网络风险评估方案

1、网络风险评估方案【最新资料，WORD文目档，录可编写改正】、网络安全评估服务背景安全评估观 点安全评估的日的目标现状描绘二、风险评估内容说明风险等级分类评估目标分类评估手段评估步骤评估检测原则三、评估操作人员访谈&检盘问卷人工评估&工具扫描模拟入侵四、项目实行计划项目实行项目文档的提附录一：使用的工具简单介绍Nessusscanner英文版Xscan-gui中文版辅助检测工具附录二：* 信息技术有限公司简介网络安全服务理念网络安全服务特点一、网络安全评估服务背景风险评估观点信息安全风险评估是参照风险评估标准和管理规范，对信息系统的财产价值、潜伏 威迫、单薄环节、已采纳的防备举措等进行剖析，判断

2、安全事件发生的概率以及可能 造成的损失，提出风险管理举措的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从初期简单的破绽扫描、人工审计、浸透性测试这类种类的纯技术操作，渐渐过渡到当前广泛采纳国际标准的 BS7799、ISO17799、国家标准信息系统安全等 级评测准则等方法，充分表现以财产为出发点、以威迫为触发要素、以技术 /管理/ 运转等方面存在的柔弱性为诱因的信息安全风险评估综合方法及操作模型。风险评估目的风险评估的目的是全面、正确的认识组织机构的网络安全现状，发现系统的安全问 题及其可能的危害，为系统最后安全需求的提出供给依照。正确认识组织的网络和系 统安全现状。拥

3、有以下目的：找出当前的安全策略和实质需求的差距获取当前信息系统的安全状态为拟订组织的安全策略供给依照供给组织网络和系统的安全解决方案为组织将来的安全建设和投入供给客观数据为组织安全系统建设供给详确依照别的还能够经过选择靠谱的安全产品经过合理步骤拟订合适详细状况的安全策略及 其管理规范，为成立全面的安全防备层次供给了一套完好、规范的指导模型。目标现状描绘XXXXXXX 省略 XXXX风险评估内容说明风险等级分类信息系统风险包含下表所示内容，本方案依照国家二级标准将对XX公司信息风险进行评估。下边列出了依据短处威迫严重程度与短处发生的可能性的赋值表：威:迫严重程度（财产4介值）区分表等级 表记 描

4、一旦发生将产生特别r重的经济或社会影响，如组织信用严重5很高损坏、）五重影响组织的正常经营，经济损失重要、社会影响恶劣、。一旦发生将产生较大E勺经济或社会影响，在必定范围内给组织高的1经营和组织信用造戈伤害。一旦发生会造成必定E勺经济、社会或生产经营影响，但影响面中和1影响程度不大。一旦发生造成的影响程度较低，一般仅限于组织内部，经过一:手段很快能解决,J1 K 17很低U一旦发，生造成的影响几乎不存在，经过简单的举措就能填补。:迫可能性赋值表等级 表记 定义出现的频次很高（或N1次/周）；或在大部分状况下几乎不行 很高防止；或能够证明常常发生过。4 高出现的频次较高（或N 1次/月）；或在大

5、部分状况下很有可能会，发生；或能够证明W乡次发生过。出现的频次中等（或1次/半年）；或在某种状况下可能会发中生:;或被证明以前发，K过。低;出现的频次较小；E典一般不太可能发生；或没有被证明发生过。很低威迫几乎不行能发生，仅可能在特别稀有和例外的状况下发生。财产短处进t行赋值后，使用矩阵法对短处进:行风险等级区分。风险评的矩阵表格资 产以下:威迫可能性1234541 A1 Q:124101:23591216用价2值245814192341115072后依据财产价值和柔弱性严重程度值在矩阵中进行比较，确立威迫的邙佥等级E 亿乱 A/r 沌/ l 左六土风险等级区分比较表19风险值1-67-121

6、：)-18-2324-25风险等级12345最后对财产威迫进行填表登记，获取财产风险评估报告。严重 可 风险财产威迫名称程度 能性 等级财产1财产2评估目标分类依据信息系统安全等级评测准则，将评估目标区分为以下10个部分机房物理安全检测网络安全检测主机系统安全应用系统安全数据安全安全管理机构安全管理制度人员安全管理系统建设管理系统运维管理在实质的评估操作中，因为出于工作效率的考虑，将评估目标进行整合实行观察，评估达成后再依据评估信息对区分的 10个部分进行查对，检查达标的项目。评估手段安全评估采纳评估工具和人工方式进行评估，即依据定制的扫描策略实行远程评 估，依据评估工具的初步结果进行人工剖析

