網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方案

網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估方案一、網(wǎng)絡(luò)安全評(píng)估服務(wù)背景安全評(píng)估概念安全評(píng)估的目的目標(biāo)現(xiàn)狀描述二、風(fēng)險(xiǎn)評(píng)估內(nèi)容說明風(fēng)險(xiǎn)等級(jí)分類評(píng)估目標(biāo)分類評(píng)估手段評(píng)估步驟評(píng)估檢測(cè)原則三、評(píng)估操作人員訪談&調(diào)查問卷人工評(píng)估&工具掃描模擬入侵四、項(xiàng)目實(shí)施計(jì)劃項(xiàng)目實(shí)施項(xiàng)目文檔的提交附錄一：使用的工具簡單介紹Nessusscanner3.2英文版Xscan-guiv3.3中文版輔助檢測(cè)工具附錄二：*****信息技術(shù)有限公司簡介網(wǎng)絡(luò)安全服務(wù)理念網(wǎng)絡(luò)安全服務(wù)特點(diǎn)工具掃描過程描述由于評(píng)估可實(shí)際操作的時(shí)間有限，我們對(duì)該網(wǎng)絡(luò)安全評(píng)估制定以下評(píng)估步驟：網(wǎng)關(guān)設(shè)備的安全掃描評(píng)估，其內(nèi)容包括：用Nessus掃描網(wǎng)關(guān)設(shè)備，獲取設(shè)備的操作系統(tǒng)漏洞信息，開啟的服務(wù)信息以及開放的多余端口信息等，工具自動(dòng)生成掃描報(bào)告；應(yīng)用服務(wù)器的安全掃描評(píng)估，評(píng)測(cè)內(nèi)容為：用nessus掃描各個(gè)服務(wù)器，獲取操作系統(tǒng)的漏洞信息，開啟的服務(wù)信息和暴露出來的敏感信息等，工具自動(dòng)生成掃描報(bào)告。整體網(wǎng)絡(luò)掃描探測(cè)，評(píng)測(cè)內(nèi)容為：使用xscan-gui掃描網(wǎng)絡(luò)內(nèi)的共享資源、并根據(jù)評(píng)估人員總結(jié)的密碼列表進(jìn)行常用密碼猜解；如果時(shí)間充足將考慮進(jìn)行共享資源、弱口令的利用演示，讓客戶了解該威脅的嚴(yán)重性。使用客戶自有的網(wǎng)絡(luò)版殺毒軟件控制中心漏洞掃描功能對(duì)用戶電腦進(jìn)行漏洞檢測(cè)；（如果客戶未部署網(wǎng)絡(luò)版殺毒軟件，則不操作此項(xiàng)。）人工評(píng)估過程描述網(wǎng)關(guān)設(shè)備的人工評(píng)估，其內(nèi)容包括：登錄設(shè)備分析router、firewall>switch等網(wǎng)關(guān)設(shè)備的配置；根據(jù)checklist對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行手工檢測(cè)；對(duì)網(wǎng)絡(luò)設(shè)備密碼進(jìn)行強(qiáng)度測(cè)試；應(yīng)用服務(wù)器的人工評(píng)估，其內(nèi)容包括：使用自動(dòng)化評(píng)估腳本進(jìn)行信息收集；根據(jù)checklist對(duì)服務(wù)器進(jìn)行手工檢測(cè)；對(duì)服務(wù)器密碼進(jìn)行強(qiáng)度測(cè)試；對(duì)服務(wù)器日志進(jìn)行審計(jì)，獲取服務(wù)器的安全狀況；（有一定難度，選做）整體網(wǎng)絡(luò)安全的人工評(píng)估，其內(nèi)容包括：分析網(wǎng)絡(luò)拓?fù)鋱D是否具備一定的攻擊防范、重要設(shè)備冗余等信息；分析整體網(wǎng)絡(luò)的網(wǎng)段劃分、IP地址規(guī)劃是否合理；最后分析工具掃描、人工評(píng)估中收集到的所有數(shù)據(jù)，并做出加固建議報(bào)告:?分析所有掃描日志及人工評(píng)估記錄，做出安全分析報(bào)告;?針對(duì)出現(xiàn)的安全威脅做出加固建議報(bào)告。