安全管家服務
1.服務概述
安全管家企業版(以下簡稱安全管家)是阿里云安全團隊經過多年的技術實戰和經驗沉淀,面向云上客戶提供的安全托管運營服務,在客戶自身安全團隊能力不足的情況下,將部分或全部的安全工作交付給阿里云安全團隊來負責,由阿里云安全專家幫助用戶進行安全方案設計及日常管理工作,保障云上業務的安全性。
2.服務范圍
編號 | 服務范疇 | 工作范圍 | 備注 |
1 | 安全咨詢服務 | 基于云上安全最佳實踐、結合客戶業務的特點,為客戶定制云上安全建議方案, 在線解答客戶安全問題 | 阿里云為主,需要客戶配合 |
2 | 安全評估 | 全面評估甲方阿里云上資產的安全性,包括云平臺組件、網絡安全、主機安全、應用安全等方面。 | 阿里云為主,需要客戶配合 |
3 | 安全加固指導 | 依據最佳實踐指導用戶對甲方云上系統的網絡、主機、應用軟件進行安全加固(不包括應用程序代碼層加固。) | 阿里云指導,具體加固工作由客戶自行完成 |
4 | 安全檢測 | 每季度一次對甲方云上資產進行安全掃描。 | 阿里云 |
5 | 安全監控與巡檢 | 針對甲方云上資產的安全事件、安全漏洞進行日常的安全巡檢和安全監控,及時發現安全隱患。 | 阿里云 |
6 | 安全事件應急響應 | 幫助甲方在系統遭受入侵后進行應急處理。 | 阿里云為主導,需要客戶配合 |
7 | 安全產品運營指導 | 指導甲方配置和使用云盾產品。 | 阿里云指導,具體配置工作由客戶自行完成 |
8 | 安全護航 | 幫助云上客戶在特殊時期更好地進行核心業務的安全防護。 | 阿里云為主導,需要客戶配合 |
3.前提條件
為了保障服務效果和甲方云上系統的安全防護能力,安全管家服務依賴于以下前提條件:
甲方應明確需要安全管家服務的云上資產范圍,并授權阿里云掃描和評估;
甲方需要提供必要的授權給阿里云工作人員,如云平臺子賬號、堡壘機或服務器的訪問權限,便于阿里云安全人員開展工作;
安全事件的監測依賴于態勢感知產品,如果甲方未開通態勢感知產品,則安全監控和巡檢服務效果會受到影響。
4.服務內容
安全管家包括服務器安全托管、企業版安全管家和安全護航3個版本:
服務器安全托管面向個人客戶或小型企業客戶提供服務器安全運營托管服務,服務范圍僅限于用戶購買的服務器;
企業版安全管家是面向企業客戶提供的云上資產安全運營托管服務,服務范圍覆蓋用戶賬戶下的所有云上資產;
安全護航是由阿里云安全管家團隊推出的在線值守保障服務,是安全管家一個獨立版本,需單獨購買。
服務器安全托管、企業版安全管家兩者之間的服務內容有一定差異,請參見下表:
服務內容 | 服務器安全托管 | 企業版安全托管 |
安全咨詢服務 | 包含 | 包含 |
安全評估 | 不包含 | 包含 |
安全加固指導 | 包含 | 包含 |
安全檢測 | 不包含 | 包含 |
安全監控與巡檢 | 包含 | 包含 |
安全事件應急響應 | 包含 | 包含 |
安全產品運營指導 | 不包含 | 包含 |
4.1安全咨詢服務
安全管家提供以下咨詢服務內容:
針對每個客戶建立安全管家服務釘釘群,及時在線溝通各種安全問題。
企業版每年根據甲方的業務情況和云上資產安全情況設計一份安全建議方案。
4.2安全評估
為了充分了解信息系統存在的安全風險以及面臨的網絡安全威脅,需要使用多種安全檢查方法收集準確的基礎數據信息,從技術角度分析出客戶業務系統中存在的安全問題。
阿里云安全管家服務團隊將根據甲方的安全需求,評估甲方業務安全現狀,找出當前甲方業務與安全最佳實踐之間的差距,并提出對應的解決方案。
安全風險評估服務主要包括以下內容:
評估類別 | 評估內容描述 | 方式 |
云平臺安全評估 | l 評估云平臺賬號安全情況 l 評估云平臺權限控制是否合理 l 評估是否存在敏感信息泄露情況(如AK信息泄露) | 人工檢查 |
云平臺組件安全評估 | 對甲方使用的云平臺組件(如RDS、OSS等)進行安全評估,分析安全風險 | 人工檢查 |
網絡安全評估 | l 評估網絡安全分組劃分的合理性 l 檢查網絡訪問控制策略合理性 l 掃描并探測對公網開放的高危端口 l 網絡層安全攻擊和威脅分析 | 人工檢查和工具掃描 |
主機安全評估 | l 通過掃描器全面探測主機操作系統和應用軟件的安全漏洞 l 通過最佳實踐基線檢查發現操作系統和應用軟件的配置弱項 l 對自動化的掃描工具結果進行人工分析驗證 | 人工檢查和工具掃描 |
應用安全評估 | l 通過掃描器發現Web站點中存在的OWASP 10安全漏洞,發現業務應用代碼層的安全漏洞 l 對人工對站點進行安全測試,并對掃描器發現的問題進行安全分析驗證 l 對其他非Web應用進行安全評估 l 制定修復方案,指導甲方修復安全漏洞 | 人工檢查和工具掃描 |
