • 应用软件安全漏洞检测

  • Web应用安全漏洞检测

4.5安全监控与巡检

阿里云云盾安全管家服务团队提供安全日常监控和巡检服务,帮助甲方分析和管理系统每天安全事件,并提供解决方案,让甲方的系统始终处于一个高度安全的状态。

安全巡检功能依赖于云盾安全产品,并建议甲方开通云盾态势感知收费版本。

监控、巡检项目

内容

安全产品及策略

安全产品及策略启用状态、授权状态、配置状态和规范性

网络安全层

访问流量趋势

网络异常访问行为

DDoS、CC攻击行为

云服务器操作系统层

云服务器端口开放情况(如22、3389、3306等非业务端口直接发布至互联网)

云服务器配置弱项(如弱口令、Root账号直接登录)

针对登录协议的暴力破解攻击事件、远程登录事件

应用中间软件漏洞(如Tomcat漏洞、JBoss漏洞)

服务器其他异常事件

应用安全层

业务可用性监测

Webshell事件

网站被挂马、暗链、被篡改监测等

Web应用安全漏洞

4.6安全事件应急响应

在甲方的信息系统遭受黑客入侵时,按照遏制、根除、恢复流程,提供专业的7x 24远程紧急响应处理服务,帮助云上用户快速响应和处理信息安全事件并从中恢复业务,并通过后续的安全管理提升安全性,遏制未来安全事件的发生,降低业务影响。

4.7安全产品运营指导

针对没有专门的安全人员的甲方,提供专业的云盾安全产品指导服务,帮助甲方根据安全威胁管理安全产品策略,并根据情况,提供优化安全策略指导,为甲方搭建牢固的安全防御体系。

4.8安全护航

在企业进行大促活动、新品发布、重大新闻发布、IPO等重大活动期间,以及重大会议期间,企业或政府机构对外业务系统往往会成为竞争对手、黑客的重点攻击目标,在这些特殊时期如果出现严重的信息安全事件,将给企业、政府机构带来严重的后果。因此,企业在特殊时期需要对核心系统进行特殊保障,确保在线业务的安全运行。

安全护航是由阿里云安全管家团队推出的在线值守保障服务,帮助云上客户在特殊时期更好地进行核心业务的安全防护,抵御各种黑客攻击,保障活动、会议期间核心业务的稳定运行。安全护航服务需单独购买,根据用户的需求按照服务人天计价。

5.服务SLA

  • 5x8小时服务时间内提供钉钉群在线服务支持,<20分钟的快速响应;7x24小时服务时间内电话服务支持,接到电话<30分钟的上线快速响应。

通过远程支持提供安全咨询和安全应急响应服务。

  • 安全管家服务范围包括甲方提前告知并纳入服务范围内的阿里公有云资产。

甲方云下资产或未提前告知并授权安全评估的云上资产不在服务范围内。

  • 安全加固服务需要单独购买,根据ECS服务器数量定价。

安全加固服务内容是针对云平台、云资源、操作系统进行加固,不包括业务层代码加固。

  • 安全事件应急响应服务次数限制:服务器安全托管每年提供不超过2次应急响应服务,安全管家企业版每年提供不超过4次应急响应服务。

6.客户责任

  • 客户须指派一位项目接口人协助阿里云安全团队开展工作。

  • 客户需要提供必要的授权,包括阿里云子账号。

  • 客户应根据阿里云安全专家的建议开展安全建设工作,部署必要的安全产品。

7.项目变更

  • 因甲、乙方单方或双方要求,对项目目标、服务内容、实施计划、交付项目等进行改变,以及因此类改变而可能引起的合同价格和合同其他条款变化,需要通过协商进行项目变更。

  • 如甲方ECS数量出现大幅度增加的情况,且达到安全管家企业版新的报价规格时,甲方需要及时对安全管家企业版进行升级。

8.验收标准

根据安全管家企业版SOW和SLA要求提供必要的安全服务报告。

9.完成标志

以安全管家订单到期视为项目的完成标志。