集团企业信息安全风险评估技术方案

集团企业信息安全风险评估技术方案概述项目背景近年来，随着信息化技术越来越深入和广泛的应用，信息安全的风险日益加大，国家和各行业主管机构都对防范信息安全风险非常重视。国家信息化领导小组颁发的GB/T-20984-2007《信息安全技术-信息安全风险评估规范》系列标准文件对我国信息安全保障工作做出原则性战略性的规定，要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，经过多年左右的努力，基本形成国家信息安全保障体系。2017年6月，《中华人民共和国网络安全法》正式实施，网络安全已经提高到了一个前所未有的高度。在“第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”由此可见，风险评估工作是当下重点保护对象及开展工作建设的重中之重。为进一步保障XXX公司的信息化安全，降低信息安全风险，XXX公司拟于今年在xx我司（天津）科技有限公司（以下简称“xx我司”）的协助下，对本公司的XXX系统实施信息安全风险评估工作，为该业务系统稳定运行提供安全保障。项目目标通过实施整体信息安全风险评估服务（包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务）提高XXX系统的安全性和可靠性，并在紧急情况下对提供紧急安全事件响应支持，控制并降低来自于互联网的安全风险。通过本次信息安全风险评估服务项目，可以达到以下主要目标：通过安全风险评估，得到该系统的整体安全现状；通过渗透测试和安全技术评估，分析XXX系统存在的各类技术性安全缺陷，并进行整改；通过管理体系评估，发现在风险管理、安全策略和内部控制等方面存在的问题并加以改进；通过安全加固和策略体系改进，全方位的提升XXX系统的信息安全管理水平。项目内容本次整体信息安全风险评估项目的内容可以分为几个部分：信息安全风险评估信息资产调查调查和统计XXX系统所包含的信息资产（包含物理环境、终端、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等），明确其现有状况、配置情况和管理情况。如主机系统，需要明确其平台、版本、补丁等基本情况外，还需明确开放端口、服务和进程等配置管理信息。并对所有信息资产按照一定标准进行资产赋值。现有安全系统调查工作包括明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器等)的部署情况和使用情况；同时了解在建网络与信息安全建设项目，使之服从统一部署原则。安全风险评估根据XXX系统现有的安全标准规范和业务对安全的要求，分析主机、网络及安全设备面临的威胁，评估现有系统的存在的弱点，明确所有信息系统面临的安全风险和隐患。应用系统渗透测试通过黑客或白客方式对指定的Internet业务系统进行渗透攻击，发现该系统存在的安全隐患，并提出解决措施。信息系统安全加固安全加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在系统的网络层、主机层和应用层等层次建立符合安全需求的安全状态，并以此作为保证该信息系统安全的起点。安全策略体系整改通过对现有安全体系策略制度的审阅、解读和差距性分析，对现有安全管理制度和内控制度进行改善，使之能够完全符合当前国内相关控制标准的要求，并向相关的国际化标准看齐。项目设计原则符合性原则：符合国家等级化保护体系指出的积极防御、综合防范的方针和等级保护的原则。标准性原则：服务方案的设计与实施应依据国内或国际的相关标准进行；规范性原则：服务工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；可控性原则：方法和过程在双方认可的范围之内，安全服务的进度要按照进度表进度的安排，保证甲方对于服务工作的可控性；整体性原则：安全服务的范围和内容整体全面，包括安全涉及的各个层面（应用、系统、网络、管理制度、人员等），避免由于遗漏造成未来的安全隐患；最小影响原则：安全服务中的工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响；保密性原则：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方的行为，否则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销毁所有和本项目有关的数据和文档。项目范围本项目选择XXX公司的XXX系统作为服务对象。文件和法律法规国内政策与标准：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《关于开展信息安全风险评估工作的意见》2006年1月国家网络与信息安全协调小组；《关于印发《信息安全风险评估指南》的通知》2006年2月国信办（国信办综[2006]9号）；GB/T-20984-2007《信息安全技术-信息安全风险评估规范》《中华人民共和国网络安全法》中央网信办《关键信息基础设施安全保护条例（征求意见稿）》国际政策与标准：ISO/IEC27001信息安全管理体系标准COSO/COBIT内控和信息技术控制框架ISO/IECTR13335Series,GuidelinesforthemanagementofITSecurity(CMITS)，1996-2001NISTSP800Series,ComputerSecuritySpecialPublications，1991-2005本项目的理解对项目目标的理解安全风险评估工作是信息安全体系运作体系中风险管理的重要组成部分，通过周期性的安全风险评估工作发现公司的安全现状，为公司安全建设和安全加固提供数据基础。综上所述，本期项目的目标是：通过安全评估的技术手段，尽可能发现和定位XXX系统存在的安全风险，为安全加固、系统整改及应急响应提供依据和技术指导，降低整体的安全风险。对项目特点的理解通过上面对本项目目标的分析，本期深度安全风险评估工作存在如下特点：要求高：由于XXX公司业务的快速增长，对信息安全的要求越来越高，所以要比以前采用更加规范的项目管理要求；本次评估的技术深度和广度，都要强于以前的项目及同行业的要求（多个系统的应用分析）；采用的技术标准，是当前最新、最及时的，相比历史评估工作和同行业类似工作的技术要求是最高的；技术与管理并重：由于面临的外部威胁的压力和影响力比以往要大很多，所以本次项目更加侧重于通过外部渗透测试的方法，发现从外部的威胁和影响（尤其是从外部Internet进行渗透测试）；本次项目渗透测试涉及的系统范围更广，而且更深地分析通过“信任关系”发生的渗透，从而发现“木桶原理”中的“最短那块板”；更加侧重于应用系统自身特点的安全评估：综合分析业务和管理层（数据流，角色权限…）；应用层（数据库，中间件）；系统层（主机操作系统）；网络层（网络架构，网络设备），提出的安全风险更加有针对性；各应用系统有不同的特点，在本次项目中要结合不同部门、不同系统特点进行相应的应用系统安全评估；更加考虑安全加固和应急响应体系建设的可行性：本次项目在实施过程中安排了时间，对发现的问题进行及时地讲解和答疑；对发现的问题提出的解决方案，和系统管理员及时沟通，并协助进行讲解和培训，对不能直接解决的，提出综合解决、降低风险的方案。项目总体方法与流程概述风险管理（RiskManagement）旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。风险管理是良好管理的一个组成部分，它用一种将损失减小到最低程度而使商业机会达到最大限度的方式，对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理过程（RiskManagementProcess）是指系统地将管理方针、程序和结构应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等过程任务。