收藏
下载资源

网络风险评估方案

上传人:汽*** 文档编号:487668809 上传时间:2023-05-18 格式:DOCX 页数:18 大小:31.56KB
返回 下载 相关 举报
网络风险评估方案_第1页
第1页 / 共18页
网络风险评估方案_第2页
第2页 / 共18页
网络风险评估方案_第3页
第3页 / 共18页
网络风险评估方案_第4页
第4页 / 共18页
网络风险评估方案_第5页
第5页 / 共18页
点击查看更多>>
资源描述

《网络风险评估方案》由会员分享,可在线阅读,更多相关《网络风险评估方案(18页珍藏版)》请在金锄头文库上搜索。

1、网络风险评估方案【最新资料,WORD目档录可编辑修改】一、网络安全评估服务背景 1.1 安全评估概念 1.2 安全评估的目的 1.3 目标现状描述二、风险评估内容说明 2.1 风险等级分类2.2 评估目标分类 2.3 评估手段 2.4 评估步骤 2.5 评估检测原则 三、评估操作3.1 人员访谈&调查问卷 3.2 人工评估&工具扫描 3.3 模拟入侵 四、项目实施计划 4.1 项目实施 4.2 项目文档的提交 附录一:使用的工具简单介绍Nessus scanner 3.2 英文版 Xscan-gui v3.3 中文版辅助检测工具附录二: *信息技术有限公司简介 1.1 网络安全服务理念 1.2

2、 网络安全服务特点一、网络安全评估服务背景1.1 风险评估概念信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜 在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可 能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息 安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准信息系统安 全等级评测准则等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管 理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作

3、模型。1.2 风险评估目的风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全 问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和 系统安全现状。具有以下目的:找出目前的安全策略和实际需求的差距获得目前信息系统的安全状态 为制定组织的安全策略提供依据 提供组织网络和系统的安全解决方案 为组织未来的安全建设和投入提供客观数据 为组织安全体系建设提供详实依据 此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范,为建立全面的安全防护层次提供了一套完整、规范的指导模型。1.3 目标现状描述XXXXXXX 省略 XXXX二、 风险

4、评估内容说明2.1 风险等级分类信息系统风险包括下表所示内容,本方案按照国家二级标准将对XX公司信息风险进行评估。面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表:威胁严重程度(资产价值)划分表等级标识描述5很高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组 织的正常经营,经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉 造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。2低一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解 决。1很低一旦发生造成的影响几乎不

5、存在,通过简单的措施就能弥补。威胁可能性赋值表等级标识定义5很高出现的频率很高(或21次/周);或在大多数情况下几乎不可避免;或可以证实 经常发生过。4高出现的频率较高(或2 1次/月);或在大多数情况下很有可能会发生;或可以 证实多次发生过。3中出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经 发生过。2低出现的频率较小;或一般不太可能发生;或没有被证实发生过。1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。对资产弱点进行赋值后,使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下:威胁可能性12345资12461013产23591216价347

6、111520值4581419225610162125然后根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定威胁的风险等级风险等级划分对照表风险值1-67-1213-1819-2324-25风险等级12345最后对资产威胁进行填表登记,获得资产风险评估报告。资产威胁名称资产1资产2资产32.2 评估目标分类根据信息系统安全等级评测准则,将评估目标划分为以下 10个部分1) 机房物理安全检测2) 网络安全检测3) 主机系统安全4) 应用系统安全5) 数据安全6) 安全管理机构7) 安全管理制度8) 人员安全管理9) 系统建设管理10) 系统运维管理在实际的评估操作中,由于出于工作效率的考虑,将评

7、估目标进行整合实施考察 评估完成后再根据评估信息对划分的 10 个部分进行核对,检查达标的项目。2.3 评估手段安全评估采用评估工具和人工方式进行评估,即根据定制的扫描策略实施远程评 估,根据评估工具的初步结果进行人工分析和本机控制台分析。2.4 评估步骤风险评估项目描述备注1、网络安全评估知识培训网络信息安全典型案例 培训目的是为了让客户对网络安全有个清晰的认识,从而在评估刖就引起其重视,方便 后面动作的开展。网络安全评估流程培训目的是为了客户能理解我们的工作,从而获得客户的支持。2、资产评估收集信息完成资产信息登记表可以远程操作3、威胁评估对物理安全进行评估参照物理安全规范表访谈、查看相关

8、文档,实地考察对人员安全管理进行评 估参照人员安全管理规范表访谈人事部门相关人员4、弱点评估(完成网络安全、应用安全、主机安全规范表)整体网络安全信息Xscan-gui进行全网安全扫描,获得全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进行扫描统计使用工具共享资源扫描整个网络,冋时演示给客户其暴露在内网中的敏感信息应用服务Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行收集根据checklist对服务器进行本地安全检查使用密码强度测试工具请求客户网管进行密码强度测试网络设备Nessus对网络设备进行安全扫描使用密码强度测试工具请求客户网管进行密码强度测

