網(wǎng)絡風險評估方案

1、網(wǎng)絡風險評估方案【最新資料，WORD文楣，可編輯修改】網(wǎng)絡安全評估服務背景安全評估概念安全評估的目的目標現(xiàn)狀描述風險評估內容說明風險等級分類評估目標分類評估手段評估步驟評估檢測原則三、評估操作人員訪談&調查問卷人工評估&工具掃描模擬入侵四、項目實施計劃項目實施項目文檔的提交附錄一：使用的工具簡單介紹Nessusscanner3.2英文版Xscan-guiv3.3中文版輔助檢測工具附錄二：*信息技術有限公司簡介網(wǎng)絡安全服務理念網(wǎng)絡安全服務特點風險評估概念信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可

2、能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領域時，就是對信息安全的風險評估。風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準信息系統(tǒng)安全等級評測準則等方法，充分體現(xiàn)以資產為出發(fā)點、以威脅為觸發(fā)因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。風險評估目的風險評估的目的是全面、準確的了解組織機構的網(wǎng)絡安全現(xiàn)狀發(fā)，現(xiàn)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)。準確了解組織的網(wǎng)絡和系統(tǒng)安全現(xiàn)狀。具有以下目的：令找出目前的安全策略和實際

3、需求的差距令獲得目前信息系統(tǒng)的安全狀態(tài)令為制定組織的安全策略提供依據(jù)令提供組織網(wǎng)絡和系統(tǒng)的安全解決方案令為組織未來的安全建設和投入提供客觀數(shù)據(jù)令為組織安全體系建設提供詳實依據(jù)此外還可以通過選擇可靠的安全產品通過合理步驟制定適合具體情況的安全策略及其管理規(guī)范，為建立全面的安全防護層次提供了一套完整、規(guī)范的指導模型。目標現(xiàn)狀描述XXXXXXX省略XXXX、風險評估內容說明2.1信息系統(tǒng)風險包括下表所示內容，本方案按照國家二級標準將對XX公司信息風險進行評估。下面列出了根據(jù)弱點威脅嚴重程度與弱點發(fā)生的可能性的賦值表：威脅嚴重程度（資產價值）劃分表等級標識描述5很高一旦發(fā)生將產生非常嚴重的經(jīng)濟或社會影

4、響，如組織信譽嚴重破壞、嚴重影響組織的正常經(jīng)營，經(jīng)濟損失重大、社會影響惡劣。4高一旦發(fā)生將產生較大的經(jīng)濟或社會影響，在一定范圍內給組織的經(jīng)營和組織信譽造成損害。3中一旦發(fā)生會造成一定的經(jīng)濟、社會或生產經(jīng)營影響，但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內部，通過一定手段很快能解決。1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補。威脅可能性賦值表等級標識定義5很高出現(xiàn)的頻率很高（或三1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或三1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或

5、1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。對資產弱點進行賦值后，使用矩陣法對弱點進行風險等級劃分。風險評估中常用的矩陣表格如下：威脅可能性12345資產價值12461013235912163471115204581419225610162125然后根據(jù)資產價值和脆弱性嚴重程度值在矩陣中進行對照，確定威脅的風險等級風險等級劃分對照表風險值1-67-1213-1819-2324-25風險等級12345最后對資產威脅進行填表登記，獲得資產風險評估報告。資產威脅名

6、稱嚴重程度可能性風險等級資產1根據(jù)信息系統(tǒng)安全等級評測準則，將評估目標劃分為以下10個部分機房物理安全檢測網(wǎng)絡安全檢測主機系統(tǒng)安全應用系統(tǒng)安全數(shù)據(jù)安全安全管理機構安全管理制度人員安全管理系統(tǒng)建設管理系統(tǒng)運維管理在實際的評估操作中，由于出于工作效率的考慮，將評估目標進行整合實施考察，評估完成后再根據(jù)評估信息對劃分的10個部分進行核對，檢查達標的項目。2.3安全評估采用評估工具和人工方式進行評估，即根據(jù)定制的掃描策略實施遠程評估，根據(jù)評估工具的初步結果進行人工分析和本機控制臺分析。2. 風險評估項目描述備注1、網(wǎng)絡安全評估知識培訓網(wǎng)絡信息安全典型案例培訓目的是為了讓客戶對網(wǎng)絡安全有個清晰的認識，從

