信息安全风险评估方案模板(共62页).doc

《信息安全风险评估方案模板(共62页).doc》由会员分享，可在线阅读，更多相关《信息安全风险评估方案模板(共62页).doc（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上_某单位 信息安全风险评估投标书技术部分_北京启明星辰信息安全技术有限公司注释：本文档所包含的信息在未事先得到北京启明星辰信息技术股份有限公司书面同意之前，本文档全部或部分内容不得用于其他任何用途或交与第三方。专心-专注-专业目 录第1章 项目概述1.1. 项目背景中国石油天然气股份有限公司管道分公司（简称某单位）隶属于中国石油天然气股份有限公司，主要负责长输油气管道的运营管理、建设和科研。公司下辖大庆、长春等26个输油（气）单位以及管道工程项目经理部、管道科技中心等单位，所属单位和人员分布在全国17个省（自治区、直辖市）。公司拥有集油气管道输送技术研发、服务、培训、

2、检测和监测为一体的专业科研机构，科研力量雄厚，科研设施完备，拥有管道核心技术研发能力。在油气储运工艺、管道完整性管理、管道化学添加剂、管道规划、信息与经济等研究领域整体处于国内领先水平。随着 “十二五”计划的开局与发展，某单位将加快战略转型，深入使用信息化科技手段提高生产效率。当企业经营数据、生产过程控制及信息交换完成信息化的大集中后，信息系统的安全一旦受到破坏将产生严重的、不可估量的后果。因此，某单位急需展开信息安全风险评估专项工作，加强信息安全建设和管理，本次项目根据某单位工作要求，结合国家相关政策要求，依据信息安全建设相关国际和国内标准，对石油管道公司重要信息系统进行完整的信息系统评估，

3、为公司信息系统的安全运行提供有力的保障。1.2. 项目目标安全评估的目的通常包括以下几个方面：n 确定可能对信息系统造成危害的威胁n 通过历史资料和专家的经验确定威胁实施的可能性n 对可能受到威胁影响的信息资产确定其价值、敏感性和严重性n 对各类信息资产，确定一旦威胁发生其潜在的损失或破坏针对本次的安全评估，主要包括以下目的：n 准确了解企业的网络和系统安全现状n 明晰企业的安全需求n 制定企业网络和系统的安全策略n 制定企业网络和系统的安全解决方案n 指导企业未来的安全建设和投入n 指导企业建立信息安全框架1.3. 项目范围此次信息安全评估服务范围涵盖由项目组双方沟通确认，推荐主管信息化部门

4、、系统建设和运维部门、业务部门都参与本次项目。涉及的信息系统如下表所示：实施范围 范围类型 详细资产 技术评估范围物理环境评估设备系统所在机房 主机系统主机设备名称操作系统型号（IP地址） 数据库系统数据库(SqlServer、Oracle、Informix、DB2等) 应用中间件信息系统中间件（WEBLOGIC、WEBSPHERE、APACHE、TOMCAT等) 网络设备核心层交换机 汇聚层交换机 接入层交换机 安全设备IPS、IDS、防火墙管理评估范围安全管理机构信息系统责任单位的安全管理机构设置情况 安全管理制度信息系统责任单位的安全管理制度建设情况 人员安全管理信息系统责任单位的人员安

5、全管理情况 系统建设管理信息系统责任单位的系统建设管理情况 系统运维管理信息系统责任单位的系统运维管理情况 1.4. 项目内容本次安全评估的内容包括：n 通过技术性检测评估，获得网络层存在的网络安全漏洞报告；n 通过问卷调查和交流沟通，了解非技术层面的安全漏洞；n 通过对上述技术和非技术漏洞的分析，得出安全状况报告；n 提出网络安全策略和网络安全解决方案，指导下一步的网络安全建设；n 根据某单位的要求，可以进行授权渗透测试，模拟黑客入侵的过程；第2章 项目需求理解风险评估的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品