3.3模擬入侵在獲得客戶授權(quán)的情況下，對(duì)路由器、firewall、網(wǎng)站進(jìn)行遠(yuǎn)程模擬入侵，在指定時(shí)間，我公司工程師將完全模擬外部入侵者的身份以一切可行的入侵方式，做到對(duì)網(wǎng)絡(luò)無傷害的攻擊，完全從黑客的角度發(fā)現(xiàn)受檢系統(tǒng)的所有安全漏洞或安全隱患；過程描述a.遠(yuǎn)程模擬入侵將突破口暫定為公司對(duì)外網(wǎng)站、路由器設(shè)備、vpn設(shè)備等幾個(gè)出口。b.如能遠(yuǎn)程從這三個(gè)的Internet出口找出可入侵的突破口，將繼續(xù)尋找其他隱患試圖向骨干網(wǎng)深入。c.找到突破口后，嘗試?yán)寐┒刺釞?quán)，獲取WEBshell。安全弱點(diǎn)的探測(cè)方法a）自編程序：對(duì)某些產(chǎn)品或者系統(tǒng)，已經(jīng)發(fā)現(xiàn)了一些安全漏洞，但并不一定及時(shí)對(duì)這些漏洞的打上“補(bǔ)丁程序。通過這些漏洞進(jìn)入目標(biāo)系統(tǒng)。？b）利用商業(yè)的軟件：例如nessus等網(wǎng)絡(luò)安全分析軟件，可以對(duì)目標(biāo)進(jìn)行掃描，尋找規(guī)則庫中的安全漏洞。c）手工分析：結(jié)合*****信息技術(shù)有限公司的網(wǎng)絡(luò)安全工程師的工作經(jīng)驗(yàn)，對(duì)目標(biāo)服務(wù)器進(jìn)行手工提交的方式（SQL注入等方式）模擬入侵。當(dāng)我們?nèi)〉眯枰男畔⒁院?。將建立一個(gè)類似攻擊對(duì)象的模擬環(huán)境，然后對(duì)模擬目標(biāo)機(jī)進(jìn)行一系列的入侵。如我公司工程師在入侵測(cè)試工作中成功突破Web服務(wù)器或其它相關(guān)主機(jī)并可接觸到應(yīng)用程序段或數(shù)據(jù)庫段，我公司將立即以文檔或口頭方式告之項(xiàng)目負(fù)責(zé)人。并在次日與項(xiàng)目負(fù)責(zé)人會(huì)面并商討下一步入侵檢測(cè)工作計(jì)劃，如發(fā)生入侵檢測(cè)工作影響到網(wǎng)站及其它服務(wù)器正常服務(wù)情況。我公司工程師將在第一時(shí)間通知相關(guān)技術(shù)人員，并以最快的速度趕往現(xiàn)場(chǎng)協(xié)助相關(guān)技術(shù)人員處理相關(guān)問題。四、項(xiàng)目實(shí)施計(jì)劃針對(duì)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目，我們定制如下的工作流程:4.1項(xiàng)目實(shí)施工作項(xiàng)目用戶信息收集階段2用戶需求安全等級(jí)3服務(wù)器、網(wǎng)絡(luò)設(shè)備統(tǒng)計(jì)做詳細(xì)統(tǒng)計(jì)，確定評(píng)估范圍4其他信息安全評(píng)估方案實(shí)施階段1網(wǎng)絡(luò)設(shè)備評(píng)估根據(jù)《XX滲透測(cè)試實(shí)施方案》只對(duì)安全內(nèi)容進(jìn)行概括統(tǒng)計(jì)安全加固實(shí)施階段1制定加固方案《網(wǎng)絡(luò)安全加固實(shí)施方案》2確定加固范圍3實(shí)施加固方案4實(shí)施過程問題總結(jié)項(xiàng)目驗(yàn)收階段1安全加固驗(yàn)收《安全加固驗(yàn)收?qǐng)?bào)告》2其他《網(wǎng)絡(luò)安全建議書》4.2項(xiàng)目文檔的提交提交評(píng)估報(bào)告：網(wǎng)絡(luò)安全評(píng)估報(bào)告（領(lǐng)導(dǎo)參閱版）整體網(wǎng)絡(luò)安全評(píng)估報(bào)告（技術(shù)人員參閱版）網(wǎng)絡(luò)安全加固實(shí)施方案滲透測(cè)試報(bào)告附錄一：使用的工具簡單介紹Nessusscanner3.2英文版Nessus被認(rèn)為是目前全世界最多安全技術(shù)人員使用的系統(tǒng)弱點(diǎn)掃描與分析軟件?？