《网络风险评估方案.docx》由会员分享,可在线阅读,更多相关《网络风险评估方案.docx(27页珍藏版)》请在优知文库上搜索。
1、网络风险评估方案【最新资料,WORD文目档,录可编写改正】一、网络安全评估服务背景安全评估观点安全评估的目的目标现状描绘二、风险评估内容说明风险等级分类评估目标分类评估手段评估步骤评估检测原则三、评估操作人员访谈&检盘问卷人工评估&工具扫描模拟入侵四、项目实行计划项目实行项目文档的提交附录一:使用的工具简单介绍Nessusscanner英文版Xscan-gui中文版辅助检测工具附录二:*信息技术有限公司简介网络安全服务理念网络安全服务特点一、网络安全评估服务背景风险评估观点信息安全风险评估是参照风险评估标准和管理规范,对信息系统的财产价值、潜伏威迫、单薄环节、已采纳的防备举措等进行剖析,判断安
2、全事件发生的概率以及可能造成的损失,提出风险管理举措的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从初期简单的破绽扫描、人工审计、浸透性测试这类种类的纯技术操作,渐渐过渡到当前广泛采纳国际标准的BS7799、IS017799、国家标准信息系统安全等级评测准则等方法,充分表现以财产为出发点、以威迫为触发要素、以技术/管理/运转等方面存在的柔弱性为诱因的信息安全风险评估综合方法及操作模型。风险评估目的风险评估的目的是全面、正确的认识组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最后安全需求的提出供给依照。正确认识组织的网络和系统安全现状。拥有以下目的:找出
3、当前的安全策略和实质需求的差距获取当前信息系统的安全状态为拟订组织的安全策略供给依照供给组织网络和系统的安全解决方案为组织将来的安全建设和投入供给客观数据为组织安全系统建设供给详确依照别的还能够经过选择靠谱的安全产品经过合理步骤拟订合适详细状况的安全策略及其管理规范,为成立全面的安全防备层次供给了一套完好、规范的指导模型。目标现状描绘XXXXXXX省略XXXX二、风险评估内容说明风险等级分类信息系统风险包含下表所示内容,本方案依照国家二级标准将对XX公司信息风险进行评估。下边列出了依据短处威迫严重程度与短处发生的可能性的赋值表:威迫严重程度(财产价值)区分表等级表记描绘旦发生将产生特别:庄重的
4、经济或社会影响,如组织信用严重5很高损坏、)Z重影响组织的正常经营,经济损失重要、社会影响恶劣。高的经管旦发生将产生较大f勺经济或社会影响,在必定范围内给组织利组织信用造成伤彳JO中旦发生会造成必定F勺经济、社会或生产经营影响,但影响面和影M程度不大O一旦为低:生造成的影响程度4交低,一般仅限于组织内部,经过一定手目:很快能解决。1很低一旦发/匕造成的影响几乎不存在,经过简单的举措就能填补。威迫反EIJL74lXH次笔记定Jy出现的频次很高(或21次/周);或在大部分状况下几乎不行很同防I卜.我能够讦叫常蕾羚牛时C4高出现的频次较高(或21次/月);或在大部分状况下很有可能会发住,;或能够证明
5、多次;之生过。H中生;W现的频次被证明以中等(或-JuZL./fX,/1.Ia刖发生过,1次/半年);或在某种状况下可能会发小也现的频次较小;!戈一般不太可能发生;或没有被证明发生过。布低威迫几乎不行能:之生,仅可能在特别稀有和例外的状况下发生。对财产短处进行赋值后,使用矩阵法对短处进行风险等级区分。风险评估中常用的矩阵表格以下:威迫可能性1234g1246103产235912卜3471115045814192而后仰561016215D吐芹裕和圣的利诃击现由佰女石隆山讲行4一册VrIgV泊的前於笺州风险等级区分比较表风险值风险等级1-67-121:-1819-2324-2512345最后对财产
6、威迫进行填表登记,获取财产风险评估报生F-I-严重可风险财产威迫名称程度能性等级财产1财产2评估目标分类依据信息系统安全等级评测准则,将评估目标区分为以下10个部分机房物理安全检测网络安全检测主机系统安全应用系统安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理在实质的评估操作中,因为出于工作效率的考虑,将评估目标进行整合实行观察,评估达成后再依据评估信息对区分的10个部分进行查对,检杳达标的项目。评估手段安全评估采纳评估工具和人工方式进行评估,即依据定制的扫描策略实行远程评估,依据评估工具的初步结果进行人工剖析和本机控制台剖析。评估步骤风险评估项目描绘备注1、网络安全评