6、和技术的应用状况以及管理体系是否完善等等；同时对管理风险、综合安全风险以及应用系统安全性进行评估。风险评估采用专业工具扫描、人工评估、渗透测试三种相结合的方式，对各种操作系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。第3章 项目方案设计3.1. 设计目标本次风险评估的安全服务项目主要目标是：n 通过风险评估，得到某单位的整体安全现状；n 通过资产评估，得到某单位的网络信息安全资产状况，并

7、录入资产库，进行资产梳理；n 通过威胁评估，得到某单位存在的安全威胁情况；n 通过脆弱性评估，得到某单位当前业务系统存在的脆弱性；n 对各个业务系统进行综合风险分析，得到风险情况，提出分系统的安全解决方案；n 提出各个系统的风险处置解决方案。3.2. 设计原则1.标准性原则遵循国家、行业和组织相关标准开展风险评估工作。2.可控性原则在项目建设与实施过程中，应保证参与实施的人员、使用的技术和工具、过程都是可控的。3.完整性原则项目方案要充分考虑项目所有环节，做到统筹兼顾，细节清楚。4.最小影响原则项目的所有阶段，保证项目实施过程工作对系统正常运行的可能影响降低到最低限度，不会对某单位目前的业务系

8、统运行造成明显的影响。5.保密原则项目的所有阶段，将严格遵循保密原则，服务过程中涉及到的任何用户信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损害用户利益。并与某单位签订保密协议，承诺未经允许不向其他任何第三方泄露有关信息系统的信息。3.3. 设计依据本方案设计主要参照以下政策和标准进行设计。3.3.1. 政策依据表格 1 相关策略时间相关政策文件2003年 国家信息化领导小组关于加强信息安全保障工作的意见（中办发27号文），提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”。2004年 为贯彻落实27号文件精神，原国信办组织有

9、关单位和专家编写了信息安全风险评估指南。2005年 国务院信息化工作办公室关于印发的通知（国信办【2005】5号），组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。2006年 由国家网络与信息安全协调小组讨论通过的关于开展信息安全风险评估工作的意见（国信办20065号），文件要求三年内在国家基础信息网络和重要行业信息系统中普遍推行信息安全风险评估工作。 中共中央办公厅国务院办公厅关于印发20062020年国家信息化发展战略的通知（中办200611号文）提出加强信息安全风险评估工作。 2007年 为保障十七大，在国家基础信息网络和重要信息系统范围内

10、，全面展开了自评估工作。（中国移动、电力、税务、证券）2008年 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知（发改高技20082071号），明确“加强和规范国家电子政务工程建设项目信息安全风险评估工作”。3.3.2. 标准依据表格 2 相关标准标准类型参考标准国际标准v ISO15408 信息技术安全评估准则v ISO/IEC TR 13335信息和通信技术安全管理v ISO/TR 13569 银行和相关金融服务信息安全指南v ISO/IEC 27000 信息安全管理体系系列标准v AS/NZS 4360 风险管理v NIST SP 800-30 IT系统风险管理指南国内标准v

11、 GB17859计算机信息系统安全保护等级划分准则v GBT 20984信息安全风险评估规范v GBT 22239信息安全技术信息系统安全等级保护基本要求v GBZ 20985信息技术安全技术信息安全事件管理指南v GBZ 20986信息安全技术信息安全事件分类分级指南v 各组织或行业内相关要求3.4. 方法模型本方案中提供的风险评估与管理模型参考了多个国际风险评估标准，建立安全风险关系模型和安全风险分析方法模型。3.4.1. 风险关系模型风险关系模型从安全风险的所有要素：资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响，风险关系模型如下图所示。图

12、 1风险关系模型图在上述关系图中：资产指组织要保护的资产，是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足，它们不直接对资产造成危害，但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害；

13、威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面：事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险，因此，为了降低安全风险，应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测

14、、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。通常安防措施只是降低了安全风险而并未完全杜绝风险，而且风险降低得越多，所需的成本就越高。因此，在系统中就总是有残余风险（RR）的存在，这样，系统安全需求的确定实际上也是对余留风险及其接受程度的确定。3.4.2. 风险分析方法模型在安全风险分析方法模型中提供了风险计算的方法，通过两个因素：威胁级别、威胁发生的概率，通过风险评估矩阵得出安全风险。图 2风险分析原理图风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性可以是威胁主体、