偣灿谐^75,000個(gè)機(jī)構(gòu)使用Nessus作為掃描該機(jī)構(gòu)電腦系統(tǒng)的軟件。1998年,Nessus的創(chuàng)辦人RenaudDeraison展開了一項(xiàng)名為"Nessus”的計(jì)劃，其計(jì)劃目的是希望能位因特網(wǎng)社群提供一個(gè)免費(fèi)、威力強(qiáng)大、更新頻繁并簡易使用的遠(yuǎn)端系統(tǒng)安全掃瞄程式。經(jīng)過了數(shù)年的發(fā)展，包括CERT與SANS等著名的網(wǎng)絡(luò)安全相關(guān)機(jī)構(gòu)皆認(rèn)同此工具軟件的功能與可用性。2002年時(shí)，Renaud與RonGula,JackHuffard創(chuàng)辦了一個(gè)名為TenableNetworkSecurity的機(jī)構(gòu)。在第三版的Nessus釋出之時(shí)，該機(jī)構(gòu)收回了Nessus的版權(quán)與程式源代碼(原本為開放源代碼)，并注冊(cè)了成為該機(jī)構(gòu)的網(wǎng)站。目前此機(jī)構(gòu)位于美國馬里蘭州的哥倫比亞。Nessus的特色令提供完整的電腦弱點(diǎn)掃描服務(wù)，并隨時(shí)更新其弱點(diǎn)數(shù)據(jù)庫。令提供不同于傳統(tǒng)的弱點(diǎn)掃描軟件,Nessus可同時(shí)在本機(jī)或遠(yuǎn)端上搖控，進(jìn)行系統(tǒng)的弱點(diǎn)分析掃描。今其運(yùn)作效能能隨著系統(tǒng)的資源而自行調(diào)整。如果將主機(jī)加入更多的資源(例如加快CPU速度或增加內(nèi)存大小)，其效率表現(xiàn)可因?yàn)樨S富資源而提高。?？勺孕卸x外嵌軟件(Plug-in)令完整支持SSL(SecureSocketLayer)0令自從1998年開發(fā)至今已諭十年，故為一架構(gòu)成熟的軟件。Xscan-guiv3.3中文版X-Scan是國內(nèi)最著名的綜合掃描器之一，其界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內(nèi)著名的民間入侵者組織“安全焦點(diǎn)”“風(fēng)險(xiǎn)等級(jí)”評(píng)估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測(cè)試、修補(bǔ)漏洞建議等。輔助檢測(cè)工具密碼強(qiáng)度測(cè)試器Sql注入滲透測(cè)試工具評(píng)估自動(dòng)化腳本阿D注入工具v2.3附錄二：*****信息技術(shù)有限公司簡介*****信息技術(shù)有限公司成立于2006年，作為網(wǎng)絡(luò)安全服務(wù)商，公司主要為客戶提供計(jì)算機(jī)安全風(fēng)險(xiǎn)評(píng)估、安全等級(jí)評(píng)估、安全檢查、安全培訓(xùn)、網(wǎng)上信息安全審計(jì)、病毒防治和安全應(yīng)急處理等服務(wù)，并依托自身強(qiáng)大的技術(shù)實(shí)力為客戶提供全面的網(wǎng)絡(luò)安全解決方案和網(wǎng)絡(luò)安全服務(wù)。網(wǎng)絡(luò)安全服務(wù)理念根據(jù)客戶需求定制相應(yīng)的安全解決方案是*****信息技術(shù)有限公司的安全服務(wù)理念?！奔皶r(shí)準(zhǔn)確完善”是*****信息技術(shù)有限公司的服務(wù)作風(fēng)。網(wǎng)絡(luò)安全服務(wù)特點(diǎn)第三方安全服務(wù)提供商*****信息技術(shù)有限公司主要對(duì)外提供如下的特色網(wǎng)絡(luò)安全服務(wù)：A網(wǎng)絡(luò)安全顧問服務(wù)*****信息技術(shù)有限公司作為專業(yè)的網(wǎng)絡(luò)安全服務(wù)提供商，在以往的網(wǎng)絡(luò)安全項(xiàng)目和日常工作中積累了大量的網(wǎng)絡(luò)安全項(xiàng)目規(guī)劃實(shí)施經(jīng)驗(yàn)和專業(yè)的網(wǎng)絡(luò)安全知識(shí)，可以為客戶提供實(shí)用、可靠的網(wǎng)絡(luò)安全顧問服務(wù)，服務(wù)主要包括以下幾點(diǎn)：.