网络风险评估方案
【最新资料,WORD文档,可编辑修改】
目 录
一、 网络安全评估服务背景 ...............................................................................................................
1.1 安全评估概念 ..................................................................................................................................
1.2安全评估的目的 ...............................................................................................................................
1.3目标现状描述 ...................................................................................................................................
二、 风险评估内容说明 .......................................................................................................................
2.1风险等级分类 ...................................................................................................................................
2.2 评估目标分类 ..................................................................................................................................
2.3 评估手段 ..........................................................................................................................................
2.4 评估步骤 ..........................................................................................................................................
2.5 评估检测原则 ..................................................................................................................................
三、评估操作 .........................................................................................................................................
3.1 人员访谈&调查问卷 .......................................................................................................................
3.2 人工评估&工具扫描 .......................................................................................................................
3.3 模拟入侵 ..........................................................................................................................................
四、 项目实施计划 ...............................................................................................................................
4.1 项目实施 ..........................................................................................................................................
4.2 项目文档的提交 ..............................................................................................................................
附录一:使用的工具简单介绍 .............................................................................................................
Nessus scanner 3.2 英文版 ....................................................................................................................
Xscan-gui v3.3 中文版........................................................................................................................
辅助检测工具 .........................................................................................................................................
附录二: *****信息技术有限公司简介 .............................................................................................
1.1网络安全服务理念 ...........................................................................................................................
1.2网络安全服务特点 ...........................................................................................................................
一、网络安全评估服务背景
1.1风险评估概念
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜
在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可
能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息
安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操
作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安
全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管
理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1.2风险评估目的
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全
问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和
系统安全现状。具有以下目的:
找出目前的安全策略和实际需求的差距
获得目前信息系统的安全状态
为制定组织的安全策略提供依据
提供组织网络和系统的安全解决方案
为组织未来的安全建设和投入提供客观数据
为组织安全体系建设提供详实依据
此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及
其管理规范,为建立全面的安全防护层次提供了一套完整、规范的指导模型。
1.3目标现状描述
XXXXXXX省略XXXX
二、 风险评估内容说明
2.1风险等级分类
信息系统风险包括下表所示内容,本方案按照国家二级标准将对XX公司信息风险进行
评估。
下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表:
威胁严重程度(资产价值)划分表
等级 标识 描述
5 很高
一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组
织的正常经营,经济损失重大、社会影响恶劣。
一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉
4 高
造成损害。
3 中 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。
一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解
2 低
决。
1 很低 一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。
威胁可能性赋值表
等级 标识 定义
5 很高
经常发生过。
出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实
出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以
4 高
证实多次发生过。
出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经
3 中
发生过。
2 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过。
1 很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。
对资产弱点进行赋值后,使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下:
威胁可能性1 2 3 4 5
资 1 2 4 6 10 13
产
价
值
2 3 5 9 12 16
3 4 7 11 15 20
4 5 8 14 19 22
5 6 10 16 21 25
然后根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定威胁的风险等级
风险等级划分对照表
风险值 1-6 7-12 13-18 19-23 24-25
风险等级 1 2 3 4 5
最后对资产威胁进行填表登记,获得资产风险评估报告。
资产 威胁名称 严重程度 可能性 风险等级
资产1
资产2
资产3
2.2 评估目标分类
根据《信息系统安全等级评测准则》,将评估目标划分为以下10个部分
1) 机房物理安全检测
2) 网络安全检测
3) 主机系统安全
4) 应用系统安全
5) 数据安全
6) 安全管理机构
7) 安全管理制度
8) 人员安全管理
9) 系统建设管理
10) 系统运维管理
在实际的评估操作中,由于出于工作效率的考虑,将评估目标进行整合实施考察,
评估完成后再根据评估信息对划分的10个部分进行核对,检查达标的项目。
2.3 评估手段
安全评估采用评估工具和人工方式进行评估,即根据定制的扫描策略实施远程评
估,根据评估工具的初步结果进行人工分析和本机控制台分析。
2.4 评估步骤
风险评估项目 描述 备注
1、网络安全评估知识培训
网络信息安全典型案例目的是为了让客户对网络安全有个清晰的认识,从而在评估前就引起其重视,方便
培训 后面动作的开展。
网络安全评估流程培训
目的是为了客户能理解我们的工作,从而获得客户的支持。
2、资产评估
收集信息 完成《资产信息登记表》 可以远程操作
3、威胁评估
对物理安全进行评估 参照《物理安全规范表》 访谈、查看相关文档,实地考察
对人员安全管理进行评参照《人员安全管理规范表》 访谈人事部门相关人员
估
4、弱点评估 (完成网络安全、应用安全、主机安全规范表)
Xscan-gui进行全网安全扫描,获得全网的安全统计
整体网络安全信息
使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进行扫描统计
使用工具共享资源扫描整个网络,同时演示给客户其暴露在内网中的敏感信息
Nessus对服务器系统进行安全扫描
使用自动化评估脚本对服务器安全信息进行收集
应用服务
根据checklist对服务器进行本地安全检查