15、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：a） 对资产进行识别，并对资产的价值进行赋值；b） 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；c） 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；d） 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；e） 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；f） 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。3.5. 工具方法3.5.1. 风险评估采用方法风险评估常用方法如下： 调查访谈物理安全访谈表、人员安全

16、访谈表、网络安全访谈表、系统安全访谈表等等； 工具扫描网络安全扫描、应用安全扫描、系统安全扫描等等； 人工检查操作系统checklist、数据库checklist、网络设备checklist等等； 渗透测试由专业渗透测试工程师模拟黑客攻击方式对网络与信息系统进行非破坏性漏泀验证性测试； 文档查阅管理制度查阅、管理策略查阅、安全指导方针查阅等等。3.5.2. 风险评估使用工具本次项目，用到的部分评估工具列出如下表：表格 3 评估工具列表工具类别工具名称工具说明网络漏洞扫描工具天镜网络漏洞扫描系统启明星辰公司自主产权的大规模网络漏洞扫描系统，可扫描端口服务信息、漏洞信息、用户信息，并可鉴别系统类型

17、。Nessus世界范围内广泛使用的免费网络端口扫描、系统类型鉴别和漏洞扫描工具入侵检测工具天阗网络入侵检测系统入侵检测系统作为实时的检测工具，是安全威胁信息收集过程中的一种重要手段，分析网络的安全运行状况，发觉配置和运行中的隐患，其数据是网络整体安全的重要参考依据本地控制台安全审计工具Solaris（TM）Security ToolkitSun公司官方提供的本地控制台审计工具包Linux Security Audit Tools（LSAT）Linux系统的本地控制台审计工具包Win 系统安全审计工具包启明星辰收集整理的多种针对性的Win 系统安全审计工具的集合Check Rootkits多种u

18、nix和类unix平台的后门检测工具路由-交换-防火墙安全审计工具包启明星辰整理定制的工具包，通过SNMP、Telnet、HTTP、CDP、RIP等协议对网络设备进行安全审计第4章 风险评估实施流程我们将整个项目的实施内容分为7个阶段。从项目启动阶段到项目验收整个项目实施过程，我们用WBS图中完整地描述了整个项目实施过程的重要工作任务。图 3项目实施流程图4.1. 阶段1：项目启动阶段此阶段是项目的启动和计划阶段，是项目实施阶段的开始，对项目整个过程的实施工作与项目管理工作都非常重要。4.1.1. 阶段目标在此阶段的主要工作目标是召开评估项目启动会议，并就项目组的工作方式、日常流程、工作计划、

19、交付件蓝图进行沟通和确认。4.1.2. 阶段步骤评估项目启动阶段，是整个项目过程中，对项目的有效性的一种保证。实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。步骤一：项目组织，确定双方项目组织结构及人员分工。步骤二：召开项目启动会，包括项目中需要落实内容：a) 获得支持和配合；b) 确定项目的目标；c) 确定项目的内容；d) 组建项目服务团队；e) 对项目的对象、范围进行调研并确认；f) 宣贯风险评估方法和评估思想；g) 建立项目组的工作场所和环境；h) 确定项目组的工作流程，包括文档交付流程、项目更改流程等；i) 确定项目组的工作方

20、式，包括指定接口人，保密方式，资料保管和备份方式等。步骤三：确定各个细节后，项目启动完成，进入项目实施阶段。4.1.3. 阶段输出本阶段完成后输出如下文件： 项目实施计划 项目启动会议纪要 项目蓝图 保密协议书 项目组织结构和人员职责 项目范围确认书 培训计划（针对风险评估知识宣贯实施方法）4.2. 阶段2：资产评估阶段保护资产免受安全威胁是本项目实施的根本目标。要做好这项工作，首先需要详细了解资产分类与管理的详细情况。4.2.1. 阶段目标资产识别的目的就是要对系统的相关资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使企业能够更合理的利用