信息化建設(shè)或網(wǎng)絡(luò)安全建設(shè)項(xiàng)目前期的需求分析和安全規(guī)劃；.日常運(yùn)維過程中的安全技術(shù)指導(dǎo)和安全制度定制；.新系統(tǒng)、新業(yè)務(wù)的安全性、可靠性分析；.網(wǎng)絡(luò)安全培訓(xùn)；A網(wǎng)絡(luò)安全項(xiàng)目驗(yàn)收期安全評(píng)估服務(wù)網(wǎng)絡(luò)安全項(xiàng)目實(shí)施成功與否最好的判斷方法就是模擬攻擊者對(duì)網(wǎng)絡(luò)的內(nèi)外層面做全面的模擬入侵。一輪全面的模擬入侵之后，立刻可以對(duì)網(wǎng)絡(luò)安全項(xiàng)目實(shí)施的結(jié)果做出明確判斷。*****信息技術(shù)有限公司有資質(zhì)和有能力承擔(dān)網(wǎng)絡(luò)安全項(xiàng)目驗(yàn)收期安全評(píng)估服務(wù)。根據(jù)我們的評(píng)估結(jié)果，督促客戶的安全提供商不斷的修改安全系統(tǒng)。最終達(dá)到項(xiàng)目的安全需求和國家的網(wǎng)絡(luò)安全要求，可為客戶提供技術(shù)依據(jù)、劃分安全責(zé)任。A安全評(píng)估安全評(píng)估是對(duì)現(xiàn)有系統(tǒng)整個(gè)或單個(gè)進(jìn)行全方位的評(píng)估，包括桌面主機(jī)系統(tǒng)，服務(wù)器系統(tǒng)，應(yīng)用服務(wù)系統(tǒng)以及網(wǎng)絡(luò)設(shè)備系統(tǒng)等。通過全方位的評(píng)估，以期發(fā)現(xiàn)安全建設(shè)中潛在的風(fēng)險(xiǎn)和威肋最終完成評(píng)估報(bào)告；為網(wǎng)絡(luò)安全的建設(shè)提供現(xiàn)實(shí)依據(jù)，為安全保障工作提供技術(shù)指導(dǎo)。安全檢查和加固安全是一個(gè)計(jì)劃、建設(shè)、檢查的循環(huán)過程，沒有一層不變的威脅，也沒有一勞永逸的安全；要保證網(wǎng)絡(luò)的高度安全，須定期或不定期的對(duì)整個(gè)安全架構(gòu)或單個(gè)應(yīng)用系統(tǒng)進(jìn)行檢查，及時(shí)發(fā)現(xiàn)存在的漏洞，進(jìn)而對(duì)漏洞進(jìn)行修補(bǔ)和安全加固。*****信息技術(shù)有限公司可以為客戶提供全面的安全檢查，包括以下內(nèi)容：WINDOWS2000/2003/2008SERVER系統(tǒng)檢查和加固LINUX/UNIXSERVER系統(tǒng)檢查和加固WINDOWS桌面系統(tǒng)檢查和加固應(yīng)用服務(wù)檢查和加固，包括MSSQL,MYSQL,IIS,APACHE等網(wǎng)絡(luò)設(shè)備檢查和加固，包括路由器，交換機(jī)，防火墻等網(wǎng)關(guān)設(shè)備網(wǎng)絡(luò)系統(tǒng)日常安全維護(hù)、應(yīng)急處理服務(wù)保證網(wǎng)絡(luò)的安全是一項(xiàng)長期的工作，并不能單獨(dú)依靠配備安全設(shè)備而完全解決安全問題，必須在整個(gè)系統(tǒng)的運(yùn)維過程中考慮到網(wǎng)絡(luò)安全的維護(hù)。由于安全技術(shù)本身的專業(yè)性和網(wǎng)絡(luò)提供商基于產(chǎn)品售后服務(wù)的針對(duì)性，使得很多客戶在日常維護(hù)中無法實(shí)現(xiàn)網(wǎng)絡(luò)安全的長期維護(hù)機(jī)制。*****信息技術(shù)有限公司作為專業(yè)的網(wǎng)絡(luò)安全服務(wù)提供商，可以為客戶提供全面的網(wǎng)絡(luò)安全運(yùn)維服務(wù)，服務(wù)內(nèi)容包括：.日常網(wǎng)絡(luò)安全評(píng)估；.日常網(wǎng)絡(luò)安全修復(fù)；.