安全檢測(cè)方案

深圳市****有限公司業(yè)務(wù)系統(tǒng)安全檢測(cè)方案二零零八年四月目錄TOC\o"1-5"\h\z\o"CurrentDocument"一.目的 3二.項(xiàng)目實(shí)施時(shí)間和地點(diǎn) 3\o"CurrentDocument"2.1項(xiàng)目實(shí)施時(shí)間 32.2項(xiàng)目實(shí)施地點(diǎn) 3\o"CurrentDocument"三.項(xiàng)目具體實(shí)施方法 4\o"CurrentDocument"3.1重點(diǎn)評(píng)估具體內(nèi)容 4\o"CurrentDocument"3.2評(píng)估項(xiàng)目總體流程 8\o"CurrentDocument"3.3具體流程舉例 9\o"CurrentDocument"五.雙方及設(shè)備廠商項(xiàng)目組成人員 10\o"CurrentDocument"六.項(xiàng)目實(shí)施質(zhì)量控制 10\o"CurrentDocument"6.1過程控制 10七.項(xiàng)目實(shí)施時(shí)間進(jìn)度表 11\o"CurrentDocument"八．項(xiàng)目管理文檔模版 12\o"CurrentDocument"8.1會(huì)議紀(jì)要模版 128.2工程開工通知單模版 138.3事故記錄表模版 14\o"CurrentDocument"8.4工程實(shí)施記錄表 15\o"CurrentDocument"九.項(xiàng)目文檔管理要求 16十一.工程驗(yàn)收 17\o"CurrentDocument"11.1正式驗(yàn)收要項(xiàng) 17\o"CurrentDocument"11.2驗(yàn)收流程 18一. 目的為保障客戶網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)等安全穩(wěn)定的運(yùn)行，****對(duì)客戶業(yè)務(wù)系統(tǒng)及相關(guān)支撐系統(tǒng)進(jìn)行全面的安全檢測(cè)。安全檢測(cè)分兩次進(jìn)行，第一次安排在六月中旬，第二次安排在七月上旬。在每次安全檢測(cè)完畢由****提供《業(yè)務(wù)系統(tǒng)安全檢測(cè)報(bào)告》和《業(yè)務(wù)系統(tǒng)安全漏洞修復(fù)方案》，并指導(dǎo)客戶相關(guān)人員對(duì)業(yè)務(wù)系統(tǒng)及相關(guān)支撐系統(tǒng)進(jìn)行安全修復(fù)或整改。安全檢測(cè)是對(duì)客戶業(yè)務(wù)系統(tǒng)及相關(guān)支撐系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析和評(píng)估，主要檢測(cè)有以下幾方面：1、網(wǎng)絡(luò)規(guī)劃與布局的安全性評(píng)估；2、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性與穩(wěn)定性評(píng)估；3、邊界防御設(shè)施與接入安全性評(píng)估；4、服務(wù)器主機(jī)系統(tǒng)安全性與穩(wěn)定性評(píng)估；5．?dāng)?shù)據(jù)庫(kù)安全性評(píng)估；6．業(yè)務(wù)系統(tǒng)安全性評(píng)估。第一次安全檢測(cè)是對(duì)客戶業(yè)務(wù)系統(tǒng)及相關(guān)支撐系統(tǒng)進(jìn)行全面的安全檢測(cè)和安全漏洞修復(fù)。第二次安全檢測(cè)是在第一次的基礎(chǔ)上再次對(duì)對(duì)客戶業(yè)務(wù)系統(tǒng)及相關(guān)支撐系統(tǒng)進(jìn)行安全檢測(cè)，找出沒有修復(fù)的安全漏洞和還存在的安全漏洞。二. 項(xiàng)目實(shí)施時(shí)間和地點(diǎn)2.1 項(xiàng)目實(shí)施時(shí)間2.2 項(xiàng)目實(shí)施地點(diǎn)三.項(xiàng)目具體實(shí)施方法安全評(píng)估指的是對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)分析和評(píng)估。