信息安全風(fēng)險評估方案模板[共65頁]

《信息安全風(fēng)險評估方案模板[共65頁]》由會員分享，可在線閱讀，更多相關(guān)《信息安全風(fēng)險評估方案模板[共65頁]（64頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、_某單位某單位 信息安全風(fēng)險評估投標(biāo)書信息安全風(fēng)險評估投標(biāo)書技術(shù)部分_北京啟明星辰信息安全技術(shù)有限公司北京啟明星辰信息安全技術(shù)有限公司注釋：本文檔所包含的信息在未事先得到北京啟明星辰信息技術(shù)股份有限公司書面同意之前，本文檔全部或部分內(nèi)容不得用于其他任何用途或交與第三方。目目 錄錄第第 1 章項目概述章項目概述.51.1.項目背景.51.2.項目目標(biāo).51.3.項目范圍.61.4.項目內(nèi)容.6第第 2 章章項目需求理解項目需求理解.7第第 3 章章項目方案設(shè)計項目方案設(shè)計.73.1.設(shè)計目標(biāo).73.2.設(shè)計原則.83.3.設(shè)計依據(jù).83.3.1.政策依據(jù).83.3.2.標(biāo)準(zhǔn)依據(jù).93.4.方法模

2、型.103.4.1.風(fēng)險關(guān)系模型.103.4.2.風(fēng)險分析方法模型.113.5.工具方法.123.5.1.風(fēng)險評估采用方法.123.5.2.風(fēng)險評估使用工具.13第第 4 章章風(fēng)險評估實施流程風(fēng)險評估實施流程.144.1.階段 1：項目啟動階段.144.1.1.階段目標(biāo).144.1.2.階段步驟.154.1.3.階段輸出.154.2.階段 2：資產(chǎn)評估階段.164.2.1.階段目標(biāo).1624.2.2.階段步驟.164.2.3.階段方法.164.2.4.階段輸出.174.3.階段 3：威脅評估.174.3.1.階段目標(biāo).174.3.2.階段步驟.174.3.3.階段方法.184.3.4.階段輸出

3、.194.4.階段 4：脆弱性評估.194.4.1.階段目標(biāo).194.4.2.實施步驟.194.4.3.已有安全措施識別.384.4.4.階段輸出.394.5.階段 5：風(fēng)險綜合分析.394.5.1.階段目標(biāo).394.5.2.階段步驟.394.5.3.階段輸出.424.6.階段 6：風(fēng)險處置計劃.424.7.階段 7：風(fēng)險評估驗收.434.7.1.成果交付.434.7.2.成果驗收.44第第 5 章章應(yīng)急預(yù)案修訂與演練應(yīng)急預(yù)案修訂與演練.445.1.應(yīng)急預(yù)案修訂.445.1.1.修訂方法.445.1.2.修訂程序.445.1.3.修訂要點.455.1.4.階段輸出.455.2.應(yīng)急預(yù)案演練.4

4、535.2.1.應(yīng)急演練目標(biāo)：.465.2.2.應(yīng)急演練計劃.465.3.項目驗收.49第第 6 章章項目管理項目管理.496.1.組織管理.506.2.范圍管理.516.2.1.范圍定義.516.2.2.范圍變更控制.516.3.進度管理.526.4.風(fēng)險管理.536.5.質(zhì)量管理.536.5.1.項目實施負(fù)責(zé)人質(zhì)量控制.536.5.2.項目經(jīng)理質(zhì)量控制.536.5.3.質(zhì)量管理質(zhì)量控制.536.6.溝通管理.546.6.1.協(xié)調(diào)溝通機制基本準(zhǔn)則.546.6.2.溝通計劃.546.7.會議管理.556.8.文檔管理.556.9.保密管理.56第第 7 章章人員安排人員安排.567.1.職責(zé)和

5、分工.567.2.人員簡歷.57第第 8 章章項目計劃項目計劃.688.1.總體計劃.688.2.項目計劃時間表.704第第 9 章章項目收益項目收益.70第第 10 章章成果交付一覽表成果交付一覽表.70第第 11 章章成功案例成功案例.7111.1.重點案例列表.7111.2.重點案例簡介.7211.2.1.金融案例.7211.2.2.電信案例.7311.2.3.能源案例.7311.2.4.政府案例.74第第 12 章章公司優(yōu)勢公司優(yōu)勢.7412.1.公司簡介.7412.2.公司資質(zhì).755第第 1 章章 項目概述項目概述1.1.項目背景項目背景中國石油天然氣股份有限公司管道分公司（簡稱某

6、單位）隸屬于中國石油天然氣股份有限公司，主要負(fù)責(zé)長輸油氣管道的運營管理、建設(shè)和科研。公司下轄大慶、長春等 26 個輸油（氣）單位以及管道工程項目經(jīng)理部、管道科技中心等單位，所屬單位和人員分布在全國 17 個?。ㄗ灾螀^(qū)、直轄市） 。公司擁有集油氣管道輸送技術(shù)研發(fā)、服務(wù)、培訓(xùn)、檢測和監(jiān)測為一體的專業(yè)科研機構(gòu)，科研力量雄厚，科研設(shè)施完備，擁有管道核心技術(shù)研發(fā)能力。在油氣儲運工藝、管道完整性管理、管道化學(xué)添加劑、管道規(guī)劃、信息與經(jīng)濟等研究領(lǐng)域整體處于國內(nèi)領(lǐng)先水平。隨著 “十二五”計劃的開局與發(fā)展，某單位將加快戰(zhàn)略轉(zhuǎn)型，深入使用信息化科技手段提高生產(chǎn)效率。當(dāng)企業(yè)經(jīng)營數(shù)據(jù)、生產(chǎn)過程控制及信息交換完成信息化

7、的大集中后，信息系統(tǒng)的安全一旦受到破壞將產(chǎn)生嚴(yán)重的、不可估量的后果。因此，某單位急需展開信息安全風(fēng)險評估專項工作，加強信息安全建設(shè)和管理，本次項目根據(jù)某單位工作要求，結(jié)合國家相關(guān)政策要求，依據(jù)信息安全建設(shè)相關(guān)國際和國內(nèi)標(biāo)準(zhǔn)，對石油管道公司重要信息系統(tǒng)進行完整的信息系統(tǒng)評估，為公司信息系統(tǒng)的安全運行提供有力的保障。1.2.項目目標(biāo)項目目標(biāo)安全評估的目的通常包括以下幾個方面： 確定可能對信息系統(tǒng)造成危害的威脅 通過歷史資料和專家的經(jīng)驗確定威脅實施的可能性 對可能受到威脅影響的信息資產(chǎn)確定其價值、敏感性和嚴(yán)重性 對各類信息資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞針對本次的安全評估，主要包括以下目的：

8、6 準(zhǔn)確了解企業(yè)的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀 明晰企業(yè)的安全需求 制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略 制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全解決方案 指導(dǎo)企業(yè)未來的安全建設(shè)和投入 指導(dǎo)企業(yè)建立信息安全框架1.3.項目范圍項目范圍此次信息安全評估服務(wù)范圍涵蓋由項目組雙方溝通確認(rèn)，推薦主管信息化部門、系統(tǒng)建設(shè)和運維部門、業(yè)務(wù)部門都參與本次項目。涉及的信息系統(tǒng)如下表所示：實施范圍 范圍類型 詳細(xì)資產(chǎn) 物理環(huán)境評估設(shè)備系統(tǒng)所在機房 主機系統(tǒng)主機設(shè)備名稱操作系統(tǒng)型號（IP 地址） 數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫(SqlServer、Oracle、Informix、DB2 等) 應(yīng)用中間件信息系統(tǒng)中間件（WEBLOGIC、WEBSPHERE、AP

9、ACHE、TOMCAT 等) 核心層交換機 匯聚層交換機 網(wǎng)絡(luò)設(shè)備接入層交換機 技術(shù)評估范圍安全設(shè)備IPS、IDS、防火墻安全管理機構(gòu)信息系統(tǒng)責(zé)任單位的安全管理機構(gòu)設(shè)置情況 安全管理制度信息系統(tǒng)責(zé)任單位的安全管理制度建設(shè)情況 人員安全管理信息系統(tǒng)責(zé)任單位的人員安全管理情況 系統(tǒng)建設(shè)管理信息系統(tǒng)責(zé)任單位的系統(tǒng)建設(shè)管理情況 管理評估范圍系統(tǒng)運維管理信息系統(tǒng)責(zé)任單位的系統(tǒng)運維管理情況 1.4.項目內(nèi)容項目內(nèi)容本次安全評估的內(nèi)容包括： 通過技術(shù)性檢測評估，獲得網(wǎng)絡(luò)層存在的網(wǎng)絡(luò)安全漏洞報告；7 通過問卷調(diào)查和交流溝通，了解非技術(shù)層面的安全漏洞； 通過對上述技術(shù)和非技術(shù)漏洞的分析，得出安全狀況報告； 提出