7、而在評估前就引起其重視，方便后面動作的開展。網(wǎng)絡安全評估流程培訓目的是為了客戶能理解我們的工作，從而獲得客戶的支持。2、資產評估收集信息完成資產信息登記表可以遠程操作3、威脅評估對物理安全進行評估參照物理安全規(guī)范表訪談、查看相關文檔，實地考察對人員安全管理進行評估參照人員安全管理規(guī)范表訪談人事部門相關人員4、弱點評估（完成網(wǎng)絡安全、應用安全、主機安全規(guī)范表）整體網(wǎng)絡安全信息Xscan-gui進行全網(wǎng)安全掃描，獲得全網(wǎng)的安全統(tǒng)計使用網(wǎng)絡版殺毒殺毒軟件對全網(wǎng)絡的操作系統(tǒng)漏洞情況進使用工具共享資源掃描整個網(wǎng)絡，同時演示給客戶其暴露在應用服務Nessus對服務器系統(tǒng)進行安全掃描使用自動化評估腳本對服務

8、器安全信息進行收集根據(jù)checklist對服務器進行本地安全檢查使用密碼強度測試工具請求客戶網(wǎng)管進行密碼強度測試網(wǎng)絡設備5、安全管理評估Nessus對網(wǎng)絡設備進行安全掃描使用密碼強度測試工具請求客戶網(wǎng)管進行密碼強度測試根據(jù)checklist對網(wǎng)絡設備進行本地安全檢查網(wǎng)絡拓撲結構分析分析冗余、負載均衡功能文數(shù)據(jù)安全調查數(shù)據(jù)安全規(guī)范表管理機構評估安全管理機構規(guī)范表需要訪談對方領導，需要先獲得領導的支持與配合安全管理制度安全管理制度規(guī)范表通過問卷調查的方式獲得部分內容、管理制度:檔審查系統(tǒng)建設管理系統(tǒng)建設管理規(guī)范表查看相關文檔、訪談網(wǎng)管系統(tǒng)運維管理系統(tǒng)運維管理規(guī)范表訪談部門領導、網(wǎng)管。實地考察6、滲

9、透測試滲透測試參考有關滲透測試方案簽署有關授權協(xié)議滲透測試報告XX系統(tǒng)滲透測試報告7、數(shù)據(jù)整理、風險評估報告以及加固建議資產風險資產風險評估報告信息系統(tǒng)安全整體網(wǎng)絡安全報告領導參閱版和技術人員參閱版加固建議安全加固報告、管理規(guī)建議范艮據(jù)checkli進行加固2. 2.5.1標準性原則依據(jù)國際國內標準開展工作是本次評估工作的指導原則，也是*信息技術有限公司提供信息安全服務的一貫原則。在提供的評估服務中，依據(jù)相關的國內和國際標準進行。這些標準包括：信息安全風險評估指南信息系統(tǒng)安全等級保護測評準則信息系統(tǒng)安全等級保護基本要求信息系統(tǒng)安全保護等級定級指南(試用版v3.2)計算機機房場地安全要求(GB9

10、361-88)計算機信息系統(tǒng)安全等級保護網(wǎng)絡技術要求(GA/T387-2002)計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術要求(GA/T388-2002)計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術要求(GA/T389-2002)計算機信息系統(tǒng)安全等級保護通用技術要求(GA/T390-2002)計算機信息系統(tǒng)安全等級保護管理要求(GA/T391-2002)計算機信息系統(tǒng)安全等級保護劃分準則(GB/T17859-1999)可控性原則人員可控性：將派遣數(shù)名經(jīng)驗豐富的工程師參加本項目的評估工作，有足夠的經(jīng)驗應付評估工程中的突發(fā)事件。工具可控性：在使用技術評測工具前都事先通告。并且在必要時可以應客戶要求，

11、介紹主要工具的使用方法，并進行一些實驗。完整性原則將按照提供的評估范圍進行全面的評估，從范圍上滿足的要求。實施的遠程評估將涉及全部外網(wǎng)可以訪問到的設備；實施的本地評估將全面覆蓋安全需求的各個點。最小影響原則*信息技術有限公司會從項目管理層面和工具使用層面，將評估工作對系統(tǒng)和網(wǎng)絡正常運行的可能影響降低到最低限度，不會對現(xiàn)有運行業(yè)務產生顯著影響。*信息技術有限公司和參加此次評估項目的所有項目組成員，都要與簽署相關的保密協(xié)議。人員訪談&調查問卷為了檢查XXXX安全現(xiàn)狀，主要在安全管理方面進行一個安全狀況的調查和摸底我們采取安全審計的方法，主要依據(jù)國家等級安全標準的要求,*晌XXXX提交了詳細的問題清