在信息安全领域，同样适用于风险管理的理念和方法论。在当前信息技术得到普遍应用，并且很多成为关键业务系统的环境下，企业或组织的信息安全风险很大，而且普遍缺乏有效的控制和管理，但过度的风险管理，无疑会导致大量的金钱和人力的花费、以及工作效率的严重降低。所以，如何适度和有效地进行信息安全的风险的管理和控制，成为了一项迫切和重要的任务。下面的描述即是阐明风险评估过程的理念和方法论，以作为xx我司安全服务的标准方法论和理论基础，指导和规范xx我司的安全风险安全服务工作。安全模型参考在澳大利亚和新西兰国家标准《风险管理RiskManagement》（AS/NZS4360:1999）中描述了风险管理过程，如下图所示：在国际标准ISO13335中，安全模型如下图所示，特点是以风险为核心。在国际标准中，安全模型如下图所示，其特点是强调了模型的对抗性和动态性。可以看出，安全模型中的核心要素都是资产、弱点、威胁、风险、安全措施等，各要素之间的关系也基本类似，只是描述和关注的角度不同。风险评估方法风险评估模型在安全评估服务中，xx我司参照上述两个安全模型，根据自己的工程实践，建立了自己的风险评估模型，描述如下：在xx我司的风险评估模型中，主要包含信息资产，弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的路径。因此，xx我司风险评估的过程是：对信息资产进行识别，并对资产赋值；识别信息资产的脆弱性（弱点/漏洞），并对弱点的严重程度赋值；对威胁进行分析，并对威胁发生的可能性赋值；综合分析资产价值、资产的脆弱性和威胁发生的可能性，得到信息资产的风险发生的路径和级别，并对风险进行处置，选择合适的控制措施。总体工作流程图根据安全风险评估模型，xx我司安全风险评估的总体工作流程如下图：在评估过程中首先要进行全网的资产调查，识别的内容包括：“信息设备、应用系统、网络环境、组织结构及物理环境；然后进行应用系统安全目标的识别和分析；以及通过安全评估的“业务系统评估”、“渗透测试”、“网络架构评估”、“IT设备弱点评估”、“应用安全评估”、“安全管理评估”、“物理安全评估”各项内容获取“安全现状”(包括：安全威胁)、“安全弱点”。最后通过各系统、子系统的安全目标和其“安全现状”、“安全弱点”的对比分析，得到安全现状和解决方案。本项目采用的安全风险评估方法本次项目由于侧重点于技术问题的发现，并指导今后的安全加固和系统技术整改等技术工作；根据本次项目的特点，准备采用如下三种安全风险评估的方法，主要针对非重点系统、重点系统网络类、重点系统计算类；非重点系统的IT设备弱点评估如下图所示：本评估主要目标是为IT设备的弱点提供安全加固的指导和依据，主要涉及“主机系统弱点评估”；“网络设备弱点评估”；“安全设备弱点评估”。主机系统弱点评估采用人工现场检查和工具扫描两种方式；网络设备弱点评估和安全设备弱点评估，对能够导出配置信息、并配置信息可识别分析的，采用后台人工分析方式；对不能导出配置信息、或配置信息不可识别分析的，采用人工现场检查方式。评估的结果，是体现各单点资产的弱点状况，以及综合的统计分析报告，主要为指导单点设备的安全加固工作。网络类重点系统的安全评估如下图所示：网络类重点系统是公司主要承载各业务的基础平台，其评估的目标不仅是发现现存系统的问题，指导安全加固和系统整改的工作和依据；而且还要根据业务发展需要，为网络建设提供安全保障的规划依据。本安全评估包含：“IT设备弱点评估；网络架构安全评估和渗透测试”，其中IT设备弱点评估和前面的一致。网络架构安全评估包括：网络现状安全合理性分析以及随业务发展需要的网络安全需求分析，主要采用的方法是：后台分析（对网络拓扑、相关技术文档、访问控制等配置信息分析）、现场设备检查（对网络设备或网管系统的安全状况查看）、系统管理员的顾问访谈（网络现状存在的问题、网络安全事件、业务发展对网络的影响及假设）、主管领导的顾问访谈（业务发展对网络安全的要求）；渗透测试，主要采用嗅探及入侵的手法，分析从外部越权进入本系统的路径和可能性，以及可越权访问接入本网络系统的系统范围和影响。注：如无特殊需要，不采用DOS等恶意攻击手段。本评估的结果，除体现单个资产的弱点状况，指导安全加固外；还可为系统整改，划分安全域以及未来网络规划提供参考；同时由于公司涉及网络类系统之间是有强的关联，最后要综合分析各网络类系统和应用系统的关联性，设计全网的网络安全解决方案建议。应用计算类重点系统的安全评估如下图所示：应用计算类重点系统是公司各独立的业务单元，包括完整的主机、网络、应用各项内容；其评估的目标是从深度上（业务管理层<数据流，用户角色权限…>；应用层<数据库，中间件>）；到广度上系统层（主机操作系统）；网络层（网络架构，网络设备），提出全面的安全风险分析报告。本安全评估包含：“IT设备弱点评估；网络架构安全评估；应用系统安全评估和渗透测试”，其中IT设备弱点评估和前面一致。网络架构安全评估主要从网络结构上分析其应用系统安全域划分的合理性及访问控制策略的符合性，具体方法和前面一致。应用系统安全评估，主要包括：对业务逻辑和数据流的安全分析；对应用平台的安全分析。主要方法是：后台分析（对业务系统设计、运行相关技术文档）、现场设备检查（对应用平台和数据库进行安全状况查看）、源代码评估（对部分关键流程的代码进行分析）、系统管理员的顾问访谈（现状存在的问题、安全事件、业务发展的影响及假设）。渗透测试，主要采用入侵和角色提升的手法，分析从外部越权侵入本系统的路径和可能性；以及模拟不同用户角色提升权限，进行数据篡改或越权访问的可能性分析。本评估的结果，除体现单个资产的弱点状况，指导安全加固外；重点为系统整改，安全域划分以及系统开发提供参考。技术难点和关键突破在进行安全风险评估的过程中，由于其规模庞大，信息系统复杂，业务系统的特性和安全属性存在巨大差异，因此对于评估标准的选择，以及评估成果的适用性都提出了巨大的挑战。评估指标的定制面临困难：安全没有定制化的适用的安全指标，造成评估结果不可信一般在安全评估时，评估服务提供者因为在评估前并不熟悉和理解被评估方的业务特性和安全特性，所以不能定制非常适用的评估标准指标，也就是说没有非常适用，反映被评估对象特性的评估标准，一般都采用国际或国家标准。虽然国际或国家标准适用于所有信息系统，但其适用广泛性原因，评估标准比较笼统，不反映行业特性和企业特性。这样，因为缺乏适用的评估标准，造成的评估结果可用性差，也缺乏针对性，不能反映业务特性和行业特性。尤其是如果服务提供者对客户首次评估，存在评估质量较低的风险，这是评估服务业务一个多年存在的难题，很难解决。通常情况下，评估质量取决于评估服务提供者和评估顾问的经验是否丰富，是否非常熟悉被评估者的业务特性和行业特性。解决方法：在评估前设计行业安全评估指标，并在评估开始阶段尽可能的定制能否准确定制行业安全评估指标，即行业评估标准是评估项目能否成功的关键环节之一，它对评估结果的适用性和真实性起着关键作用。在作评估前，我们根据多年对不同行业的丰富评估经验和深刻理解，根据不同的行业业务特性和安全要求特性的理解，总结出反映行业特性的安全要求，设计出针对不同行业的安全对策指标体系，再细化成不同行业的安全评估指标。强调评估成果的适用性面临困难：评估成果和建议难以实施，技术和管理难以有效融合，缺乏抗打击能力和可控性信息安全问题包含管理方面问题、技术方面问题以及两者的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。现有的安全防护措施大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是是片面的。一旦单点防护措施被突破、绕过或失效，整个安全保障将会失效，威胁将影响到整个信息系统。评估成果中解决方案在设计过程中需要系统化的全面考虑，避免单点考虑，形成系统化措施。