10、網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全解決方案，指導(dǎo)下一步的網(wǎng)絡(luò)安全建設(shè)； 根據(jù)某單位的要求，可以進行授權(quán)滲透測試，模擬黑客入侵的過程；第第 2 章章 項目需求理解項目需求理解風(fēng)險評估的范圍應(yīng)全面，涉及到網(wǎng)絡(luò)信息系統(tǒng)的各個方面，包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及管理體系是否完善等等；同時對管理風(fēng)險、綜合安全風(fēng)險以及應(yīng)用系統(tǒng)安全性進行評估。風(fēng)險評估采用專業(yè)工具掃描、人工評估、滲透測試三種相結(jié)合的方式，對各種操作系統(tǒng)進行評估，包括：帳戶與口令安全、網(wǎng)絡(luò)服務(wù)安全、內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應(yīng)用系統(tǒng)相關(guān)硬件、軟件和數(shù)據(jù)等方面來審核應(yīng)用所

11、處環(huán)境下存在哪些威脅，根據(jù)應(yīng)用系統(tǒng)所存在的威脅，來確定需要達(dá)到哪些系統(tǒng)安全目標(biāo)才能保證應(yīng)用系統(tǒng)能夠抵擋預(yù)期的安全威脅。第第 3 章章 項目方案設(shè)計項目方案設(shè)計3.1.設(shè)計目標(biāo)設(shè)計目標(biāo)本次風(fēng)險評估的安全服務(wù)項目主要目標(biāo)是： 通過風(fēng)險評估，得到某單位的整體安全現(xiàn)狀； 通過資產(chǎn)評估，得到某單位的網(wǎng)絡(luò)信息安全資產(chǎn)狀況，并錄入資產(chǎn)庫，進行資產(chǎn)梳理； 通過威脅評估，得到某單位存在的安全威脅情況； 通過脆弱性評估，得到某單位當(dāng)前業(yè)務(wù)系統(tǒng)存在的脆弱性； 對各個業(yè)務(wù)系統(tǒng)進行綜合風(fēng)險分析，得到風(fēng)險情況，提出分系統(tǒng)的安全解決方案； 提出各個系統(tǒng)的風(fēng)險處置解決方案。83.2.設(shè)計原則設(shè)計原則1. 標(biāo)準(zhǔn)性原則遵循國家、

12、行業(yè)和組織相關(guān)標(biāo)準(zhǔn)開展風(fēng)險評估工作。2. 可控性原則在項目建設(shè)與實施過程中，應(yīng)保證參與實施的人員、使用的技術(shù)和工具、過程都是可控的。3. 完整性原則項目方案要充分考慮項目所有環(huán)節(jié)，做到統(tǒng)籌兼顧，細(xì)節(jié)清楚。4. 最小影響原則項目的所有階段，保證項目實施過程工作對系統(tǒng)正常運行的可能影響降低到最低限度，不會對某單位目前的業(yè)務(wù)系統(tǒng)運行造成明顯的影響。5. 保密原則項目的所有階段，將嚴(yán)格遵循保密原則，服務(wù)過程中涉及到的任何用戶信息均屬保密信息，不得泄露給第三方單位或個人，不得利用這些信息損害用戶利益。并與某單位簽訂保密協(xié)議，承諾未經(jīng)允許不向其他任何第三方泄露有關(guān)信息系統(tǒng)的信息。3.3.設(shè)計依據(jù)設(shè)計依據(jù)本

13、方案設(shè)計主要參照以下政策和標(biāo)準(zhǔn)進行設(shè)計。3.3.1. 政策依據(jù)政策依據(jù)表格表格 1 1 相關(guān)策略相關(guān)策略時間時間相關(guān)政策文件相關(guān)政策文件2003 年國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 （中辦發(fā) 27號文） ，提出“要重視信息安全風(fēng)險評估工作，對網(wǎng)絡(luò)與信息系統(tǒng)安全的潛在威脅、薄弱環(huán)節(jié)、防護措施等進行分析評估” 。2004 年為貫徹落實 27 號文件精神，原國信辦組織有關(guān)單位和專家編寫了信息安全風(fēng)險評估指南 。2005 年國務(wù)院信息化工作辦公室關(guān)于印發(fā)9的通知 （國信辦【2005】5 號） ，組織在北京、上海、黑龍江、云南等地方以及銀行、稅務(wù)、電力等重要行業(yè)開展信息安全風(fēng)險評估試點工

14、作。2006 年由國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組討論通過的關(guān)于開展信息安全風(fēng)險評估工作的意見 （國信辦20065 號） ，文件要求三年內(nèi)在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要行業(yè)信息系統(tǒng)中普遍推行信息安全風(fēng)險評估工作。中共中央辦公廳國務(wù)院辦公廳關(guān)于印發(fā) 20062020 年國家信息化發(fā)展戰(zhàn)略的通知 （中辦200611 號文）提出加強信息安全風(fēng)險評估工作。 2007 年為保障十七大，在國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)范圍內(nèi)，全面展開了自評估工作。 （中國移動、電力、稅務(wù)、證券）2008 年關(guān)于加強國家電子政務(wù)工程建設(shè)項目信息安全風(fēng)險評估工作的通知（發(fā)改高技20082071 號） ，明確“加強和規(guī)范國家電子政務(wù)工程建

15、設(shè)項目信息安全風(fēng)險評估工作” 。3.3.2. 標(biāo)準(zhǔn)依據(jù)標(biāo)準(zhǔn)依據(jù)表格表格 2 2 相關(guān)標(biāo)準(zhǔn)相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)類型標(biāo)準(zhǔn)類型參考標(biāo)準(zhǔn)參考標(biāo)準(zhǔn)國際標(biāo)準(zhǔn)ISO15408 信息技術(shù)安全評估準(zhǔn)則ISO/IEC TR 13335 信息和通信技術(shù)安全管理ISO/TR 13569 銀行和相關(guān)金融服務(wù)信息安全指南ISO/IEC 27000 信息安全管理體系系列標(biāo)準(zhǔn)AS/NZS 4360 風(fēng)險管理NIST SP 800-30 IT系統(tǒng)風(fēng)險管理指南國內(nèi)標(biāo)準(zhǔn)GB17859計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則GBT 20984信息安全風(fēng)險評估規(guī)范GBT 22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GBZ 20985信息技術(shù)安

16、全技術(shù)信息安全事件管理指南GBZ 20986信息安全技術(shù)信息安全事件分類分級指南10各組織或行業(yè)內(nèi)相關(guān)要求各組織或行業(yè)內(nèi)相關(guān)要求3.4.方法模型方法模型本方案中提供的風(fēng)險評估與管理模型參考了多個國際風(fēng)險評估標(biāo)準(zhǔn)，建立安全風(fēng)險關(guān)系模型和安全風(fēng)險分析方法模型。3.4.1. 風(fēng)險關(guān)系模型風(fēng)險關(guān)系模型風(fēng)險關(guān)系模型從安全風(fēng)險的所有要素：資產(chǎn)、影響、威脅、弱點、安全控制、安全需求、安全風(fēng)險等方面形象地描述的他們各自之間的關(guān)系和影響，風(fēng)險關(guān)系模型如下圖所示。圖圖 1 1 風(fēng)險關(guān)系模型圖風(fēng)險關(guān)系模型圖在上述關(guān)系圖中：資產(chǎn)指組織要保護的資產(chǎn)，是構(gòu)成整個系統(tǒng)的各種元素的組合，它直接的表現(xiàn)了這個系統(tǒng)的業(yè)務(wù)或任務(wù)的重

17、要性，這種重要性進而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護價值。它包括計算機硬件、通信設(shè)備、物理線路、數(shù)據(jù)、軟件、服務(wù)能力、人員及知識等等。弱點是物理布局、組織、規(guī)程、人員、管理、硬件、軟件或信息中存在的11缺陷與不足，它們不直接對資產(chǎn)造成危害，但弱點可能被環(huán)境中的威脅所利用從而危害資產(chǎn)的安全。弱點也稱為“脆弱性”或“漏洞” 。威脅是引起不期望事件從而對資產(chǎn)造成損害的潛在可能性。威脅可能源于對組織信息直接或間接的攻擊，例如非授權(quán)的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用組織網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點才可能成功地對資產(chǎn)造成傷害。

18、從宏觀上講，威脅按照產(chǎn)生的來源可以分為非授權(quán)蓄意行為、不可抗力、人為錯誤、以及設(shè)施/設(shè)備錯誤等。安全風(fēng)險是環(huán)境中的威脅利用弱點造成資產(chǎn)毀壞或損失的潛在可能性。風(fēng)險的大小主要表現(xiàn)在兩個方面：事故發(fā)生的可能性及事故造成影響的大小。資產(chǎn)、威脅、弱點及保護的任何變化都可能帶來較大的風(fēng)險，因此，為了降低安全風(fēng)險，應(yīng)對環(huán)境或系統(tǒng)的變化進行檢測以便及時采取有效措施加以控制或防范。安防措施是阻止威脅、降低風(fēng)險、控制事故影響、檢測事故及實施恢復(fù)的一系列實踐、程序或機制。安全措施主要體現(xiàn)在檢測、阻止、防護、限制、修正、恢復(fù)和監(jiān)視等多方面。完整的安全保護體系應(yīng)協(xié)調(diào)建立于物理環(huán)境、技術(shù)環(huán)境、人員和管理等四個領(lǐng)域。通常