21、现有资产，更有效地进行资产管理，更有针对性的进行资产保护，最具策略性的进行新的资产投入。4.2.2. 阶段步骤阶段一：根据项目范围进行资产分类与识别，包括主机设备、网络设备、数据库系统、应用系统、文档资产、人员资产等等。阶段二：进行资产识别，分类并赋值。4.2.3. 阶段方法表格 4资产评估方法项目名称资产分类调查简要描述采集资产信息，进行资产分类，划分资产重要级别及赋值；达成目标采集资产信息，进行资产分类，划分资产重要级别及赋值；进一步明确评估的范围和重点。主要内容 采集资产信息，获取资产清单； 进行资产分类划分； 确定资产的重要级别，对资产进行赋值。实现方式 调查。 填表式调查。 资产调查

22、表，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。 交流。 审阅已有的针对资产的安全管理规章、制度。 与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件2-3人工作环境，2台笔记本，电源和网络环境，某单位人员和资料配合。工作结果资产类别、资产重要级别。参加人员依据现场状况，启明星辰全体评估人员在某单位业务系统相关技术和管理人员的配合下进行资产分类调查。4.2.4. 阶段输出本阶段完成后输出文档如下： 资产详细清单 资产赋值列表4.3. 阶段3：威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信

23、息系统，它都存在。为全面、准确地了解系统所面临的各种威胁，需采用威胁分析方法。 4.3.1. 阶段目标通过威胁分析，找出系统目前存在的潜在风险因素，并进行统计，赋值，以便于列出风险。4.3.2. 阶段步骤威胁识别采用人工审计、安全策略文档审阅、人员面谈、入侵检测系统收集的信息和人工分析。步骤一：把已经发现的威胁进行分类；步骤二：把发现的威胁事件进行分析。4.3.3. 阶段方法表格 3威胁调查评估项目名称威胁调查评估简要描述使用技术手段分析信息系统可能面临的所有安全威胁和风险。达成目标全面了解掌握信息系统可能面临的所有安全威胁和风险。对威胁进行赋值并确定威胁等级。主要内容 被动攻击威胁与风险：网

24、络通信数据被监听、口令等敏感信息被截获等。 主动攻击威胁与风险：扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码（如：特洛依木马、病毒、后门等）、越权访问、篡改数据、伪装、重放所截获的数据等。 邻近攻击威胁与风险：毁坏设备和线路、窃取存储介质、偷窥口令等。 分发攻击威胁与风险：在设备制造、安装、维护过程中，在设备上设置隐藏的后门或攻击途径、 内部攻击威胁与风险：恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。实现方式 调查交流 工具检测 人工检测工作条件2-3人工作环境，2台笔记本，电源和网络环境，某单位人员和资料配合

25、工作结果根据分析结果列出系统所面临的威胁，对威胁赋值并确定威胁级别参加人员启明星辰评估小组，网络管理人员、系统管理人员4.3.4. 阶段输出本阶段完成主要输出文档如下： 威胁调查表 威胁赋值列表4.4. 阶段4：脆弱性评估脆弱性是对一个或多个资产弱点的总称，脆弱性评估是对技术脆弱性和管理脆性进行识别和赋值的过程。4.4.1. 阶段目标技术脆弱性主要是采用工具扫描、人工检查（checklist）、渗透测试、访谈等方式对物理环境、网络结构、应用软件、业务流程等进行脆弱性识别并赋值。管理脆弱性主要是通过管理访谈、文档查阅等方式对安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等进

26、行脆弱性识别并赋值。4.4.2. 实施步骤脆弱性识别步骤主要是通过技术脆弱性和管理脆弱性来进行识别。4.4.2.1. 技术脆弱性4.4.2.1.1. 物理环境评估物理安全是一切系统安全的基础。对物理安全的评估将从机房选址、建设；员工、外来访问者进入机房的权限控制；机房的报警、电子监控以及防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统等方面进行。表格 6 物理安全评估项目名称物理安全评估简要描述分析物理安全是否满足相关的安全标准。达成目标准确把握物理安全中的安全隐患，提出安全建议。主要内容 评估环境安全：机房选址、建设、防火、防水、防静电、防雷击、防

