信息安全咨詢?cè)u(píng)估方案建議書(shū)

XX信息安全詢問(wèn)評(píng)估效勞方案建議書(shū)名目\l“_TOC_250019“— 需求分析 3\l“_TOC_250018“背景分析 3\l“_TOC_250017“工程目標(biāo) 4\l“_TOC_250016“需求內(nèi)容分析 4\l“_TOC_250015“技術(shù)風(fēng)險(xiǎn)評(píng)估需求分析 4\l“_TOC_250014“治理風(fēng)險(xiǎn)評(píng)估需求分析 5\l“_TOC_250013“時(shí)間進(jìn)度需求 6\l“_TOC_250012“考核要求 6\l“_TOC_250011“效勞支撐需求 6\l“_TOC_250010“二 工程實(shí)施方案 6\l“_TOC_250009“技術(shù)安全風(fēng)險(xiǎn)評(píng)估 6\l“_TOC_250008“資產(chǎn)評(píng)估 6\l“_TOC_250007“操作系統(tǒng)平臺(tái)安全評(píng)估 8\l“_TOC_250006“網(wǎng)絡(luò)安全評(píng)估 10\l“_TOC_250005“滲透測(cè)試 12\l“_TOC_250004“治理風(fēng)險(xiǎn)評(píng)估 16\l“_TOC_250003“安全治理制度審計(jì) 16\l“_TOC_250002“業(yè)務(wù)流程管控安全評(píng)估 17\l“_TOC_250001“評(píng)估工具 18\l“_TOC_250000“形成報(bào)告 19—需求分析背景分析XX的信息化建設(shè)正在朝著集中化和云化的方向進(jìn)展，通過(guò)云計(jì)算技術(shù)的應(yīng)下扎實(shí)的根底。從原來(lái)分散式的信息孤島到現(xiàn)在的云化集中部署，XX的信息化環(huán)境正在發(fā)下幾個(gè)方面：醫(yī)院和分支機(jī)構(gòu)，直接和間接的損失不行同日而語(yǔ)。效率來(lái)降低本錢(qián)。這也意味著基于傳統(tǒng)IT架構(gòu)的信息安全技術(shù)和產(chǎn)品往往不能再為云端系統(tǒng)和數(shù)據(jù)供給足夠的防護(hù)力氣。現(xiàn)與現(xiàn)有集中模式的對(duì)接，降低因治理不當(dāng)導(dǎo)致的信息安全風(fēng)險(xiǎn)。工程目標(biāo)依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果制訂相應(yīng)的風(fēng)險(xiǎn)管控方案。具體建設(shè)內(nèi)容包括：技術(shù)風(fēng)險(xiǎn)評(píng)估：賬號(hào)資產(chǎn)等進(jìn)展安全風(fēng)險(xiǎn)評(píng)估；對(duì)核心業(yè)務(wù)系統(tǒng)進(jìn)展WEB安全、數(shù)據(jù)安全、業(yè)務(wù)規(guī)律安全風(fēng)險(xiǎn)評(píng)估；對(duì)正在建設(shè)的云計(jì)算根底平臺(tái)架構(gòu)及承載的操作系統(tǒng)進(jìn)展安全風(fēng)險(xiǎn)評(píng)估；滲透模擬黑客可能使用的攻擊技術(shù)和漏洞覺(jué)察技術(shù)，對(duì)業(yè)務(wù)系統(tǒng)進(jìn)展授用的入侵點(diǎn)以及現(xiàn)網(wǎng)存在的安全隱患。治理風(fēng)險(xiǎn)評(píng)估制度進(jìn)展疏理和安全風(fēng)險(xiǎn)評(píng)估；對(duì)業(yè)務(wù)管把握度和流程進(jìn)展安全風(fēng)險(xiǎn)評(píng)估，承受閱讀流程資料和相關(guān)人檢查方法是否健全；信息安全風(fēng)險(xiǎn)管控方案解決方案等。需求內(nèi)容分析技術(shù)風(fēng)險(xiǎn)評(píng)估需求分析本工程對(duì)技術(shù)風(fēng)險(xiǎn)評(píng)估的內(nèi)容要求主要是：1、 資產(chǎn)評(píng)估號(hào)等信息資產(chǎn)，其評(píng)估步驟如下：護(hù)和治理現(xiàn)狀，并提交資產(chǎn)清單；資產(chǎn)治理，更有針對(duì)性的進(jìn)展資產(chǎn)保護(hù)，最具策略性的進(jìn)展的資產(chǎn)投入。2、操作系統(tǒng)平臺(tái)安全評(píng)估系統(tǒng)主機(jī)的漏洞和安全隱患。3、 網(wǎng)絡(luò)拓?fù)?、網(wǎng)絡(luò)設(shè)備安全評(píng)估析存在的網(wǎng)絡(luò)安全隱患。4、 應(yīng)用系統(tǒng)安全評(píng)估〔滲透測(cè)試〕：通過(guò)模擬黑客可能使用的攻擊技術(shù)和漏洞覺(jué)察技術(shù)，對(duì)XX集團(tuán)授權(quán)滲透測(cè)以及現(xiàn)網(wǎng)存在的安全隱患，并指導(dǎo)進(jìn)展安全加固。治理風(fēng)險(xiǎn)評(píng)估需求分析1、安全治理制度審計(jì)：XX2、業(yè)務(wù)管控安全評(píng)估：方法是否健全，從而改進(jìn)內(nèi)把握度和業(yè)務(wù)流程的合理性和數(shù)據(jù)流的安全性。時(shí)間進(jìn)度需求果?？己艘骕X集團(tuán)將對(duì)工程的交付成果和執(zhí)行過(guò)程中的質(zhì)量進(jìn)展考核，考核結(jié)果將作為最終結(jié)算的依據(jù)。考核方法將由XX集團(tuán)和工程效勞供給方共同協(xié)商制定。效勞支撐需求該工程全部工作。的溝通方式。*8小時(shí)/7天*24小時(shí)/周保持通話暢通。交付成果需求并依據(jù)實(shí)際工作內(nèi)容準(zhǔn)時(shí)提交相應(yīng)工作成果及報(bào)告。二工程實(shí)施方案2.1技術(shù)安全風(fēng)險(xiǎn)評(píng)估資產(chǎn)評(píng)估工程名稱(chēng)資產(chǎn)識(shí)別簡(jiǎn)要描述采集資產(chǎn)信息，進(jìn)展資產(chǎn)分類(lèi)，劃分資產(chǎn)重要級(jí)別；工程名稱(chēng)資產(chǎn)識(shí)別簡(jiǎn)要描述采集資產(chǎn)信息，進(jìn)展資產(chǎn)分類(lèi)，劃分資產(chǎn)重要級(jí)別；

