收藏
下载资源

网络风险评估报告范文--

上传人:左****笑 文档编号:145351026 上传时间:2020-09-19 格式:PDF 页数:22 大小:232.41KB
返回 下载 相关 举报
网络风险评估报告范文--_第1页
第1页 / 共22页
网络风险评估报告范文--_第2页
第2页 / 共22页
网络风险评估报告范文--_第3页
第3页 / 共22页
网络风险评估报告范文--_第4页
第4页 / 共22页
网络风险评估报告范文--_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《网络风险评估报告范文--》由会员分享,可在线阅读,更多相关《网络风险评估报告范文--(22页珍藏版)》请在金锄头文库上搜索。

1、 大成天下风险评估服务技术白皮书 大成天下风险评估服务技术白皮书 V1.0 V1.0 深圳市大成天下信息技术有限公司 ShenZhen Unnoo Information Tech., Inc. 二六年二月 声明:本文档是深圳市大成天下信息技术有限公司深圳市大成天下信息技术有限公司(简称大成科技大成科技)解决方案的一部分,版权归 大成科技所有,任何对文档的修改、发布、传播等行为都需获得大成科技书面授权,大成科技 保留对违反以上声明的组织或个人追究责任,直至诉诸法律的权力。 2 0 0 6 . 0 2 . 0 4 未知驱动探索 专注成就专业 深圳市大成天下信息技术有限公司 第 2 页 共 22

2、页 版权说明版权说明 版权所有 2004-2006,深圳市大成天下信息技术有限公司 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容, 除另有特别注明, 版权均属深圳市大成天下信息技术有限公司深圳市大成天下信息技术有限公司所有, 受到有关产 权及版权法保护。 任何个人、 机构未经深圳市大成天下信息技术有限公司深圳市大成天下信息技术有限公司的书面 授权许可,不得以任何方式复制或引用本文件的任何片断。 商标信息商标信息 大成天下、大成科技、游刃、铁卷等是深圳市大成天下信息技术有限公司深圳市大成天下信息技术有限公司注 册商标,受商标法保护。 未知驱动探索 专注成就专业 深圳市大成天

3、下信息技术有限公司 第 3 页 共 22 页 文档信息 文档信息 文档名称 大成天下风险评估服务技术白皮书 保密级别 内部公开 文档版本编号 V1.0 制作人 吴鲁加 制作日期 2006-02-03 复审人 黄鑫 复审日期 2006-02-04 适用范围 本文件是深圳市大成天下信息技术有限公司(简称大成科技)系列白皮书 的一部份,供需要风险评估服务的客户、合作伙伴决策参考。 分发控制 分发控制 编号 读者 文档权限 与文档的主要关系 1 大成科技项目组 创建、 修改、 读取项目组成员,负责编制、修改、审核本文件 2 王娟 批准 项目的负责人,负责本文档的批准程序 3 吴鲁加 标准化审核 项目标

4、准化负责人, 对文档进行标准化审核 版本控制 版本控制 时间 版本 说明 修改人 吴鲁加 V1.0 文档创建 2006-02-04 未知驱动探索 专注成就专业 深圳市大成天下信息技术有限公司 第 4 页 共 22 页 1. 摘要摘要 深圳市大成天下信息技术有限公司是一家专业从事网络安全产品与服务的 高科技公司。凭借多年的从业经验,大成科技聚集了一批优秀的专业人才,在华 南信息安全领域中具有独到的地位。 目前,大成科技的研究人员通过多年的专业安全服务经验,开发出包括游刃 基线安全(漏洞扫描)系统、铁卷电子文档保护系统等多款产品,涉及的研究领 域涵盖安全评估、内容安全、接入安全等多方面,并取得多项

5、科研技术成果。 作为专业信息安全技术与产品提供商, 大成天下致力于利用自身的信息安全 专业知识和经验,以帮助客户成功保障他们的资产安全。 本白皮书描述了大成天下安全服务体系中的一个重要部分风险评估服 务。本文主要面向企业的技术决策者、安全维护人员和基础结构工程人员。 2. 风险评估概述风险评估概述 2.1. 风险评估简介风险评估简介 风险评估是风险管理的重要组成部分,要想更好地理解风险评估,首先要了 解风险管理。 风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全 风险的过程。是一个识别、控制、降低或消除安全风险的活动,通过风险评估来 识别风险大小,通过制定信息安全方针,采取适