27、鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统是否满足相关国家标准；内部及外来人员对机房的访问权限控制；安全审查及管理制度。 评估设备安全：门控系统、网络专用设备（路由器，交换机等）和主机设备（终端计算机，打印机、服务器等）。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护、维修、报废等；设备冗余备份。 评估介质安全：软盘、硬盘、光盘、磁带等媒体的管理，信息媒体的维修将保证所存储的信息不被泄漏，不再需要的媒体，将按规定及时安全地予以销毁。实现方式 问询 现场检查 资料收集工作条件某单位人员和资料配合工作结果依据相关的物理安全标准，结合某单

28、位的实际需求，协助某单位改进安全措施参加人员某单位机房、设备管理员、维护人员，启明星辰评估小组4.4.2.1.2. 网络架构评估网络结构分析是风险评估中对业务系统安全性进行全面了解的基础，一个业务系统的网络结构是整个业务系统的承载基础，及时发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统评估的重要环节。对某单位的物理网络结构，逻辑网络结构及网络的关键设备进行评估(基本信息包括网络带宽、协议、硬件、Internet接入、地理分布方式和网络管理)，发现存在的安全性，合理性，使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络，由什么物理网络组成以

29、及网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外，鉴定关键网络拓扑，对于成功地一个实施基于网络的风险管理方案是很关键的。网络结构分析能够做到：n 改善网络性能和利用率,使之满足业务系统需要n 提供有关扩充网络、增加IT投资和提高网络稳定性的信息n 帮助用户降低风险,改善网络运行效率,提高网络的稳定性n 确保网络系统的安全运行n 对网络环境、性能、故障和配置进行检查在评估过程中，主要针对网络拓扑、访问控制策略与措施、网络设备配置、安全设备配置、网络性能与业务负载几个方面进行调查与分析。1) 网络拓扑威胁分析表格 7网络拓扑威胁分析项目名称网络拓扑威胁分析简要描述分析整体的网络拓扑结

30、构安全隐患，分析某单位网络内部网面临的外部和内部威胁达成目标准确把握网络拓扑上的安全隐患，重点是网络边界面临的安全隐患主要内容 设备确定，基本的策略状况 外联链路或接口确定 路由确定（ACL、VLAN） 备份方式确认 拨号接入确认 业务和网络的关系（制度、规范） 网络等级确认（制度、规范） FW位置和策略确认实现方式 问询 检查（采用渗透测试方式） 资料收集工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果形成某单位的内部网络拓扑结构图，并针对拓扑图说明威胁状况参加人员网络管理员、业务维护人员，启明星辰评估小组2) 访问控制策略与措施表格8访问控制策

31、略与措施评估项目名称访问控制策略与措施评估简要描述评估某单位网络内部网的访问控制策略与措施的安全状况达成目标评估某单位网络内部网的访问控制策略与措施的安全状况，协助某单位网络进行访问控制策略和措施的优化改进主要内容 网络设备的访问控制策略 防火墙的访问控制策略 操作系统访问控制策略 其它访问控制策略，如认证等实现方式 调查交流 控制台安全审计 工具测试工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果针对某单位网络内部网络的访问控制策略和措施现状，提出改进优化建议所需时间1个工作日参加人员某单位网络管理员、业务维护人员，启明星辰评估小组3) 网络设备

32、策略与配置表格9网络设备策略与配置评估项目名称网络设备策略与配置评估简要描述评估某单位现有网络设备的配置和使用状况，考察网络设备的有效性、安全性达成目标协助某单位网络改进网络设备的安全配置，优化其服务性能主要内容 网络设备策略配置 网络设备的安全漏洞扫描检测 VLAN划分 设备与链路冗余状况实现方式 调查交流 控制台安全设计 工具漏洞扫描工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果针对某单位网络内部网络设备的策略配置状况，提出优化建议参加人员某单位网络管理员、业务维护人员，启明星辰评估小组4) 安全设备策略与配置表格10安全设备评估项目名称安全