7、和本机控制台剖析。评估步骤风险评估项目描绘 备注1、网络安全评估知识培训从而在评估前就网络信息安全典 目的是为了让客户对网络安全有个清楚的认识 型事例培训 惹起其重视，方便后边动作的睁开。网络安全评估流 目的是为了客户能理解我们的工作，从而获取客户的支持。程培训2、财产评估米集信息达成财产信息登记表能够远程操作3、威迫评估对物理安全进行参照物理安全规范表访谈、查察有关文档， 实地评估观察对人员安全管理参照人员安全管理规范表访谈人事部门有关人员进行评估4、弱评论估（达成网络安全、应用安全、主机安全规范表）整体网络安全信Xscan-gui进行全网安全扫描，获取全网的安全统计 使用网络版杀毒杀毒软件

8、对全网络的操作系统破绽状况进行扫使用工具共享资源扫描整个网络，同时演示给客户其裸露在内 网Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行采集应用服务依据checklist对服务器进行当地安全检查使用密码强度测试工具恳求客户网管进行密码强度测试Nessus对网络设施进行安全扫描网络设施使用密码强度测试工具恳求客户网管进行密码强度测试依据checklist对网络设施进行当地安全检查5、安全管理评估析数据安全检查管理机构评估安全管理制度系统建设管理系统运维管理6、浸透测试浸透测试浸透测试报告7、数据整理、财产风险信息系统安全加固建议需要访谈对方领导，需要获取领导的支持与配

9、合经过问卷检查的方式获取部分内容、管理制度文档查查察有关文档、访谈网管访谈部门领导、网管。实观察签订有关受权协议领导参阅版和技术人员参阅版依据checklis进行加固网络拓扑构造分剖析冗余、负载平衡功能数据安全规范表先安全管理机构规范表安全管理制度规范表审系统建设管理规范表地系统运维管理规范表参照有关浸透测试方案XX系统浸透测试报告风险评估报告以及加固建议财产风险评估报告整体网络安全报告安全加固报告、管理规范建议评估检测原则 标准性原则依照国际国内标准睁开工作是本次评估工作的指导原则，也是*信息技术有限公司供给信息安 全服务的一向原则。在供给的评估服务中，依照有关的国内和国际标准进行。这些标准

10、包含：信息安全风险评估指南信息系统安全等级保护测评准则信息系统安全等级保护基本要求信息系统安全保护等级定级指南(试用版v3.2)计算机机房场所安全要求(GB9361-88)计算机信息系统安全等级保护网络技术要求(GA/T387-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2002)计算机信息系统安全等级保护数据库管理系统技术要求(GA/T389-2002)计算机信息系统安全等级保护通用技术要求(GA/T390-2002)计算机信息系统安全等级保护管理要求(GA/T391-2002)计算机信息系统安全等级保护区分准则(GB/T17859-1999)可控性原则人员可控性：

11、将差遣数名经验丰富的工程师参加本项目的评估工作，有足够的经验对付评估工程中的突发事件。工具可控性：在使用技术评测工具前都预先通知。而且在必需时能够应客户要求，介绍主要工具的使用方法，并进行一些实验。完好性原则将依照供给的评估范围进行全面的评估，从范围上知足的要求。实行的远程评估将波及所有外网能够接见到的设施；实行的当地评估将全面覆盖安全需求的各个点。最小影响原则*信息技术有限公司会从项目管理层面和工具使用层面，将评估工作对系统和网络正常运转的可能影响降低到最低限度，不会对现有运转业务产生明显影响。*信息技术有限公司和参加此次评估项目的所有项目构成员， 都要与签订有关的保密协议。三、评估操作人员

12、访谈&检盘问卷为了检查XXXX安全现状，主要在安全管理方面进行一个安全状况的检查和摸底，我们采纳安全审计的方法，主要依照国家等级安全标准的要求，*向XXXX提交了详 细的问题清单，针对管理层、技术人员和一般职工分别进行当面的访谈。经过人员访谈的形式，大范围地认识XXXX在信息安全管理方面的各项工作状况和安 全现状，作为安全弱评论估工作中的一个重要手段。过程描绘此阶段主要经过提出版面的问题审计清单，安全工程师进行问题解说，和XXXX有关人员共同回答，并咨询有关背景和有关凭证的工作方式，以此来认识XXXX的对于信息安全各方面的基本状况。此访谈包含的内容为：物理安全规范、人员安全规范、数据安全规范、