采集資產(chǎn)信息，進(jìn)展資產(chǎn)分類(lèi)，劃分資產(chǎn)重要級(jí)別；進(jìn)一步明確評(píng)估的范圍和重點(diǎn)；采集資產(chǎn)信息，獵取資產(chǎn)清單；主要內(nèi)容 進(jìn)展資產(chǎn)分類(lèi)劃分；確定資產(chǎn)的重要級(jí)別；填表式調(diào)查信息、軟件等。實(shí)現(xiàn)方式 溝通批閱已有的針對(duì)資產(chǎn)的安全治理規(guī)章、制度；〔系統(tǒng)治理員〕等進(jìn)展溝通。1-2人工作環(huán)境，2Win2023PC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和工作條件資料協(xié)作工作結(jié)果資產(chǎn)類(lèi)別、資產(chǎn)重要級(jí)別；依據(jù)現(xiàn)場(chǎng)狀況，由XX集團(tuán)供給現(xiàn)有資產(chǎn)清單，并由全體評(píng)估人員

XX相關(guān)技術(shù)和治理人員的協(xié)作下進(jìn)展資產(chǎn)分類(lèi)調(diào)查。工程名稱(chēng)風(fēng)險(xiǎn)評(píng)估工程名稱(chēng)風(fēng)險(xiǎn)評(píng)估簡(jiǎn)要描述評(píng)估資產(chǎn)的安全等級(jí)和應(yīng)賜予的安全保護(hù)等級(jí)達(dá)成目標(biāo)主要內(nèi)容評(píng)估資產(chǎn)的安全等級(jí)；評(píng)估資產(chǎn)應(yīng)賜予的安全保護(hù)等級(jí)；確定資產(chǎn)的安全等級(jí)；對(duì)安全保障進(jìn)展等級(jí)分類(lèi)；填表式調(diào)查：實(shí)現(xiàn)方式信息、軟件等。溝通