33、设备评估简要描述评估某单位现有安全设备的配置和使用状况，考察安全设备的有效性达成目标协助某单位优化安全设备的效用，生成新的安全技术和设备的配置需求主要内容 种类：防火墙 数量 位置 策略、管理 配置 效用实现方式 调查 实地察看工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果协助某单位优化安全设备的效用，生成新的安全技术和设备的配置需求参加人员启明星辰评估小组，某单位技术人员4.4.2.1.3. 主机/数据库系统评估这部分的工作包括大规模漏洞扫描评估与控制台审计两项。1) 漏洞扫描评估表格11大规模漏洞扫描评估项目名称漏洞扫描评估简要描述利用扫描工

34、具检查整个某单位内部网络的主机系统与数据库系统的漏洞情况达成目标发掘某单位网络内部网络的安全漏洞，提出漏洞修补建议主要内容 以天镜为主，采用多种漏洞扫描工具实施大规模的漏洞扫描实现方式 以天镜为主，采用多种漏洞扫描工具实施大规模的漏洞扫描工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果某单位网络内部网网络漏洞列表，扫描评估结果报告，参加人员启明星辰评估小组，某单位网络管理人员、系统管理人员、数据库管理人员2) 控制台审计虽然工具自动评估能降低安全评估的工作量，但其自身的缺陷也是非常明显的：n 大多数的自动评估工具只能针对特定操作系统，同时也限制了其

35、评估对象目标只能是操作系统。目前绝大多数的自动评估工具只能适用于Solaris、Linux等Unix操作系统和Windows NT/2000操作系统。对于网络设备和其它网络操作系统就无能为力了。n 由于运行在主机系统上的网络服务和应用服务非常广泛和灵活，自动评估工具往往只能以本地操作系统（主机层）为主要评估目标，对位于数据层和用户层的安全对象目标只能进行极为有限的安全评估，显然这无法满足本地安全评估的完整性和整体性要求。n 网络安全技术日新月异，一日千里，安全漏洞、攻击手段、防护技术也是层出不穷，但与此同时自动安全评估软件由于开发、成本和费用等问题，常常无法利用最新的安全评估技术，无法根据最新

36、的安全漏洞评估本地系统，也无法给出最及时和合理的安全建议。n 无法对安全策略，安全管理方面的内容进行评估，而这又正是本地安全评估中很重要的一环。因此，人工评估对本地安全评估而言是必不可少的。人工安全评估对实施人员的安全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全漏洞、掌握多种先进的安全技术和积累丰富的评估经验，这样才能对本地安全评估中位于物理层、网络层、主机层、数据层和用户层的所有安全对象目标进行最有效和最完整的安全评估，并提供最合理和最及时的安全建议。对于各种不同的操作系统和数据库平台，启明星辰公司结合多年的安全评估和服务经验，建立了详细有效的本地控制台审计CheckList

37、，可以保证对某单位的本地控制台审计能够有效有序地进行。表格12控制台审计项目名称控制台审计简要描述作为大规模漏洞扫描的辅助手段，登陆系统控制台检查系统的安全配置情况达成目标检测系统的安全配置情况，发掘配置隐患主要内容 操作系统控制台审计 数据库系统控制台审计实现方式 操作系统控制台审计 数据库系统控制台审计工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果某单位网络内部网抽样控制台审计报告参加人员启明星辰评估小组，某单位网络管理人员、系统管理人员、数据库管理人员4.4.2.1.4. 应用安全系统评估应用评估概述针对企业关键应用的安全性进行的评估，分析

38、某单位应用程序体系结构、设计思想和功能模块，从中发现可能的安全隐患。全面的了解应用系统在网络上的“表现”，将有助于对应用系统的维护与支持工作。了解某单位应用系统的现状，发现存在的弱点和风险，作为后期改造的需求。在进行应用评估的时候，引入了威胁建模的方法，这一方法是一种基于安全的分析，有助于我们确定应用系统造成的安全风险，以及攻击是如何体现出来的。输入：对于威胁建模，下面的输入非常有用： 用例和使用方案 数据流 数据架构 部署关系图 虽然这些都非常有用，但它们都不是必需的。但是，一定要了解应用程序的主要功能和体系结构。输出：威胁建模活动的输出结果是一个威胁模型。威胁模型捕获的主要项目包括： 威胁