使用密码强度测试工具请求客户网管进行密码强度测试
Nessus对网络设备进行安全扫描
网络设备
使用密码强度测试工具请求客户网管进行密码强度测试
根据checklist对网络设备进行本地安全检查
5、安全管理评估
网络拓扑结构分析 分析冗余、负载均衡功能
数据安全调查 《数据安全规范表》
管理机构评估 《安全管理机构规范表》
安全管理制度 《安全管理制度规范表》
系统建设管理 《系统建设管理规范表》
系统运维管理 《系统运维管理规范表》 访谈部门领导、网管。实地考察
6、渗透测试
渗透测试 参考有关渗透测试方案 签署有关授权协议
渗透测试报告 《XX系统渗透测试报告》
资产风险 《资产风险评估报告》
信息系统安全 《整体网络安全报告》 领导参阅版和技术人员参阅版
加固建议 《安全加固报告》、《管理规范建议》 根据checklis进行加固
需要访谈对方领导,需要先获得领
导的支持与配合
通过问卷调查的方式获得部分内
容、管理制度文档审查
查看相关文档、访谈网管
7、数据整理、风险评估报告以及加固建议
2.5 评估检测原则
2.5.1 标准性原则
依据国际国内标准开展工作是本次评估工作的指导原则,也是*****信息技术有
限公司提供信息安全服务的一贯原则。在提供的评估服务中,依据相关的国内和国际
标准进行。这些标准包括:
《信息安全风险评估指南》
《信息系统安全等级保护测评准则》
《信息系统安全等级保护基本要求》
《信息系统安全保护等级定级指南》(试用版v3.2)
《计算机机房场地安全要求》(GB9361-88)
《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)
《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)
《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)
《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002)
《计算机信息系统安全等级保护管理要求》(GA/T391-2002)
《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)
2.5.2 可控性原则
人员可控性:将派遣数名经验丰富的工程师参加本项目的评估工作,有足够的经
验应付评估工程中的突发事件。
工具可控性:在使用技术评测工具前都事先通告。并且在必要时可以应客户要
求,介绍主要工具的使用方法,并进行一些实验。
2.5.3 完整性原则
将按照提供的评估范围进行全面的评估,从范围上满足的要求。实施的远程评估
将涉及全部外网可以访问到的设备;实施的本地评估将全面覆盖安全需求的各个点。
2.5.4 最小影响原则
*****信息技术有限公司会从项目管理层面和工具使用层面,将评估工作对系统和网络正常运行的
可能影响降低到最低限度,不会对现有运行业务产生显着影响。
*****信息技术有限公司和参加此次评估项目的所有项目组成员,都要与签署相
关的保密协议。
三、评估操作
3.1 人员访谈&调查问卷
为了检查XXXX安全现状,主要在安全管理方面进行一个安全状况的调查和摸底,
我们采取安全审计的方法,主要依据国家等级安全标准的要求,*****向XXXX提交
了详细的问题清单,针对管理层、技术人员和普通员工分别进行面对面的访谈。
通过人员访谈的形式,大范围地了解XXXX在信息安全管理方面的各项工作情况和
安全现状,作为安全弱点评估工作中的一个重要手段。
过程描述
此阶段主要通过提出书面的问题审计清单,安全工程师进行问题讲解,和XXXX相
关人员共同回答,并询问相关背景和相关证据的工作方式,以此来了解XXXX的关于
信息安全各方面的基本情况。
此访谈包括的内容为:物理安全规范、人员安全规范、数据安全规范、安全管理制
度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。
3.2 人工评估工具扫描
&
此内容评估采用扫描工具和人工方式(仿黑客攻击手段)进行评估,即根据定制
的扫描策略实施远程评估,根据评估工具的初步结果进行人工分析和本机控制台分
析。
项 目 内 容
Nessus v3.2英文版
Xscan-gui v3.3中文版
密码强度测试器
Sql注入渗透测试工具
评估自动化脚本
阿D注入工具v2.3
模拟入侵渗透测试
本地自动化检测脚本评估
全网安全统计报告
出具安全加固报告
专业安全评估软件
安全评估辅助工具
人工检测
工具扫描过程描述
由于评估可实际操作的时间有限,我们对该网络安全评估制定以下评估步骤:
网关设备的安全扫描评估,其内容包括:
用Nessus扫描网关设备,获取设备的操作系统漏洞信息,开启的服务信
息以及开放的多余端口信息等,工具自动生成扫描报告;
应用服务器的安全扫描评估,评测内容为:
用nessus扫描各个服务器,获取操作系统的漏洞信息,开启的服务信息和
暴露出来的敏感信息等,工具自动生成扫描报告。
整体网络扫描探测,评测内容为:
使用xscan-gui扫描网络内的共享资源、并根据评估人员总结的密码列表
进行常用密码猜解;如果时间充足将考虑进行共享资源、弱口令的利用演
示,让客户了解该威胁的严重性。
使用客户自有的网络版杀毒软件控制中心漏洞扫描功能对用户电脑进行漏
洞检测;(如果客户未部署网络版杀毒软件,则不操作此项。)
人工评估过程描述
网关设备的人工评估,其内容包括:
登录设备分析router、 firewall、switch等网关设备的配置;
根据checklist对网络设备进行手工检测;
对网络设备密码进行强度测试;
应用服务器的人工评估,其内容包括:
使用自动化评估脚本进行信息收集;
根据checklist对服务器进行手工检测;
对服务器密码进行强度测试;
对服务器日志进行审计,获取服务器的安全状况;(有一定难度,选做)
整体网络安全的人工评估,其内容包括:
分析网络拓扑图是否具备一定的攻击防范、重要设备冗余等信息;
分析整体网络的网段划分、IP地址规划是否合理;
最后分析工具扫描、人工评估中收集到的所有数据,并做出加固建议报告:
分析所有扫描日志及人工评估记录,做出安全分析报告;
针对出现的安全威胁做出加固建议报告。
3.3 模拟入侵
在获得客户授权的情况下,对路由器、firewall、网站进行远程模拟入侵,在指定时间,我公司工程师
将完全模拟外部入侵者的身份以一切可行的入侵方式,做到对网络无伤害的攻击,完全从黑客的角度
发现受检系统的所有安全漏洞或安全隐患;
过程描述
a.远程模拟入侵将突破口暂定为公司对外网站、路由器设备、vpn设备等几个出
口。
b.如能远程从这三个的Internet出口找出可入侵的突破口,将继续寻找其他隐患试
图向骨干网深入。
c.找到突破口后,尝试利用漏洞提权,获取WEB shell。
3.3.2 安全弱点的探测方法
a) 自编程序:对某些产品或者系统,已经发现了一些安全漏洞,但并不一定及
时对这些漏洞的打上“补丁”程序。通过这些漏洞进入目标系统。?