解决方案：强调多重深度保障和抗打击能力，强调评估成果的可用性27号文件提出“坚持积极防御、综合防范的方针”，《美国国家安全战略》中指出，国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。xx我司在输出评估结果时，会将管理手段和安全技术紧密结合，充分吸收业务特性，建立一个适用性强、可行性强并具有多重深度保障手段的防护网络。信息资产调查和赋值信息资产概述资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的信息资产进行科学识别，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。虽然信息资产具有非常广泛的含义，但这里将信息资产定义如下：信息资产是指组织的信息系统、其提供的服务以及处理的数据。信息资产分类参照GB20984对信息资产的描述和定义，结合安全评估的经验，将信息资产按照下面的方法进行分类：类别解释/示例网络设备一台或一组互备的网络设备，包括网络设备中的硬件，IOS，配置文件数据及其提供的网络服务。包括路由器、交换机、RAS等，防火墙、IDS等安全设备除外。服务器一台或一组服务器，包括服务器硬件、运行于其上的OS、通用应用、服务，数据库、磁盘阵列等。工作站客户端用机、个人用机等。安全设备作为安全用途的硬件和软件,如:防火墙、IDS、AV等。存储设备提供存储用途的硬件和软件，如：磁盘阵列等。业务系统指组织为其应用而开发或购买的各类应用软件及其提供的业务服务。应用平台软件主要是指提供通用服务的各种平台系统，包括：数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等；数据及文档主要指存在于电子媒介或纸制的各种数据和资料，包括数据库数据、存放于硬盘上的文件、代码；财务数据及书面报告等。组织和人员指和安全相关的组织和人员，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等物理环境指支持IT系统运行的基础物理设施，如：机房、空调、UPS、监控器等。网络设备网络设备是指构成信息系统网络传输环境的设备，软件和介质。包括路由器、交换机、通信终端和网关以及网络设备控制台等硬件设施和软件系统，为了更清晰地区别资产的安全属性，网络设备类资产不包括防火墙、VPN、网络入侵检测等网络安全产品。服务器服务器是指信息系统中承载业务系统和软件的计算环境。包括大型机、小型机、Unix服务器、Windows服务器、移动计算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、数据库。除此之外，行业特殊的设备，例如银行的ATM等，也属于主机系统。同一台主机系统，安装两种或以上操作系统（主要针对工作站、移动计算设备），并均能接入到网络中的，应视为多项主机系统信息资产。工作站工作站是指信息系统中承载业务系统软件客户端软件的计算环境和OA系统中个人用机。同一台主机系统，安装两种或以上操作系统（主要针对工作站、移动计算设备），并均能接入到网络中的，应视为多项主机系统信息资产。安全设备安全设备主要指在信息系统中用作网络安全保护用途的硬件设施和软件系统，包括：防火墙、VPN、网络入侵检测、网闸、防病毒系统以及相关系统的控制台软硬件设施。存储设备存储设备主要指在信息系统中用作数据存储用途的硬件设施和软件系统，并均能接入到网络中的信息资产。包括：DAS、NAS、SAN等软硬件设施。业务系统业务系统主要指为业务生产、管理支撑及办公等业务需求提供服务的软件系统，此类资产在信息资产中占有非常重要的地位。本项目所指的业务系统是指独立应用、运作的系统，例如短消息业务系统、MISC系统、办公自动化系统、管理信息系统等，网管系统等。业务系统属于需要重点评估、保护的对象。业务系统作为独立的资产存在的同时，对于其他资产又存在如下关系：作为“网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出。在其资产赋值时，作为考虑的因素。应用平台软件主要是指提供通用服务的各种平台系统，包括：数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等；通常将其所代表的安全属性落实到如下部分来体现：应用平台软件作为“服务器、工作站、安全设备、存储设备”资产的属性之一列出，在进行资产赋值和弱点的时候，作为考虑的因素。数据及文档数据及文档主要指存在于电子媒介或纸制的各种数据和资料，包括源代码、数据库数据、业务数据、客户数据、各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等。数据及文档资产在信息资产中占有非常重要的地位，通常作为企业知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。通常，数据及文档类资产需要保护的安全属性是机密性。例如，公司的财务信息和薪酬数据就是属于高度机密性的数据。但是，完整性的重要性会随着机密性的提高而提高。企业内部对于数据类资产的分类方法通常根据数据的敏感性（Sensitivity）来进行，与机密性非常类似。例如，下表是常用的一种数据分类方法：简称解释/举例公开Public不需要任何保密机制和措施，可以公开使用（例如产品发表新闻等）。内部Internal公司内部员工或文档所属部门使用，或文档涉及的公司使用（例如合同等）秘密Private由和项目相关公司和客户公司成员使用机密Confidential只有在文档中指定的人员可使用，文档的保管要在规定的时间内受到控制绝密Secret非文档的拟订者或文档的所有者及管理者，其他指定人员在使用文档后迅速的按要求销毁但是，由于数据及文档数量巨大，且对其分类存在巨大的偏差和困难，通常将其所代表的安全属性落实到如下部分来体现：作为“服务器、工作站、存储设备”资产的属性之一列出。在进行资产赋值和弱点及威胁分析的时候，作为考虑的因素。作为“组织和人员”资产的属性之一列出。在进行弱点及威胁分析的时候，作为考虑的因素。组织和人员主要指企业与信息相关的人员和组织，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等与被评估信息系统相关人员和组织。组织和人员作为独立的资产存在进行识别，但不对其进行资产赋值，对其安全性因素的考虑如下：作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出。物理环境主要指支持信息系统运行的环境的非IT类的设备，主要包括机房、UPS、空调、保险柜、文件柜、门禁、消防设施等。此处一般属于物理安全的问题，主要的设备一般集中在机房内，所以评估时应重点考虑机房提供的环境安全。物理环境与其他资产存在如下关系：物理位置作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出。在其弱点及威胁评估时，作为考虑的因素。资产识别过程绘制拓扑图资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说，拓扑图越详细，资产识别的精度也就越高。如果系统非常复杂，一张拓扑图很难描述清楚，则应采用多张拓扑图。在安全咨询项目中，顾问应要求用户首先提供用户事先拓扑图。并以此为基础改成标准化的拓扑图。确定业务系统绘制拓扑图以后，通过访谈等方式，确定业务系统，且识别业务系统的功能类型。确定第一层保护对象框架根据业务系统的各服务功能，对划分出第一层保护对象框架，划分的原则：根据业务的类型：比如是生产业务，管理支撑业务，还是办公业务等。根据业务的重要性：比如核心区域，非核心区域等。划分出存在哪些外部区域确定第二层保护对象框架第二层保护对象框架在第一层的区域内划分，划分原则：通常依据业务系统及其提供的功能特性顺序识别资产识别出系统级保护对象框架后，才真正开始进行资产识别。在这一阶段，根据信息资产的种类来进行识别。