12、單，針對管理層、技術人員和普通員工分別進行面對面的訪談。通過人員訪談的形式大范圍地了解乂乂乂乂在信息安全管理方面的各項工作情況和安全現(xiàn)狀，作為安全弱點評估工作中的一個重要手段。過程描述此階段主要通過提出書面的問題審計清單安全工程師進行問題講解和XXXX相關人員共同回答，并詢問相關背景和相關證據(jù)的工作方式以此來了解乂乂乂乂的關于信息安全各方面的基本情況。此訪談包括的內容為：物理安全規(guī)范、人員安全規(guī)范、數(shù)據(jù)安全規(guī)范、安全管理制度規(guī)范、安全管理機構規(guī)范、系統(tǒng)建設管理規(guī)范、系統(tǒng)運維管理規(guī)范。人工評估&工具掃描此內容評估采用掃描工具和人工方式（仿黑客攻擊手段）進行評估，即根據(jù)定制的掃描策略實施遠程評估，

13、根據(jù)評估工具的初步結果進行人工分析和本機控制臺分析。項目內容專業(yè)安全評估軟件Nessusv3.英文版Xscan-guiv3.3中文版安全評估輔助工具密碼強度測試器Sql注入滲透測試工具評估自動化腳本阿D注入工具v2.3人工檢測模擬入侵滲透測試本地自動化檢測腳本評估全網(wǎng)安全統(tǒng)計報告出具安全加固報告工具掃描過程描述由于評估可實際操作的時間有限，我們對該網(wǎng)絡安全評估制定以下評估步驟：網(wǎng)關設備的安全掃描評估，其內容包括：用Nessus掃描網(wǎng)關設備，獲取設備的操作系統(tǒng)漏洞信息，開啟的服務信息以及開放的多余端口信息等，工具自動生成掃描報告；應用服務器的安全掃描評估，評測內容為：用nessus掃描各個服務器

14、，獲取操作系統(tǒng)的漏洞信息，開啟的服務信息和暴露出來的敏感信息等，工具自動生成掃描報告。整體網(wǎng)絡掃描探測，評測內容為：使用xscan-gui掃描網(wǎng)絡內的共享資源、并根據(jù)評估人員總結的密碼列表進行常用密碼猜解；如果時間充足將考慮進行共享資源、弱口令的利用演示，讓客戶了解該威脅的嚴重性。使用客戶自有的網(wǎng)絡版殺毒軟件控制中心漏洞掃描功能對用戶電腦進行漏洞檢測；（如果客戶未部署網(wǎng)絡版殺毒軟件，則不操作此項。）人工評估過程描述網(wǎng)關設備的人工評估，其內容包括：登錄設備分析router、firewall、switch等網(wǎng)關設備的配置；根據(jù)checklist對網(wǎng)絡設備進行手工檢測；對網(wǎng)絡設備密碼進行強度測試；應

15、用服務器的人工評估，其內容包括：使用自動化評估腳本進行信息收集；根據(jù)checklist對服務器進行手工檢測；對服務器密碼進行強度測試；對服務器日志進行審計，獲取服務器的安全狀況；（有一定難度，選做）整體網(wǎng)絡安全的人工評估，其內容包括：分析網(wǎng)絡拓撲圖是否具備一定的攻擊防范、重要設備冗余等信息；分析整體網(wǎng)絡的網(wǎng)段劃分、IP地址規(guī)劃是否合理；最后分析工具掃描、人工評估中收集到的所有數(shù)據(jù)，并做出加固建議報告：分析所有掃描日志及人工評估記錄，做出安全分析報告；針對出現(xiàn)的安全威脅做出加固建議報告。3.3在獲得客戶授權的情況下，對路由器、firewall、網(wǎng)站進行遠程模擬入侵，在指定時間，我公司工程師將完全

