《网络风险评估方案.docx》由会员分享,可在线阅读,更多相关《网络风险评估方案.docx(27页珍藏版)》请在课桌文档上搜索。
1、网络风险评估方案【最新资料,WORD文目档,录可编写改正】一、网络安全评估服务背景安全评估观点安全评估的目的目标现状描绘二、风险评估内容说明风险等级分类评估目标分类评估手段评估步骤评估检测原则三、评估操作人员访谈&检盘问卷人工评估&工具扫描模拟入侵四、项目实行计划项目实行项目文档的提交附录一:使用的工具简单介绍Nessusscanner英文版Xscan-gui中文版辅助检测工具附录二:*信息技术有限公司简介网络安全服务理念网络安全服务特点一、网络安全评估服务背景风险评估观点信息安全风险评估是参照风险评估标准和管理规范,对信息系统的财产价值、潜伏威迫、单薄环节、已采纳的防备举措等进行剖析,判断安
2、全事件发生的概率以及可能造成的损失,提出风险管理举措的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从初期简单的破绽扫描、人工审计、浸透性测试这类种类的纯技术操作,渐渐过渡到当前广泛采纳国际标准的BS7799、IS017799、国家标准信息系统安全等级评测准则等方法,充分表现以财产为出发点、以威迫为触发要素、以技术/管理/运转等方面存在的柔弱性为诱因的信息安全风险评估综合方法及操作模型。风险评估目的风险评估的目的是全面、正确的认识组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最后安全需求的提出供给依照。正确认识组织的网络和系统安全现状。拥有以下目的:找出
3、当前的安全策略和实质需求的差距获取当前信息系统的安全状态为拟订组织的安全策略供给依照供给组织网络和系统的安全解决方案为组织将来的安全建设和投入供给客观数据为组织安全系统建设供给详确依照别的还能够经过选择靠谱的安全产品经过合理步骤拟订合适详细状况的安全策略及其管理规范,为成立全面的安全防备层次供给了一套完好、规范的指导模型。目标现状描绘XXXXXXX省略XXXX二、风险评估内容说明风险等级分类信息系统风险包含下表所示内容,本方案依照国家二级标准将对XX公司信息风险进行评估。下边列出了依据短处威迫严重程度与短处发生的可能性的赋值表:威迫严重程度(财产价值)区分表等级表记描绘旦发生将产生特别:庄重的
4、经济或社会影响,如组织信用严重5很高损坏、)Z重影响组织的正常经营,经济损失重要、社会影响恶劣。高的经管旦发生将产生较大f勺经济或社会影响,在必定范围内给组织利组织信用造成伤彳JO中旦发生会造成必定F勺经济、社会或生产经营影响,但影响面和影M程度不大O一旦为低:生造成的影响程度4交低,一般仅限于组织内部,经过一定手目:很快能解决。1很低一旦发/匕造成的影响几乎不存在,经过简单的举措就能填补。威迫反EIJL74lXH次笔记定Jy出现的频次很高(或21次/周);或在大部分状况下几乎不行很同防I卜.我能够讦叫常蕾羚牛时C4高出现的频次较高(或21次/月);或在大部分状况下很有可能会发住,;或能够证明
5、多次;之生过。H中生;W现的频次被证明以中等(或-JuZL./fX,/1.Ia刖发生过,1次/半年);或在某种状况下可能会发小也现的频次较小;!戈一般不太可能发生;或没有被证明发生过。布低威迫几乎不行能:之生,仅可能在特别稀有和例外的状况下发生。对财产短处进行赋值后,使用矩阵法对短处进行风险等级区分。风险评估中常用的矩阵表格以下:威迫可能性1234g1246103产235912卜3471115045814192而后仰561016215D吐芹裕和圣的利诃击现由佰女石隆山讲行4一册VrIgV泊的前於笺州风险等级区分比较表风险值风险等级1-67-121:-1819-2324-2512345最后对财产