并将其归属入相应的保护对象框架，或在过程中创建下一级保护对象框架。信息资产分类整体图网络设备服务器网络设备服务器工作站安全设备存储设备组织和人员业务系统信息资产调查表属性描述资产名称在一个业务系统中不能重名资产编号全局唯一资产类型资产的类别属性包括服务器、工作站、网络设备、安全设备等资产子类型子类型是对类型的进一步说明，例如网络设备中的路由器、交换机等操作系统类型设备所承载的系统的类型，例如包括windows2000,windows2003,hp-unix,aix,solaris等操作系统版本号各类操作系统的版本，例如solaris2.8，8.0等操作系统补丁各类操作系统的安全补丁信息应用软件平台应用系统所需的应用软件，例如WEB、J2EE等应用平台软件版本应用软件所对应的相应版本。应用平台软件补丁应用软件厂商发布的安全补丁。设备型号网络、服务器、工作站等的硬件设备型号设备工作方式硬件、系统之间的工作方式，例如热备、冷备、负载均衡等用途信息资产的主要功能。资产所在地理位置信息资产所处的地域、机房和机柜等资产所在业务系统和部门信息资产所属的业务系统名称和业务系统所属的部门名称资产责任人信息资产在登记过程中的责任人。资产维护人维护信息资产的人员名称资产安全三性安全属性，机密性、完整性和可用性资产创建时间信息资产入网的时间资产最后修改时间信息资产功能修改、人员变换等信息更换的最后时间资产最后修改人信息资产功能修改、人员变换等信息更换的修改人员名称保护对象框架一般来说，信息系统的资产数量十分庞大，为了更好的研究其计算机安全问题，还需要从庞大的信息资产中提炼出保护对象。保护对象框架是指以结构化的方法表达信息系统的框架模型。所谓结构化是指通过特定的结构将问题拆分成子问题的迭代方法。例如“鱼刺图”或“问题树”。结构化方法包括以下几条基本原则：充分覆盖所有子问题的总和必须覆盖原问题。如果不能充分覆盖，那么解决问题的方法就可能出现遗漏，严重影响本方法的可行性。互不重叠所有子问题都不允许出现重复，类似以下的情况不应出现在一个框架中：两个不同的子问题其实是同一个子问题的两种表述；某一个子问题其实是另外两个问题或多个问题的合并；不可再细分所有子问题都必须细分到不能再被细分。当一个问题经过框架分析后，所有不可再细分的子问题构成了一个“框架”。保护对象的主要作用为：有助于信息资产识别的全面性。在列举信息资产时，保护对象框架有助于识别者系统的进行思考；从资产安全估价到区域的安全性赋值，有助于降低风险分析的难度，同时确保风险分析的有效性。保护对象框架内容保护对象框架主要包括计算区域、网络及基础设施、边界、支撑性基础设施四部分；计算区域还可作为下一级保护对象，向下细分为下一级计算区域、网络及基础设施、边界、支撑性基础设施。1）计算区域计算区域是指由相同功能集合在一起，安全价值相近，且面临相似的威胁来源的一组信息系统组成。同一计算区域内的信息资产在安全性上具有较强的同质性。计算区域还可以按照安全性能进一步细分，直至到安全性完全同质。2）网络及基础设施网络及基础设施是指相同功能集合在一起，安全价值相近，且面临相似的威胁来源的一组网络系统组成。通常包括路由器，交换机和防火墙等提供网路服务的局域网和广域网。3）边界边界是指两个区域或两组区域之间的隔离功能集。边界是一组功能集合，包括访问控制，身份认证等。4）支撑性基础设施支撑性基础设施是指在区域内提供安全保障功能的功能集。支撑性基础设施是一组功能集合，包括入侵检测、审计及计算机病毒防护等。保护对象和信息资产保护对象框架就是信息系统的真实模型，计算区域、网络与基础设施作为保护对象框架的两类基本元素，分别对应了不同信息资产的集合。计算区域：对应信息资产，通常包括：工作站、存储设备，服务器，安全设备（不具有访问控制及边界隔离功能）；当计算区域作为一级保护对象框架时，应按照保护对象框架的思路向下继续分解。网络与基础设施：对应信息资产，通常包括：网络设备，安全设备（具有访问控制及边界隔离功能）。边界：对应信息资产，通常包括:网络设备(具有访问控制及边界隔离的功能模块)，安全设备（具有访问控制及边界隔离功能）。支撑性基础设施：对应信息资产，通常包括：安全设备（不具有访问控制及边界隔离功能）如上信息资产和保护对象框架的关系，都为各类信息资产的一个或多个属性。对于业务系统资产来说，在确立保护对象框架时，可以将其作为一个独立的保护对象来看待。对于组织和人员资产，通过业务系统的属性和相应的保护对象框架相关联。信息资产赋值信息资产识别完成后，形成了一个信息资产的清单，但对于大型组织来说，信息资产数目十分庞大，所以需要确认资产的价值和重要性，重点保护关键的、重要的资产，并便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化，因此需要对资产进行估价。安全风险评估中所指的信息资产价值有别于资产的帐面价值和重置价值，而是指资产在安全方面的相对价值。本文中所指的信息资产价值全部都表示相对价值。在本文中，信息资产的安全价值主要是指其机密性、完整性和可用性。资产的安全价值具有很强的时间特性，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。例如，某公司重要的市场活动策划方案（数据资产），在活动开始之前，为达成市场目标，需要对该数据资产进行机密性、完整性和可用性方面的保护。但是在该活动之后，策划已经基本上都传达给了大众，所以资产价值已经大部分消失，相关的安全属性也失去保护意义。信息资产估价方法信息资产估价的方法有定性、半定量、定量三种，鉴于定量估价的巨大工作量和技术难度，所以采用定性估价的方法。信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的定性的数值。在信息资产估价时，主要对资产的这三个安全属性分别赋予价值，以此反映出信息资产的价值。机密性、完整性和可用性的定义如下：保密性：确保只有经过授权的人才能访问信息；完整性：保护信息和信息的处理方法准确而完整；可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。对安全属性赋值时主要考虑的是对整个评估体影响和损害，然后按照下面的赋值标准来衡量。这里整个评估体是指本次评估的主体，包含本次评估范围内的所有信息资产。下面描述信息资产赋值时采用的标准。要求顾问在评估工作中，严格依照赋值标准进行赋值，并且所有顾问对赋值标准的理解应该达成一致，以避免赋值的随意性和不一致性，从而避免降低评估工作的质量。半定量化的资产赋值在分析资产的安全性价值时，分析其真实数值非常困难，因此在本项目中我们采用半定量化的方式，即资产价值等级划分。在本项目中，我们对于所有资产的机密性、完整性和可用性价值，均划分为5级。其中5代表资产安全性价值最高，1代表资产性价值最低。采用这种方法，使得资产赋值简便易行，同时也体现了不同资产之间安全价值的差距。其缺点是由于缺乏统一准则，对于每项资产，其机密性、完整性和可用性三者之间价值是不可比的。也就是说，如果一项资产的机密性和可用性赋值都是4，并不意味该资产的机密性和可用性价值相同。资产赋值方法采用5级标准，较好地反映了资产价值的差异，但对于用户和顾问来说，在为某一项资产的机密性、完整性或可用性价值赋值时，仍然很难在相邻的两个数值之间作出选择。为此，本项目中提出了一套方法，通过将机密性、完整性和可用性的每个值分解为两个相乘的指标，而每个指标均分为三级。从而得出五级安全价值。V={Vc,Vi,Va} 资产的安全价值由机密性价值、完整性价值和可用性价值三者组成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 将三个安全性价值分别分解为两个相乘的指标。VX=3X=2X=1Y=3543Y=2432Y=1321 分别为两个指标（三级）赋值，然后查上表得出价值（五级）。