《2023年整理安全检测方案.docx》由会员分享,可在线阅读,更多相关《2023年整理安全检测方案.docx(18页珍藏版)》请在第一文库网上搜索。
1、深圳市*有限公司业务系统安全检测方案二零零八年四月XXX公司文件一 .目的2二 .项目实施时间和地点32.1 项目实施时间32.2 项目实施地点3三 .项目具体实施方法33.1 重点评估具体内容43.2 评估项目总体流程73.3 具体流程举例7五 .双方及设备厂商项目组成人员8六 .项目实施质量控制96.1 过程控制9七 .项目实施时间进度表10八 .项目管理文档模版118.1 会议纪要模版118.2 工程开工通知单模版128.3 事故记录表模版138.4 工程实施记录表14九 .项目文档管理要求15十一.工程验收169.1 1正式验收要项169.2 2验收流程16一.目的为保障客户网络、业务
2、系统、数据库等安全稳定的运行,*对客户业务系统及相关支撑系统进行全面的安全检测。安全检测分两次进行,第一次安排在六月中旬,第二次安排在七月上旬。在每次安全检测完毕由*提供业务系统安全检测报告和业务系统安全漏洞修复方案,并指导客户相关人员对业务系统及相关支撑系统进行安全修复或整改。安全检测是对客户业务系统及相关支撑系统进行安全风险分析和评估,主要检测有以下几方面:1、网络规划与布局的安全性评估;2、网络基础设施安全性与稳定性评估;3、边界防御设施与接入安全性评估;4、服务器主机系统安全性与稳定性评估;5 .数据库安全性评估;6 .业务系统安全性评估。第一次安全检测是对客户业务系统及相关支撑系统进
3、行全面的安全检测和安全漏洞修复。第二次安全检测是在第一次的基础上再次对对客户业务系统及相关支撑系统进行安全检测,找出没有修复的安全漏洞和还存在的安全漏洞。二.项目实施时间和地点2.1 项目实施时间2.2 项目实施地点三.项目具体实施方法安全评估指的是对网络系统进行安全风险分析和评估。选取在业务系统、网络服务、主机操作系统平台、网络规划与布局、数据库等方面作为安全评估的对象。风险评估是网络安全重要的一环,在这里主要是以安全检测、扫描和风险评估技术来实现,以预先发现信息系统中存在的安全隐患,并及时解决问题。评估能使网络系统具有预先识别和防范风险的功能。风险评估系统用于评估和管理网络、防火墙、WEB
4、服务器、应用服务器及数据库存在的安全风险和漏洞,企业安全管理员可以根据安全评估报告优化主机和网络设备的安全策略配置,进一步提高安全性。3.1 重点评估具体内容1、网络规划与布局的安全性评估/网络拓扑规划分析/网络流量分析/网络逻辑结构分析 子网/V1AN的合理划分分析 域和工作组划分安全分析 数据广播域分离分析 IP地址规划分析 共享资源架设效率分析 网络访问控制分析 VPN系统安全分析2、网络基础设施安全性与稳定性评估 路由器安全配置 交换机安全配置 拨号服务器安全配置 防火墙安全配置 设备口令审计 设备开放服务安全审计 网管软件安全性审计 设备固件或OS安全分析 设备访问控制列表分析 设备
5、稳定性测试分析(各种DoS拒绝服务测试)3、服务器主机系统安全性与稳定性评估 服务器主机操作系统内核、版本及补丁审计 服务器主机操作系统通用/默认应用程序安全性审计 服务器主机后门检测 服务器主机漏洞检测 服务器主机安全配置审计 服务器主机用户权限审计 服务器主机口令审计 服务器主机文件系统安全性审计4、数据库系统安全性评估 OraCIe/MSSQ1数据库系统用户权限审计 OraC1e/MSSQ1数据库系统口令审计 Orac1eZMSSQ1数据库系统数据同步或热备份机制可靠性审计 OraC1e/MSSQ1数据库系统存储进程安全机制审计 OraC1e/MSSQ1数据库日志审计分析 Orac1eZ
6、MSSQ1数据库系统灾难处理及预防安全机制审计 Orac1eZMSSQ1数据库系统与前台接口安全访问控制机制审计5、边界防御设施与接入安全性评估 生产系统跨域访问需求分析 防火墙安全策略审计 (外网发起)生产网远程入侵整体测试 接入节点主机安全性测试 分支机构网络边界安全性模拟攻击测试6.、业务系统安全性评估 业务系统支撑软件安全评估,如APaChe、JBoSS 业务系统重要部分代码检测 业务系统口令审计 业务系统数据传输保密性检测 业务系统权限划分 业务系统数据备份安全性 业务系统数据同步安全性安全评估主要通过以下二种方式进行:主要方式为工具扫描和人工分析。下面列表介绍CNNS在平台层次实施