6、威迫进行填表登记,获取财产风险评估报生F-I-严重可风险财产威迫名称程度能性等级财产1财产2评估目标分类依据信息系统安全等级评测准则,将评估目标区分为以下10个部分机房物理安全检测网络安全检测主机系统安全应用系统安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理在实质的评估操作中,因为出于工作效率的考虑,将评估目标进行整合实行观察,评估达成后再依据评估信息对区分的10个部分进行查对,检杳达标的项目。评估手段安全评估采纳评估工具和人工方式进行评估,即依据定制的扫描策略实行远程评估,依据评估工具的初步结果进行人工剖析和本机控制台剖析。评估步骤风险评估项目描绘备注1、网络安全评
7、估知识培训网络信息安全典目的是为了让客户对网络安全有个清楚的认识,从而在评估前就型事例培训惹起其重视,方便后边动作的睁开。网络安全评估流目的是为了客户能理解我们的工作,从而获取客户的支持。程培训2、财产评估采集信息达成财产信息登记表3、威迫评估对物理安全进行评估对人员安全管理参照物理安全规范表参照人员安全管理规范表能够远程操作访谈、查察有关文档,实地观察访谈人事部门有关人员进行评估4、弱评论估(达成网络安全、应用安全、主机安全规范表)整体网络安全信XSCan-gui进行全网安全扫描,获取全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统破绽状况进行扫息使用工具共享资源扫描整个网络,同时演示
8、给客户其裸露在内网Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行采集应用服务依据CheCkIiSt对服务器进行当地安全检查使用密码强度测试工具恳求客户网管进行密码强度测试Nessus对网络设施进行安全扫描网络设施使用密码强度测试工具恳求客户网管进行密码强度测试依据CheCkIiSt对网络设施进行当地安全检杳5、安全管理评估网络拓扑构造分剖析冗余、负载平衡功能析数据安全检查管理机构评估安全管理制度系统建设管理系统运维管理6、浸透测试浸透测试浸透测试报告7、数据整理、财产风险信息系统安全加固建议数据安全规范表需要访谈对方领导,需要先安全管理机构规范表获取领导的支持与配合
9、经过问卷检查的方式获取部分内容、管理制度文档安全管理制度规范表审查系统建设管理规范表查察有关文档、访谈网管访谈部门领导、网管。实地系统运维管理规范表观察参照有关浸透测试方案签订有关受权协议XX系统浸透测试报告风险评估报告以及加固建议财产风险评估报告整体网络安全报告领导参阅版和技术人员参阅版安全加固报告、管理规范建依据CheCkIiS进行加固议评估检测原则标准性原则依照国际国内标准睁开工作是本次评估工作的指导原则,也是*信息技术有限公司供给信息安全服务的一向原则。在供给的评估服务中,依照有关的国内和国际标准进行。这些标准包含:信息安全风险评估指南信息系统安全等级保护测评准则信息系统安全等级保护基
10、本要求信息系统安全保护等级定级指南(试用版v3.2)计算机机房场所安全要求(GB9361-88)计算机信息系统安全等级保护网络技术要求(GT387-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2002)计算机信息系统安全等级保护数据库管理系统技术要求(GA/T389-2002)计算机信息系统安全等级保护通用技术要求(GA/T390-2002)计算机信息系统安全等级保护管理要求(GA/T391-2002)计算机信息系统安全等级保护区分准则(GB/T17859-1999)可控性原则人员可控性:将差遣数名经验丰富的工程师参加本项目的评估工作,有足够的经验对付评估工程中的突发
11、事件。工具可控性:在使用技术评测工具前都预先通知。而且在必需时能够应客户要求,介绍主要工具的使用方法,并进行一些实验。完好性原则将依照供给的评估范围进行全面的评估,从范围上知足的要求。实行的远程评估将波及所有外网能够接见到的设施;实行的当地评估将全面覆盖安全需求的各个点。最小影响原则*信息技术有限公司会从项目管理层面和工具使用层面,将评估工作对系统和网络正常运转的可能影响降低到最低限度,不会对现有运转业务产生明显影响。*信息技术有限公司和参加此次评估项目的所有项H构成员,都要与签订有关的保密协议。三、评估操作人员访谈也检盘问卷为了检查XXXX安全现状,主要在安全管理方面进行一个安全状况的检查和