13、安全管理制度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。人工评估&工具扫描此内容评估采纳扫描工具和人工方式（仿黑客攻击手段）进行评估，即依据定制 的扫描策略实行远程评估，依据评估工具的初步结果进行人工剖析和本机控制台剖析。项目 内容Nessus英文版专业安全评估软件Xscan-gui 中文版密码强度测试器Sql注入浸透测试工具安全评估辅助工具评估自动化脚本阿D注入工具模拟入侵浸透测试自动化检测脚本评估检测安全统计报告当地人工全网出具安全加固报告工具扫描过程描绘 因为评估可实质操作的时间有限，我们对该网络安全评估拟订以下评估步骤：网关设施的安全扫描评估，其内容包含：用Nessus

14、扫描网关设施，获取设施的操作系统破绽信息，开启的服务信息以及开放的剩余端口信 息等，工具自动生成扫描报告；应用服务器的安全扫描评估，评测内容为：用nessus扫描各个服务器，获取操作系统的破绽信息，开启的服务信息和裸露出来的敏感信息等， 工具自动生成扫描报告。整体网络扫描探测，评测内容为：使用xscan-gui扫描网络内的共享资源、并依据评估人员总结的密码列表进行常用密码猜解；假如 时间充分将考虑进行共享资源、弱口令的利用演示，让客户认识该威迫的严重性。使用客户自有的网络版杀毒软件控制中心破绽扫描功能对用户电脑进行破绽检测；（假如客户未部 署网络版杀毒软件，则不操作此项。）人工评估过程描绘网关

15、设施的人工评估，其内容包含：登录设施剖析router、firewall、switch等网关设施的配置；依据checklist对网络设施进行手工检测；对网络设施密码进行强度测试；应用服务器的人工评估，其内容包含：使用自动化评估脚本进行信息采集；依据checklist对服务器进行手工检测；对服务器密码进行强度测试；（有必定难度，选做）对服务器日记进行审计，获取服务器的安全状况；整体网络安全的人工评估，其内容包含：剖析网络拓扑图能否具备必定的攻击防备、重要设施冗余等信息；剖析整体网络的网段区分、IP地点规划能否合理；最后剖析工具扫描、人工评估中采集到的所有数据，并做出加固建议报告：剖析所有扫描日记及

16、人工评估记录，做出安全剖析报告；针对出现的安全威迫做出加固建议报告。模拟入侵在获取客户受权的状况下，对路由器、firewall、网站进行远程模拟入侵，在指准时间，我公司工 程师将完好模拟外面入侵者的身份以全部可行的入侵方式，做到对网络无伤害的攻击，完好从黑客的角度发现受检系统的所有安全破绽或安全 隐患；过程描绘a远程模拟入侵将打破口暂定为公司对外网站、路由器设施、vpn设施等几个出口。b如能远程从这三个的Internet出口找出可入侵的打破口，将持续找寻其余隐患试图向骨干网深入。c找到打破口后，试试利用破绽提权，获取WEBshello安全短处的探测方法自编程序：对某些产品或许系统，已经发现了一

17、些安全破绽，但其实不必定实时对这些 破绽的打上“补丁”程序。经过这些破绽进入目标系统。利用商业的软件：比如nessus等网络安全剖析软件，能够对目标进行扫描，找寻规则 库中的安全破绽。手工剖析：联合*信息技术有限公司的网络安全工程师的工作经验，对目标服务器 进行手工提交的方式（SQL注入等方式）模拟入侵。当我们获得需要的信息此后。将成立一个近似攻击对象的模拟环境，而后对模拟目标机进行一系列的入侵。如我公司工程师在入侵测试工作中成功打破Web服务器或其余有关主机并可接触到应用程序段或数据库段，我公司将马上以文档或口头方式告之项目负责人。并在次 日与项目负责人见面并商议下一步入侵检测工作计划，如发

18、生入侵检测工作影响到网 站及其余服务器正常服务状况。我公司工程师将在第一时间通知有关技术人员，并以 最快的速度赶往现场辅助有关技术人员办理有关问题。四、项目实行计划针对网络安全评估项目，我们定制以下的工作流程:网络拓扑剖析、接见控制、系统破绽、抽查个人主机安全状况检测用户安全知识检查检测办公网络安全隐患做详尽统计，确立评估范围X网络安全评估实行方案X网络浸透测试实行方案依据 checklist依据 checklist网络管理规范评估入侵浸透物理安全评估其余其余报告查察文档、访谈的方式进行管理规范评估在外网依据XX浸透测试实行方案进行评估文档编写阶段编写整体网络安全评估报告技术人员参阅详尽列出安