批閱已有的針對(duì)資產(chǎn)的安全治理規(guī)章、制度；〔系統(tǒng)治理員〕等進(jìn)展溝通。資料協(xié)作資產(chǎn)安全級(jí)別；工作結(jié)果 資產(chǎn)應(yīng)賜予的安全保障級(jí)別；資產(chǎn)安全保障建議

協(xié)作下進(jìn)展。操作系統(tǒng)平臺(tái)安全評(píng)估工具掃描方法，檢測(cè)主機(jī)操作系統(tǒng)存在的安全隱患和漏洞。1、主要檢測(cè)內(nèi)容：效勞器主機(jī)操作系統(tǒng)內(nèi)核、版本及補(bǔ)丁審計(jì)效勞器主機(jī)操作系統(tǒng)通用/默認(rèn)應(yīng)用程序安全性審計(jì)效勞器主機(jī)后門(mén)檢測(cè)效勞器主機(jī)漏洞檢測(cè)效勞器主機(jī)安全配置審計(jì)效勞器主機(jī)用戶權(quán)限審計(jì)效勞器主機(jī)口令審計(jì)效勞器主機(jī)文件系統(tǒng)安全性審計(jì)操作系統(tǒng)內(nèi)核的安全性文件傳輸效勞安全性2、掃描策略括：高強(qiáng)度掃描中強(qiáng)度掃描低強(qiáng)度掃描依據(jù)掃描的漏洞類(lèi)別，默認(rèn)的掃描策略模板包括：NetBIOS漏洞掃描Web&CGI漏洞掃描主機(jī)信息掃描帳戶掃描端口掃描數(shù)據(jù)庫(kù)掃描進(jìn)展分類(lèi)，承受定制的安全的掃描策略。人工分析息：賬號(hào)；資源；系統(tǒng)；網(wǎng)絡(luò)；審核、日志和監(jiān)控；安全策略配置狀況、文件系統(tǒng)狀況、日志配置和紀(jì)錄狀況等。術(shù)包括：審計(jì)評(píng)估工具：開(kāi)發(fā)了自己的審計(jì)評(píng)估腳本工具，通過(guò)執(zhí)行該工具，就可以獵取系統(tǒng)的運(yùn)行信息。常見(jiàn)后門(mén)分析工具：通過(guò)使用專(zhuān)業(yè)工具，檢查系統(tǒng)是否存在木馬后門(mén)深層挖掘技術(shù)：通過(guò)安全專(zhuān)家的深層挖掘，檢查系統(tǒng)是否被安裝了Rootkit等很難被覺(jué)察的后門(mén)程序評(píng)估目標(biāo)評(píng)估內(nèi)容補(bǔ)丁治理檢查系統(tǒng)、應(yīng)用的版本狀況、補(bǔ)丁安裝狀況評(píng)估目標(biāo)評(píng)估內(nèi)容補(bǔ)丁治理檢查系統(tǒng)、應(yīng)用的版本狀況、補(bǔ)丁安裝狀況檢查系統(tǒng)、應(yīng)用的效勞運(yùn)行配置狀況，觀看是否遵循最小最小效勞原則效勞原則最大安全性原檢查系統(tǒng)是否進(jìn)展了安全配置或者是否承受了恰當(dāng)?shù)陌踩珓t防護(hù)機(jī)制。檢查系統(tǒng)或應(yīng)用中賬號(hào)的配置狀況，是否存在默認(rèn)賬號(hào)或帳戶安全治理者不必要賬號(hào)口令安全治理檢查系統(tǒng)的賬號(hào)口令配置狀況，是否有賬號(hào)是弱口令。檢查系統(tǒng)或應(yīng)用的日志配置狀況，是否有嚴(yán)格的日志配置日志安全治理或者日志效勞器。入侵治理檢查系統(tǒng)的安全漏洞狀況，以及是否被入侵等。中存在的缺陷，制定相應(yīng)的解決方法。網(wǎng)絡(luò)安全評(píng)估網(wǎng)絡(luò)拓?fù)浞治龉こ堂Q(chēng)網(wǎng)絡(luò)拓?fù)浞治鲆约皩?duì)供給相應(yīng)的調(diào)整建議。工程名稱(chēng)網(wǎng)絡(luò)拓?fù)浞治龊?jiǎn)要描述的安全需求查找相應(yīng)的安全脆弱性，最終提交詳盡的報(bào)告和相應(yīng)的建議。達(dá)成目標(biāo)通過(guò)網(wǎng)絡(luò)構(gòu)造的風(fēng)險(xiǎn)評(píng)估，可以知悉當(dāng)前網(wǎng)絡(luò)構(gòu)造的安全脆弱性調(diào)查安全需求分析網(wǎng)絡(luò)構(gòu)造當(dāng)前網(wǎng)絡(luò)構(gòu)造的安全脆弱性