19、安防措施只是降低了安全風(fēng)險而并未完全杜絕風(fēng)險，而且風(fēng)險降低得越多，所需的成本就越高。因此，在系統(tǒng)中就總是有殘余風(fēng)險（RR）的存在，這樣，系統(tǒng)安全需求的確定實際上也是對余留風(fēng)險及其接受程度的確定。3.4.2. 風(fēng)險分析方法模型風(fēng)險分析方法模型在安全風(fēng)險分析方法模型中提供了風(fēng)險計算的方法，通過兩個因素：威脅級別、威脅發(fā)生的概率，通過風(fēng)險評估矩陣得出安全風(fēng)險。12威脅識別資產(chǎn)識別脆弱性識別威脅頻率資產(chǎn)價值脆弱點嚴(yán)重程度安全事件造成的損失安全事件可能性風(fēng)險值圖圖 2 2 風(fēng)險分析原理圖風(fēng)險分析原理圖風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可

20、以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴(yán)重程度。風(fēng)險分析的主要內(nèi)容為：a） 對資產(chǎn)進行識別，并對資產(chǎn)的價值進行賦值；b） 對威脅進行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；c） 對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；d） 根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性；e） 根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價值計算安全事件造成的損失；f） 根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。3.5. 工具方法工具方法3.5.1. 風(fēng)險評估采用方法風(fēng)險評估采用方法風(fēng)險評估常用方法如

21、下： 調(diào)查訪談物理安全訪談表、人員安全訪談表、網(wǎng)絡(luò)安全訪談表、系統(tǒng)安全訪談表等等； 工具掃描13網(wǎng)絡(luò)安全掃描、應(yīng)用安全掃描、系統(tǒng)安全掃描等等； 人工檢查操作系統(tǒng) checklist、數(shù)據(jù)庫 checklist、網(wǎng)絡(luò)設(shè)備 checklist 等等； 滲透測試由專業(yè)滲透測試工程師模擬黑客攻擊方式對網(wǎng)絡(luò)與信息系統(tǒng)進行非破壞性漏泀驗證性測試； 文檔查閱管理制度查閱、管理策略查閱、安全指導(dǎo)方針查閱等等。3.5.2. 風(fēng)險評估使用工具風(fēng)險評估使用工具本次項目，用到的部分評估工具列出如下表：表格表格 3 3 評估工具列表評估工具列表工具類別工具類別工具名稱工具名稱工具說明工具說明天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)啟明星辰

22、公司自主產(chǎn)權(quán)的大規(guī)模網(wǎng)絡(luò)漏洞掃描系統(tǒng)，可掃描端口服務(wù)信息、漏洞信息、用戶信息，并可鑒別系統(tǒng)類型。網(wǎng)絡(luò)漏洞掃描工具Nessus世界范圍內(nèi)廣泛使用的免費網(wǎng)絡(luò)端口掃描、系統(tǒng)類型鑒別和漏洞掃描工具入侵檢測工具天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)入侵檢測系統(tǒng)作為實時的檢測工具，是安全威脅信息收集過程中的一種重要手段，分析網(wǎng)絡(luò)的安全運行狀況，發(fā)覺配置和運行中的隱患，其數(shù)據(jù)是網(wǎng)絡(luò)整體安全的重要參考依據(jù)本地控制臺安Solaris（TM）Security ToolkitSun公司官方提供的本地控制臺審計工具包14Linux Security Audit Tools（LSAT）Linux系統(tǒng)的本地控制臺審計工具包Win 系統(tǒng)安全

23、審計工具包啟明星辰收集整理的多種針對性的Win 系統(tǒng)安全審計工具的集合Check Rootkits多種unix和類unix平臺的后門檢測工具全審計工具路由-交換-防火墻安全審計工具包啟明星辰整理定制的工具包，通過SNMP、Telnet、HTTP、CDP、RIP等協(xié)議對網(wǎng)絡(luò)設(shè)備進行安全審計第第 4 章章 風(fēng)險評估實施流程風(fēng)險評估實施流程我們將整個項目的實施內(nèi)容分為 7 個階段。從項目啟動階段到項目驗收整個項目實施過程，我們用 WBS 圖中完整地描述了整個項目實施過程的重要工作任務(wù)。階階段段1 1：服服務(wù)務(wù)啟啟動動階階段段2 2：資資產(chǎn)產(chǎn)評評估估階階段段3 3：威威脅脅評評估估階階段段4 4：脆脆

24、弱弱性性評評估估階階段段5 5：風(fēng)風(fēng)險險分分析析階階段段6 6：處處置置計計劃劃階階段段7 7：服服務(wù)務(wù)驗驗收收項項目目實實施施風(fēng)風(fēng)險險及及規(guī)規(guī)避避措措施施服服務(wù)務(wù)管管理理（服服務(wù)務(wù)組組織織結(jié)結(jié)構(gòu)構(gòu)、實實施施計計劃劃、質(zhì)質(zhì)量量管管理理、保保密密控控制制）資產(chǎn)識別資產(chǎn)分類資產(chǎn)清單資產(chǎn)分析資產(chǎn)賦值威脅識別威脅分類范圍確定系統(tǒng)調(diào)研制定計劃報告提交成果匯報服務(wù)驗收威脅分析威脅賦值獲得支持技術(shù)脆弱識別管理脆弱識別控制措施識別脆弱性分析脆弱性賦值資資產(chǎn)產(chǎn)評評估估報報告告服服務(wù)務(wù)實實施施計計劃劃威威脅脅評評估估報報告告脆脆弱弱性性評評估估報報告告風(fēng)風(fēng)險險評評估估報報告告風(fēng)風(fēng)險險處處置置計計劃劃服服務(wù)務(wù)驗驗收

25、收報報告告風(fēng)險綜合識別風(fēng)險模型計算風(fēng)險接收準(zhǔn)則風(fēng)險綜合評價安全目標(biāo)確定安全措施選擇實施內(nèi)容安排制定處置計劃圖圖 3 3 項目實施流程圖項目實施流程圖154.1.階段階段 1 1：項目啟動階段：項目啟動階段此階段是項目的啟動和計劃階段，是項目實施階段的開始，對項目整個過程的實施工作與項目管理工作都非常重要。4.1.1. 階段目標(biāo)階段目標(biāo)在此階段的主要工作目標(biāo)是召開評估項目啟動會議，并就項目組的工作方式、日常流程、工作計劃、交付件藍(lán)圖進行溝通和確認(rèn)。4.1.2. 階段步驟階段步驟評估項目啟動階段，是整個項目過程中，對項目的有效性的一種保證。實施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織的業(yè)務(wù)戰(zhàn)略

26、、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。步驟一：項目組織，確定雙方項目組織結(jié)構(gòu)及人員分工。步驟二：召開項目啟動會，包括項目中需要落實內(nèi)容：a) 獲得支持和配合；b) 確定項目的目標(biāo)；c) 確定項目的內(nèi)容；d) 組建項目服務(wù)團隊；e) 對項目的對象、范圍進行調(diào)研并確認(rèn)；f)宣貫風(fēng)險評估方法和評估思想；g) 建立項目組的工作場所和環(huán)境；h) 確定項目組的工作流程，包括文檔交付流程、項目更改流程等；i)確定項目組的工作方式，包括指定接口人，保密方式，資料保管和備份方式等。步驟三：確定各個細(xì)節(jié)后，項目啟動完成，進入項目實施階段。164.1.3. 階段輸出階段輸出本階段完成后輸出如下文件： 項

27、目實施計劃 項目啟動會議紀(jì)要 項目藍(lán)圖 保密協(xié)議書 項目組織結(jié)構(gòu)和人員職責(zé) 項目范圍確認(rèn)書 培訓(xùn)計劃 （針對風(fēng)險評估知識宣貫實施方法）4.2.階段階段 2：資產(chǎn)評估階段：資產(chǎn)評估階段保護資產(chǎn)免受安全威脅是本項目實施的根本目標(biāo)。要做好這項工作，首先需要詳細(xì)了解資產(chǎn)分類與管理的詳細(xì)情況。4.2.1. 階段目標(biāo)階段目標(biāo)資產(chǎn)識別的目的就是要對系統(tǒng)的相關(guān)資產(chǎn)做潛在價值分析，了解其資產(chǎn)利用、維護和管理現(xiàn)狀。明確各類資產(chǎn)具備的保護價值和需要的保護層次，從而使企業(yè)能夠更合理的利用現(xiàn)有資產(chǎn)，更有效地進行資產(chǎn)管理，更有針對性的進行資產(chǎn)保護，最具策略性的進行新的資產(chǎn)投入。4.2.2. 階段步驟階段步驟階段一：根據(jù)項