9、试根据checklist对网络设备进行本地安全检查5、安全管理评估网络拓扑结构分析分析冗余、负载均衡功能数据安全调查数据安全规范表管理机构评估安全管理机构规范表需要访谈对方领导,需要先获得领 导的支持与配合安全管理制度安全管理制度规范表通过问卷调查的方式获得部分内 容、管理制度文档审查系统建设管理系统建设管理规范表查看相关文档、访谈网管系统运维管理系统运维管理规范表访谈部门领导、网管。实地考察6、渗透测试渗透测试参考有关渗透测试方案签署有关授权协议渗透测试报告XX系统渗透测试报告7、数据整理、风险评估扌报告以及加固建议资产风险资产风险评估报告信息系统安全整体网络安全报告领导参阅版和技术人员参阅

10、版加固建议安全加固报告、管理规范建议根据checklis进行加固2.5 评估检测原则2.5.1 标准性原则 依据国际国内标准开展工作是本次评估工作的指导原则,也是*信息技术有限公司提供信息安全服务的一贯原则。在提供的评估服务中,依据相关的国内和国际 标准进行。这些标准包括:信息安全风险评估指南 信息系统安全等级保护测评准则信息系统安全等级保护基本要求信息系统安全保护等级定级指南(试用版 v3.2)计算机机房场地安全要求(GB9361-88)计算机信息系统安全等级保护网络技术要求( GA/T387-2002) 计算机信息系统安全等级保护操作系统技术要求( GA/T388-2002) 计算机信息系

11、统安全等级保护数据库管理系统技术要求( GA/T389-2002)计算机信息系统安全等级保护通用技术要求( GA/T390-2002)计算机信息系统安全等级保护管理要求( GA/T391-2002)计算机信息系统安全等级保护划分准则( GB/T17859-1999)2.5.2 可控性原则 人员可控性:将派遣数名经验丰富的工程师参加本项目的评估工作,有足够的经 验应付评估工程中的突发事件。工具可控性:在使用技术评测工具前都事先通告。并且在必要时可以应客户要求,介绍主要工具的使用方法,并进行一些实验。2.5.3 完整性原则 将按照提供的评估范围进行全面的评估,从范围上满足的要求。实施的远程评估将涉

12、及全部外网可以访问到的设备;实施的本地评估将全面覆盖安全需求的各个点。2.5.4 最小影响原则*信息技术有限公司会从项目管理层面和工具使用层面,将评估工作对系统和网络正常运行的 可能影响降低到最低限度,不会对现有运行业务产生显着影响。*信息技术有限公司和参加此次评估项目的所有项目组成员,都要与签署相 关的保密协议。三、评估操作3.1 人员访谈&调查问卷为了检查 XXXX 安全现状,主要在安全管理方面进行一个安全状况的调查和摸底, 我们采取安全审计的方法,主要依据国家等级安全标准的要求,*向XXXX提交 了详细的问题清单,针对管理层、技术人员和普通员工分别进行面对面的访谈。通过人员访谈的形式,大

13、范围地了解XXXX在信息安全管理方面的各项工作情况和 安全现状,作为安全弱点评估工作中的一个重要手段。过程描述此阶段主要通过提出书面的问题审计清单,安全工程师进行问题讲解,和XXXX相 关人员共同回答,并询问相关背景和相关证据的工作方式,以此来了解XXXX的关于 信息安全各方面的基本情况。此访谈包括的内容为:物理安全规范、人员安全规范、数据安全规范、安全管理制 度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。3.2 人工评估&工具扫描此内容评估采用扫描工具和人工方式(仿黑客攻击手段)进行评估,即根据定制 的扫描策略实施远程评估,根据评估工具的初步结果进行人工分析和本机控制台分 析

14、。项目内容专业安全评估软件 Nessus v3.2 英文版 Xscan-gui v3.3 中文版安全评估辅助工具 密码强度测试器 Sql注入渗透测试工具 评估自动化脚本 阿D注入工具v2.3人工检测 模拟入侵渗透测试 本地自动化检测脚本评估 全网安全统计报告 出具安全加固报告工具扫描过程描述由于评估可实际操作的时间有限,我们对该网络安全评估制定以下评估步骤: 网关设备的安全扫描评估,其内容包括:用Nessus扫描网关设备,获取设备的操作系统漏洞信息,开启的服务信 息以及开放的多余端口信息等,工具自动生成扫描报告;应用服务器的安全扫描评估,评测内容为: 用 nessus 扫描各个服务器,获取操作系统的漏洞信息,开启的服务信息和 暴露出来的敏感信息等,工具自动生成扫描报告。整体网络扫描探测,评测内容

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号