6、当的控制目标与控制方式对风险 进行控制,使风险被避免、转移或降至一个可被接受的水平。 2.2. 评估目的评估目的 进行风险评估的目的通常包括以下几个方面: ? 了解组织的管理、网络和系统安全现状; ? 确定可能对资产造成危害的威胁,包括入侵者、罪犯、不满员工、恐怖 分子和自然灾害; ? 通过对历史资料和专家的经验确定威胁实施的可能性; 未知驱动探索 专注成就专业 深圳市大成天下信息技术有限公司 第 5 页 共 22 页 ? 对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的 级别,确定哪些资产是最重要的; ? 对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏; ? 明晰

7、组织的安全需求,指导组织建立安全管理框架,提出安全建议,合 理规划未来的安全建设和投入。 2.3. 评估内容评估内容 评估内容包括如下方面: ? 通过网络弱点检测,识别信息系统在技术层面存在的安全弱点。 ? 通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全 管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息, 并进行相应的分析。 ? 通过对组织的人员、制度等相关安全管理措施的分析,了解组织现有的 信息安全管理状况。 ? 通过对以上各种安全风险的分析和汇总,形成组织安全风险评估报告。 ? 根据组织安全风险评估报告和安全现状,提出相应的安全建议,指导下 一步的信息安全建设

8、。 2.4. 风险评估技术操作风险评估技术操作 ? 拓扑分析 分析整体的网络拓扑结构安全隐患,准确把握网络拓扑上的安全隐患,重点 是网络边界面临的安全隐患。 ? 漏洞扫描 使用漏洞扫描工具从局域网内部进行远程漏洞检查,使用最性的漏洞检测 库,发现最新的安全隐患。 ? 人工审计 通过现场分析,发现远程自动扫描工具无法发现的安全隐患。通过现场调查 分析的方法进行。 ? 渗透测试 未知驱动探索 专注成就专业 深圳市大成天下信息技术有限公司 第 6 页 共 22 页 由安全工程师模拟黑客的行为模式, 采用黑客最可能采用的漏洞发现技术和 尽可能多的攻击方法,对目标网络系统的安全性进行深入分析,发现网络中

9、存在 的脆弱环节,并且提供相关报告,为网络管理员了解自己网络所面临的威胁提供 最直观的依据。 ? 安全优化 根据安全需求,通过各种防护手段提高设备的安全性(例如修改网络设备、 操作系统、数据库的配置等),确保满足可以性和管理要求。 3. 技术评估与系统优化技术评估与系统优化 3.1. 技术评估技术评估 3.1.1. 漏洞扫描评估漏洞扫描评估 项目名称项目名称 漏洞扫描评估漏洞扫描评估 简要描述简要描述 利用扫描工具检查整个客户网络系统的主机系统与数据库系统的漏洞情况 达成目标达成目标 发掘客户网络系统的安全漏洞,提出漏洞修补建议 主要内容主要内容 以大成科技游刃基线管理(漏洞扫描)产品为主,采

10、用多种漏洞扫描工具实施 大规模的漏洞扫描 实现方式实现方式 以大成科技游刃基线管理(漏洞扫描)产品为主,采用多种漏洞扫描工具实施 大规模的漏洞扫描 工作条件工作条件 2-3 人工作环境,2 台笔记本电脑(分别安装 Windows 与 Linux 系统),电源和 网络环境,客户人员和资料配合 工作结果工作结果 客户网络系统网络漏洞列表,扫描评估结果报告, 所需时间所需时间 3-5 工作日 参加人员参加人员 大成科技信息安全评估小组,客户网络管理人员、系统管理人员、数据库管理 人员 3.1.2. 人工审计人工审计 项目名称项目名称 人工审计人工审计 未知驱动探索 专注成就专业 深圳市大成天下信息技