28、目范圍進行資產(chǎn)分類與識別，包括主機設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)、文檔資產(chǎn)、人員資產(chǎn)等等。階段二：進行資產(chǎn)識別，分類并賦值。174.2.3. 階段方法階段方法表格表格 4 4 資產(chǎn)評估方法資產(chǎn)評估方法項目名稱項目名稱資產(chǎn)分類調(diào)查資產(chǎn)分類調(diào)查簡要描述簡要描述采集資產(chǎn)信息，進行資產(chǎn)分類，劃分資產(chǎn)重要級別及賦值；達(dá)成目標(biāo)達(dá)成目標(biāo)采集資產(chǎn)信息，進行資產(chǎn)分類，劃分資產(chǎn)重要級別及賦值；進一步明確評估的范圍和重點。主要內(nèi)容主要內(nèi)容采集資產(chǎn)信息，獲取資產(chǎn)清單；進行資產(chǎn)分類劃分；確定資產(chǎn)的重要級別，對資產(chǎn)進行賦值。實現(xiàn)方式實現(xiàn)方式調(diào)查。填表式調(diào)查。資產(chǎn)調(diào)查表 ，包含計算機設(shè)備、通訊設(shè)備、存儲及保障設(shè)備、信

29、息、軟件等。交流。審閱已有的針對資產(chǎn)的安全管理規(guī)章、制度。與高級主管、業(yè)務(wù)人員、網(wǎng)絡(luò)管理員（系統(tǒng)管理員）等進行交流。工作條件工作條件2-3 人工作環(huán)境，2 臺筆記本，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合。工作結(jié)果工作結(jié)果資產(chǎn)類別、資產(chǎn)重要級別。參加人員參加人員依據(jù)現(xiàn)場狀況，啟明星辰全體評估人員在某單位業(yè)務(wù)系統(tǒng)相關(guān)技術(shù)和管理人員的配合下進行資產(chǎn)分類調(diào)查。4.2.4. 階段輸出階段輸出本階段完成后輸出文檔如下： 資產(chǎn)詳細(xì)清單 資產(chǎn)賦值列表184.3.階段階段 3：威脅評估：威脅評估威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信

30、息系統(tǒng)，它都存在。為全面、準(zhǔn)確地了解系統(tǒng)所面臨的各種威脅，需采用威脅分析方法。 4.3.1. 階段目標(biāo)階段目標(biāo)通過威脅分析，找出系統(tǒng)目前存在的潛在風(fēng)險因素，并進行統(tǒng)計，賦值，以便于列出風(fēng)險。4.3.2. 階段步驟階段步驟威脅識別采用人工審計、安全策略文檔審閱、人員面談、入侵檢測系統(tǒng)收集的信息和人工分析。步驟一：把已經(jīng)發(fā)現(xiàn)的威脅進行分類；步驟二：把發(fā)現(xiàn)的威脅事件進行分析。4.3.3. 階段方法階段方法表格表格 3 3 威脅調(diào)查評估威脅調(diào)查評估項目名稱項目名稱威脅調(diào)查評估威脅調(diào)查評估簡要描述簡要描述使用技術(shù)手段分析信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險。達(dá)成目標(biāo)達(dá)成目標(biāo)全面了解掌握信息系統(tǒng)可能面臨的

31、所有安全威脅和風(fēng)險。對威脅進行賦值并確定威脅等級。主要內(nèi)容主要內(nèi)容 被動攻擊威脅與風(fēng)險：網(wǎng)絡(luò)通信數(shù)據(jù)被監(jiān)聽、口令等敏感信息被截獲等。 主動攻擊威脅與風(fēng)險：掃描目標(biāo)主機、拒絕服務(wù)攻擊、利用協(xié)議、軟件、系統(tǒng)故障、漏洞插入或執(zhí)行惡意代碼（如：特洛依木馬、病毒、后門等） 、越權(quán)訪問、篡改數(shù)據(jù)、偽裝、重放所截獲的數(shù)據(jù)等。 鄰近攻擊威脅與風(fēng)險：毀壞設(shè)備和線路、竊取存儲介質(zhì)、偷窺口令等。19 分發(fā)攻擊威脅與風(fēng)險：在設(shè)備制造、安裝、維護過程中，在設(shè)備上設(shè)置隱藏的后門或攻擊途徑、 內(nèi)部攻擊威脅與風(fēng)險：惡意修改數(shù)據(jù)和安全機制配置參數(shù)、惡意建立未授權(quán)連接、惡意的物理損壞和破壞、無意的數(shù)據(jù)損壞和破壞。實現(xiàn)方式實現(xiàn)方式

32、 調(diào)查交流 工具檢測 人工檢測工作條件工作條件2-3 人工作環(huán)境，2 臺筆記本，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果根據(jù)分析結(jié)果列出系統(tǒng)所面臨的威脅，對威脅賦值并確定威脅級別參加人員參加人員啟明星辰評估小組，網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員4.3.4. 階段輸出階段輸出本階段完成主要輸出文檔如下： 威脅調(diào)查表 威脅賦值列表4.4.階段階段 4：脆弱性評估：脆弱性評估脆弱性是對一個或多個資產(chǎn)弱點的總稱，脆弱性評估是對技術(shù)脆弱性和管理脆性進行識別和賦值的過程。4.4.1. 階段目標(biāo)階段目標(biāo)技術(shù)脆弱性主要是采用工具掃描、人工檢查（checklist） 、滲透測試、訪談等方式對物理環(huán)境、網(wǎng)絡(luò)

33、結(jié)構(gòu)、 、應(yīng)用軟件、業(yè)務(wù)流程等進行脆弱性識別并賦值。管理脆弱性主要是通過管理訪談、文檔查閱等方式對安全管理制度、安全管理機構(gòu)、人員安全管理、安全建設(shè)管理、安全運維管理等進行脆弱性識別并賦值。204.4.2. 實施步驟實施步驟脆弱性識別步驟主要是通過技術(shù)脆弱性和管理脆弱性來進行識別。4.4.2.1.技術(shù)脆弱性技術(shù)脆弱性4.4.2.1.1.物理環(huán)境評估物理環(huán)境評估物理安全是一切系統(tǒng)安全的基礎(chǔ)。對物理安全的評估將從機房選址、建設(shè)；員工、外來訪問者進入機房的權(quán)限控制；機房的報警、電子監(jiān)控以及防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報警及消防措施、內(nèi)部裝修、供配電系統(tǒng)等方面進行。表格表格

34、 6 6 物理安全評估物理安全評估項目名稱項目名稱物理安全評估物理安全評估簡要描述簡要描述分析物理安全是否滿足相關(guān)的安全標(biāo)準(zhǔn)。達(dá)成目標(biāo)達(dá)成目標(biāo)準(zhǔn)確把握物理安全中的安全隱患，提出安全建議。主要內(nèi)容主要內(nèi)容評估環(huán)境安全：機房選址、建設(shè)、防火、防水、防靜電、防雷擊、防鼠害、防輻射、防盜竊、火災(zāi)報警及消防措施、內(nèi)部裝修、供配電系統(tǒng)是否滿足相關(guān)國家標(biāo)準(zhǔn)；內(nèi)部及外來人員對機房的訪問權(quán)限控制；安全審查及管理制度。評估設(shè)備安全：門控系統(tǒng)、網(wǎng)絡(luò)專用設(shè)備（路由器，交換機等）和主機設(shè)備（終端計算機，打印機、服務(wù)器等） 。設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護、維修、

35、報廢等；設(shè)備冗余備份。評估介質(zhì)安全：軟盤、硬盤、光盤、磁帶等媒體的管理，信息媒體的維修將保證所存儲的信息不被泄漏，不再需要的媒體，將按規(guī)定及時安全地予以銷毀。實現(xiàn)方式實現(xiàn)方式問詢現(xiàn)場檢查21資料收集工作條件工作條件某單位人員和資料配合工作結(jié)果工作結(jié)果依據(jù)相關(guān)的物理安全標(biāo)準(zhǔn)，結(jié)合某單位的實際需求，協(xié)助某單位改進安全措施參加人員參加人員某單位機房、設(shè)備管理員、維護人員，啟明星辰評估小組4.4.2.1.2.網(wǎng)絡(luò)網(wǎng)絡(luò)架構(gòu)評估架構(gòu)評估網(wǎng)絡(luò)結(jié)構(gòu)分析是風(fēng)險評估中對業(yè)務(wù)系統(tǒng)安全性進行全面了解的基礎(chǔ)，一個業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)是整個業(yè)務(wù)系統(tǒng)的承載基礎(chǔ)，及時發(fā)現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)存在的安全性、網(wǎng)絡(luò)負(fù)載問題，網(wǎng)絡(luò)設(shè)備存在的安全性

