版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、-. z.网络平安抽查工作方案一、现场工作相关事宜及方案对*信息系统进展网络平安抽查工作,抽查的*围包括省、市、区县级现场抽查工作,时间周期如下:现场抽查时间周期:*.*.*星期*至*.*.*星期*抽查工作时间方案和需要提供的工作条件及信息资料如下但具体工程进度根据现场实施情况灵活调动:现场抽查工作方案工作准备序号工作事项需配合事项时间安排1现场调研。提供信息系统设备清单、网络拓扑图、所有应用系统URL、系统业务功能说明、管理制度及记录文档等。第一工作日第二个工作日2现场测试办公环境。需要提供单独的办公场所至少能容纳6人。第一工作日2现场测试需要接入内网可访问内网所有的信息系统,需要接入互联网
2、可正常上网。需要提供互联网和内网接入条件。第一工作日3测评过程中需要工程师全程配合。在测评过程中需要被测单位相关人员全程配合。第一工作日4扫描设备接入,在非工作时间对所有系统的局部效劳器进展平安扫描。本次网络平安抽查需要部署系统漏洞扫描设备到信息机房中对所有系统的局部效劳器进展平安扫描,需要提前做好设备接入相关审批,预留接入接口和设备接入IP地址。第一工作日5应用系统入侵痕迹分析。本次网络平安抽查需要对应用系统历史的应用日志进展分析,需要各系统管理员或日志审计管理员提供各系统的访问日志,提供2016年3月1日2016年3月20日的日志。第二工作日6需要对物理机房进展测评。需要提前做好进入机房的
3、流程审批。第二工作日7对各信息系统进展渗透测试的准备工作。需要提供被测应用系统测试账户、密码。第二工作日第九个工作日提供C/S架构的系统客户端软件和插件。提供登陆应用系统身份认证的UKEY。提供所有应用系统的URL。主机平安测评序号工作事项需配合事项时间安排1被抽查系统的主机效劳器平安测评。需要被测信息系统的效劳器运维工程师配合。第三工作日第四工作日2被抽查系统的主机数据库平安测评。需要被测信息系统的DBA数据库运维工程师配合。第三工作日第四工作日应用平安测评序号工作事项需配合事项时间安排1被测信息系统主机应用平安测评。需要被测系统应用系统运维工程师配合,并且需要运维工程师使用高权限管理员账户
4、登录系统,查看系统中的平安配置。第三工作日第四工作日网络平安测评序号工作事项需配合事项时间安排1网络全局平安测评。需要网络工程师讲解网络拓扑情况,网络平安防护情况,并且提供网络拓扑图。第二工作日2网络设备平安测评。需要网络工程师以管理员账户登录网络设备,查看平安配置。第二工作日第三工作日3平安设备平安测评。需要网络工程师以管理员账户登录平安设备,查看平安配置。第四工作日第五工作日物理平安测评序号工作事项需配合事项时间安排1需要进入信息系统的主机房和备份机房,查看机房的平安建立情况。需要机房管理员配合配合进入机房对机房的平安建立情况进展讲解和展示。第一工作日平安渗透测试序号工作事项需配合事项时间
5、安排1在内网对各系统效劳器进展漏洞扫描。需要将漏扫设备放入物理机房中对各系统效劳器进展漏洞扫描。第一工作日2对被测系统进展渗透测试。需要管理员尽量能在现场,并且能及时提供系统登录UKEY、访问权限和测试账户,管理员保持的畅通,如果局部测试决定在夜间进展,我方会提前一天告知。第一工作日第五工作日入侵痕迹分析序号工作事项需配合事项时间安排1对各被测系统的历史日志进展入侵痕迹分析。需要被测系统管理员及时提供各系统访问日志。第一个工作日第五工作日平安管理序号工作事项需配合事项时间安排1对信息系统建立、系统管理以及平安策略部署落实情况进展审查。提供信息平安管理制度,制度执行过程记录文档和资料,以及平安主