7、过程中用到的部分工具和手段:项目内容引用的专业安全检测软件 ISSInternetScanner CNNS风险评估系统 Nmap CNNS风险管理系统 NAISniffer eEyeIrisSniffer引用的人工服务项目A手工网络检测远程渗透测试应用软件、脚本代码脆弱性分析与攻击测试数据库脆弱性手工分析弱加密机制分析高强度口令猜解(引用60万口令字字典)管理脆弱性问题分析通信安全性、网络监听分析整合测试报告输出与整理安全统计分析出具安全性评估报告结果人工分析安全检测的内容涉及:远程越权存取系统后门及木马程序拒绝服务(DeniaIofService)CGI(通用网关接口)或ASP、JSP和其它
8、动态网页程序的安全性防火墙(FireWaID设置文件传输服务安全性密码安全性操作系统内核的安全性网络协议和配置的安全性用户管理的安全性日志和审计系统的健全性远程维护程序和管理策略的安全性系统敏感信息的保密性网络路由设备的安全性代理服务和网关的安全配置网络结构的合理性和安全性合作伙伴系统的可信任度已有安全产品和设备的有效性3.2 评估项目总体流程3.33.4 具体流程举例以平台层次的安全评估工作为例,下面列表介绍CNNS在实施过程中用到的具体流程:雨检测流程I-I五.双方项目组成人员表5.1甲方人员姓名项目角色联系电话邮箱职责表5.2乙方人员姓名项目角色联系电话邮箱职责六.项目实施质量控制6.1
9、过程控制为了保证服务质量,*种将对安全服务的过程进行严格的控制,具体工程过程如下:D*的项目经理在每次的任务实施前2天提交具体的每日工作详细实施计划表,表格如下:安全服务项目实施计划表实施日期实施地点工程内容步骤实施人员配合事项提交文档2)在每次的安全服务实施前,召开30分钟的实施准备会议,总结前一次的工作和讨论当次的工作注意事项;3)每天项目实施完成填写工程实施记录表。七.项目实施时间进度表工程实施时间安排是该项工程实施的时间进度计划,是工程控制的基本依据之一。网络服务安全项目工期是六月中旬八月上旬O评估实施内容、时间进度表标识号任务名称子任务开始时间备注1安全检测评估协调会议六月中旬与甲方
10、工程师配合,就这次评估进行讨论。2远程评估在实施过程中注意保证网络正常动作。4本地评估在实施过程中注意保证网络正常工作。5安全修复方案讨论讨论修复方案6安全修复与甲方工程师一起修复7运行观察运行观察8安全检测验收评估协调会议七月上旬与甲方工程师配合,就这次评估进行讨论。910远程评估在实施过程中注意保证络正常动作。本地评估在实施过程中注意保证网络正常工作。11安全修复方案讨论讨论修复方案12不合格项的整改提交安全检测验收报告与甲方工程师一起整改提交工作总结及评估验收报告13八.项目管理文档模版8.1 会议纪要模版会议主题时间地点参加人员会议纪要会议纪要双方确认人:安络:甲方负责人:8.2 工程
11、开工通知单模版开工通知单收件人:项目负责人发件人:*项目主管抄送:项目组成员日期:年月日项目负责人:根据贵公司和*有限公司双方签定的合同的要求,决定从年月日开始此工程的实施,具体内容请参见项目实施计划。*项目负责人签字:客户项目负责人签字:2006年月日8.3 事故记录表模版事故记录单事故描述:时间:机器:现象:事故原因:事故处理过程:事故处理结果:8.4 工程实施记录表工程实施记录表编号:客户名称:服务时间:年月日客户公司地址:服务地点:客户联系人姓名:客户联系电话:客户联系emai1地址:工程内容:具体工作进程:工作结果及下步工作安排:安络工程师签名:以下栏由客户填写:为了提高安络公司的服
12、务质量和服务水平,请提出您宝贵的意见:您对我们的服务的满意度:1)有待改进2)一般您认为我们应在哪些方面提高服务水平:1)服务态度2)技术水平3)满意3)工作流程4)与客户协调谢谢您的宝贵意见,请您签名:九.项目文档管理要求1)文档分类规范:*对此次项目的所有工程文档分为工程管理类和工程技术类两大类文档,主要有:编号工程管理类文档名工程技术类文档名1项目实施计划主机系统检测报告2项目协调会议记录3项目开工通知单4项目阶段工作会议记录5项目总结工作会议记录评估检测文档2)文档编号规范:此次项目的文档编号采用如下格式:CNNS-PG-G1-0801-001说明:G1指管理类;0801指年月;OO1
13、指文档顺序号;CNNS-PG-JS-0802-001说明:JS指技术类;0801指年月;001指文档顺序号;文档编号由项目经理统一分发。3)文档归档要求:此次项目的所有文档由项目主管统一归档,*的项目参与工程师的所有的电子文档在项目阶段性结束后必须把自己的所有与此项目相关的文档必须删除。4)文档密级划分:此次项目的所有文档都属于保密文档,严格按照*秘的文档管理制度进行管理。十.工程验收工程验收的任务及过程:目的是对该安全项目工程中的服务、执行过程、组织进行全面的检验,保障该工程达到方案设计的标准。工程验收既是工程质量控制过程,又是工程实施过程的最后阶段。10.1正式验收要项一验收组织:安全项目组D进行工程质量核定2)办理工程档案资料移交3)签发工程验收证书10.2验收流程工程实施提交工程文档试运行报告审核是否合格验收报告签字
免费区 