16、模擬外部入侵者的身份以一切可行的入侵方式，做到對網(wǎng)絡無傷害的攻擊，完全從黑客的角度發(fā)現(xiàn)受檢系統(tǒng)的所有安全漏洞或安全隱患；過程描述a.遠程模擬入侵將突破口暫定為公司對外網(wǎng)站、路由器設備、vpn設備等幾個出口。b.如能遠程從這三個的Internet出口找出可入侵的突破口，將繼續(xù)尋找其他隱患試圖向骨干網(wǎng)深入。c.找到突破口后，嘗試利用漏洞提權，獲取WEBshell。3.3.2安全弱點的探測方法a）自編程序：對某些產品或者系統(tǒng)，已經(jīng)發(fā)現(xiàn)了一些安全漏洞，但并不一定及時對這些漏洞的打上“補丁”程序。通過這些漏洞進入目標系統(tǒng)。?b）利用商業(yè)的軟件：例如nessus等網(wǎng)絡安全分析軟件，可以對目標進行掃描，尋找

17、規(guī)則庫中的安全漏洞。c）手工分析：結合*信息技術有限公司的網(wǎng)絡安全工程師的工作經(jīng)驗，對目標服務器進行手工提交的方式（SQL注入等方式）模擬入侵。當我們取得需要的信息以后。將建立一個類似攻擊對象的模擬環(huán)境，然后對模擬目標機進行一系列的入侵。如我公司工程師在入侵測試工作中成功突破Web服務器或其它相關主機并可接觸到應用程序段或數(shù)據(jù)庫段，我公司將立即以文檔或口頭方式告之項目負責人。并在次日與項目負責人會面并商討下一步入侵檢測工作計劃，如發(fā)生入侵檢測工作影響到網(wǎng)站及其它服務器正常服務情況。我公司工程師將在第一時間通知相關技術人員，并以最快的速度趕往現(xiàn)場協(xié)助相關技術人員處理相關問題。項目實施計劃針對網(wǎng)絡

18、安全評估項目，我們定制如下的工作流程：4.1工作項目描述備注用戶信息收集階段1網(wǎng)絡規(guī)模統(tǒng)計2用戶需求安全等級檢測辦公網(wǎng)絡安全隱患3服務器、網(wǎng)絡設備統(tǒng)計做詳細統(tǒng)計，確定評估范圍4其他信息制定實施方案階段1實施人員2參與人員工作分配情況3使用設備統(tǒng)計4與客戶研究確定實施方案X網(wǎng)絡安全評估實施方案5做出評估進度控制表6其他X網(wǎng)絡滲透測試實施方案安全評估方案實施階段1網(wǎng)絡設備評估根據(jù)checklist2應用服務器安全評估根據(jù)checklist3整體網(wǎng)絡狀況評估網(wǎng)絡拓撲分析、訪問控制、系統(tǒng)漏洞、抽查個人主機安全狀況檢測4用戶安全意識評估用戶安全知識調查5網(wǎng)絡管理規(guī)范評估查看文檔、訪談的方式進行管理規(guī)范評

19、估6入侵滲透根據(jù)XX滲透測試實施方案在外網(wǎng)進行7物理安全評估8其他評估文檔編寫階段1編寫整體網(wǎng)絡安全評估報告詳細列出安全風險技術人員參閱版2編寫入侵滲透報告3編寫評估問題總結報告4編寫網(wǎng)絡安全評估報告只對安全內容進行概括統(tǒng)計領導參閱版5編寫加固建議6其他報告客戶反饋問題匯總安全加固實施階段1制定加固方案網(wǎng)絡安全加固實施方案2確定加固范圍與客戶協(xié)商確定加固范圍及時間、實施人員3實施加固方案4實施過程問題總結項目驗收階段1安全加固驗收安全加固驗收報告2其他網(wǎng)絡安全建議書4.2提交評估報告:網(wǎng)絡安全評估報告（領導參閱版）整體網(wǎng)絡安全評估報告（技術人員參閱版）網(wǎng)絡安全加固實施方案滲透測試報告Nessu

20、sscanner3.2Nessus被認為是目前全世界最多安全技術人員使用的系統(tǒng)弱點掃描與分析軟件?？偣灿谐^75,000個機構使用Nessus作為掃描該機構電腦系統(tǒng)的軟件。1998年，Nessus的創(chuàng)辦人RenaudDeraison展開了一項名為“Nessus”的計劃，其計劃目的是希望能位因特網(wǎng)社群提供一個免費、威力強大、更新頻繁并簡易使用的遠端系統(tǒng)安全掃瞄程式。經(jīng)過了數(shù)年的發(fā)展，包括CERT與SANS等著名的網(wǎng)絡安全相關機構皆認同此工具軟件的功能與可用性。2002年時，Renaud與RonGula，JackHuffard創(chuàng)辦了一個名為TenableNetworkSecurity的機構。在第三