39、列表 漏洞列表 应用评估步骤五个主要的威胁建模步骤如图 4 所示。图4威胁建模步骤我们把应用系统的安全评估划分为以下五个步骤：步骤1：识别应用系统的安全目标其中包括系统业务目标和安全目标。目标清晰有助于将注意力集中在威胁建模活动，以及确定后续步骤要做多少工作。业务目标是应用系统使用的相关目标和约束。安全目标是与数据及应用程序的保密性、完整性和可用性相关的目标和约束。通过确定主要的安全目标，可以决定将主要精力放在什么地方。确定目标也有助于理解潜在攻击者的目标，并将注意力集中于那些需要密切留意的应用程序区域。应用系统的业务目标应该从如下几个方面入手进行分析：信誉、经济、隐私、国家的法律或者政策、公

40、司的规章制度、国际标准、法律协议、公司的信息安全策略。应用系统的安全目标应该从如下几个方面入手进行分析：系统的机密性、系统的完整性、系统的可用性。步骤2：了解应用系统概况：逐条列出应用程序的重要特征和参与者有助于在步骤 4 中确定相关威胁。创建应用系统概述步骤： 画出端对端的部署方案。 确定角色。 确定主要使用方案。 确定技术。 确定应用程序的安全机制。 步骤3：应用系统分解：全面了解应用程序的结构可以更轻松地发现更相关、更具体的威胁。分解应用程序按如下步骤： 确定信任边界。 确定数据流。 确定入口点。 确定出口点。步骤4：应用系统的威胁识别：使用步骤 2 和 3 中的详细信息来确定与应用程序

41、方案和上下文相关的威胁。 从常见的威胁和攻击入手。利用这种方法，您可以从一系列按应用程序漏洞类别分组的常见威胁入手。接下来，将威胁列表应用到您自己的应用程序体系结构中。 使用问题驱动的方法。问题驱动的方法确定相关的威胁和攻击。步骤5：应用系统的弱点分析：检查应用程序的安全框架，并显式地查找漏洞。一种有效的方法是逐层检查应用程序，考虑每层中的各种漏洞类别。 身份验证 授权 输入和数据验证 配置管理 敏感数据 会话管理 加密 参数管理 异常管理 审核与记录4.4.2.1.5. 业务流程评估表格13业务流程评估项目名称业务流程评估（数据流程）简要描述依据业务过程的数据流程评估某单位的业务流程达成目标

42、了解某单位业务流程的安全隐患，协助某单位优化业务流程主要内容 策略：业务要求、使用范围、安全等级 业务实现方式 业务安全要求 各时段业务负载量 业务流程优化建议 授权和认证、审计、加密、完整性、不可否认性等实现方式 调查 检查工作条件4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果数据流图、业务关系图、报告参加人员启明星辰评估人员，某单位相关主管和业务人员4.4.2.1.6. 安全事件评估表格14安全事件评估项目名称安全事件评估简要描述对安全事件响应规范、流程、人员、能力以及事件记录以及应急培训等进行评估达成目标了解安全事件处理能力主要内容 应急流程 事件

43、纪录 事件处理实现方式 人工访谈 察看规范 察看事件纪录工作条件2-3人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合工作结果了解某单位应用服务和应用系统的安全状况参加人员启明星辰评估人员、某单位业务维护人员、某单位开发人员、商业产品开发商4.4.2.1.7. 渗透测试1) 概述通过渗透测试的方式，模拟黑客的攻击思路与技术手段，达到以下目标：从攻击者角度，发现应用系统存在的安全隐患；检测对外提供服务的业务系统威胁防御能力。深度挖掘渗透测试范围内应用系统各个层面（应用层、网络层、系统层）的安全漏洞；检验当前安全控制措施的有效性，针对发现的安全风险及时进行整改，增强系统自身防御能力，提升安全保障体系的整体健壮性。2) 渗透测试规范渗透测试通过可控的安全测试技术对限定范围内的应用系统进行渗透测试，同时结合以下业界著名的测试框架组合成最佳实践进行操作：ISECOM制定的开源安全测试方法OS