日常病毒防治；.網(wǎng)上信息安全審計(jì)預(yù)警；.7X24小時(shí)應(yīng)急響應(yīng)；*****信息技術(shù)有限公司提供的日常安全運(yùn)維服務(wù)主要以人工手段為主,配合各個(gè)安全廠商提供的安全評(píng)估工具和自身的安全服務(wù)經(jīng)驗(yàn)，可以在日常運(yùn)維過程中督促、協(xié)助系統(tǒng)集成商和網(wǎng)絡(luò)安全提供商不斷完善系統(tǒng)安全。A網(wǎng)絡(luò)案件技術(shù)取證和追蹤服務(wù)目前網(wǎng)絡(luò)犯罪已經(jīng)成為一個(gè)社會(huì)性問題，網(wǎng)上誹謗、網(wǎng)上詐騙、煽動(dòng)、黑客攻擊、破壞等犯罪行為逐年上升。預(yù)防、破獲網(wǎng)絡(luò)犯罪不單單是個(gè)技術(shù)問題，還必須配合行政手段。當(dāng)網(wǎng)絡(luò)犯罪發(fā)生時(shí)，如果無法追蹤到肇事源頭，那么將永遠(yuǎn)無法解決此犯罪行為帶來的影響。完整的安全解決方案提供商*****信息技術(shù)有限公司作為專業(yè)的第三方安全服務(wù)提供商，可以為各個(gè)行業(yè)用戶提供解決方案。針對(duì)不同客戶的不同需求，我們可以提供符合客戶要求的解決方案。從服務(wù)到產(chǎn)品，從評(píng)估到加固，從咨詢顧問到培訓(xùn)輔導(dǎo)，中、小型企業(yè)，IT企業(yè)非IT企業(yè)都可以在*****信息技術(shù)有限公司找到適合自己的安全解決方案。一、網(wǎng)絡(luò)安全評(píng)估服務(wù)背景1.1風(fēng)險(xiǎn)評(píng)估概念信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過程。當(dāng)風(fēng)險(xiǎn)評(píng)估應(yīng)用于IT領(lǐng)域時(shí)，就是對(duì)信息安全的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估從早期簡單的漏洞掃描、人工審計(jì)、滲透性測(cè)試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用國際標(biāo)準(zhǔn)的BS7799、ISO17799、國家標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)、以威脅為觸發(fā)因素、以技術(shù)/管理/運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型。L2風(fēng)險(xiǎn)評(píng)估目的風(fēng)險(xiǎn)評(píng)估的目的是全面、準(zhǔn)確的了解組織機(jī)構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)。準(zhǔn)確了解組織的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀。具有以下目的：今找出目前的安全策略和實(shí)際需求的差距令獲得目前信息系統(tǒng)的安全狀態(tài)今為制定組織的安全策略提供依據(jù)＜提供組織網(wǎng)絡(luò)和系統(tǒng)的安全解決方案令為組織未來的安全建設(shè)和投入提供客觀數(shù)據(jù)令為組織安全體系建設(shè)提供詳實(shí)依據(jù)此外還可以通過選擇可靠的安全產(chǎn)品通過合理步驟制定適合具體情況的安全策略及其管理規(guī)范，為建立全面的安全防護(hù)層次提供了一套完整、規(guī)范的指導(dǎo)模型。1.3目標(biāo)現(xiàn)狀描述XXXXXXX省略XXXX二、風(fēng)險(xiǎn)評(píng)估內(nèi)容說明2.1風(fēng)險(xiǎn)等級(jí)分類信息系統(tǒng)風(fēng)險(xiǎn)包括下表所示內(nèi)容，本方案按照國家二級(jí)標(biāo)準(zhǔn)將對(duì)XX公司信息風(fēng)險(xiǎn)進(jìn)行評(píng)估。