選取在業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)服務(wù)、主機(jī)操作系統(tǒng)平臺(tái)、網(wǎng)絡(luò)規(guī)劃與布局、數(shù)據(jù)庫(kù)等方面作為安全評(píng)估的對(duì)象。風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全重要的一環(huán)，在這里主要是以安全檢測(cè)、掃描和風(fēng)險(xiǎn)評(píng)估技術(shù)來實(shí)現(xiàn)，以預(yù)先發(fā)現(xiàn)信息系統(tǒng)中存在的安全隱患，并及時(shí)解決問題。評(píng)估能使網(wǎng)絡(luò)系統(tǒng)具有預(yù)先識(shí)別和防范風(fēng)險(xiǎn)的功能。風(fēng)險(xiǎn)評(píng)估系統(tǒng)用于評(píng)估和管理網(wǎng)絡(luò)、防火墻、WEB服務(wù)器、應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)存在的安全風(fēng)險(xiǎn)和漏洞，企業(yè)安全管理員可以根據(jù)安全評(píng)估報(bào)告優(yōu)化主機(jī)和網(wǎng)絡(luò)設(shè)備的安全策略配置，進(jìn)一步提高安全性。重點(diǎn)評(píng)估具體內(nèi)容1、網(wǎng)絡(luò)規(guī)劃與布局的安全性評(píng)估?網(wǎng)絡(luò)拓?fù)湟?guī)劃分析?網(wǎng)絡(luò)流量分析?網(wǎng)絡(luò)邏輯結(jié)構(gòu)分析■子網(wǎng)/VLAN的合理劃分分析■域和工作組劃分安全分析■數(shù)據(jù)廣播域分離分析■IP地址規(guī)劃分析■共享資源架設(shè)效率分析■網(wǎng)絡(luò)訪問控制分析■VPN系統(tǒng)安全分析2、網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全性與穩(wěn)定性評(píng)估?路由器安全配置?交換機(jī)安全配置撥號(hào)服務(wù)器安全配置防火墻安全配置設(shè)備口令審計(jì)設(shè)備開放服務(wù)安全審計(jì)網(wǎng)管軟件安全性審計(jì)設(shè)備固件或OS安全分析設(shè)備訪問控制列表分析設(shè)備穩(wěn)定性測(cè)試分析（各種DoS拒絕服務(wù)測(cè)試）3、 服務(wù)器主機(jī)系統(tǒng)安全性與穩(wěn)定性評(píng)估服務(wù)器主機(jī)操作系統(tǒng)內(nèi)核、版本及補(bǔ)丁審計(jì)服務(wù)器主機(jī)操作系統(tǒng)通用/默認(rèn)應(yīng)用程序安全性審計(jì)服務(wù)器主機(jī)后門檢測(cè)服務(wù)器主機(jī)漏洞檢測(cè)服務(wù)器主機(jī)安全配置審計(jì)服務(wù)器主機(jī)用戶權(quán)限審計(jì)服務(wù)器主機(jī)口令審計(jì)服務(wù)器主機(jī)文件系統(tǒng)安全性審計(jì)4、 數(shù)據(jù)庫(kù)系統(tǒng)安全性評(píng)估Oracle/MSSQL數(shù)據(jù)庫(kù)系統(tǒng)用戶權(quán)限審計(jì)Oracle/MSSQL數(shù)據(jù)庫(kù)系統(tǒng)口令審計(jì)Oracle/MSSQL數(shù)據(jù)庫(kù)系統(tǒng)數(shù)據(jù)同步或熱備份機(jī)制可靠性審計(jì)Oracle/MSSQL數(shù)據(jù)庫(kù)系統(tǒng)存儲(chǔ)進(jìn)程安全機(jī)制審計(jì)Oracle/MSSQL數(shù)據(jù)庫(kù)日志審計(jì)分析Oracle/MSSQL數(shù)據(jù)庫(kù)系統(tǒng)災(zāi)難處理及預(yù)防安全機(jī)制審計(jì)Oracle/MSSQL數(shù)據(jù)庫(kù)系統(tǒng)與前臺(tái)接口安全訪問控制機(jī)制審計(jì)5、 邊界防御設(shè)施與接入安全性評(píng)估生產(chǎn)系統(tǒng)跨域訪問需求分析防火墻安全策略審計(jì)（外網(wǎng)發(fā)起）生產(chǎn)網(wǎng)遠(yuǎn)程入侵整體測(cè)試接入節(jié)點(diǎn)主機(jī)安全性測(cè)試分支機(jī)構(gòu)網(wǎng)絡(luò)邊界安全性模擬攻擊測(cè)試6、 、業(yè)務(wù)系統(tǒng)安全性評(píng)估業(yè)務(wù)系統(tǒng)支撐軟件安全評(píng)估，如Apache、JBoss?