4.3安全加固指導
安全加固指導基于安全評估發現的問題以及最佳實踐經驗開展,安全管家服務團隊將針對甲方的應用部署環境和業務狀況定制安全加固方案,并指導甲方在生產環境加固。安全加固方案包括以下幾個方面:
網絡安全策略調整,如網絡架構調整、安全組策略加固等
對RDS、OSS等云產品進行安全加固
對ECS操作系統進行安全基線加固和補丁升級
對Apache、Nginx等應用軟件進行安全加固
考慮到客戶生產環境的依賴性和復雜性,安全管家服務團隊不直接在客戶生產環境操作安全加固。如果用戶需要全托管的安全運維服務,甲方需要在安全管家企業版的基礎上單獨購買安全加固服務,并授權安全管家服務團隊上線操作生產環境。
4.4安全檢測
隨著時間的推移,信息系統可能會因為業務變化、操作系統或應用軟件被發現新的0day漏洞、代碼調整、配置變更等因素而帶來新的安全隱患;因此,周期性的安全檢測對于保障業務系統的長期安全是非常有必要的。
安全管家企業版每季度會為甲方進行一次安全掃描,掃描內容包括但不限于以下方面:
所有云上資產的開放端口情況
主機操作系統安全漏洞檢測
應用軟件安全漏洞檢測
Web應用安全漏洞檢測
4.5安全監控與巡檢
阿里云云盾安全管家服務團隊提供安全日常監控和巡檢服務,幫助甲方分析和管理系統每天安全事件,并提供解決方案,讓甲方的系統始終處于一個高度安全的狀態。
安全巡檢功能依賴于云盾安全產品,并建議甲方開通云盾態勢感知收費版本。
監控、巡檢項目 | 內容 |
安全產品及策略 | 安全產品及策略啟用狀態、授權狀態、配置狀態和規范性 |
網絡安全層 | 訪問流量趨勢 |
網絡異常訪問行為 | |
DDoS、CC攻擊行為 | |
云服務器操作系統層 | 云服務器端口開放情況(如22、3389、3306等非業務端口直接發布至互聯網) |
云服務器配置弱項(如弱口令、Root賬號直接登錄) | |
針對登錄協議的暴力破解攻擊事件、遠程登錄事件 | |
應用中間軟件漏洞(如Tomcat漏洞、JBoss漏洞) | |
服務器其他異常事件 | |
應用安全層 | 業務可用性監測 |
Webshell事件 | |
網站被掛馬、暗鏈、被篡改監測等 | |
Web應用安全漏洞 |
4.6安全事件應急響應
在甲方的信息系統遭受黑客入侵時,按照遏制、根除、恢復流程,提供專業的7x 24遠程緊急響應處理服務,幫助云上用戶快速響應和處理信息安全事件并從中恢復業務,并通過后續的安全管理提升安全性,遏制未來安全事件的發生,降低業務影響。
4.7安全產品運營指導
針對沒有專門的安全人員的甲方,提供專業的云盾安全產品指導服務,幫助甲方根據安全威脅管理安全產品策略,并根據情況,提供優化安全策略指導,為甲方搭建牢固的安全防御體系。
4.8安全護航
在企業進行大促活動、新品發布、重大新聞發布、IPO等重大活動期間,以及重大會議期間,企業或政府機構對外業務系統往往會成為競爭對手、黑客的重點攻擊目標,在這些特殊時期如果出現嚴重的信息安全事件,將給企業、政府機構帶來嚴重的后果。因此,企業在特殊時期需要對核心系統進行特殊保障,確保在線業務的安全運行。
安全護航是由阿里云安全管家團隊推出的在線值守保障服務,幫助云上客戶在特殊時期更好地進行核心業務的安全防護,抵御各種黑客攻擊,保障活動、會議期間核心業務的穩定運行。安全護航服務需單獨購買,根據用戶的需求按照服務人天計價。
5.服務SLA
5x8小時服務時間內提供釘釘群在線服務支持,<20分鐘的快速響應;7x24小時服務時間內電話服務支持,接到電話<30分鐘的上線快速響應。
通過遠程支持提供安全咨詢和安全應急響應服務。
安全管家服務范圍包括甲方提前告知并納入服務范圍內的阿里公有云資產。
甲方云下資產或未提前告知并授權安全評估的云上資產不在服務范圍內。
安全加固服務需要單獨購買,根據ECS服務器數量定價。
安全加固服務內容是針對云平臺、云資源、操作系統進行加固,不包括業務層代碼加固。
安全事件應急響應服務次數限制:服務器安全托管每年提供不超過2次應急響應服務,安全管家企業版每年提供不超過4次應急響應服務。
6.客戶責任
客戶須指派一位項目接口人協助阿里云安全團隊開展工作。
客戶需要提供必要的授權,包括阿里云子賬號。
客戶應根據阿里云安全專家的建議開展安全建設工作,部署必要的安全產品。
7.項目變更
因甲、乙方單方或雙方要求,對項目目標、服務內容、實施計劃、交付項目等進行改變,以及因此類改變而可能引起的合同價格和合同其他條款變化,需要通過協商進行項目變更。
如甲方ECS數量出現大幅度增加的情況,且達到安全管家企業版新的報價規格時,甲方需要及時對安全管家企業版進行升級。
8.驗收標準
根據安全管家企業版SOW和SLA要求提供必要的安全服務報告。
9.完成標志
以安全管家訂單到期視為項目的完成標志。