网络安全测评工作流程

1、网络安全测评工作流程流程图说明：网络安全测评工作主要分为三大部分：业务和现状调查，安全框架设计，风险控制一、业务和现状调查工作小组成员首先进行风险评估，其中包括资产调查、业务系统UML建模、威胁评估、漏洞评估、风险分析等? 成果描述：-各系统建立了用例模型、用例流程、用例序列图、用例协作图、用例实现视 图、用例图、域模型图、状态图 -所有系统的整体UML模型工作小组成员在各系统对于系统中的接口和服务进行了安全性分析? 作用和效果：-分析了各系统的服务和流程-各系统分析了数据流中服务的安全性最后工作小组成员对业务过程进行梳理和UML建模，输出：a) XXX业务模型b) XXX业务流程重要性等级划

2、分及关键流程识别而后工作小组成员进行各系统安全现状评估和风险分析:? 主机系统安全现状评估-评估方式：人工评估 & 工具扫描-输出：主机扫描报告&主机人工报告? 网络安全现状评估：-评估方式：人工评估；-输出：网络架构报告? 数据库安全现状评估-评估方式：人工评估；-输出：数据库报告? 应用安全现状评估：-评估方式：人工评估 &访谈；-输出：应用安全报告? 策略和管理现状评估：-评估方式：访谈(主管；运行维护；用户)&查阅现有策略文档-输出：策略分析报告，安全管理评估报告? 各系统风险分析-分析方式：通过 UML建模对各系统的安全现状进行分析-输出：各系统风险分

3、析报告。? 综合风险分析-分析方式：综合各系统共性风险，摘出各系统个性风险，提出安全对策-输出：综合风险分析报告 1篇二、 工作小组成员进行安全框架设计 分别对以下问题进行分析检查： 安全现状评估和风险分析结果 资产 安全现状评估和风险分析结果 威胁 安全现状评估和风险分析结果 弱点 安全现状评估和风险分析结果 风险 项目组首先进行安全域划分，将客户单位划分为对外服务区和内部生产区： 而后项目组进行等级保护定级 工作小组成员进行安全需求分析：综合安全评估阶段发现的风险和等级保护列表筛选后的结果,整理得到现网的安全问题管理类安全问题 策略类安全问题技术类安全问题项目对 IT 资产进行全面调查，输

4、出：a) 核心网各系统资产信息列表b) 核心网各系统详细拓扑图c) 核心网信息资产调查总结报告d) 核心网信息资产调查差异性调查报告 并且对电子政务网进行安全域划分，输出：a) 安全区域和等级划分报告ITb) 核心网安全体系框架设计报告 根据已经建立的业务模型和业务等级，分析组织的 IT 技术架构和处理功能，形成过程的必要的控制目标，输出：a) IT 过程定义及控制框架b）IT过程重要性等级划分及的控制目标c）关键IT过程管理指南-CSF、KGI、KPI及CMM列表风险控制风险评估的过程是:a）对信息资产进行识别，并对资产赋值；b）对威胁进行分析，并对威胁发生的可能性赋值；c）识别信息资产的脆

5、弱性（弱点 偏洞），并对弱点的严重程度赋值；d）计算信息资产的风险值，得到信息资产的风险级别，并对风险进行处置,的控制措施。工作小组成员通过风险评估和等级保护差距分析，项目组确定安全问题存在于以下领域:? 信息安全方针和组织? IT规划和建设安全? 信息资产安全管理? 信息安全风险管理? 系统安全维护? 信息安全审计? 安全事件响应? 安全意识和培训工作小组成员通过分析得出安全解决方案建议安全加固与实施：系统服务加固注册表加固帐号加固补丁升级安全策略加固数据库加固 应用软件升级调研各个系统应用需要使用的端口对防火墙的控制策略进行细化，遵循最小化原则风险评估主要实施阶段，通过人工/工具的方法对全

6、网进行安全调研和分析, 成果文档：a）安全风险评估方案b）威胁评估报告c）设备安全报告主机d）设备安全报告网络设备e）应用安全分析报告f）数据库安全分析报告g）核心网网络结构安全分析报告选择合适输出系列h）安全策略分析报告i) 安全管理评估报告j)风险综合评估和现状报告安全规划对风险控制措施的分析和论证包括：对安全风险控制措施进行相关性分析对每个安全风险控制措施进行紧迫性分析对每个安全风险控制措施进行可实施性分析对每个安全风险控制措施进行实施难易程度分析对每个安全风险控制措施进行预期效果分析 对每个安全风险控制措施进行综合分析，形成二到三年的安全规划。工作小组成员在此阶段输出：b) 安全建设规

7、划建议报告 解决方案设计输出系列安全管理和技术解决方案 ，其中包括：a) 网络安全解决方案b) 安全事件报告和处理制度c) 安全应急计划指南d) 安全组织体系e) 第三方保密协议f) 第三方接入安全审批流程g) 关键数据安全管理规定h) 介质安全管理规定i) 数据备份和恢复安全管理办法j) 网络接入管理办法k) 网络与信息安全管理办法l) 网络与信息安全监控管理规定m) 系统安全配置管理规定n) 业务持续性规范o) 应用系统开发安全管理规定p) 组织人员安全管理制度q) SQL 安全配置标准r) WINDOWS 安全配置标准s) 防火墙安全配置标准t) 网络设备安全标准u) 安全维护作业计划( SQLSERVER )v) 安全维护作业计划( Windows )w) 安全维护作业计划(交换机路由器) 安全加固： 工作小组成员对 DMZ 区和资源共享区的主机设备实施安全加固，消除了绝大部分高风险的漏洞，并且输出：a) 安全加固服务报告b) 安全维护手册 (由系列安全配置标准和维护作业计划构成)c) 灾难恢复计划 (此文档包含在数据备份和恢复安全管理办法中)d) 安全设备优化调整实施方案e) 安全设备优化调整实施报告为保证终端与补丁管理能够保证主体(服务器、网络设