業(yè)務(wù)系統(tǒng)重要部分代碼檢測(cè)業(yè)務(wù)系統(tǒng)口令審計(jì)業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸保密性檢測(cè)業(yè)務(wù)系統(tǒng)權(quán)限劃分業(yè)務(wù)系統(tǒng)數(shù)據(jù)備份安全性業(yè)務(wù)系統(tǒng)數(shù)據(jù)同步安全性安全評(píng)估主要通過以下二種方式進(jìn)行：主要方式為工具掃描和人工分析。下面列表介紹CNNS在平臺(tái)層次實(shí)施過程中用到的部分工具和手段：項(xiàng)目?jī)?nèi)容引用的專業(yè)安全檢測(cè)軟件ISSInternetScannerCNNS風(fēng)險(xiǎn)評(píng)估系統(tǒng)NmapCNNS風(fēng)險(xiǎn)管理系統(tǒng)NAISniffereEyeIrisSniffer引用的人工服務(wù)項(xiàng)目＞手工網(wǎng)絡(luò)檢測(cè)＞遠(yuǎn)程滲透測(cè)試＞應(yīng)用軟件、腳本代碼脆弱性分析與攻擊測(cè)試＞數(shù)據(jù)庫(kù)脆弱性手工分析＞弱加密機(jī)制分析＞高強(qiáng)度口令猜解(引用60萬口令字字典)＞管理脆弱性問題分析＞通信安全性、網(wǎng)絡(luò)監(jiān)聽分析＞整合測(cè)試＞報(bào)告輸出與整理＞安全統(tǒng)計(jì)分析＞出具安全性評(píng)估報(bào)告結(jié)果人工分析安全檢測(cè)的內(nèi)容涉及：遠(yuǎn)程越權(quán)存取系統(tǒng)后門及木馬程序拒絕服務(wù)(DenialofService)CGI(通用網(wǎng)關(guān)接口)或ASP、JSP和其它動(dòng)態(tài)網(wǎng)頁程序的安全性防火墻(FireWall)設(shè)置文件傳輸服務(wù)安全性密碼安全性操作系統(tǒng)內(nèi)核的安全性網(wǎng)絡(luò)協(xié)議和配置的安全性用戶管理的安全性日志和審計(jì)系統(tǒng)的健全性遠(yuǎn)程維護(hù)程序和管理策略的安全性系統(tǒng)敏感信息的保密性網(wǎng)絡(luò)路由設(shè)備的安全性代理服務(wù)和網(wǎng)關(guān)的安全配置網(wǎng)絡(luò)結(jié)構(gòu)的合理性和安全性合作伙伴系統(tǒng)的可信任度已有安全產(chǎn)品和設(shè)備的有效性3.2評(píng)估項(xiàng)目總體流程3.3具體流程舉例以平臺(tái)層次的安全評(píng)估工作為例，下面列表介紹CNNS在實(shí)施過程中用到的具體流程：雙方項(xiàng)目組成人員表5.1甲方人員爾*0jaws郵箱KM表5.2乙方人員>O再g郵箱項(xiàng)目實(shí)施質(zhì)量控制過程控制為了保證服務(wù)質(zhì)量，****將對(duì)安全服務(wù)的過程進(jìn)行嚴(yán)格的控制，具體工程過程如下：****的項(xiàng)目經(jīng)理在每次的任務(wù)實(shí)施前2天提交具體的每日工作詳細(xì)實(shí)施計(jì)劃表，表格如下：安全服務(wù)項(xiàng)目實(shí)施計(jì)劃表

在每次的安全服務(wù)實(shí)施前，召開30分鐘的實(shí)施準(zhǔn)備會(huì)議，總結(jié)前一次的工作和討論當(dāng)次的工作注意事項(xiàng)；每天項(xiàng)目實(shí)施完成填寫工程實(shí)施記錄表。項(xiàng)目實(shí)施時(shí)間進(jìn)度表工程實(shí)施時(shí)間安排是該項(xiàng)工程實(shí)施的時(shí)間進(jìn)度計(jì)劃，是工程控制的基本依據(jù)之一。網(wǎng)絡(luò)服務(wù)安全項(xiàng)目工期是六月中旬~八月上旬。評(píng)估實(shí)施內(nèi)容、時(shí)間進(jìn)度表標(biāo)識(shí)號(hào)任務(wù)名稱子任務(wù)開始時(shí)間備注1安全檢測(cè)評(píng)估協(xié)調(diào)會(huì)議六月中旬與甲方工程師配合，就這次評(píng)估進(jìn)行討