下面列出了根據(jù)弱點(diǎn)威脅嚴(yán)重程度與弱點(diǎn)發(fā)生的可能性的賦值表：威脅嚴(yán)重程度（資產(chǎn)價(jià)值）劃分表5很高旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣。4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營和組織信譽(yù)造成損害。3中一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營影響，但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補(bǔ)。威脅可能性賦值表定義很高出現(xiàn)的頻率很高（或21次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)高出現(xiàn)的頻率較高（或21次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以中出現(xiàn)的頻率中等（或〉1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。對(duì)資產(chǎn)弱點(diǎn)進(jìn)行賦值后，使用矩陣法對(duì)弱點(diǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)劃分。風(fēng)險(xiǎn)評(píng)估中常用的矩陣表格如下:威脅可能性1234512101323121634111520451419225610162125然后根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定威脅的風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)等級(jí)劃分對(duì)照表1-67-1213-1819-2324-25風(fēng)險(xiǎn)等級(jí)12345最后對(duì)資產(chǎn)威脅進(jìn)行填表登記，獲得資產(chǎn)風(fēng)險(xiǎn)評(píng)估報(bào)告。資產(chǎn)32.2評(píng)估目標(biāo)分類根據(jù)《信息系統(tǒng)安全等級(jí)評(píng)測(cè)準(zhǔn)則》，將評(píng)估目標(biāo)劃分為以下10個(gè)部分1）機(jī)房物理安全檢測(cè)2）網(wǎng)絡(luò)安全檢測(cè)3）主機(jī)系統(tǒng)安全4）應(yīng)用系統(tǒng)安全5）數(shù)據(jù)安全6）安全管理機(jī)構(gòu)7）安全管理制度8）人員安全管理9）系統(tǒng)建設(shè)管理10）系統(tǒng)運(yùn)維管理在實(shí)際的評(píng)估操作中，由于出于工作效率的考慮，將評(píng)估目標(biāo)進(jìn)行整合實(shí)施考察,評(píng)估完成后再根據(jù)評(píng)估信息對(duì)劃分的10個(gè)部分進(jìn)行核對(duì)，檢查達(dá)標(biāo)的項(xiàng)目。2.3評(píng)估手段安全評(píng)估采用評(píng)估工具和人工方式進(jìn)行評(píng)估，即根據(jù)定制的掃描策略實(shí)施遠(yuǎn)程評(píng)估，根據(jù)評(píng)估工具的初步結(jié)果進(jìn)行人工分析和本機(jī)控制臺(tái)分析。2.4評(píng)估步驟風(fēng)險(xiǎn)評(píng)估項(xiàng)目1、網(wǎng)絡(luò)安全評(píng)估知識(shí)培訓(xùn)網(wǎng)絡(luò)信息安全典型案例目的是為了讓客戶對(duì)網(wǎng)絡(luò)安全有個(gè)清晰的認(rèn)識(shí)，從而在評(píng)估前就引起其重視，方便網(wǎng)絡(luò)安全評(píng)估流程培訓(xùn)目的是為了客戶能理解我們的工作，從而獲得客戶的支持。