21、版的Nessus釋出之時，該機構收回了Nessus的版權與程式源代碼(原本為開放源代碼)，并注冊了成為該機構的網(wǎng)站。目前此機構位于美國馬里蘭州的哥倫比亞。Nessus的特色令提供完整的電腦弱點掃描服務，并隨時更新其弱點數(shù)據(jù)庫。令提供不同于傳統(tǒng)的弱點掃描軟件，Nessus可同時在本機或遠端上搖控，進行系統(tǒng)的弱點分析掃描。令其運作效能能隨著系統(tǒng)的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加內存大小)，其效率表現(xiàn)可因為豐富資源而提高。令可自行定義外嵌軟件(Plug-in)令完整支持SSL(SecureSocketLayer)。令自從1998年開發(fā)至今已諭十年

22、，故為一架構成熟的軟件。Xscan-guiv3.3中文版X-Scan是國內最著名的綜合掃描器之一，其界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內著名的民間入侵者組織“安全焦點”“風險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補漏洞建議等。輔助檢測工具密碼強度測試器Sql注入滲透測試工具評估自動化腳本阿D注入工具v2.3附錄二：*信息技術有限公司簡介*信息技術有限公司成立于2006年，作為網(wǎng)絡安全服務商，公司主要為客戶提供計算機安全風險評估、安全等級評估、安全檢查、安全培訓、網(wǎng)上信息安全審計、病毒防治和安全應急處理等服務，并依托自身強大的技術實力為客戶提供全面

23、的網(wǎng)絡安全解決方案和網(wǎng)絡安全服務。網(wǎng)絡安全服務理念根據(jù)客戶需求定制相應的安全解決方案是*信息技術有限公司的安全服務理念?！凹皶r準確完善”是*信息技術有限公司的服務作風。第三方安全服務提供商*信息技術有限公司主要對外提供如下的特色網(wǎng)絡安全服務：網(wǎng)絡安全顧問服務*信息技術有限公司作為專業(yè)的網(wǎng)絡安全服務提供商，在以往的網(wǎng)絡安全項目和日常工作中積累了大量的網(wǎng)絡安全項目規(guī)劃實施經(jīng)驗和專業(yè)的網(wǎng)絡安全知識，可以為客戶提供實用、可靠的網(wǎng)絡安全顧問服務，服務主要包括以下幾點：1.信息化建設或網(wǎng)絡安全建設項目前期的需求分析和安全規(guī)劃；日常運維過程中的安全技術指導和安全制度定制；新系統(tǒng)、新業(yè)務的安全性、可靠性分析；

24、網(wǎng)絡安全培訓；網(wǎng)絡安全項目驗收期安全評估服務網(wǎng)絡安全項目實施成功與否最好的判斷方法就是模擬攻擊者對網(wǎng)絡的內外層面做全面的模擬入侵。一輪全面的模擬入侵之后，立刻可以對網(wǎng)絡安全項目實施的結果做出明確判斷。*信息技術有限公司有資質和有能力承擔網(wǎng)絡安全項目驗收期安全評估服務。根據(jù)我們的評估結果，督促客戶的安全提供商不斷的修改安全系統(tǒng)。最終達到項目的安全需求和國家的網(wǎng)絡安全要求，可為客戶提供技術依據(jù)、劃分安全責任。安全評估安全評估是對現(xiàn)有系統(tǒng)整個或單個進行全方位的評估，包括桌面主機系統(tǒng)，服務器系統(tǒng)，應用服務系統(tǒng)以及網(wǎng)絡設備系統(tǒng)等。通過全方位的評估，以期發(fā)現(xiàn)安全建設中潛在的風險和威脅，最終完成評估報告；為網(wǎng)絡安全的建設提供現(xiàn)實依據(jù)，為安全保障工作提供技術指導。安全檢查和加固安全是一個計劃、建設、檢查的循環(huán)過程，沒有一層不變的威脅，也沒有一勞永逸的安全；要保證網(wǎng)絡的高度安全，須定期或不定期的對整個安全架構或單個應用系