网络风险评估方案.docx

《网络风险评估方案.docx》由会员分享，可在线阅读，更多相关《网络风险评估方案.docx（18页珍藏版）》请在第一文库网上搜索。

1、网络风险评估方案一、网络安全评估服务背景1.1 安全评估概念1.2 安全评估的目的1.3 目标现状描述二、风险评估内容说明2.1 风险等级分类2.2 评估目标分类2.3 评估手段2.4 评估步骤2.5 评估检测原则三、评估操作3.1 人员访谈&调查问卷3.2 人工评估&工具扫描3.3 模拟入侵四、项目实施计划4.1 项目实施4.2 项目文档的提交附录一：使用的工具简单介绍Nessusscanner3.2英文版Xscan-guiv3.3中文版辅助检测工具附录二：*信息技术有限公司简介1.1 网络安全服务理念1.2 网络安全服务特点一、网络安全评估服务背景1.1 风险评估概念信息安全风险评估是参照

2、风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISOI7799、国家标准信息系统安全等级评测准则等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。1.2 风险评估目的风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安

3、全问题及其可能的危害，为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的：令找出目前的安全策略和实际需求的差距令获得目前信息系统的安全状态为制定组织的安全策略提供依据令提供组织网络和系统的安全解决方案为组织未来的安全建设和投入提供客观数据为组织安全体系建设提供详实依据此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范，为建立全面的安全防护层次提供了一套完整、规范的指导模型。13目标现状描述XXXXXXX省略XXXX二、风险评估内容说明2.1风险等级分类信息系统风险包括下表所示内容，本方案按照国家二级标准将对XX公司信息风险进行评估。

4、下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表：威胁严重程度（资产价值）划分表5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。威胁可能性赋值表定义很高出现的频率很高（或21次/周）；或在大多数情况下几乎不可避免；或可以证实高出现的

5、频率较高（或21次/月）；或在大多数情况下很有可能会发生；或可以中出现的频率中等（或1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。对资产弱点进行赋值后，使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下:威胁可能性1234512101323121634111520451419225610162125然后根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定威胁的风险等级风险等级划分对照表1-67-1213-1819-2324-25风险等级12345最

6、后对资产威胁进行填表登记，获得资产风险评估报告。资产32.2评估目标分类根据信息系统安全等级评测准则，将评估目标划分为以下10个部分1）机房物理安全检测2）网络安全检测3）主机系统安全4）应用系统安全5）数据安全6）安全管理机构7）安全管理制度8）人员安全管理9）系统建设管理10）系统运维管理在实际的评估操作中，由于出于工作效率的考虑，将评估目标进行整合实施考察,评估完成后再根据评估信息对划分的10个部分进行核对，检查达标的项目。2.3评估手段安全评估采用评估工具和人工方式进行评估，即根据定制的扫描策略实施远程评估，根据评估工具的初步结果进行人工分析和本机控制台分析。风险评估项目1、网络安全评

7、估知识培训网络信息安全典型案例目的是为了让客户对网络安全有个清晰的认识，从而在评估前就引起其重视，方便网络安全评估流程培训目的是为了客户能理解我们的工作，从而获得客户的支持。3、威胁评估对物理安全进行评估访谈、查看相关文档，实地考察估访谈人事部门相关人员整体网络安全信息Xscan-gui进行全网安全扫描，获得全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进行扫描统计使用工具共享资源扫描整个网络，同时演示给客户其暴露在内网中的敏感信息Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行收集根据check1ist对服务器进行本地安全检查使用密码强度测试工具请求

8、客户网管进行密码强度测试Nessus对网络设备进行安全扫描使用密码强度测试工具请求客户网管进行密码强度测试根据check1ist对网络设备进行本地安全检查需要访谈对方领导，需要先获得领安全管理制度规范表通过问卷调查的方式获得部分内容、管理制度文档审查访谈部门领导、网管。实地考察XX系统渗透测试报告资产风险资产风险评估报告信息系统安全整体网络安全报告领导参阅版和技术人员参阅版加固建议安全加固报告、管理规范建议根据Check1is进行加固2.5评估检测原则2.5.1 标准性原则依据国际国内标准开展工作是本次评估工作的指导原则，也是*信息技术有限公司提供信息安全服务的一贯原则。在提供的评估服务中，依