6、管配合访谈。第五个工作日地市、区县抽查序号工作事项需配合事项时间安排1对*、*级网络平安情况抽查。需人员陪同,抽查工作协调配合,提供渗透测试现场接入环境、拓扑图、设备清单IP、所有应用系统URL等。第六个工作日第七工作日2对*进展网络平安情况抽查。需人员陪同,抽查工作协调配合,提供渗透测试现场接入环境、拓扑图、设备清单IP、所有应用系统URL等。第七个工作日第八工作日现场工作总结序号工作事项需配合事项时间安排1现场汇总,查缺补漏。现场遗漏工作进展配合检查。第九个工作日2清楚工作痕迹。检查是否存在工作遗留痕迹,保证系统正常运行。第九个工作日3归还纸质、电子资料。清点资料。第九个工作日二、测试风险
7、及躲避措施在评估过程中,被评估系统可能存在风险,但是风险评估工作本身也具有一定的客观风险,如果评估过程风险防*不够,将给系统正常运行带来一定的影响。虽然我们对平安评估工作做了比拟多的准备,在具体实施过程中可能也会存在一定的风险,经初步分析认为,本次评估工作可能存在以下的风险,包括:信息泄密风险操作风险进度风险本钱风险2.1信息泄密风险评估人员可能造成资产信息泄露风险。序号风险类型风险场景风险级别躲避措施1信息泄密风险U盘、存储设备丧失或被盗。低U盘、存储设备加密。纸质资料丧失或被盗。低纸质资料不允许带出办公场地。电脑感染病毒、木马造成被评估企业的敏感信息被盗。中存储敏感信息的电脑都不连接互联网
8、。人员成心泄密敏感信息。低制定平安*制定、人员审查、签署*协议。2.2操作风险序号风险类型风险场景风险级别躲避措施1质量风险工作完成时发现未到达预期目标中配合双方一致同意工作实施方案,并严格按方案实施。工作设定阶段验收节点。2误操作风险上机操作低配置核查时由配合方调取数据,检测人员读数据,操作完毕后复核签字。3运行自动化脚本低在真实环境运行自动化脚本前,需经被测单位审核脚本对系统的影响,操作完毕后复核签字。4应用平安测试低应用平安测试如分配高权限*,配合方必须在场监视。操作完毕后复核签字。5漏洞扫描测试中填写漏洞扫描申请单,不进展拒绝效劳和溢出等对系统影响的测试,并对应用状态进展监控。操作完毕
9、后复核签字。6渗透测试中不进展对系统正常运行有影响的测试,不留后门和木马,提前通知数据备份和系统状态监控。7接入测试设备高制定详细接入方案,被测单位审核,接入时被测单位网络管理人员现场监视。操作完毕后复核签字。2.3进度风险序号风险类型风险场景风险级别躲避措施1方案变更方案变更,增加工作内容。低在方案变更时考虑进度因素,工作量增加,延迟工期或增加人力。2人力资源人员生病、工作调动等因素造成减员。低提供充足人力资源、人员备份。3*围变更*围变更,造成工作量增多。低在*围变更时考虑进度因素,工作量增加,延迟工期或增加人力。4外部因素天气恶劣、政府行为等原因无法施工。低双方协商顺延工期。5实施条件实施条件不具备,例如办公场地不够、配合人员出差等。低评估方实施前提出配合的事项,被测单位协助协调和配合。6第三方机构影响公安、政府等要求检查或封网。低双方协商
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 政府部门网络安全应急预案
- 校长工作职责
- 国际美食文化交流方案
- 学校医务室工作职责
- 创业团队股东退股协议书
- 大型活动搭建挖机租赁合同
- 商业地产电子围栏项目合同
- 医疗保险内控制度与服务质量提升
- 衡器生产与计量作业指导书
- 企业财务智能化管理平台开发实施方案书
- 进度款申报表
- 纺织品抽样方案
- 栏杆、栏板、扶手施工组织方案
- 竣工决算审计服务方案范文
- 交通信号控制系统检验批质量验收记录表
- 教师心理健康讲座完整版本课件
- 锤击钢筋混凝土预制桩综合施工记录
- 物流公司人员配置及岗位职责(6篇)
- DB11-T1497-2017学校及托幼机构饮水设备使用维护规范
- 醛酮的化学性质说课市公开课获奖课件
- 建筑工地危大工程清单表
评论
0/150
提交评论