論。2遠(yuǎn)程評(píng)估在實(shí)施過程中注意保證網(wǎng)絡(luò)正常動(dòng)作。4本地評(píng)估在實(shí)施過程中注意保證網(wǎng)絡(luò)正常工作。5安全修復(fù)方案討論討論修復(fù)方案6安全修復(fù)與甲方工程師一起修復(fù)7運(yùn)行觀察運(yùn)行觀察8評(píng)估協(xié)調(diào)會(huì)議與甲方工程師配合，就這次評(píng)估進(jìn)行討論。9遠(yuǎn)程評(píng)估在實(shí)施過程中注意保證絡(luò)正常動(dòng)作。10安全檢測(cè)本地評(píng)估七月上旬在實(shí)施過程中注意保證網(wǎng)絡(luò)正常工作。11安全修復(fù)方案討論討論修復(fù)方案12不合格項(xiàng)的整改與甲方工程師一起整改13驗(yàn)收提交安全檢測(cè)驗(yàn)收?qǐng)?bào)告提交工作總結(jié)及評(píng)估驗(yàn)收?qǐng)?bào)告八．項(xiàng)目管理文檔模版會(huì)議紀(jì)要模版會(huì)議主題時(shí) 間地點(diǎn)參加人員

會(huì)議紀(jì)要會(huì)議紀(jì)要雙方確認(rèn)人：安絡(luò)： 甲方負(fù)責(zé)人：8.2工程開工通知單模版開工通知單收件人：項(xiàng)目負(fù)責(zé)人發(fā)件人：****項(xiàng)目主管抄送：項(xiàng)目組成員日期：年月日項(xiàng)目負(fù)責(zé)人：根據(jù)貴公司和****有限公司雙方簽定的合同的要求，決定從年月日開始此工程的實(shí)施，具體內(nèi)容請(qǐng)參見《項(xiàng)目實(shí)施計(jì)劃》****項(xiàng)目負(fù)責(zé)人簽字：客戶項(xiàng)目負(fù)責(zé)人簽字：2006年月日

8.4工程實(shí)施記錄表工程實(shí)施記錄表編號(hào)客戶名稱：服務(wù)時(shí)間： 年月日客戶公司地址：服務(wù)地點(diǎn)：客戶聯(lián)系人姓名：客戶聯(lián)系電話：客戶聯(lián)系email地址：工程內(nèi)容：具體工作進(jìn)程：工作結(jié)果及下步工作安排:安絡(luò)工程師簽名:以下欄由客戶填寫:為了提高安絡(luò)公司的服務(wù)質(zhì)量和服務(wù)水平，請(qǐng)?zhí)岢瞿鷮氋F的意見：您對(duì)我們的服務(wù)的滿意度：1）有待改進(jìn) 2）—般 3）滿意您認(rèn)為我們應(yīng)在哪些方面提高服務(wù)水平：1）服務(wù)態(tài)度 2）技術(shù)水平3）工作流程 4）與客戶協(xié)調(diào)謝謝您的寶貴意見，請(qǐng)您簽名:九.項(xiàng)目文檔管理要求1）文檔分類規(guī)范：****對(duì)此次項(xiàng)目的所有工程文檔分為工程管理類和工程技術(shù)類兩大類文檔，主要有編號(hào)工程管理類文檔名工程技術(shù)類文檔名1項(xiàng)目實(shí)施計(jì)劃主機(jī)系統(tǒng)檢測(cè)報(bào)告2項(xiàng)目協(xié)調(diào)會(huì)議記錄3項(xiàng)目開工通知單4項(xiàng)目階段工作會(huì)議記錄5項(xiàng)目總結(jié)工作會(huì)議記錄評(píng)估檢測(cè)文檔2）文檔編號(hào)規(guī)范：此次項(xiàng)目的文檔編號(hào)采用如下格式CNNS-PGGL-0801-001說明：GL指管理類；0801指年月；001指文檔順序號(hào)；CNNS-PG-S-0802-001說明：JS指技術(shù)類；0801指年月；001指文檔順序號(hào)；文檔編號(hào)由項(xiàng)目經(jīng)理統(tǒng)一分發(fā)。3）文檔歸檔要求：此次項(xiàng)目的所有文檔由項(xiàng)目主管統(tǒng)一歸檔，****的項(xiàng)目參與工程師的所有的電子文檔