7、估知识培训网络信息安全典目的是为了让客户对网络安全有个清楚的认识,从而在评估前就型事例培训惹起其重视,方便后边动作的睁开。网络安全评估流目的是为了客户能理解我们的工作,从而获取客户的支持。程培训2、财产评估采集信息达成财产信息登记表3、威迫评估对物理安全进行评估对人员安全管理参照物理安全规范表参照人员安全管理规范表能够远程操作访谈、查察有关文档,实地观察访谈人事部门有关人员进行评估4、弱评论估(达成网络安全、应用安全、主机安全规范表)整体网络安全信XSCan-gui进行全网安全扫描,获取全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统破绽状况进行扫息使用工具共享资源扫描整个网络,同时演示
8、给客户其裸露在内网Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行采集应用服务依据CheCkIiSt对服务器进行当地安全检查使用密码强度测试工具恳求客户网管进行密码强度测试Nessus对网络设施进行安全扫描网络设施使用密码强度测试工具恳求客户网管进行密码强度测试依据CheCkIiSt对网络设施进行当地安全检杳5、安全管理评估网络拓扑构造分剖析冗余、负载平衡功能析数据安全检查管理机构评估安全管理制度系统建设管理系统运维管理6、浸透测试浸透测试浸透测试报告7、数据整理、财产风险信息系统安全加固建议数据安全规范表需要访谈对方领导,需要先安全管理机构规范表获取领导的支持与配合
9、经过问卷检查的方式获取部分内容、管理制度文档安全管理制度规范表审查系统建设管理规范表查察有关文档、访谈网管访谈部门领导、网管。实地系统运维管理规范表观察参照有关浸透测试方案签订有关受权协议XX系统浸透测试报告风险评估报告以及加固建议财产风险评估报告整体网络安全报告领导参阅版和技术人员参阅版安全加固报告、管理规范建依据CheCkIiS进行加固议评估检测原则标准性原则依照国际国内标准睁开工作是本次评估工作的指导原则,也是*信息技术有限公司供给信息安全服务的一向原则。在供给的评估服务中,依照有关的国内和国际标准进行。这些标准包含:信息安全风险评估指南信息系统安全等级保护测评准则信息系统安全等级保护基
10、本要求信息系统安全保护等级定级指南(试用版v3.2)计算机机房场所安全要求(GB9361-88)计算机信息系统安全等级保护网络技术要求(GT387-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2002)计算机信息系统安全等级保护数据库管理系统技术要求(GA/T389-2002)计算机信息系统安全等级保护通用技术要求(GA/T390-2002)计算机信息系统安全等级保护管理要求(GA/T391-2002)计算机信息系统安全等级保护区分准则(GB/T17859-1999)可控性原则人员可控性:将差遣数名经验丰富的工程师参加本项目的评估工作,有足够的经验对付评估工程中的突发
11、事件。工具可控性:在使用技术评测工具前都预先通知。而且在必需时能够应客户要求,介绍主要工具的使用方法,并进行一些实验。完好性原则将依照供给的评估范围进行全面的评估,从范围上知足的要求。实行的远程评估将波及所有外网能够接见到的设施;实行的当地评估将全面覆盖安全需求的各个点。最小影响原则*信息技术有限公司会从项目管理层面和工具使用层面,将评估工作对系统和网络正常运转的可能影响降低到最低限度,不会对现有运转业务产生明显影响。*信息技术有限公司和参加此次评估项目的所有项H构成员,都要与签订有关的保密协议。三、评估操作人员访谈也检盘问卷为了检查XXXX安全现状,主要在安全管理方面进行一个安全状况的检查和
12、摸底,我们采纳安全审计的方法,主要依照国家等级安全标准的要求,*向XXXX提交了详细的问题清单,针对管理层、技术人员和一般职工分别进行当面的访谈。经过人员访谈的形式,大范围地认识XXXX在信息安全管理方面的各项工作状况和安全现状,作为安全弱评论估工作中的一个重要手段。过程描绘此阶段主要经过提出版面的问题审计清单,安全工程师进行问题解说,和XXXX有关人员共同回答,并咨询有关背景和有关凭证的工作方式,以此来认识XXXX的对于信息安全各方面的基本状况。此访谈包含的内容为:物理安全规范、人员安全规范、数据安全规范、安全管理制度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。人工评估&工具扫描此内容评估采纳扫描工具和人工方式(仿黑客攻击手段)进行评估,即依据定制的扫描策略实行远程评估,依据评估工具的初步结果进行人工剖析和本机控制台剖析。项目内容Nessus英文版专业安全评估软件Xscan-gui中文版密码强度测试器Sql注入浸透测试工具安全评估辅助工具评估自动化脚本阿D注入工具模拟入侵浸透测试当地自动化检测脚本评估人工检测全网安全统计报告出具安全加固报告工具扫描过程描绘因为评估可实质操作的时间有限,我们对该网络安全评估拟订以下评估步骤:网关设施的安全扫描评估,其内容包含:用Nessus扫描网关设施,获取设施的操作系统破绽信息,开启的服务信息