机密性赋值Vc（资产的机密性价值）是指该资产被暴露时对组织造成的损害，因此资产的机密性价值可分解为以下两个指标：Xc=资产被暴露时与所造成最严重后果之间的关系；Yc＝后果对组织的最严重损害程度；Vc=Xc*YcXc（资产被暴露时与造成后果之间的关系）可分为下述三级：直接产生后果：即当资产被暴露时，后果既已发生。例如，组织的商业秘密，要求密级的涉密信息，这些信息一旦被暴露，后果随之发生，无法挽回。容易产生后果：当资产被暴露时，后果非常容易发生。例如当操作系统的超级用户口令失密时，如果获知者无恶意，后果可能不会发生，但是如果获知者具有恶意，那么后果非常容易发生。可能产生后果：当资产被暴露时，后果有可能会发生，但离后果发生仍存在一定距离。例如某客户端软件被盗用，在没有得到服务器验证口令之前，后果仍未造成。Yc（后果对组织的损害程度）包括下述三种情况：严重损害：例如引起法律纠份、造成声誉下降或带来严重的经济损失；中等损害：例如局部范围内的声誉下降或明显的经济损失；轻度损害：例如轻微的经济损失。完整性赋值Vi（资产的完整性价值）是指该资产不处于准确，完整或可依赖状态时对组织造成损害，因此资产的完整性价值可分解为以下两个指标：Xi=资产不处于准确，完整或可依赖状态时与所造成最严重后果之间的关系；Yi＝后果对组织的最严重损害程度；Vi=Xi*YiXi（资产不处于准确，完整或可依赖状态时与造成后果之间的关系）可分为下述三级：直接产生后果：即当资产不准确或被篡改时，后果既已发生。例如，数据库中的交易记录。容易产生后果：当资产不准确或被篡改时，后果非常容易发生。例如当应用软件的流程被篡改。可能产生后果：当资产被暴露时，后果有可能会发生，例如操作系统被种入木马等。Yc（后果对组织的损害程度）包括下述三种情况：严重损害：例如引起法律纠份、造成声誉下降或带来严重的经济损失；中等损害：例如局部范围内的声誉下降或明显的经济损失；轻度损害：例如轻微的经济损失。可用性赋值Va（资产的可用性价值）是指当某一项资产完全不可用时对业务系统所造成的后果。它可被分解为以下两个指标：Xa＝资产不可用时对某个业务的影响Ya＝该业务系统的关键性程度Va=Xa*YaXa（资产不可用时对某个业务的影响）可分为下述三级：整体不可用：当资产不可用时，业务系统即不可用。例如，服务器当机，主干网络瘫痪等。局部不可用：当资产不可用时，业务系统局部不可用。例如局部网络瘫痪，网络阻塞等。个体不可用：当资产不可用时，业务系统的某个或某几个客户不可用，例如终端故障，客户机当机等。Ya（该业务系统的关键性程度）包括下述三种情况：核心业务系统；关键业务系统；一般业务系统。采用5级标准，较好地反映了资产价值的差异，但对于用户和顾问来说，在为某一项资产的机密性、完整性或可用性价值赋值时，仍然很难在相邻的两个数值之间作出选择。为此，本项目中提出了一套方法，通过将机密性、完整性和可用性的每个值分解为两个相乘的指标，而每个指标均分为三级。从而得出五级安全价值。V={Vc,Vi,Va} 资产的安全价值由机密性价值、完整性价值和可用性价值三者组成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 将三个安全性价值分别分解为两个相乘的指标。VX=3X=2X=1Y=3543Y=2432Y=1321 分别为两个指标（三级）赋值，然后查上表得出价值（五级）。赋值工作操作方法指南首先对各资产赋值通过对各资产赋值，我们可以获得在同一个区域内核心资产。对保护对象框架赋值在资产识别和赋值过程中，最大的障碍在于资产数量过多、过杂，得不到全局、宏观的分析。通过对保护对象框架进行赋值，可以同一层保护对象框架内的核心保护对象框架。保护对象框架赋值除了要考虑其所属资产的价值，还要综合考虑到其框架内业务系统、数据及文档、组织和人员、物理环境等因素。业务系统的资产赋值与其映射的保护对象一致。赋值标准的理解资产赋值时，赋值的原则是这个资产或资产组在某个安全属性方面的价值或者在安全属性方面受到损失和破坏时对整个评估体的影响和损害，安全属性指机密性、完整性和可用性。理解赋值标准时，这个安全属性价值非常关键，对整个评估体具有致命性的潜在影响或无法接受、特别不愿接受的影响和损害，符合这样的描述时表明这个安全属性值为4，其余类推。这里整个评估体是指本次评估的主体，可能是评估范围内的所有信息资产组成的系统，如ERP信息系统；也可能是一个部门，如IT部门；也可能时整个企业或组织。赋值时考虑的是对整个评估体的影响，注意不要扩大到整个企业或集团，也不要缩小到部门。顾问在工作中，开始一般不要直接问客户应该赋值为几，应该是问客户这个安全属性完全损害或破坏时，对企业的影响如何，对关键业务的影响如何，企业的接受程度如何，然后根据影响程度按照赋值标准自己来判断应该赋值为几。当然，随着赋值工作的进行，当客户完全理解赋值标准后可以由客户进行判断，顾问如有疑问进行详细询问和修正。独立资产按照赋值标准来理解，对资产组需要考虑组中所有资产的安全属性，然后综合起来作为一个整体的概念来赋值。选择访谈对象的原则赋值时，选择访谈对象的原则是找具有企业整体概念，又清楚各个具体资产的情况的人。可以找一个知道所有情况的人，也可以找几个人。人员选择时一般选择中层干部，具有一定企业整体概念，又熟悉具体工作。如果选择多人，一般资产可以找安全主管或网管主管，业务系统的资产找业务部门主管或维护主管。对于一个资产的价值，可能不同的人理解会不一样，赋出来也不同，因为这个资产对不同的人具有不同的意义，但从效率来讲，一个资产的赋值最好找一个人来访谈，不推荐找一组不同性质和级别的人来访谈，再把结果综合，所以选择访谈对象要比较谨慎，尽可能按照上述的原则找到合适的人。赋值本来就是个定性分析，允许存在一个粒度的误差，但如果顾问觉得有明显疑问或较大误差，也可以找其他人来核实。在只找一个人来访谈时，为了避免太大的误差和明显错误，影响整个项目的质量，一般最后赋值结束后，要把结果向对方的项目经理核实，需要对方确认。此步工作不能省略。赋值访谈时应向对方说明，考虑影响的出发点应是对整个评估体，使之站在对整个评估体的高度来。IT设备评估IT设备评估是所有系统都要进行的，也是非重点系统安全评估的主要内容，业务系统的正常运行不仅仅需要高效的网络传输和交换，还需要主机、服务器的良好运转，也需要足够的安全保证。通过IT设备安全评估，发现系统的风险点和脆弱性，为设备安全加固提供指导和依据，从而提高系统安全状况，保障业务系统的高性能、高可靠性、高可用性、高效率运行。IT设备评估内容包括：主机操作系统弱点评估、网络设备弱点评估、安全设备弱点评估。评估的过程IT设备评估的评估过程，根据内容和方法分为两种：现场操作的评估过程；后台分析的评估过程。现场操作的评估过程现场操作的评估过程，主要针对：主机操作系统人工评估、工具扫描、网络及安全设备需要的现场评估工作，下图是“现场操作评估过程的流程图”：安全顾问根据信息资产调查的结果，提前一周确定评估申请表，并提交给相关部门安全管理员和该系统管理员，评估申请表内容包括：评估设备详细范围、评估内容、相关的管理人员，以及风险规避措施建议等。部门安全管理员和涉及系统的管理员最终确定具体的评估时间，并做好评估准备工作。评估时间通知项目负责人，如有必要正式发文。安全顾问进行现场实施评估，如有必要，在现场之间和相关人员沟通评估发现的问题；现场全部评估工作完成后，确认该现场评估工作结束（如有必要，系统管理员可及时检查系统的可用性是否存在问题）。现场评估后，安全顾问进行后台数据分析，完成评估分析报告，提交给各部门安全管理员和该系统管理员，并进行沟通和讲解工作；最终，由该项目负责人确认评估报告，评估结束。后台分析的评估过程后台分析的评估过程，主要针对：网络及安全设备配置信息可以后台进行分析的评估工作，下图是“后台分析评估过程的流程图”：安全顾问根据信息资产调查的结果，提前一周确定评估申请表，并提交给相关部门安全管理员和该系统管理员，评估申请表内容包括：评估设备详细范围、评估内容、相关的管理人员等。部门安全管理员和涉及系统的管理员在一周内提交申请评估设备的配置信息给安全顾问。