36、，抗攻擊的問題是整個業(yè)務(wù)系統(tǒng)評估的重要環(huán)節(jié)。對某單位的物理網(wǎng)絡(luò)結(jié)構(gòu)，邏輯網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)的關(guān)鍵設(shè)備進行評估(基本信息包括網(wǎng)絡(luò)帶寬、協(xié)議、硬件、Internet 接入、地理分布方式和網(wǎng)絡(luò)管理)，發(fā)現(xiàn)存在的安全性，合理性，使用效率等方面的問題。結(jié)合業(yè)務(wù)體系、系統(tǒng)體系等結(jié)構(gòu)的檢查邏輯網(wǎng)絡(luò)，由什么物理網(wǎng)絡(luò)組成以及網(wǎng)絡(luò)的關(guān)鍵設(shè)備的位置所在對于保持網(wǎng)絡(luò)的安全是非常重要的。另外，鑒定關(guān)鍵網(wǎng)絡(luò)拓?fù)?，對于成功地一個實施基于網(wǎng)絡(luò)的風(fēng)險管理方案是很關(guān)鍵的。網(wǎng)絡(luò)結(jié)構(gòu)分析能夠做到：改善網(wǎng)絡(luò)性能和利用率,使之滿足業(yè)務(wù)系統(tǒng)需要提供有關(guān)擴充網(wǎng)絡(luò)、增加IT投資和提高網(wǎng)絡(luò)穩(wěn)定性的信息幫助用戶降低風(fēng)險,改善網(wǎng)絡(luò)運行效率,提高網(wǎng)絡(luò)的穩(wěn)

37、定性確保網(wǎng)絡(luò)系統(tǒng)的安全運行對網(wǎng)絡(luò)環(huán)境、性能、故障和配置進行檢查在評估過程中，主要針對網(wǎng)絡(luò)拓?fù)洹⒃L問控制策略與措施、網(wǎng)絡(luò)設(shè)備配置、安全設(shè)備配置、網(wǎng)絡(luò)性能與業(yè)務(wù)負(fù)載幾個方面進行調(diào)查與分析。221)1) 網(wǎng)絡(luò)拓?fù)渫{分析網(wǎng)絡(luò)拓?fù)渫{分析表格表格 7 7 網(wǎng)絡(luò)拓?fù)渫{分析網(wǎng)絡(luò)拓?fù)渫{分析項目名稱項目名稱網(wǎng)絡(luò)拓?fù)渫{分析網(wǎng)絡(luò)拓?fù)渫{分析簡要描述簡要描述分析整體的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全隱患，分析某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)面臨的外部和內(nèi)部威脅達(dá)成目標(biāo)達(dá)成目標(biāo)準(zhǔn)確把握網(wǎng)絡(luò)拓?fù)渖系陌踩[患，重點是網(wǎng)絡(luò)邊界面臨的安全隱患主要內(nèi)容主要內(nèi)容 設(shè)備確定，基本的策略狀況 外聯(lián)鏈路或接口確定 路由確定（ACL、VLAN） 備份方式確認(rèn) 撥

38、號接入確認(rèn) 業(yè)務(wù)和網(wǎng)絡(luò)的關(guān)系（制度、規(guī)范） 網(wǎng)絡(luò)等級確認(rèn)（制度、規(guī)范） FW位置和策略確認(rèn)實現(xiàn)方式實現(xiàn)方式 問詢 檢查（采用滲透測試方式） 資料收集工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果形成某單位的內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖，并針對拓?fù)鋱D說明威脅狀況參加人員參加人員網(wǎng)絡(luò)管理員、業(yè)務(wù)維護人員，啟明星辰評估小組2)2) 訪問控制策略與措施訪問控制策略與措施表格表格 8 8 訪問控制策略與措施評估訪問控制策略與措施評估項目名稱項目名稱訪問控制策略與措施評估訪問控制策略與措施評估簡要描述簡要描述評估某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)的訪問控制策略與措施的安

39、全狀況達(dá)成目標(biāo)達(dá)成目標(biāo)評估某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)的訪問控制策略與措施的安全狀況，協(xié)助某單位網(wǎng)絡(luò)進行訪問控制策略和措施的優(yōu)化改進主要內(nèi)容主要內(nèi)容網(wǎng)絡(luò)設(shè)備的訪問控制策略23防火墻的訪問控制策略操作系統(tǒng)訪問控制策略其它訪問控制策略，如認(rèn)證等實現(xiàn)方式實現(xiàn)方式調(diào)查交流控制臺安全審計工具測試工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果針對某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的訪問控制策略和措施現(xiàn)狀，提出改進優(yōu)化建議所需時間所需時間1個工作日參加人員參加人員某單位網(wǎng)絡(luò)管理員、業(yè)務(wù)維護人員，啟明星辰評估小組3)3) 網(wǎng)絡(luò)設(shè)備策略與配置網(wǎng)絡(luò)設(shè)備策略與配置表格表格 9 9

40、 網(wǎng)絡(luò)設(shè)備策略與配置評估網(wǎng)絡(luò)設(shè)備策略與配置評估項目名稱項目名稱網(wǎng)絡(luò)設(shè)備策略與配置評估網(wǎng)絡(luò)設(shè)備策略與配置評估簡要描述簡要描述評估某單位現(xiàn)有網(wǎng)絡(luò)設(shè)備的配置和使用狀況，考察網(wǎng)絡(luò)設(shè)備的有效性、安全性達(dá)成目標(biāo)達(dá)成目標(biāo)協(xié)助某單位網(wǎng)絡(luò)改進網(wǎng)絡(luò)設(shè)備的安全配置，優(yōu)化其服務(wù)性能主要內(nèi)容主要內(nèi)容網(wǎng)絡(luò)設(shè)備策略配置網(wǎng)絡(luò)設(shè)備的安全漏洞掃描檢測VLAN劃分設(shè)備與鏈路冗余狀況實現(xiàn)方式實現(xiàn)方式調(diào)查交流控制臺安全設(shè)計工具漏洞掃描工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果針對某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)設(shè)備的策略配置狀況，提出優(yōu)化建議24參加人員參加人員某單位網(wǎng)絡(luò)管理員、業(yè)

41、務(wù)維護人員，啟明星辰評估小組4)4) 安全設(shè)備策略與配置安全設(shè)備策略與配置表格表格 1010 安全設(shè)備評估安全設(shè)備評估項目名稱項目名稱安全設(shè)備評估安全設(shè)備評估簡要描述簡要描述評估某單位現(xiàn)有安全設(shè)備的配置和使用狀況，考察安全設(shè)備的有效性達(dá)成目標(biāo)達(dá)成目標(biāo)協(xié)助某單位優(yōu)化安全設(shè)備的效用，生成新的安全技術(shù)和設(shè)備的配置需求主要內(nèi)容主要內(nèi)容種類：防火墻數(shù)量位置策略、管理配置效用實現(xiàn)方式實現(xiàn)方式調(diào)查實地察看工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果協(xié)助某單位優(yōu)化安全設(shè)備的效用，生成新的安全技術(shù)和設(shè)備的配置需求參加人員參加人員啟明星辰評估小組，

42、某單位技術(shù)人員4.4.2.1.3.主機主機/數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)庫系統(tǒng)評估評估這部分的工作包括大規(guī)模漏洞掃描評估與控制臺審計兩項。1)1) 漏洞掃描評估漏洞掃描評估表格表格 1111 大規(guī)模漏洞掃描評估大規(guī)模漏洞掃描評估項目名稱項目名稱漏洞掃描評估漏洞掃描評估簡要描述簡要描述利用掃描工具檢查整個某單位內(nèi)部網(wǎng)絡(luò)的主機系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況達(dá)成目標(biāo)達(dá)成目標(biāo)發(fā)掘某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)的安全漏洞，提出漏洞修補建議25主要內(nèi)容主要內(nèi)容以天鏡為主，采用多種漏洞掃描工具實施大規(guī)模的漏洞掃描實現(xiàn)方式實現(xiàn)方式以天鏡為主，采用多種漏洞掃描工具實施大規(guī)模的漏洞掃描工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，

43、電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)網(wǎng)絡(luò)漏洞列表，掃描評估結(jié)果報告，參加人員參加人員啟明星辰評估小組，某單位網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員2)2) 控制臺審計控制臺審計雖然工具自動評估能降低安全評估的工作量，但其自身的缺陷也是非常明顯的：大多數(shù)的自動評估工具只能針對特定操作系統(tǒng)，同時也限制了其評估對象目標(biāo)只能是操作系統(tǒng)。目前絕大多數(shù)的自動評估工具只能適用于Solaris、Linux等Unix操作系統(tǒng)和Windows NT/2000操作系統(tǒng)。對于網(wǎng)絡(luò)設(shè)備和其它網(wǎng)絡(luò)操作系統(tǒng)就無能為力了。由于運行在主機系統(tǒng)上的網(wǎng)絡(luò)服務(wù)和應(yīng)用服務(wù)非常廣泛和靈活，自動評估工具