可能存在的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)構(gòu)造中需要改進(jìn)的方面網(wǎng)絡(luò)安全域評(píng)估分析信息收集調(diào)查分析溝通現(xiàn)場(chǎng)查看1-2人工作環(huán)境，2臺(tái)WindowsPC，電源和網(wǎng)絡(luò)環(huán)境，客戶人員和資料協(xié)作網(wǎng)絡(luò)構(gòu)造分析結(jié)果人員網(wǎng)絡(luò)設(shè)備安全評(píng)估〔路由、交換、防火墻等〕的安全評(píng)估，是對(duì)網(wǎng)絡(luò)設(shè)備的功能、設(shè)置、治理、環(huán)境、弱點(diǎn)、漏洞等進(jìn)展全面的評(píng)估。1、評(píng)估條件評(píng)估前需要明確以下內(nèi)容：網(wǎng)絡(luò)設(shè)備配置；網(wǎng)絡(luò)設(shè)備及四周設(shè)備在網(wǎng)絡(luò)上的名字和IP地址；網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)連接狀況〔IP和鄰近設(shè)備；2、評(píng)估內(nèi)容查看網(wǎng)絡(luò)設(shè)備的配置、環(huán)境、和運(yùn)行狀況。至少包括以下幾個(gè)方面：網(wǎng)絡(luò)設(shè)備的操作系統(tǒng)及版本；檢查網(wǎng)絡(luò)設(shè)備的規(guī)章檢查；從事；3、評(píng)估結(jié)果供給策略變更建議供給日志治理建議供給審計(jì)效勞滲透測(cè)試測(cè)試流程制定實(shí)施方案客戶確認(rèn)信息收集分析內(nèi)部打算制定客戶確認(rèn)制定實(shí)施方案客戶確認(rèn)信息收集分析內(nèi)部打算制定客戶確認(rèn)取得權(quán)限、提升權(quán)限生成報(bào)告滲透性測(cè)試步驟與流程圖1、內(nèi)部打算制定、二次確認(rèn)XX集團(tuán)進(jìn)展確認(rèn)。2、取得權(quán)限、提升權(quán)限滲透性測(cè)試過(guò)程。測(cè)試內(nèi)容和方法1、測(cè)試內(nèi)容類(lèi)威逼、風(fēng)險(xiǎn)或漏洞的具體改進(jìn)或加固措施。2、測(cè)試方法操作，和具體的操作人員習(xí)慣治理比較大。XX的滲透性測(cè)試過(guò)程將依據(jù)以下滲透性測(cè)試技術(shù)流程圖進(jìn)展。實(shí)施打算確認(rèn)實(shí)施打算確認(rèn)信息收集、分析存在遠(yuǎn)程把握弱點(diǎn)是把握系統(tǒng)否否存在遠(yuǎn)程一般弱點(diǎn)是信息收集、分析否獵取本地一般權(quán)限是本地信息收集、分析否本地權(quán)限提升、控制系統(tǒng)是信息收集、分析生成報(bào)告滲透性測(cè)試技術(shù)流程圖局部：操作、響應(yīng)和結(jié)果分析。網(wǎng)絡(luò)信息搜集常運(yùn)行造成地不利影響。PingSweep、DNSSweep、DNSzonetransfer、操作系〔〔如，NMAPNESSUSNSLOOKUP、IE等〕也可以作為信息收集的有效工具。端口掃描TCP/UDP次的滲透供給依據(jù)。遠(yuǎn)程溢出遠(yuǎn)程溢出攻擊。攻擊成功，那么通過(guò)這臺(tái)主機(jī)對(duì)防火墻內(nèi)的主機(jī)進(jìn)展攻擊就易如反掌?？诹畈聹y(cè)個(gè)簡(jiǎn)潔的暴力攻擊程序和一個(gè)比較完善的字典，就可以猜測(cè)口令。對(duì)密碼的猜測(cè)。本地溢出密碼。也就是說(shuō)由于導(dǎo)致本地溢出的一個(gè)關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實(shí)踐證明，在經(jīng)過(guò)前期的口令猜測(cè)階段獵取的一般賬號(hào)登錄系統(tǒng)之權(quán)限。腳本測(cè)試腳本測(cè)試特地針對(duì)Web效勞器進(jìn)展。依據(jù)最的技術(shù)統(tǒng)計(jì)，腳本安全弱點(diǎn)為當(dāng)前Web系統(tǒng)尤其存在動(dòng)態(tài)內(nèi)容的Web系統(tǒng)存在的主要比較嚴(yán)峻的安全弱點(diǎn)取得系統(tǒng)的把握權(quán)限。因此對(duì)于含有動(dòng)態(tài)頁(yè)面的Web系統(tǒng)，腳本測(cè)試將是必不可少的一個(gè)環(huán)節(jié)。風(fēng)險(xiǎn)把握措施XXAGIS網(wǎng)絡(luò)和系統(tǒng)造成不必要的影響，建議本次滲透性測(cè)試實(shí)行以下方式進(jìn)展風(fēng)險(xiǎn)把握。1、工具選擇因工具選擇不當(dāng)造成的將病毒和木馬植入的狀況發(fā)生。2、時(shí)間選擇議在晚上業(yè)務(wù)不繁忙時(shí)進(jìn)展。3、策略選擇中不使用含有拒絕效勞的測(cè)試策略。4、有效溝通的修補(bǔ)建議等等。治理風(fēng)險(xiǎn)評(píng)估工程名稱(chēng)安全治理制度審計(jì)簡(jiǎn)要描述通過(guò)對(duì)信息安全治理策略的分析，覺(jué)察制度缺陷。工程名稱(chēng)安全治理制度審計(jì)簡(jiǎn)要描述通過(guò)對(duì)信息安全治理策略的分析，覺(jué)察制度缺陷。達(dá)成目標(biāo) 施的安全治理流程、制度和策略；洞并提出整改意見(jiàn)；息、現(xiàn)有的安全措施等狀況，形成安全現(xiàn)狀報(bào)告；主要內(nèi)容 收集安全治理制度，形成安全策略清單；分析安全治理制度缺陷；分析報(bào)告提交整改意見(jiàn)；收集向各業(yè)務(wù)單元收集信息安全治理制度并提交風(fēng)險(xiǎn)評(píng)估小組。實(shí)現(xiàn)方式 評(píng)審分析安全治理規(guī)章、制度；〔系統(tǒng)治理員〕等進(jìn)展溝通。工作條件