12、摸底,我们采纳安全审计的方法,主要依照国家等级安全标准的要求,*向XXXX提交了详细的问题清单,针对管理层、技术人员和一般职工分别进行当面的访谈。经过人员访谈的形式,大范围地认识XXXX在信息安全管理方面的各项工作状况和安全现状,作为安全弱评论估工作中的一个重要手段。过程描绘此阶段主要经过提出版面的问题审计清单,安全工程师进行问题解说,和XXXX有关人员共同回答,并咨询有关背景和有关凭证的工作方式,以此来认识XXXX的对于信息安全各方面的基本状况。此访谈包含的内容为:物理安全规范、人员安全规范、数据安全规范、安全管理制度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。人工评估&工具
13、扫描此内容评估采纳扫描工具和人工方式(仿黑客攻击手段)进行评估,即依据定制的扫描策略实行远程评估,依据评估工具的初步结果进行人工剖析和本机控制台剖析。项目内容Nessus英文版专业安全评估软件Xscan-gui中文版密码强度测试器Sql注入浸透测试工具安全评估辅助工具评估自动化脚本阿D注入工具模拟入侵浸透测试当地自动化检测脚本评估人工检测全网安全统计报告出具安全加固报告工具扫描过程描绘因为评估可实质操作的时间有限,我们对该网络安全评估拟订以下评估步骤:网关设施的安全扫描评估,其内容包含:用Nessus扫描网关设施,获取设施的操作系统破绽信息,开启的服务信息以及开放的剩余端口信息等,工具自动生成
14、扫描报告;应用服务器的安全扫描评估,评测内容为:用nessus扫描各个服务器,获取操作系统的破绽信息,开启的服务信息和裸露出来的敏感信息等,工具自动生成扫描报告。整体网络扫描探测,评测内容为:使用XSCan-gui扫描网络内的共享资源、并依据评估人员总结的密码列表进行常用密码猜解;假如时间充分将考虑进行共享资源、弱口令的利用演示,让客户认识该威迫的严重性。使用客户自有的网络版杀毒软件控制中心破绽扫描功能对用户电脑进行破绽检测:(假如客户未部署网络版杀毒软件,则不操作此项。)人工评估过程描绘网关设施的人工评估,其内容包含:登录设施剖析router、firewall、SWitCh等网关设施的配置;
15、依据checklist对网络设施进行手工检测;对网络设施密码进行强度测试;应用服务器的人工评估,其内容包含:使用自动化评估脚本进行信息采集:依据checklist对服务器进行手工检测:对服务器密码进行强度测试;对服务器日记进行审计,获取服务器的安全状况;(有必定难度,选做)整体网络安全的人工评估,其内容包含:剖析网络拓扑图能否具备必定的攻击防备、重要设施冗余等信息;剖析整体网络的网段区分、IP地点规划能否合理;最后剖析工具扫描、人工评估中采集到的所有数据,并做出加固建议报告:剖析所有扫描日记及人工评估记录,做出安全剖析报告;针对出现的安全威迫做出加固建议报告。模拟入侵在获取客户受权的状况下,对
16、路由器、firewalk网站进行远程模拟入侵,在指准时间,我公司工程师将完好模拟外面入侵者的身份以全部可行的入侵方式,做到对网络无伤害的攻击,完好从黑客的角度发现受检系统的所有安全破绽或安全隐患;过程描绘a.远程模拟入侵将打破口暂定为公司对外网站、路由器设施、VPn设施等几个出口。b.如能远程从这三个的Internet出口找出可入侵的打破口,将持续找寻其余隐患试图向骨干网深入。c.找到打破口后,试试利用破绽提权,获取WEBshello安全短处的探测方法自编程序:对某些产品或许系统,已经发现了一些安全破绽,但其实不必定实时对这些破绽的打上“补丁”程序。经过这些破绽进入目标系统。利用商业的软件:比