44、往往只能以本地操作系統(tǒng)（主機層）為主要評估目標(biāo)，對位于數(shù)據(jù)層和用戶層的安全對象目標(biāo)只能進行極為有限的安全評估，顯然這無法滿足本地安全評估的完整性和整體性要求。網(wǎng)絡(luò)安全技術(shù)日新月異，一日千里，安全漏洞、攻擊手段、防護技術(shù)也是層出不窮，但與此同時自動安全評估軟件由于開發(fā)、成本和費用等問題，常常無法利用最新的安全評估技術(shù)，無法根據(jù)最新的安全漏洞評估本地系統(tǒng)，也無法給出最及時和合理的安全建議。無法對安全策略，安全管理方面的內(nèi)容進行評估，而這又正是本地安全評估中很重要的一環(huán)。因此，人工評估對本地安全評估而言是必不可少的。人工安全評估對實施人員的安全知識、安全技術(shù)和安全經(jīng)驗要求很高，因為他們必須了解最新的

45、安全漏洞、掌握多種先進的安全技術(shù)和積累豐富的評估經(jīng)驗，這樣才能對本地安全評估中位于物理層、網(wǎng)絡(luò)層、主機層、數(shù)據(jù)層和用戶層的所有安全對象目標(biāo)26進行最有效和最完整的安全評估，并提供最合理和最及時的安全建議。對于各種不同的操作系統(tǒng)和數(shù)據(jù)庫平臺，啟明星辰公司結(jié)合多年的安全評估和服務(wù)經(jīng)驗，建立了詳細(xì)有效的本地控制臺審計 CheckList，可以保證對某單位的本地控制臺審計能夠有效有序地進行。表格表格 1212 控制臺審計控制臺審計項目名稱項目名稱控制臺審計控制臺審計簡要描述簡要描述作為大規(guī)模漏洞掃描的輔助手段，登陸系統(tǒng)控制臺檢查系統(tǒng)的安全配置情況達(dá)成目標(biāo)達(dá)成目標(biāo)檢測系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要

46、內(nèi)容主要內(nèi)容操作系統(tǒng)控制臺審計數(shù)據(jù)庫系統(tǒng)控制臺審計實現(xiàn)方式實現(xiàn)方式操作系統(tǒng)控制臺審計數(shù)據(jù)庫系統(tǒng)控制臺審計工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)抽樣控制臺審計報告參加人員參加人員啟明星辰評估小組，某單位網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理人員4.4.2.1.4.應(yīng)用應(yīng)用安全系統(tǒng)評估安全系統(tǒng)評估應(yīng)用評估概述應(yīng)用評估概述針對企業(yè)關(guān)鍵應(yīng)用的安全性進行的評估，分析某單位應(yīng)用程序體系結(jié)構(gòu)、設(shè)計思想和功能模塊，從中發(fā)現(xiàn)可能的安全隱患。全面的了解應(yīng)用系統(tǒng)在網(wǎng)絡(luò)上的“表現(xiàn)”，將有助于對應(yīng)用系統(tǒng)的維護與支持工作。了解某單位應(yīng)

47、用系統(tǒng)的現(xiàn)狀，發(fā)現(xiàn)存在的弱點和風(fēng)險，作為后期改造的需求。在進行應(yīng)用評估的時候，引入了威脅建模的方法，這一方法是一種基于安全的分析，有助于我們確定應(yīng)用系統(tǒng)造成的安全風(fēng)險，以及攻擊是如何體現(xiàn)出來的。輸入：輸入：27對于威脅建模，下面的輸入非常有用： 用例和使用方案 數(shù)據(jù)流 數(shù)據(jù)架構(gòu) 部署關(guān)系圖 雖然這些都非常有用，但它們都不是必需的。但是，一定要了解應(yīng)用程序的主要功能和體系結(jié)構(gòu)。輸出：輸出：威脅建模活動的輸出結(jié)果是一個威脅模型。威脅模型捕獲的主要項目包括： 威脅列表 漏洞列表 應(yīng)用評估步驟五個主要的威脅建模步驟如圖 4 所示。28圖圖 4 4 威脅建模步驟威脅建模步驟我們把應(yīng)用系統(tǒng)的安全評估劃分為

48、以下五個步驟：步驟步驟 1：識別應(yīng)用系統(tǒng)的安全目標(biāo)：識別應(yīng)用系統(tǒng)的安全目標(biāo)其中包括系統(tǒng)業(yè)務(wù)目標(biāo)和安全目標(biāo)。目標(biāo)清晰有助于將注意力集中在威脅建?；顒樱约按_定后續(xù)步驟要做多少工作。業(yè)務(wù)目標(biāo)是應(yīng)用系統(tǒng)使用的相關(guān)目標(biāo)和約束。安全目標(biāo)是與數(shù)據(jù)及應(yīng)用程序的保密性、完整性和可用性相關(guān)的目標(biāo)和約束。通過確定主要的安全目標(biāo)，可以決定將主要精力放在什么地方。確定目標(biāo)也有助于理解潛在攻擊者的目標(biāo)，并將注意力集中于那些需要密切留意的應(yīng)用程序區(qū)域。應(yīng)用系統(tǒng)的業(yè)務(wù)目標(biāo)應(yīng)該從如下幾個方面入手進行分析：信譽、經(jīng)濟、隱私、國家的法律或者政策、公司的規(guī)章制度、國際標(biāo)準(zhǔn)、法律協(xié)議、公司的信息安全策略。應(yīng)用系統(tǒng)的安全目標(biāo)應(yīng)該從如下

49、幾個方面入手進行分析：系統(tǒng)的機密性、系統(tǒng)的完整性、系統(tǒng)的可用性。步驟步驟 2：了解應(yīng)用系統(tǒng)概況：了解應(yīng)用系統(tǒng)概況：逐條列出應(yīng)用程序的重要特征和參與者有助于在步驟 4 中確定相關(guān)威脅。創(chuàng)建應(yīng)用系統(tǒng)概述步驟：畫出端對端的部署方案。確定角色。 確定主要使用方案。 確定技術(shù)。 確定應(yīng)用程序的安全機制。 步驟步驟 3：應(yīng)用系統(tǒng)分解：應(yīng)用系統(tǒng)分解：全面了解應(yīng)用程序的結(jié)構(gòu)可以更輕松地發(fā)現(xiàn)更相關(guān)、更具體的威脅。分解應(yīng)用程序按如下步驟： 確定信任邊界。確定數(shù)據(jù)流。確定入口點。確定出口點。29步驟步驟 4：應(yīng)用系統(tǒng)的威脅識別：應(yīng)用系統(tǒng)的威脅識別：使用步驟 2 和 3 中的詳細(xì)信息來確定與應(yīng)用程序方案和上下文相關(guān)的

50、威脅。從常見的威脅和攻擊入手。利用這種方法，您可以從一系列按應(yīng)用程序漏洞類別分組的常見威脅入手。接下來，將威脅列表應(yīng)用到您自己的應(yīng)用程序體系結(jié)構(gòu)中。使用問題驅(qū)動的方法。問題驅(qū)動的方法確定相關(guān)的威脅和攻擊。步驟步驟 5：應(yīng)用系統(tǒng)的弱點分析：應(yīng)用系統(tǒng)的弱點分析：檢查應(yīng)用程序的安全框架，并顯式地查找漏洞。一種有效的方法是逐層檢查應(yīng)用程序，考慮每層中的各種漏洞類別。身份驗證授權(quán)輸入和數(shù)據(jù)驗證配置管理敏感數(shù)據(jù)會話管理加密參數(shù)管理異常管理審核與記錄4.4.2.1.5.業(yè)務(wù)流程業(yè)務(wù)流程評估評估表格表格 1313 業(yè)務(wù)流程評估業(yè)務(wù)流程評估項目名稱項目名稱業(yè)務(wù)流程評估（數(shù)據(jù)流程）業(yè)務(wù)流程評估（數(shù)據(jù)流程）簡要描述

51、簡要描述依據(jù)業(yè)務(wù)過程的數(shù)據(jù)流程評估某單位的業(yè)務(wù)流程達(dá)成目標(biāo)達(dá)成目標(biāo)了解某單位業(yè)務(wù)流程的安全隱患，協(xié)助某單位優(yōu)化業(yè)務(wù)流程主要內(nèi)容主要內(nèi)容策略：業(yè)務(wù)要求、使用范圍、安全等級業(yè)務(wù)實現(xiàn)方式業(yè)務(wù)安全要求30各時段業(yè)務(wù)負(fù)載量業(yè)務(wù)流程優(yōu)化建議授權(quán)和認(rèn)證、審計、加密、完整性、不可否認(rèn)性等實現(xiàn)方式實現(xiàn)方式調(diào)查檢查工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果數(shù)據(jù)流圖、業(yè)務(wù)關(guān)系圖、報告參加人員參加人員啟明星辰評估人員，某單位相關(guān)主管和業(yè)務(wù)人員4.4.2.1.6.安全事件評估安全事件評估表格表格 1414 安全事件評估安全事件評估項目名稱項目名稱安全事