安全顾问进行后台配置分析，如有必要，和相关人员沟通评估发现的问题；如有必要，进行现场评估设备的检查。安全顾问完成评估分析报告，提交给各部门安全管理员和该系统管理员，并进行沟通和讲解工作；最终，由该项目负责人确认评估报告，评估结束。评估的方法本次的安全评估主要是依靠xx我司具有多年丰富经验的安全专家来进行的。我们依据xx我司公司经多年实践检验而积累下来的，在业内领先的安全检查方案，在得到XXX公司有关工作人员的授权并在有关人员的监督下实施。评估将根据被评估系统的不同情况，选择以下几种方式进行：主机系统评估方法工具扫描的方法：使用XXX公司提供的ISSInternetScanner安全漏洞扫描工具对主机进行扫描，扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。工具扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统所存在的安全问题。专家评估（安全基线分析）方法：依据xx我司对主机平台的标准化的安全审计列表（安全基线），检查和分析主机系统平台存在的安全问题。根据xx我司最新的安全检查核对表内容，逐项检查系统的各项配置和运行状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专家的经验知识而制定，它主要包括有以下几个方面：安全配置检查：系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。安全机制检查：安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权及访问控制等。入侵追查及事后取证：检查与发现系统入侵，攻击或其它危害，尽可能追查及取证。例如日志被毁坏篡改或删除，计费数据被删除，遭受DOS攻击，系统被监听，控制或安装后门等。网络及安全设备评估方法专家评估（安全基线分析）方法：依据xx我司对网络和安全设备的标准化安全审计列表（安全基线），检查和分析网络及安全设备存在的安全问题。根据xx我司最新的安全检查核对表内容，逐项检查系统的各项配置和运行状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专家的经验知识而制定；可采用后台配置检查或现场登录设备配置查看两种方式。顾问访谈顾问访谈在安全顾问咨询服务中处于不可替代的关键地位，目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现出来，通过进行面对面或电话访谈，顾问会将自己的经验体现于网络安全脆弱性评估中。评估的内容主机系统评估主要内容主机系统的安全目标是保障主机平台系统高效、优质运行，满足业务系统的需求，防止主机和系统遭受外部和内部的破坏和滥用，避免和降低由于主机和系统的问题对业务系统的损害；协助应用进行访问控制和安全审计。主机系统安全评估主要包括如下内容：系统安全管理：严格管理系统帐户、有效控制系统服务，优化系统的安全配置，启用系统必要的安全控制措施,避免系统发生故障或遭受攻击；系统资源控制：系统的补丁管理、文件和目录管理等安全配置；系统冗余：根据业务需要对系统进行冗余设计；系统访问控制和审计：对系统进行有效访问控制和日志审计。主机系统安全评估将进行如下几个方面的检查：系统补丁系统账号文件系统网络及服务系统配置文件NFS或其它文件系统共享审计及日志系统备份及恢复应用系统其它网络及安全设备评估主要内容网络及安全设备评估的目标是发现网络设备或安全设备存在的弱点，防止网络和通信系统遭受外部和内部的攻击和滥用。主要检查设备是否存在已知的漏洞，设备的安全配置是否正确。网络及安全设备评估将主要涉及到以下几个方面的内容：关闭不必要的服务禁止CDP(CiscoDiscoveryProtocol)禁止TCP、UDPSmall服务禁止Finger服务禁止NTP服务禁止BOOTp服务（路由器适用）禁止IPSourceRouting禁止IPDirectedBroadcast（路由器和三层交换机适用）启用servicepassword-encryption关闭WINS和DNS服务关闭ARP-Proxy服务登录要求和帐号管理采用enablesecret设置密码采用认证设置exec-timeout（5分钟及以内）采用访问控制措施，限制可登录的源地址关闭HTTP服务远程登录采用加密传输（SSH）采用多用户分权管理SNMP协议设置和日志审计设置SNMP读写密码更改SNMP协议端口限制SNMP发起连接源地址开启日志审计功能其它安全要求禁止从网络启动和自动从网络下载初始配置文件。禁止未使用或空闲的端口符合banner的设置要求符合设备提示符的设置要求启用源地址路由检查（路由器适用）VTP设置密码（交换机适用）评估的风险和应对工具扫描风险分析采用ISSInternetScanner作为扫描工具，ISSInternetScanner是业界上最优秀的网络扫描器，通过扫描引擎发送扫描探测数据包，获取远程主机设备的安全漏洞。发送的数据包会占用网络资源，通常百兆网络占用3－5%的带宽资源，目标主机设备由于需要响应探测数据包，会占用目标主机设备的资源，例如CPU和内存资源。特别是，InternetScanner可以发送DOS攻击探测数据包，如果目标主机设备存在该漏洞，扫描过程中可能会宕机。主机人工评估风险分析人工评估采用安全检查列表，评估过程中，对目标主机设备逐一按照安全检查列表进行检查。人工评估只是查看目标主机设备的配置信息，不会对目标主机设备进行修改操作，主要存在的安全风险是检查操作带来的安全风险，例如运行命令、操作界面带来的安全风险。主机系统弱点评估的工具扫描过程，尽量避免使用含有拒绝服务类型的扫描方式，而主要采用人工检查的方法来发现系统可能存在的拒绝服务漏洞。在扫描过程中如果出现被评估系统没有响应的情况，应当立即停止扫描工作，与配合的工作人员一起分析情况，在确定原因后，并正确恢复系统，采取必要的预防措施（比如调整扫描策略等）后，才可以继续进行。网络设备配置检查和网络拓扑分析只对被评估对象进行运行状态和配置检查，因此不会对现有信息系统上的其他设备和资源带来任何影响。评估成员会与系统管理员保持良好沟通，随时协商解决出现的各种难题。并且在评估完成时，由相关的管理人员对被评估主机系统的状态进行确认，保证评估后系统运行正常。网络设备安全风险评估通过有针对性的安全评估，发现现存网络类系统的安全风险点和脆弱性，防止网络和通信系统遭受外部和内部的攻击和滥用，避免和降低由于网络和通信系统的问题对业务系统造成损害的风险；同时，也要从业务发展的角度分析网络类系统及公司整个网络建设的安全规划建议；从而提高网络系统的健壮指数和安全指数。评估过程描述网络类重点系统的评估过程，包括“后台安全评估阶段”、“现场安全评估阶段”、“报告阶段”；下图是“网络类系统安全风险评估过程的流程图”：安全顾问根据信息资产调查的结果，提前一周确定评估申请表，并提交给相关部门安全管理员和该系统管理员，评估申请表内容包括：评估设备详细范围、评估内容、相关的管理人员等。部门安全管理员和涉及系统的管理员在一周内提交申请所需网络配置文件和网络拓扑图等文件给安全顾问。安全顾问进行后台配置分析，并根据初步分析的结果，提出“现场评估、渗透测试、安全访谈”的申请，并执行相应现场工作。最后，综合前面评估的数据信息，分析提出该网络类系统风险评估报告和解决方案；结合与统管理员和主管领导访谈的业务发展，从网络架构合理性、网络设备安全策略配置等方面提出公司整体网络安全解决方案。评估流程说明流程名称网络类系统风险评估流程流程编码流程负责人网络类系统评估组流程起点：评估对象/范围/方法的确定流程目的：对网络类系统存在的风险进行评估流程终点：整体评估报告提交编号阶段步骤操作描述操作人员1启动阶段安全要求设计网络类系统评估组，明确提出提交《网络类系统评估对象及范围说明》《网络类系统评估方法说明》；《网络类系统评估对象及范围说明》《网络类系统评估方法说明》；是指导整个评估过程的重要文档，必需经过系统管理员和主管领导的确认。网络类系统评估组系统管理员主管领导2准备阶段资料提交网络设备配置和网络拓扑是网络类系统评估组进行综合安全分析的基础条件之一如网络设备配置和网络拓扑未能满足综合安全分析的要求，系统管理员负责提交其他补充材料。网络类系统评估组系统管理员3实施阶段配置检查渗透测试配置检查以人工检查为主，对关键配置条目整理后提交专家评估进行要求进行；渗透测试中由网络骨干中的合法IP发起，采用扫描、嗅探、人工侵入等多种手段，主要考察与网络类系统连接的各系统健壮度。网络类系统评估组系统管理员4收尾阶段人工访谈以实施阶段的对网络现状的相关评估结果为基础，从网络架构合理性、网络设备安全配置思路等角度进行系统管理员的人工访谈；以相关评估结果为基础，结合系统未来发展态势，针对现有系统的容量、带宽、冗余度等多个参考指标进行主管领导的人工访谈。了解系统发展建设方向和目标，对系统未来可能存在的安全问题进行的访谈和讨论。网络类系统评估组系统管理员主管领导