17、如nessus等网络安全剖析软件,能够对目标进行扫描,找寻规则库中的安全破绽。手工剖析:联合*信息技术有限公司的网络安全工程师的工作经验,对目标服务器进行手工提交的方式(SQL注入等方式)模拟入侵。当我们获得需要的信息此后。将成立一个近似攻击对象的模拟环境,而后对模拟目标机进行一系列的入侵。如我公司工程师在入侵测试工作中成功打破Web服务器或其余有关主机并可接触到应用程序段或数据库段,我公司将马上以文档或口头方式告之项目负责人。并在次日与项目负责人见面并商议下一步入侵检测工作计划,如发生入侵检测工作影响到网站及其余服务器正常服务状况。我公司工程师将在第一时间通知有关技术人员,并以最快的速度赶往
18、现场辅助有关技术人员办理有关问题。四、项目实行计划针对网络安全评估项目,我们定制以下的工作流程:项目实行工作项口ffi#用户网络信息采集阶段规模统计用户需求安全等级服务器、网络设施统计检测办公网络安全隐患其余信息做详尽统计,确立评估范围拟订实行方案阶段实行参加人贮人职工作分派状况与客使用设施统计户研究确立实行方案U-人.故出评估进陵控制表X网络安全评估实行方案网络安全评估方案实行阶段Q施评估宙用脂冬等令令评估网玷浸透SIM卖彳J力1案力/JK7丁Tiir.乂-1-PTT5依据phprkjist1整体网r状况评估用户公仝堂诅评估依据checklist网络拓扑剖析、接见控制、系统破绽、抽查个人主机
19、安全状况检测用户安全知识检查网络管理规范评估查察文档、访谈的方式进行管理规范评估入侵浸透依据XX浸透测试实行方案在外网进行物理安全评估其余评估文档编写阶段编写整体网络安全评估报告详尽列出安全风险技术人员参阅版编写入侵浸透报告编写评估问题总结报告编写网络安全评估报告只对安全内容进行归纳统计领导参阅版编写加固建议其余报告客户反应问题汇总安全加固实行阶段拟订加固方案网络安全加固实行方案确立加固范围与客户磋商确立加固范围实时间、实施人员实行加固方案实行过程问题总结项目查收阶段安全加固查收安全加固查收报告其余网络安全建议书项目文档的提交提交评估报告:网络安全评估报告(领导参阅版)整体网络安全评估报告(技
20、术人员参阅版)网络安全加固实行方案浸透测试报告附录一:使用的工具简单介绍Nessusscanner英文版NeSSUS被认为是当前全球最多安全技术人员使用的系统短处扫描与剖析软件。总合有超出75,OOO个机构使用Nessus作为扫描该机构电脑系统的软件。1998年,Nessus的创立人RenaudDeraison睁开了一项名为“Nessus”的计划,其计划目的是希望能位因特网社群供给一个免费、威力强盛、更新屡次并简略使用的远端系统安全扫瞄程式。经过了数年的发展,包含CERT与SANS等有名的网络安全有关机构皆认可此工具软件的功能与可用性。2002年时,RenaudVRonGulaJackHuff
21、ard创立了一个名为TenabIeNetworkSecurity的机构。在第三版的NeSSUS释出之时,该机构回收了Nessus的版权与程式源代码(本来为开放源代码),并注册了成为该机构的网站。当前此机构位于美国马里兰州的哥伦比亚。Nessus的特点供给完好的电脑短处扫描服务,并随时更新其短处数据库。供给不一样于传统的短处扫描软件,Nessus可同时在本机或远端上摇控,进行系统的短处剖析扫描。其运作效能能跟着系统的资源而自行调整。假如将主机加入更多的资源(比如加速CPU速度或增添内存大小),其效率表现可因为丰富资源而提升。可自行定义外嵌软件(Plug-in)完好支持SSL(SeCUreSOCk
22、etLayer)。自从1998年开发到现在已谕十年,故为一架构成熟的软件。Xscan-gui中文版X-Scan是国内最有名的综合扫描器之一,其界面支持中文和英文两种语言、包含图形界面和命令行方式。主要由国内有名的民间入侵者组织“安全焦点”“风险等级”评估,并供给破绽描绘、破绽溢出程序,方便网管测试、修理破绽建议等。辅助检测工具密码强度测试器Sql注入浸透测试工具评估自动化脚本阿D注入工具附录二:*信息技术有限公司简介信息技术有限公司成立于2006年,作为网络安全服务商,公司主要为客户供给计算机安全风险评估、安全等级评估、安全检查、安全培训、网上信息安全审计、病毒防治和安全应急办理等服务,并依靠