52、件評估安全事件評估簡要描述簡要描述對安全事件響應(yīng)規(guī)范、流程、人員、能力以及事件記錄以及應(yīng)急培訓(xùn)等進行評估達(dá)成目標(biāo)達(dá)成目標(biāo)了解安全事件處理能力主要內(nèi)容主要內(nèi)容應(yīng)急流程事件紀(jì)錄事件處理實現(xiàn)方式實現(xiàn)方式人工訪談察看規(guī)范察看事件紀(jì)錄工作條件工作條件2-3人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果了解某單位應(yīng)用服務(wù)和應(yīng)用系統(tǒng)的安全狀況參加人員參加人員啟明星辰評估人員、某單位業(yè)務(wù)維護人員、某單位開發(fā)人員、商業(yè)產(chǎn)品開發(fā)商314.4.2.1.7.滲透測試滲透測試1) 概述概述通過滲透測試的方式，模擬黑客的攻擊思路與技術(shù)手段，達(dá)到以下目標(biāo)：從攻擊者角度，發(fā)現(xiàn)應(yīng)用系統(tǒng)

53、存在的安全隱患；檢測對外提供服務(wù)的業(yè)務(wù)系統(tǒng)威脅防御能力。深度挖掘滲透測試范圍內(nèi)應(yīng)用系統(tǒng)各個層面（應(yīng)用層、網(wǎng)絡(luò)層、系統(tǒng)層）的安全漏洞；檢驗當(dāng)前安全控制措施的有效性，針對發(fā)現(xiàn)的安全風(fēng)險及時進行整改，增強系統(tǒng)自身防御能力，提升安全保障體系的整體健壯性。2)2) 滲透測試規(guī)范滲透測試規(guī)范滲透測試通過可控的安全測試技術(shù)對限定范圍內(nèi)的應(yīng)用系統(tǒng)進行滲透測試，同時結(jié)合以下業(yè)界著名的測試框架組合成最佳實踐進行操作：ISECOM 制定的開源安全測試方法 OSSTMM-v2.2開放 Web 應(yīng)用安全項目 OWASP-v33)3) 項目范圍項目范圍本次滲透測試項目范圍：以下由項目組雙方確認(rèn)：應(yīng)用系統(tǒng)名稱應(yīng)用系統(tǒng)名稱域

54、名域名測試方式測試方式外網(wǎng)遠(yuǎn)程測試外網(wǎng)遠(yuǎn)程測試4)4) 實施計劃實施計劃滲透測試項目實施計劃：32項項目目階階段段工作對象工作對象工作內(nèi)工作內(nèi)容容工作日工作日期期工作時間工作時間實施人實施人員員備注備注信息收集與端口掃描待定待定滲透測試專業(yè)人員手工安全測試待定待定滲透測試專業(yè)人員XX 系統(tǒng)WEB 安全掃描與驗證待定待定滲透測試專業(yè)人員1、 提供業(yè)務(wù)系統(tǒng)管理人員或緊急聯(lián)系人的聯(lián)系方式2、 對業(yè)務(wù)系統(tǒng)做好必要的備份措施3、 關(guān)注測試期間業(yè)務(wù)系統(tǒng)的狀態(tài)與影響，如有異常及時通知項目接口人信息收集與端口掃描待定待定滲透測試專業(yè)人員手工安全測試待定待定滲透測試專業(yè)人員滲透階段應(yīng)用系統(tǒng)XX 系統(tǒng)WEB 安全

55、掃描與驗證待定待定滲透測試專業(yè)人員1、 提供業(yè)務(wù)系統(tǒng)管理人員或緊急聯(lián)系人的聯(lián)系方式2、 對業(yè)務(wù)系統(tǒng)做好必要的備份措施3、 關(guān)注測試期間業(yè)務(wù)系統(tǒng)的狀態(tài)與影響，如有異常及時通知項目接口人33項項目目階階段段工作對象工作對象工作內(nèi)工作內(nèi)容容工作日工作日期期工作時間工作時間實施人實施人員員備注備注報告階段編寫報告滲透測試情況反饋與溝通匯總滲透測試數(shù)據(jù)，進行數(shù)據(jù)分析，撰寫滲透測試報告待定待定滲透測試專業(yè)人員對報告與測試成果進行確認(rèn)與反饋、提出意見5)5) 控制控制滲透測試過程最大的風(fēng)險在于測試過程中對業(yè)務(wù)產(chǎn)生影響，為此我們在實施滲透測試中采取以下措施來減小風(fēng)險： 雙方確認(rèn)雙方確認(rèn)進行每一階段的滲透測試前

56、，必須獲得某單位的同意和授權(quán)。對于任何滲透測試對象的變更和測試條件變更也都必須獲得雙方的同意并達(dá)成一致意見，方可執(zhí)行。 工具選擇工具選擇為防止造成真正的攻擊，在滲透性測試項目中，啟明星辰會嚴(yán)格選擇測試工具，杜絕因工具選擇不當(dāng)造成的將病毒和木馬植入的情況發(fā)生。如：操作系統(tǒng)層面的脆弱性識別工具包括：Superscan、X-scan、Nessus、天鏡、Nmap 等。WEB 應(yīng)用層面脆弱性識別工具包括：IBM APPSCAN、WVS、Webinspect、Burpsuite、Jsky 等。 時間選擇時間選擇為減輕滲透性測試對用戶網(wǎng)絡(luò)和系統(tǒng)的影響，滲透測試安排在不影響某單位正常業(yè)務(wù)運作的時間段進行，具

57、體時間雙方協(xié)調(diào)。34 范圍控制范圍控制啟明星辰承諾不會對授權(quán)范圍之外的網(wǎng)絡(luò)設(shè)備、主機和系統(tǒng)進行漏洞檢測、攻擊性測試，嚴(yán)格按照滲透測試范圍內(nèi)限定的應(yīng)用系統(tǒng)進行測試。 策略選擇策略選擇為防止?jié)B透性測試造成網(wǎng)絡(luò)和系統(tǒng)的服務(wù)中斷，啟明星辰在滲透性測試中不使用含有拒絕服務(wù)的測試策略。 項目溝通項目溝通在項目實施過程中，除了確定不同階段的測試人員以外，還要確定各階段的某單位方配合人員，建立雙方直接溝通的渠道；項目實施過程中需要某單位方人員同時在場配合工作，并保持及時、充分、合理的溝通。 系統(tǒng)備份和恢復(fù)措施系統(tǒng)備份和恢復(fù)措施為避免實際滲透測試過程中可能會發(fā)生不可預(yù)知的風(fēng)險，因此在滲透測試前相關(guān)管理人員應(yīng)對系

58、統(tǒng)或關(guān)鍵數(shù)據(jù)進行備份、確保相關(guān)的日志審計功能正常開啟，一旦在出現(xiàn)問題時，可以及時的恢復(fù)運轉(zhuǎn)。 滲透期間保障確認(rèn)滲透期間保障確認(rèn)每天滲透人員測試完畢后，檢查確認(rèn)網(wǎng)站是否正常運行，如發(fā)現(xiàn)網(wǎng)站不正常運行，及時與項目聯(lián)系人取得聯(lián)系，方便盡快恢復(fù)網(wǎng)站系統(tǒng)運行。在滲透測試過程中，如果出現(xiàn)被評估系統(tǒng)沒有響應(yīng)或中斷的情況，應(yīng)當(dāng)立即停止測試工作，與某單位人員配合一起分析情況，在確定原因后，及時恢復(fù)系統(tǒng)，并采取必要的預(yù)防措施（比如調(diào)整測試策略）之后，確保對系統(tǒng)無影響，并經(jīng)某單位方同意之后才可繼續(xù)進行。6)6) 預(yù)估風(fēng)險影響預(yù)估風(fēng)險影響滲透測試內(nèi)容名稱測試方法可能導(dǎo)致的風(fēng)險風(fēng)險規(guī)避措施信息收集與端口掃描端口掃描技術(shù)

59、/域名 IP 路由分析/搜索引擎無風(fēng)險操作系統(tǒng)與服務(wù)漏洞掃描操作系統(tǒng)與服務(wù)指紋識別技術(shù)/漏洞檢測技術(shù)/天鏡漏洞掃描系統(tǒng)掃描不會存在風(fēng)險，如果利用溢出類漏洞可能導(dǎo)致系統(tǒng)服務(wù)拒絕根據(jù)實際情況選擇不使用溢出類漏洞檢測策略WEB 應(yīng)用漏洞掃描頁面代碼掃描技術(shù)/COOKIE 中毒技術(shù)/動態(tài)腳本漏洞檢測技術(shù)/WEB 漏請求、連接數(shù)、壓力過大，可能導(dǎo)致應(yīng)用服務(wù)器資源占用過高或，拒絕1、避開業(yè)務(wù)高峰期進行測試2、限制并發(fā)連接數(shù)，不使用拒絕服35洞檢測技術(shù)服務(wù)。務(wù)檢測類策略WEB 應(yīng)用手工安全功能測試與評估SQL 注入技術(shù)/XSS 跨站檢測/封包纂改技術(shù)/會話檢測/認(rèn)證檢測技術(shù)SQL 注入技術(shù)可能導(dǎo)致數(shù)據(jù)庫被修