b) 利用商业的软件:例如nessus等网络安全分析软件,可以对目标进行扫描,
寻找规则库中的安全漏洞。
c) 手工分析:结合*****信息技术有限公司的网络安全工程师的工作经验,对目
标服务器进行手工提交的方式(SQL注入等方式)模拟入侵。
当我们取得需要的信息以后。将建立一个类似攻击对象的模拟环境,然后对模拟目
标机进行一系列的入侵。
如我公司工程师在入侵测试工作中成功突破Web服务器或其它相关主机并可接触
到应用程序段或数据库段,我公司将立即以文档或口头方式告之项目负责人。并在次
日与项目负责人会面并商讨下一步入侵检测工作计划,如发生入侵检测工作影响到网
站及其它服务器正常服务情况。我公司工程师将在第一时间通知相关技术人员,并以
最快的速度赶往现场协助相关技术人员处理相关问题。
四、 项目实施计划
针对网络安全评估项目,我们定制如下的工作流程:
4.1 项目实施
工作项目 描述 备注
用户信息收集阶段
检测办公网络安全隐患
做详细统计,确定评估范围
《X网络安全评估实施方案》
《X网络渗透测试实施方案》
根据checklist
根据checklist
网络拓扑分析、访问控制、系统漏洞、抽查个
人主机安全状况检测
《用户安全知识调查》
查看文档、访谈的方式进行管理规范评估
根据《XX渗透测试实施方案》 在外网进行
详细列出安全风险 技术人员参阅版
只对安全内容进行概括统计 领导参阅版
客户反馈问题汇总
《网络安全加固实施方案》
与客户协商确定加固范围及时间、实施人员
《安全加固验收报告》
《网络安全建议书》
1 网络规模统计
2 用户需求安全等级
3 服务器、网络设备统计
4 其他信息
制定实施方案阶段
1实施人员
2参与人员工作分配情况
3使用设备统计
4与客户研究确定实施方案
5做出评估进度控制表
6其他
安全评估方案实施阶段
1网络设备评估
2应用服务器安全评估
3整体网络状况评估
4用户安全意识评估
5网络管理规范评估
6入侵渗透
7物理安全评估
8其他
评估文档编写阶段
1编写《整体网络安全评估报告》
2编写《入侵渗透报告》
3编写《评估问题总结报告》
4 编写《网络安全评估报告》
5 编写加固建议
6 其他报告
安全加固实施阶段
1制定加固方案
2确定加固范围
3 实施加固方案
4 实施过程问题总结
项目验收阶段
1安全加固验收
2其他
4.2 项目文档的提交
提交评估报告:
网络安全评估报告(领导参阅版)
整体网络安全评估报告(技术人员参阅版)
网络安全加固实施方案
渗透测试报告
附录一:使用的工具简单介绍
Nessus scanner 3.2 英文版
Nessus 被认为是目前全世界最多安全技术人员使用的系统弱点扫描与分析软件。总
共有超过75,000个机构使用 Nessus 作为扫描该机构电脑系统的软件。
1998年, Nessus 的创办人 Renaud Deraison 展开了一项名为 "Nessus"的计划,其
计划目的是希望能位因特网社群提供一个免费、威力强大、更新频繁并简易使用的远
端系统安全扫瞄程式。经过了数年的发展, 包括 CERT 与 SANS 等着名的网络安全
相关机构皆认同此工具软件的功能与可用性。
2002年时, Renaud 与 Ron Gula, Jack Huffard 创办了一个名为 Tenable Network
Security 的机构。在第三版的Nessus 释出之时, 该机构收回了 Nessus 的版权与程式
源代码 (原本为开放源代码), 并注册了 成为该机构的网站。 目前此机构
位于美国马里兰州的哥伦比亚。
Nessus的特色
提供完整的电脑弱点扫描服务, 并随时更新其弱点数据库。
提供不同于传统的弱点扫描软件, Nessus 可同时在本机或远端上摇控, 进行系
统的弱点分析扫描。
其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如
加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高。
可自行定义外嵌软件(Plug-in)
完整支持 SSL (Secure Socket Layer)。
自从1998年开发至今已谕十年, 故为一架构成熟的软件。
Xscan-gui v3.3 中文版
X-Scan是国内最着名的综合扫描器之一,其界面支持中文和英文两种语言、包括
图形界面和命令行方式。主要由国内着名的民间入侵者组织“安全焦点”“风险等
级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞建议等。
辅助检测工具
密码强度测试器
Sql注入渗透测试工具
评估自动化脚本
阿D注入工具v2.3
附录二: *****信息技术有限公司简介