19、全风险版编写入侵浸透报告编写评估问题总结报告编写网络安全评估报告只对安全内容进行归纳统计领导参阅版编写加固建议客户反应问题 汇总安全加固实行阶段拟订加固方案网络安全加固实行方案确立加固范围与客户磋商确立加固范围实时间、实施人员实行加固方案实行过程问题总结项目查收阶段安全加固查收其余安全加固查收报 告网络安全建议 书项目文档的提交提交评估报告：网络安全评估报告（领导参阅版）整体网络安全评估报告（技术人员参阅版）网络安全加固实行方案浸透测试报告附录一：使用的工具简单介绍Nessusscanner英文版Nessus有 超出被认为是当前全球最多安全技术人员使用的系统短处扫描与剖析软件。总合75 个机构

20、 Ne作为扫描该机构电脑系统的软件。,000 使用ssus9981年,Ne 的创 RenaudDerai 、睁开了一项 Nes 的计划，其计划目的是希望能位因特网社群供给一个免费、威力强盛、更新屡次并简略使用 的远端系统安全扫瞄程式。经过了数年的发展， 包含CERT与SANS等有名的网络安 全2002NetworkSecurity 了 Nessus 的版权与程式源代码 站。有关机构皆认可此工具软件的功能与可用性。年时，Renaud 与 RonGula,JackHuffard 创立了一个名为 Tenable的机构。在第三版的Nessus释出之时，该机构回收(本来为开放源代码)，并注册了成为该机构

21、的网当前此机构位于美国马里兰州的哥伦比亚。Nessus的特点供给完好的电脑短处扫描服务，并随时更新其短处数据库。供给不一样于传统的短处扫描软件,Nessus可同时在本机或远端上摇控, 进行系统的短处剖析扫描。其运作效能能跟着系统的资源而自行调整。假如将主机加入更多的资源(比如加速CPU速度或增添内存大小)，其效率表现可因为丰富资源而提升。可自行定义外嵌软件(Plug-in) 完好支持 SSL(SecureSocketLayer)。自从1998年开发到现在已谕十年，故为一架构成熟的软件。Xscan-gui 中文版X-Scan是国内最有名的综合扫描器之一，其界面支持中文和英文两种语言、包含图形界面

22、和命令行方式。主要由国内有名的民间入侵者组织“安全焦点”“风险等级”评估，并供给破绽描绘、破绽溢出程序，方便网管测试、修理破绽建议等。 辅助检测工具密码强度测试器Sql注入浸透测试工具 评估自动化脚本 阿D注入工具附录二： * 信息技术有限公司简介信息技术有限公司成立于2006年，作为网络安全服务商，公司主要为客户供给计算机安全风险评 估、安全等级评估、安全检查、安全培训、网上信息安全审计、病毒防治和安全应急办理等服务，并依靠自己强盛的技术实力为客户供给全面的网络安全解决方案和网络安全服务。网络安全服务理念依据客户需求定制相应的安全解决方案是*信息技术有限公司的安全服务理念。 实时正确完美”是

23、*信息技术有限公司的服务作风。网络安全服务特点第三方安全服务供给商信息技术有限公司主要对外供给以下的特点网络安全服务：网络安全顾问服务信息技术有限公司作为专业的网络安全服务供给商，在过去的网络安全项目和平时工作中累积了大批的网络安全项目规划实行经验和专业的网络安全知识，能够为客户供给适用、靠谱的网络安全顾问服务，服务主要包 括以下几点：信息化建设或网络安全建设项当先期的需求剖析和安全规划； 平时运维过程中的安全技术指导和安全制度定制； 新系统、新业务的安全性、靠谱性剖析；网络安全培训；网络安全项目查收期安全评估服务网络安全项目实行成功与否最好的判断方法就是模拟攻击者对网络的内外层面做全面的模拟

24、入侵。一轮全面的模拟入侵以后，马上能够对网络安全项目实行的结果做出明确判断。* 信息技术有限公司有资质和有能力 肩负网络安全项目查收期安全评估服务。依据我们的评估结果，敦促客户的安全供给商不停的改正安全系统。最后达到项目的安全需乞降国家的网络安 全要求，可为客户供给技术依照、区分安全责任。安全评估*安全评估是对现有系统整个或单个进行全方向的评估，包含桌 面主机系统，服务器系统，应用服务系统以及网络设施系统等。经过全方 向的评估，以期发现安全建设中潜伏的风险和威迫，最后达成评估报告； 为网络安全的建设供给现实依照，为安全保障工作供给技术指导。安全检 查和加固*安所有是一个计划、建设、检查的循环过程，没有一层不变的 威迫，也没有一劳久逸的安全；要保证网络的高度安全，须按期或不按期 的对整个安全架构或单个应用系统进行检查，实时发现存在的破绽，从而 对破绽进行修理和安全加固。*信