11、术有限公司 第 7 页 共 22 页 简要描述简要描述 作为漏洞扫描的辅助手段,登陆系统控制台检查系统的安全配置情况 达成目标达成目标 检测系统的安全配置情况,发掘配置隐患 主要内容主要内容 ? 操作系统控制台审计 ? 数据库系统控制台审计 实现方式实现方式 ? 操作系统控制台审计 ? 数据库系统控制台审计 工作条件工作条件 2-3 人工作环境,2 台笔记本电脑(分别安装 Windows 与 Linux 系统),电源和 网络环境,客户人员和资料配合 工作结果工作结果 客户网络系统抽样控制台审计报告 所需时间所需时间 3 工作日 参加人员参加人员 大成科技信息安全评估小组,客户网络管理人员、系统

12、管理人员、数据库管理 人员 3.1.3. 渗透测试渗透测试 项目名称项目名称 渗透测试渗透测试 简要描述简要描述 由安全工程师模拟黑客的行为模式,采用黑客最可能采用的漏洞发现技术和尽 可能多的攻击方法,对目标网络系统的安全性进行深入分析 达成目标达成目标 检查通过不同的攻击路径,判断恶意攻击者是否有可能完成对服务器的攻击。 主要内容主要内容 ? 缓冲区溢出 ? 防火墙规则探测 ? 弱口令发掘 ? 应用脆弱性发掘等 实现方式实现方式 ? 端口扫描及防火墙规则探测 ? 应用渗透 工作条件工作条件 2-3 人工作环境,2 台笔记本电脑(分别安装 Windows 与 Linux 系统),电源和 网络环

13、境,客户人员和资料配合 工作结果工作结果 客户网络系统渗透测试报告 所需时间所需时间 2 工作日 参加人员参加人员 大成科技信息安全评估小组,客户网络管理人员、系统管理人员、数据库管理 人员 未知驱动探索 专注成就专业 深圳市大成天下信息技术有限公司 第 8 页 共 22 页 3.2. 安全加固与优化安全加固与优化 3.2.1. 技术加固安全基线技术加固安全基线 本节描述的技术加固安全基线将成为网络和系统评估加固过程中的基本轮 廓。 原则上, 每个加固过程都要考虑基线的所有部分。 在实际的评估加固过程中, 特定的系统和网络类型会对应基线中的一个部分。 3.2.1.1. 补丁加载补丁加载 修补系

14、统安全漏洞类补丁 修补系统 BUG 类补丁 3.2.1.2. 服务与端口服务与端口 最小化服务 最小化服务端口 3.2.1.3. 鉴别和认证鉴别和认证 口令:在所有的系统入口处采用严格的口令策略 身份:在所有的系统入口处采用严格的身份认证策略 3.2.1.4. 访问控制访问控制 网络层访问控制:在网络边界处部署防火墙,对正常业务外的网络流量 加以屏蔽,并对业务相关的网络访问进行最小化 网络设备访问控制:对网络设备本身的访问地址和用户进行最小化 操作系统访问控制:部署主机访问控制系统,对于用户和文件权限进行 最小化。 应用系统访问控制:部署主机访问控制系统,对于用户和使用权限进行 最小化。 未知驱动探索 专注成就专业 深圳市大成天下信息技术有限公司 第 9 页 共 22 页 3.2.1.5. 审计和跟踪审计和跟踪 日志:在操作系统、路由器、防火墙、入侵检测等设备上开启日志记录 功能,保存并定期分析日志 入侵检测:在重要部位部署网络入侵检测系统,对网络流量和可能的入 侵行为进行监控和报警 漏洞扫描和评估:采用先进的漏洞扫描系统对网络设备和主机进行扫描 评估 3.2.1.6. 内容安全内容安全 加密:对业务敏感采用强加密方式,包括链路加密和负载加密 防病毒:部署全网统一的防毒体系,实现统一升级和管理 VPN 加密信道:对 VPN 隧道上传输的封装后的 IP 数据包进行加密和

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 总结/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号