*****信息技术有限公司成立于2006年,作为网络安全服务商,公司主要为客户
提供计算机安全风险评估、安全等级评估、安全检查、安全培训、网上信息安全审
计、病毒防治和安全应急处理等服务,并依托自身强大的技术实力为客户提供全面的
网络安全解决方案和网络安全服务。
1.1网络安全服务理念
根据客户需求定制相应的安全解决方案是*****信息技术有限公司的安全服务理
念。“及时 准确 完善”是*****信息技术有限公司的服务作风。
1.2网络安全服务特点
第三方安全服务提供商
*****信息技术有限公司主要对外提供如下的特色网络安全服务:
➢ 网络安全顾问服务
*****信息技术有限公司作为专业的网络安全服务提供商,在以往的网络安全
项目和日常工作中积累了大量的网络安全项目规划实施经验和专业的网络安
全知识,可以为客户提供实用、可靠的网络安全顾问服务,服务主要包括以
下几点:
1. 信息化建设或网络安全建设项目前期的需求分析和安全规划;
2. 日常运维过程中的安全技术指导和安全制度定制;
3. 新系统、新业务的安全性、可靠性分析;
4. 网络安全培训;
➢ 网络安全项目验收期安全评估服务
网络安全项目实施成功与否最好的判断方法就是模拟攻击者对网络的内
外层面做全面的模拟入侵。一轮全面的模拟入侵之后,立刻可以对网络安全
项目实施的结果做出明确判断。*****信息技术有限公司有资质和有能力承担
网络安全项目验收期安全评估服务。根据我们的评估结果,督促客户的安全
提供商不断的修改安全系统。最终达到项目的安全需求和国家的网络安全要
求,可为客户提供技术依据、划分安全责任。
➢ 安全评估
安全评估是对现有系统整个或单个进行全方位的评估,包括桌面主机系
统,服务器系统,应用服务系统以及网络设备系统等。通过全方位的评估,
以期发现安全建设中潜在的风险和威胁,最终完成评估报告;为网络安全的
建设提供现实依据,为安全保障工作提供技术指导。
➢ 安全检查和加固
安全是一个计划、建设、检查的循环过程,没有一层不变的威胁,也没
有一劳永逸的安全;要保证网络的高度安全,须定期或不定期的对整个安全
架构或单个应用系统进行检查,及时发现存在的漏洞,进而对漏洞进行修补
和安全加固。*****信息技术有限公司可以为客户提供全面的安全检查,包括
以下内容:
1. WINDOWS 2000/2003/2008 SERVER系统检查和加固
2. LINUX/UNIX SERVER 系统检查和加固
3. WINDOWS桌面系统检查和加固
4. 应用服务检查和加固,包括MSSQL,MYSQL,IIS,APACHE等
5. 网络设备检查和加固,包括路由器,交换机,防火墙等网关设备
➢ 网络系统日常安全维护、应急处理服务
保证网络的安全是一项长期的工作,并不能单独依靠配备安全设备而完
全解决安全问题,必须在整个系统的运维过程中考虑到网络安全的维护。由
于安全技术本身的专业性和网络提供商基于产品售后服务的针对性,使得很
多客户在日常维护中无法实现网络安全的长期维护机制。*****信息技术有限
公司作为专业的网络安全服务提供商,可以为客户提供全面的网络安全运维
服务,服务内容包括:
1. 日常网络安全评估;
2. 日常网络安全修复;
3. 日常病毒防治;
4. 网上信息安全审计预警;
5. 7X24小时应急响应;
*****信息技术有限公司提供的日常安全运维服务主要以人工手段为主,
配合各个安全厂商提供的安全评估工具和自身的安全服务经验,可以在日常
运维过程中督促、协助系统集成商和网络安全提供商不断完善系统安全。
➢ 网络案件技术取证和追踪服务
目前网络犯罪已经成为一个社会性问题,网上诽谤、网上诈骗、煽动、
黑客攻击、破坏等犯罪行为逐年上升。预防、破获网络犯罪不单单是个技术
问题,还必须配合行政手段。当网络犯罪发生时,如果无法追踪到肇事源
头,那么将永远无法解决此犯罪行为带来的影响。
完整的安全解决方案提供商
*****信息技术有限公司作为专业的第三方安全服务提供商,可以为各个行业
用户提供解决方案。针对不同客户的不同需求,我们可以提供符合客户要求的解
决方案。从服务到产品,从评估到加固,从咨询顾问到培训辅导,中、小型企
业,IT企业非IT企业都可以在*****信息技术有限公司找到适合自己的安全解决
方案。
本文发布于:2023-05-27 16:58:15,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/zhishi/a/168517789518998.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:网络风险评估方案.doc
本文 PDF 下载地址:网络风险评估方案.pdf
留言与评论(共有 0 条评论) |