输入输出说明输入、输出步骤编号输入人员输入内容输出内容接收人员1网络类系统评估组《网络类系统评估对象及范围说明》《网络类系统评估方法说明》《网络类系统评估对象及范围说明》《网络类系统评估方法说明》确认表系统管理员主管领导2系统管理员《系统网络设备配置》；《系统网络拓扑》；《设备配置评估报告》《网络拓扑安全评估意见》网络类系统评估组3网络类系统评估组系统管理员《设备检查申请》，《渗透测试方案》；方案评审意见系统管理员4网络类系统评估组《设备配置评估报告》《网络拓扑安全评估意见》《设备配置人工检查结果》《渗透测试结果分析报告》其他相关评估结果网络类系统整体评估报告系统管理员主管领导北京天融信网络安全技术有限公司第57页共93页评估的方法本次的安全评估主要是依靠xx我司具有多年丰富经验的安全专家来进行的。我们依据xx我司公司经多年实践检验而积累下来的，在业内领先的安全检查方案，在得到XXX公司有关工作人员的授权并在有关人员的监督下实施。评估将根据被评估系统的不同情况，选择以下几种方式进行：IT设备安全评估方法详细参见“IT设备评估”中的“评估的方法”，主要包括：工具扫描主机系统专家评估（安全基线分析）网络和安全设备专家评估安全访谈网络架构安全的评估方法专家分析方法：依据xx我司对网络架构的成熟度安全审计列表（安全基线），检查和分析网络架构存在的安全问题，但网络架构安全评估，更加侧重顾问个人的经验，目前尚没有成型的工具、模型、算法等可以将专家的经验完全量化，所以存在一定个人主观判断的偏差。顾问访谈顾问访谈在安全顾问咨询服务中处于不可替代的关键地位，目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现出来，通过进行面对面或电话访谈，顾问会将自己的经验体现于网络安全脆弱性评估中，顾问访谈涉及针对系统管理员的访谈及其业务主管的访谈。渗透测试的评估方法主要依据已经发现的安全漏洞，模拟入侵者的攻击方法对系统和网络进行非破坏性质的攻击性测试；以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点评估的内容IT设备安全的主要内容详细参见“IT设备评估”中的“评估的内容”，主要包括：主机系统评估网络及安全设备评估网络架构安全评估的主要内容网络安全的目标是保障网络和通信系统高效、优质运行，满足业务系统的需求；防止网络和通信系统遭受外部和内部的攻击和滥用，避免和降低由于网络和通信系统的问题对业务系统造成损害的风险；屏蔽系统和应用的安全弱点；协助系统和应用进行访问控制和安全审计。网络评估主要评估标准如下：基础网络架构的评估标准：网络整体拓扑结构设计合理；安全区域划分符合业务系统要求；选择安全的路由方式；对周边网络接入进行安全控制和冗余设计；对网络流量进行监控和管理；对网络设备和链路进行冗余设计。网络传输加密的评估标准：根据业务系统的特点选择对业务数据是否进行传输加密；对于网络设备认证过程中敏感的信息进行加密。访问控制和网络审计的评估标准：对网络的内部及外部边界进行有效访问控制；对网络实施漏洞评估；进行网络日志审计并统一日志时间基准线。网络安全管理的评估标准：采用安全的网络管理协议；建立网络安全事件响应体系；对网络设备进行安全管理。网络及安全设备评估将主要涉及到以下几个方面的内容：网络拓扑拓扑结构合理性分析、可扩展性分析。路由协议对网络设备目前所采用的路由协议评价，是否存在配置漏洞，冗余路由配置情况，路由协议的信任关系问题。接入方式对周边接入的全面了解，对各种接入情况进行安全风险评估，与非信任网络间互访的安全管理，提出改进方案。协议选择对网络管理相关协议的分析整理；对业务应用相关协议的分析整理。对承载业务系统本身业务服务所采用的相关协议，以及由此而带来的相关的网络支撑设备。流量分析流量管理目标，服务品质保障（QoS）措施评价。系统bug的检查处理机制。系统管理人员接收到或者发现相关业务系统产生的BUG的时候，是否有一个流程可以处理。安全事件紧急响应措施：网络防黑常用配置的资料整理、分类和准备；网络故障的分析手段的资料整理、分类和准备。安全审计制度和实施情况调查针对网络架构中可能出现的安全问题，以及其中是否被正确执行审计情况。密码和身份认证手段调查和评估网络服务本身提供的密码和身份认证手段，系统是否还要其它密码和身份认证体系。数据加密传输可能造成信息泄漏的地方是否有敏感数据加密措施。访问控制情况调查在相关的网络隔离点，是否有恰当的访问控制规则设立，是否被有效的执行。漏洞评估和入侵检测机制是否有漏洞的定期评估机制和入侵检测和记录系统的机制。安全策略和安全制度分析系统的安全策略是否存在，以及是否和业务系统相互吻合，有无合理的安全制度作为保障。安全配置均衡性分析（弱点分析）安全配置本身是否具有不合理的配置或者弱点存在。接入/连接方式的安全性各个接入节点部分是否具备安全措施保障，是否被正确配置和执行。信任网络之间的安全性信任网络或者不信任网络之间是否有控制，控制本身带来的安全程度以及是否有可以绕过控制的途径。网络节点的安全性各个独立的网络节点是否有良好的安全控制，是否被正确配置和使用。网络架构管理网络体系架构是如何进行管理的，是否有良好的机制和制度保障网络架构本身不被改变，没有非法的不符合安全策略的架构改变。网络设备认证管理是否有集中的设备认证管理机制，是否被正确的配置和执行。网络的高可用性和可靠性网络建设中是否良好的考虑了网络的高可用性和可靠性问题，是否被正确使用和良好的配置，是否有机制保障不被修改。评估的风险和应对网络设备配置检查和网络拓扑分析只对被评估对象进行运行状态和配置检查，因此不会对现有信息系统上的其他设备和资源带来任何影响。渗透测试过程的最大的风险在于测试过程中对业务产生影响，为此我们在本项目采取以下措施来减小风险：在渗透测试中不使用含有拒绝服务的测试策略；渗透测试时间尽量安排在业务量不大的时段或者晚上；在渗透测试过程中如果出现被评估系统没有响应的情况，应当立即停止测试工作，与工作人员一起分析情况，在确定原因后，并待正确恢复系统，采取必要的预防措施（比如调整测试策略等）之后，才可以继续进行。xx我司网络系统评估组成员会与系统管理员保持良好沟通。随时协商解决出现的各种难题。并且在评估完成时，由相关的管理人员对被评估主机系统的状态进行确认，保证评估后主机系统运行正常。应用系统和管理安全风险评估对于重点业务系统的安全风险评估是本项目中的工作重点，所使用的评估方法及评估深度均要比非重点业务系统更加深入和全面。重点应用系统是需要高性能、高可靠和高可用性，而一项网络数据业务的正常运行，不仅仅需要高效的网络传输和交换，还需要主机、服务器的及时处理以及数据库系统的良好运转，也需要足够的安全保证。针对重点应用系统的安全评估是保证网络高性能、高可靠性、高可用性、高效率运转的基本手段。重点应用系统的健壮指数和安全指数越大说明它的生命力就越强，它所能够承载的信息量就越大。一个健壮、安全的应用系统是保证业务运行和应用的必要前提。