2-3，2(WINDOWS絡(luò)環(huán)境，客戶人員和資料協(xié)作安全治理策略缺陷分析報(bào)告和整改意見(jiàn)；XX工程名稱(chēng)業(yè)務(wù)流程管控安全評(píng)估簡(jiǎn)要描述工程名稱(chēng)業(yè)務(wù)流程管控安全評(píng)估簡(jiǎn)要描述理，覺(jué)察流程缺陷，保障數(shù)據(jù)流安全。達(dá)成目標(biāo) 所實(shí)施的安全治理流程、制度和策略，洞并提出整改意見(jiàn)；調(diào)研了解XX集團(tuán)業(yè)務(wù)系統(tǒng)內(nèi)把握度解業(yè)務(wù)流程、把握點(diǎn)、接口等；主要內(nèi)容 收集整理流程管控和檢查制度；分析業(yè)務(wù)流程管把握度缺陷；分析報(bào)告提交業(yè)務(wù)流程管控整改意見(jiàn)；收集實(shí)現(xiàn)方式

向各業(yè)務(wù)單元收集業(yè)務(wù)流程管控資料并提交風(fēng)險(xiǎn)評(píng)估小組。訪談與高級(jí)主管、業(yè)務(wù)人員、安全治理員等進(jìn)展溝通。工作條件

2-3，2(WINDOWS絡(luò)環(huán)境，客戶人員和資料協(xié)作安全治理策略缺陷分析報(bào)告和整改意見(jiàn)；XX評(píng)估工具關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)效勞配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其他含有攻擊隱患的可疑