23、自己强盛的技术实力为客户供给全面的网络安全解决方案和网络安全服务。网络安全服务理念依据客户需求定制相应的安全解决方案是*信息技术有限公司的安全服务理念。”实时正确完美”是*信息技术有限公司的服务作风。网络安全服务特点第三方安全服务供给商信息技术有限公司主要对外供给以下的特点网络安全服务:网络安全顾问服务信息技术有限公司作为专业的网络安全服务供给商,在过去的网络安全项目和平时工作中累积了大批的网络安全项目规划实行经验和专业的网络安全知识,能够为客户供给适用、靠谱的网络安全顾问服务,服务主要包括以下几点:信息化建设或网络安全建设项当先期的需求剖析和安全规划;平时运维过程中的安全技术指导和安全制度定
24、制;新系统、新业务的安全性、靠谱性剖析;网络安全培训;网络安全项目查收期安全评估服务网络安全项目实行成功与否最好的判断方法就是模拟攻击者对网络的内外层面做全面的模拟入侵。一轮全面的模拟入侵以后,马上能够对网络安全项目实行的结果做出明确判断。*信息技术有限公司有资质和有能力肩负网络安全项目查收期安全评估服务。依据我们的评估结果,敦促客户的安全供给商不停的改正安全系统。最后达到项目的安全需乞降国家的网络安全要求,可为客户供给技术依照、区分安全责任。安全评估*安全评估是对现有系统整个或单个进行全方向的评估,包含桌面主机系统,服务器系统,应用服务系统以及网络设施系统等。经过全方向的评估,以期发现安全建
25、设中潜伏的风险和威迫,最后达成评估报告:为网络安全的建设供给现实依照,为安全保障工作供给技术指导。安全检查和加固安所有是一个计划、建设、检查的循环过程,没有一层不变的威迫,也没有一劳久逸的安全;要保证网络的高度安全,须按期或不按期的对整个安全架构或单个应用系统进行检查,实时发现存在的破绽,从而对破绽进行修理和安全加固。*信息技术有限公司能够为客户供给全面的安全检查,包含以下内容:WIND0WS2000/2003/2008SERVER系统检查和加固LINUX/UNIXSERVER系统检查和加固WINDOWS桌面系统检查和加固应用服务检查和加固,包含MSSQL,MYSQL,IIS,APACHE等网
26、络设施检查和加固,包含路由器,互换机,防火墙等网关设施网络系统平时安全保护、应急办理服务保证网络的安所有是一项长久的工作,其实不可以独自依赖装备安全设施而完好解决安全问题,一定在整个系统的运维过程中考虑到网络安全的保护。因为安全技术自己的专业性和网络供给商鉴于产品售后服务的针对性,使得很多客户在平时保护中没法实现网络安全的长久保护体制。*信息技术有限公司作为专业的网络安全服务供给商,能够为客户供给全面的网络安全运维服务,服务内容包含:平时网络安全评估;平时网络安全修复;平时病毒防治;网上信息安全审计预警;7X24小时应急响应;信息技术有限公司供给的平时安全运维服务主要以人工手段为主,配合各个安
27、全厂商供给的安全评估工具和自己的安全服务经验,能够在平时运维过程中敦促、辅助系统集成商和网络安全供给商不停完美系统安全。网络案件技术取证和追踪服务当前网络犯法已经成为一个社会性问题,网上诋毁、网上诈骗、煽惑、黑客攻击、损坏等犯法行为逐年上涨。预防、破获网络犯法不仅仅是个技术问题,还一定配合行政手段。当网络犯法发生时,假如没法追踪到闯事源泉,那么将永久没法解决此犯法行为带来的影响。完好的安全解决方案供给商信息技术有限公司作为专业的第三方安全服务供给商,能够为各个行业用户供给解决方案。针对不一样客户的不一样需求,我们能够供给切合客户要求的解决方案。从服务到产品,从评估到加固,从咨询顾问到培训指导,中、小型公司,IT公司非IT公司都能够在*信息技术有限公司找到合适自己的安全解决方案。