在整个的应用系统中，网络结构、网络传输、网络交换、业务应用、数据交换、数据库运行、应用程序运行、安全措施、备份措施、管理措施、主机/服务器处理、客户端处理等等，这一系列的元素都是相互关联和相互影响的，这些元素之间的关系往往是比较复杂的，“牵一发而动全身”，每一项元素的性能下降或者受到安全威胁，都将对整个应用系统造成影响，尤其是对于那些处于关键地位的元素更是不允许性能下降和存在安全隐患。因此，必然导致应用系统需要进行全面的安全评估。然而由于重点应用系统的复杂性，使用传统的风险评估方法已经无法准确、清晰地描述和评估业务系统的风险，因此我们引入了UML来描述应用系统威胁场景和业务系统的信息流，引入了故障树来分析各种威胁场景所能够造成的后果。下面是一个网上支付系统的基本认证过程，以及其相关的威胁场景。正常情况下的网络支付场景网络支付的威胁场景将上述网络支付过程的正常支付场景与威胁场景相结合，就可以得到整个支付过程所面临的真实安全状况。评估过程描述应用类重点系统的评估，主要工作包括以下几个方面：识别安全目标IT设备弱点评估网络架构安全评估应用系统安全评估渗透测试根据以上工作内容，其具体工作流程如下图所示：应用系统评估流程图安全顾问根据信息资产调查的结果，提前一周确定评估申请表，并提交给相关部门安全管理员和该系统管理员，评估申请表内容包括：评估设备详细范围、评估内容、相关的管理人员等。部门安全管理员和涉及系统的管理员在一周内对评估申请进行确认。安全顾问提出“现场评估、渗透测试、安全访谈、业务系统材料”等现场工作的申请。部门安全管理员和涉及系统的管理员在确认现场工作申请后，由涉及系统的管理员确认现场计划，并准备业务系统相关资料。安全顾问根据计划执行现场评估及安全访谈。最后，综合前面评估的数据信息，分析提出该业务系统风险评估报告和解决方案；结合与管理员和主管领导访谈的业务发展，从IT设备安全配置、网络架构合理性、应用系统安全状况等方面提出业务系统整体网络安全解决方案。评估流程说明针对应用计算类的重点系统安全评估流程，各阶段工作如下表：流程名称应用计算类系统风险评估流程流程编码流程负责人应用计算类系统评估组流程起点：评估对象/范围/方法的确定流程目的：对应用计算类系统存在的风险进行评估流程终点：整体评估报告提交编号阶段操作描述操作人员1准备阶段应用计算类系统评估组，明确提出提交《应用计算类系统评估对象及范围说明》《应用计算类系统评估方法说明》；《应用计算类系统评估对象及范围说明》《应用计算类系统评估方法说明》是指导整个评估过程的重要文档，必需经过安全管理员及系统管理员的确认。应用计算类系统评估组部门安全管理员系统管理员2现场实施申请阶段提交《现场评估申请表》《渗透测试申请表》《安全访谈申请表》《业务系统材料申请表》部门安全管理员对各项申请进行确认系统管理员确认现场实施计划后，进行相关实施准备。以及准备业务系统相关材料xx我司项目组收到申请确认后，通知项目负责人根据实际情况，由项目负责人进行正式的发文，以启动现场实施应用计算类系统评估组部门安全管理员系统管理员项目负责人3现场实施阶段xx我司项目组开始现场实施工作，评估IT系统、网络架构、业务系统、安全访谈以及渗透测试根据实际情况，各项工作可能并行进行现场工作实施完毕后，由系统管理员对现场评估工作进行确认，由业务主管对相关的业务访谈内容进行确认应用计算类系统评估组系统管理员业务主管4报告阶段xx我司项目组进行综合分析，形成针对该业务系统的安全评估报告应用计算类系统评估组5再培训阶段针对安全评估结果，xx我司项目组针对安全管理员及业务系统管理员进行答疑xx我司提交最终的安全评估报告给中项目负责人，由其确认后输出最终的安全评估结果应用计算类系统评估组部门安全管理员系统管理员项目负责人输入输出说明输入、输出步骤编号输入人员输入内容输出内容接收人员1应用计算类系统评估组《应用计算类系统评估对象及范围说明》《应用计算类系统评估方法说明》《网络类系统评估对象及范围说明》《网络类系统评估方法说明》确认表系统管理员安全管理员2应用计算类系统评估组《现场评估申请表》《渗透测试申请表》《安全访谈申请表》《业务系统材料申请表》《现场评估申请表》《渗透测试申请表》《安全访谈申请表》《业务系统材料申请表》确认表网络类系统评估组3应用计算类系统评估组系统管理员《设备评估计划》，《安全访谈计划》，《业务评估计划》，《渗透测试方案》；《现场评估工作确认表》《安全访谈确认表》系统管理员安全管理员业务主管4应用计算类系统评估组《设备配置评估报告》《网络拓扑安全评估意见》《业务系统评估报告》《渗透测试结果分析报告》安全访谈结果其他相关评估结果《系统整体评估报告》系统管理员安全管理员项目负责人5应用计算类系统评估组《系统整体评估报告》初稿《系统整体评估报告》终稿系统管理员安全管理员项目负责人评估方法本次的安全评估主要是依靠xx我司具有多年丰富经验的安全专家来进行的。我们依据xx我司公司经多年实践检验而积累下来的，在业内领先的安全检查方案，在得到XXX公司有关工作人员的授权并在有关人员的监督下实施。评估将根据被评估系统的不同情况，选择以下几种方式进行：IT支撑设备弱点评估IT支撑设备弱点评估方法详细参见“IT设备评估”中的“评估的方法”，主要包括：工具扫描主机系统专家评估（安全基线分析）网络和安全设备专家评估安全访谈网络架构安全的评估方法网络架构安全评估方法详细参见“网络类重点系统的安全风险评估”中的“网络架构安全评估方法”，主要包括专家分析方法：顾问访谈应用系统安全评估方法数据库中间件专家评估（安全基线分析）依据xx我司对数据库及中间件平台的标准化的安全审计列表（安全基线），检查和分析数据库及中间件平台存在的安全问题。根据xx我司最新的安全检查核对表内容，逐项检查系统的各项配置和运行状态。业务系统专家分析方法：依据xx我司业务系统的逻辑流程、数据流向，检查和分析整个业务过程中存在的安全问题，本部分更加侧重顾问个人的经验，目前尚没有成型的工具、模型、算法等可以将专家的经验完全量化，所以存在一定个人主观判断的偏差。顾问访谈在本部分的安全评估过程中，xx我司的项目组的顾问将根据多年从事安全工作的经验，针对系统中涉及的业务流程、应用系统等问题制定问题列表，同系统的相关人员进行面对面的访谈，了解现有业务流程的构建、运行、维护、应用系统等情况。顾问访谈中的主要依据是根据xx我司多位安全专家在多次安全顾问中总结的安全评估问题列表。顾问访谈在安全顾问咨询服务中处于不可替代的关键地位，目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现出来，通过进行面对面或电话访谈，顾问会将自己的经验体现于应用系统评估中，顾问访谈涉及针对系统管理员的访谈及其业务主管的访谈。渗透测试的评估方法主要依据已经发现的安全漏洞，模拟入侵者的攻击方法对系统和网络进行非破坏性质的攻击性测试；以人工渗透为主，辅助以攻击工具的使用，这样保证了整个渗透测试过程都在可以控制和调整的范围之内；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以发现逻辑性更强、更深层次的弱点评估内容安全目标识别应用系统评估的第一步是应该了解应用系统可能的安全目标。通常情况下，对一个应用系统的安全目标识别应该包含基本信息、应用系统概况、应用系统分析几个方面。基本业务信息基本信息从如下几个方面入手进行分析：识别信息：应用系统是否能够保护用户的识别信息不被滥用？例如：移动用户的信息被盗取用于其它非法用途；应用系统是否有足够的控制手段和技术确保用户识别信息的有效性？例如：网上银行使用的数字证书等。信誉：应用系统发生异常情况以及遭到攻击造成的商业信誉的损失；经济：对于应用系统，如果发生攻击或者其它安全时间造成的直接和潜在的经济损失。例如：通常情况下论坛之类的业务系统遭到攻击后，受到的经济损失远远小于网上银行发生类似事件所受到的损失；隐私：应用系统需要保护的用户数据。例如：一个论坛系统通常会公开用户的注册信息，而大多数国家的网上报税系统是不允许公开用户的