9、据相关的国内和国际标准进行。这些标准包括：信息安全风险评估指南信息系统安全等级保护测评准则信息系统安全等级保护基本要求信息系统安全保护等级定级指南(试用版v3.2)计算机机房场地安全要求(GB9361-88)计算机信息系统安全等级保护网络技术要求(GA/T387-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2OO2)计算机信息系统安全等级保护数据库管理系统技术要求(GA/T389-2002)计算机信息系统安全等级保护通用技术要求(GAT3902002)计算机信息系统安全等级保护管理要求(GA/T391-2OO2)计算机信息系统安全等级保护划分准则(GB/T17859-

10、1999)2.5.2 可控性原则人员可控性：将派遣数名经验丰富的工程师参加本项目的评估工作，有足够的经验应付评估工程中的突发事件。工具可控性：在使用技术评测工具前都事先通告。并且在必要时可以应客户要求，介绍主要工具的使用方法，并进行一些实验。2.5.3 完整性原则将按照提供的评估范围进行全面的评估，从范围上满足的要求。实施的远程评估将涉及全部外网可以访问到的设备；实施的本地评估将全面覆盖安全需求的各个点。2.5.4 最小影响原则*信息技术有限公司会从项目管理层面和工具使用层面，将评估工作对系统和网络正常运行的可能影响降低到最低限度，不会对现有运行业务产生显着影响。*信息技术有限公司和参加此次评

11、估项目的所有项H组成员，都要与签署相关的保密协议。三、评估操作3.1 人员访谈&调查问卷为了检查XXXX安全现状，主要在安全管理方面进行一个安全状况的调查和摸底，我们采取安全审计的方法，主要依据国家等级安全标准的要求，*向XXXX提交了详细的问题清单，针对管理层、技术人员和普通员工分别进行面对面的访谈。通过人员访谈的形式，大范围地了解XXXX在信息安全管理方面的各项工作情况和安全现状，作为安全弱点评估工作中的一个重要手段。过程描述此阶段主要通过提出书面的问题审计清单，安全工程师进行问题讲解，和XXXX相关人员共同回答，并询问相关背景和相关证据的工作方式，以此来了解XXXX的关于信息安全各方面的

12、基本情况。此访谈包括的内容为：物理安全规范、人员安全规范、数据安全规范、安全管理制度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。3.2 人工评估&工具扫描此内容评估采用扫描工具和人工方式（仿黑客攻击手段）进行评估，即根据定制的扫描策略实施远程评估，根据评估工具的初步结果进行人工分析和本机控制台分析。专业安全评估软件安全评估辅助工具Sq1注入渗透测试工具阿D注入工具v2.3 模拟入侵渗透测试 本地自动化检测脚本评估 全网安全统计报告 出具安全加固报告工具扫描过程描述由于评估可实际操作的时间有限，我们对该网络安全评估制定以下评估步骤：网关设备的安全扫描评估，其内容包括： 用NeSS

13、US扫描网关设备，获取设备的操作系统漏洞信息，开启的服务信息以及开放的多余端口信息等，工具自动生成扫描报告；应用服务器的安全扫描评估，评测内容为： 用nessus扫描各个服务器，获取操作系统的漏洞信息，开启的服务信息和暴露出来的敏感信息等，工具自动生成扫描报告。整体网络扫描探测，评测内容为： 使用XSCan-gui扫描网络内的共享资源、并根据评估人员总结的密码列表进行常用密码猜解；如果时间充足将考虑进行共享资源、弱口令的利用演示，让客户了解该威胁的严重性。 使用客户自有的网络版杀毒软件控制中心漏洞扫描功能对用户电脑进行漏洞检测；（如果客户未部署网络版杀毒软件，则不操作此项。）人工评估过程描述网

14、关设备的人工评估，其内容包括： 登录设备分析router、firewa1kSWitCh等网关设备的配置； 根据CheCkIiSt对网络设备进行手工检测； 对网络设备密码进行强度测试；应用服务器的人工评估，其内容包括： 使用自动化评估脚本进行信息收集； 根据CheCk1iSt对服务器进行手工检测； 对服务器密码进行强度测试； 对服务器日志进行审计，获取服务器的安全状况；（有一定难度，选做）整体网络安全的人工评估，其内容包括： 分析网络拓扑图是否具备一定的攻击防范、重要设备冗余等信息； 分析整体网络的网段划分、IP地址规划是否合理；最后分析工具扫描、人工评估中收集到的所有数据，并做出加固建议报告:分析所有扫描日志及人工评估记录，做出安全分析报告;针对出现的安全威胁做出加固建