3、威脅評(píng)估對(duì)物理安全進(jìn)行評(píng)估訪談、查看相關(guān)文檔，實(shí)地考察估訪談人事部門相關(guān)人員整體網(wǎng)絡(luò)安全信息Xscan-gui進(jìn)行全網(wǎng)安全掃描，獲得全網(wǎng)的安全統(tǒng)計(jì)使用網(wǎng)絡(luò)版殺毒殺毒軟件對(duì)全網(wǎng)絡(luò)的操作系統(tǒng)漏洞情況進(jìn)行掃描統(tǒng)計(jì)使用工具共享資源掃描整個(gè)網(wǎng)絡(luò)，同時(shí)演示給客戶其暴露在內(nèi)網(wǎng)中的敏感信息Nessus對(duì)服務(wù)器系統(tǒng)進(jìn)行安全掃描使用自動(dòng)化評(píng)估腳本對(duì)服務(wù)器安全信息進(jìn)行收集根據(jù)checklist對(duì)服務(wù)器進(jìn)行本地安全檢查使用密碼強(qiáng)度測(cè)試工具請(qǐng)求客戶網(wǎng)管進(jìn)行密碼強(qiáng)度測(cè)試Nessus對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描使用密碼強(qiáng)度測(cè)試工具請(qǐng)求客戶網(wǎng)管進(jìn)行密碼強(qiáng)度測(cè)試根據(jù)checklist對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行本地安全檢查需要訪談對(duì)方領(lǐng)導(dǎo)，需要先獲得領(lǐng)《安全管理制度規(guī)范表》通過問卷調(diào)查的方式獲得部分內(nèi)容、管理制度文檔審查訪談部門領(lǐng)導(dǎo)、網(wǎng)管。實(shí)地考察《XX系統(tǒng)滲透測(cè)試報(bào)告》資產(chǎn)風(fēng)險(xiǎn)《資產(chǎn)風(fēng)險(xiǎn)評(píng)估報(bào)告》信息系統(tǒng)安全《整體網(wǎng)絡(luò)安全報(bào)告》領(lǐng)導(dǎo)參閱版和技術(shù)人員參閱版加固建議《安全加固報(bào)告》、《管理規(guī)范建議》根據(jù)checklis進(jìn)行加固2.5評(píng)估檢測(cè)原則251標(biāo)準(zhǔn)性原則依據(jù)國際國內(nèi)標(biāo)準(zhǔn)開展工作是本次評(píng)估工作的指導(dǎo)原則，也是*****信息技術(shù)有限公司提供信息安全服務(wù)的一貫原則。在提供的評(píng)估服務(wù)中，依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)進(jìn)行。這些標(biāo)準(zhǔn)包括：《信息安全風(fēng)險(xiǎn)評(píng)估指南》《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)準(zhǔn)則》《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》(試用版v3.2)《計(jì)算機(jī)機(jī)房場(chǎng)地安全要求》(GB9361-88)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》(GA/T387-2002)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》(GA/T388-2002)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》(GA/T389-2002)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》(GA/T390-2002)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》(GA/T391-2002)《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》(GB/T17859-1999)可控性原則人員可控性：將派遣數(shù)名經(jīng)驗(yàn)豐富的工程師參加本項(xiàng)目的評(píng)估工作，有足夠的經(jīng)驗(yàn)應(yīng)付評(píng)估工程中的突發(fā)