60、改或插入垃圾數(shù)據(jù)檢測請求連接過多可能導(dǎo)致數(shù)據(jù)庫資源占用過高1、SQL 注入測試僅使用讀操作 2、限制檢測請求并發(fā)連接數(shù) 10 以內(nèi)7)7) 滲透測試流程滲透測試流程滲透測試流程嚴(yán)格依照下圖執(zhí)行，采用可控制的、非破壞性質(zhì)的滲透測試，并在執(zhí)行過程中把握好每一個步驟的信息輸入/輸出，控制好風(fēng)險，確保對某單位系統(tǒng)不造成破壞性的損害，保證滲透測試前后信息系統(tǒng)的可用性、可靠性保持一致。 圖圖 5 5 滲透測試流程滲透測試流程368)8) 滲透測試工作內(nèi)容滲透測試工作內(nèi)容滲透測試完全模擬黑客的入侵思路與技術(shù)手段，黑客的攻擊入侵需要利用目標(biāo)網(wǎng)絡(luò)的安全弱點，滲透測試也是同樣的道理。以人工滲透為主，以攻擊工具的使

61、用為輔助，這樣保證了整個滲透測試過程都在可以控制和調(diào)整的范圍之內(nèi)。針對各應(yīng)用系統(tǒng)的滲透測試方法包括以下方法但不局限于以下方法：測試類型測試描述信息收集信息收集是滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統(tǒng)正常運行造成的不利影響。信息收集的方法包括端口掃描、操作系統(tǒng)指紋判別、應(yīng)用判別、賬號掃描、配置判別等。端口掃描通過對目標(biāo)地址的 TCP/UDP 端口掃描，確定其所開放的服務(wù)的數(shù)量和類型，這是所有滲透測試的基礎(chǔ)。通過端口掃描，可以基本確定一個系統(tǒng)的基本信息，結(jié)合安全工程師的經(jīng)驗可以確定其可能存在以及被利用的安全弱點，為進行

62、深層次的滲透提供依據(jù)?？诹畈聹y本階段將對暴露在公網(wǎng)的所有登陸口進行口令猜解的測試，找出各個系統(tǒng)可能存在的弱口令或易被猜解的口令。猜解成功后將繼續(xù)對系統(tǒng)進行滲透測試，挖掘嵌套在登錄口背后的漏洞、尋找新的突破口以及可能泄漏的敏感信息，并評估相應(yīng)的危害性。猜解的對象包括：WEB 登錄口、FTP 端口、數(shù)據(jù)庫端口、遠(yuǎn)程管理端口等。遠(yuǎn)程溢出這是當(dāng)前出現(xiàn)的頻率最高、威脅最嚴(yán)重，同時又是最容易實現(xiàn)的一種滲透方法，一個具有一般網(wǎng)絡(luò)知識的入侵者就可以在很短的時間內(nèi)利用現(xiàn)成的工具實現(xiàn)遠(yuǎn)程溢出攻擊。對于在防火墻內(nèi)的系統(tǒng)存在同樣的風(fēng)險，只要對跨接防火墻內(nèi)外的一臺主機攻擊成功，那么通過這臺主機對防火墻內(nèi)的主機進行攻擊就

63、易如反掌。本地溢出本地溢出是指在擁有了一個普通用戶的賬號之后，通過一段特殊的指令代碼獲得管理員權(quán)限的方法。使用本地溢出的前提是首先要獲得一個普通用戶的密碼。也就是說由于導(dǎo)致本地溢出的一個關(guān)鍵條件是設(shè)置不當(dāng)?shù)拿艽a策略。多年的實踐證明，在經(jīng)過前期的口令猜測階段獲取的普通賬號登錄系統(tǒng)之后，對系統(tǒng)實施本地溢出攻擊，就能獲取不進行主動安全防御的系統(tǒng)的控制管理權(quán)限。腳本測試腳本測試專門針對 Web 服務(wù)器進行。根據(jù)最新的技術(shù)統(tǒng)計，腳本安全弱點為當(dāng)前 Web 系統(tǒng)尤其存在動態(tài)內(nèi)容的 Web 系統(tǒng)存在的主要比較嚴(yán)重的安全弱點之一。利用腳本相關(guān)弱點輕則可以獲取系統(tǒng)其他目錄的訪問權(quán)限，重則將有可能取得系統(tǒng)的控制權(quán)

64、限。因此對于含有動態(tài)頁面的 Web 系統(tǒng)，腳本測試將是必不可少的一個環(huán)節(jié)。權(quán)限獲取通過初步信息收集分析，存在兩種可能性，一種是目標(biāo)系統(tǒng)存在重大的37安全弱點，測試可以直接控制目標(biāo)系統(tǒng)；另一種是目標(biāo)系統(tǒng)沒有遠(yuǎn)程重大的安全弱點，但是可以獲得普通用戶權(quán)限，這時可以通過該普通用戶權(quán)限進一步收集目標(biāo)系統(tǒng)信息。接下來盡最大努力取得超級用戶權(quán)限、收集目標(biāo)主機資料信息，尋求本地權(quán)限提升的機會。這樣不停的進行信息收集分析、權(quán)限提升的結(jié)果形成了整個的滲透測試過程。9)9) 滲透測試交付成果滲透測試交付成果本次某單位安全保障與服務(wù)滲透測試的主要交付成果包括：某單位系統(tǒng)滲透測試報告4.4.2.2.管理脆弱性管理脆弱性

65、安全管理和安全策略密不可分，安全管理是依據(jù)安全策略進行實施，對安全管理的評估往往從安全策略開始，策略評估是指按照一定的策略標(biāo)準(zhǔn)對企業(yè)的企業(yè)介紹，企業(yè)管理結(jié)構(gòu)圖，主要業(yè)務(wù)系統(tǒng)描述，企業(yè)的短期和長期發(fā)展目標(biāo)，在信息系統(tǒng)建設(shè)和應(yīng)用方面的短期和長期發(fā)展目標(biāo)描述，對于信息安全系統(tǒng)建設(shè)的短期和長期發(fā)展目標(biāo)描述，所有與信息系統(tǒng)、信息管理、信息安全相關(guān)的策略、規(guī)章制度、工作流程、培訓(xùn)教材、用戶手冊、網(wǎng)絡(luò)拓?fù)涞雀鞣N文字資料和圖表進行全面評估，主要包括：某單位安全策略技術(shù)標(biāo)準(zhǔn)和規(guī)范組織機構(gòu)和人員職責(zé)安全操作流程管理規(guī)定和辦法用戶協(xié)議培訓(xùn)資料和用戶手冊安全管理評估首先從整體上對安全管理策略進行評估，然后再從常規(guī)安全

66、管理與應(yīng)急安全管理兩個方面進行評估。384.4.2.2.1. 安全管理策略安全管理策略表格表格 1515 安全管理策略評估安全管理策略評估項目名稱項目名稱安全管理策略評估安全管理策略評估簡要描述簡要描述評估現(xiàn)有安全管理策略的完善程度、合理程度；達(dá)成目標(biāo)達(dá)成目標(biāo)依據(jù)風(fēng)險管理的相關(guān)國內(nèi)國際標(biāo)準(zhǔn)；貼近某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)的實際業(yè)務(wù)與應(yīng)用狀況；結(jié)合某單位的實際需求，協(xié)助某單位改進安全管理措施主要內(nèi)容主要內(nèi)容人員組織安全管理安全規(guī)章制度安全策略方針實現(xiàn)方式實現(xiàn)方式調(diào)查分析問詢式調(diào)查人員和安全管理調(diào)查表廣泛交流查閱相關(guān)管理制度；與相關(guān)管理人員進行交流；工作條件工作條件4-6人工作環(huán)境，2臺Win2000PC，電源和網(wǎng)絡(luò)環(huán)境，某單位人員和資料配合工作結(jié)果工作結(jié)果依據(jù)ISO17799的信息安全管理標(biāo)準(zhǔn)，結(jié)合某單位的實際需求，協(xié)助某單位改進安全管理措施參加人員參加人員啟明星辰評估人員，某單位業(yè)務(wù)和技術(shù)負(fù)責(zé)人4.4.2.2.2. 常規(guī)安全管理常規(guī)安全管理表格表格 1616 常規(guī)安全管理常規(guī)安全管理項目名稱項目名稱常規(guī)安全管理常規(guī)安全管理簡要描述簡要描述評估某單位網(wǎng)絡(luò)內(nèi)部網(wǎng)常規(guī)安全管理現(xiàn)狀，分析其完善程度和合理