安全检测方案

深圳市****有限公司业务系统安全检测方案二零零八年四月目录TOC\o"1-5"\h\z\o"CurrentDocument"一.目的 3二.项目实施时间和地点 3\o"CurrentDocument"2.1项目实施时间 32.2项目实施地点 3\o"CurrentDocument"三.项目具体实施方法 4\o"CurrentDocument"3.1重点评估具体内容 4\o"CurrentDocument"3.2评估项目总体流程 8\o"CurrentDocument"3.3具体流程举例 9\o"CurrentDocument"五.双方及设备厂商项目组成人员 10\o"CurrentDocument"六.项目实施质量控制 10\o"CurrentDocument"6.1过程控制 10七.项目实施时间进度表 11\o"CurrentDocument"八．项目管理文档模版 12\o"CurrentDocument"8.1会议纪要模版 128.2工程开工通知单模版 138.3事故记录表模版 14\o"CurrentDocument"8.4工程实施记录表 15\o"CurrentDocument"九.项目文档管理要求 16十一.工程验收 17\o"CurrentDocument"11.1正式验收要项 17\o"CurrentDocument"11.2验收流程 18一. 目的为保障客户网络、业务系统、数据库等安全稳定的运行，****对客户业务系统及相关支撑系统进行全面的安全检测。安全检测分两次进行，第一次安排在六月中旬，第二次安排在七月上旬。在每次安全检测完毕由****提供《业务系统安全检测报告》和《业务系统安全漏洞修复方案》，并指导客户相关人员对业务系统及相关支撑系统进行安全修复或整改。安全检测是对客户业务系统及相关支撑系统进行安全风险分析和评估，主要检测有以下几方面：1、网络规划与布局的安全性评估；2、网络基础设施安全性与稳定性评估；3、边界防御设施与接入安全性评估；4、服务器主机系统安全性与稳定性评估；5．数据库安全性评估；6．业务系统安全性评估。第一次安全检测是对客户业务系统及相关支撑系统进行全面的安全检测和安全漏洞修复。第二次安全检测是在第一次的基础上再次对对客户业务系统及相关支撑系统进行安全检测，找出没有修复的安全漏洞和还存在的安全漏洞。二. 项目实施时间和地点2.1 项目实施时间2.2 项目实施地点三.项目具体实施方法安全评估指的是对网络系统进行安全风险分析和评估。选取在业务系统、网络服务、主机操作系统平台、网络规划与布局、数据库等方面作为安全评估的对象。风险评估是网络安全重要的一环，在这里主要是以安全检测、扫描和风险评估技术来实现，以预先发现信息系统中存在的安全隐患，并及时解决问题。评估能使网络系统具有预先识别和防范风险的功能。风险评估系统用于评估和管理网络、防火墙、WEB服务器、应用服务器及数据库存在的安全风险和漏洞，企业安全管理员可以根据安全评估报告优化主机和网络设备的安全策略配置，进一步提高安全性。重点评估具体内容1、网络规划与布局的安全性评估✓网络拓扑规划分析✓网络流量分析✓网络逻辑结构分析■子网/VLAN的合理划分分析■域和工作组划分安全分析■数据广播域分离分析■IP地址规划分析■共享资源架设效率分析■网络访问控制分析■VPN系统安全分析2、网络基础设施安全性与稳定性评估♦路由器安全配置♦交换机安全配置拨号服务器安全配置防火墙安全配置设备口令审计设备开放服务安全审计网管软件安全性审计设备固件或OS安全分析设备访问控制列表分析设备稳定性测试分析（各种DoS拒绝服务测试）3、 服务器主机系统安全性与稳定性评估服务器主机操作系统内核、版本及补丁审计服务器主机操作系统通用/默认应用程序安全性审计服务器主机后门检测服务器主机漏洞检测服务器主机安全配置审计服务器主机用户权限审计服务器主机口令审计服务器主机文件系统安全性审计4、 数据库系统安全性评估Oracle/MSSQL数据库系统用户权限审计Oracle/MSSQL数据库系统口令审计Oracle/MSSQL数据库系统数据同步或热备份机制可靠性审计Oracle/MSSQL数据库系统存储进程安全机制审计Oracle/MSSQL数据库日志审计分析Oracle/MSSQL数据库系统灾难处理及预防安全机制审计Oracle/MSSQL数据库系统与前台接口安全访问控制机制审计5、 边界防御设施与接入安全性评估生产系统跨域访问需求分析防火墙安全策略审计（外网发起）生产网远程入侵整体测试接入节点主机安全性测试分支机构网络边界安全性模拟攻击测试6、 、业务系统安全性评估业务系统支撑软件安全评估，如Apache、JBoss♦业务系统重要部分代码检测业务系统口令审计业务系统数据传输保密性检测业务系统权限划分业务系统数据备份安全性业务系统数据同步安全性安全评估主要通过以下二种方式进行：主要方式为工具扫描和人工分析。下面列表介绍CNNS在平台层次实施过程中用到的部分工具和手段：项目内容引用的专业安全检测软件ISSInternetScannerCNNS风险评估系统NmapCNNS风险管理系统NAISniffereEyeIrisSniffer引用的人工服务项目＞手工网络检测＞远程渗透测试＞应用软件、脚本代码脆弱性分析与攻击测试＞数据库脆弱性手工分析＞弱加密机制分析＞高强度口令猜解(引用60万口令字字典)＞管理脆弱性问题分析＞通信安全性、网络监听分析＞整合测试＞报告输出与整理＞安全统计分析＞出具安全性评估报告结果人工分析安全检测的内容涉及：远程越权存取系统后门及木马程序拒绝服务(DenialofService)CGI(通用网关接口)或ASP、JSP和其它动态网页程序的安全性防火墙(FireWall)设置文件传输服务安全性密码安全性操作系统内核的安全性网络协议和配置的安全性用户管理的安全性日志和审计系统的健全性远程维护程序和管理策略的安全性系统敏感信息的保密性网络路由设备的安全性代理服务和网关的安全配置网络结构的合理性和安全性合作伙伴系统的可信任度已有安全产品和设备的有效性3.2评估项目总体流程3.3具体流程举例以平台层次的安全评估工作为例，下面列表介绍CNNS在实施过程中用到的具体流程：双方项目组成人员表5.1甲方人员爾*0jaws邮箱KM表5.2乙方人员>O再g邮箱项目实施质量控制过程控制为了保证服务质量，****将对安全服务的过程进行严格的控制，具体工程过程如下：****的项目经理在每次的任务实施前2天提交具体的每日工作详细实施计划表，表格如下：安全服务项目实施计划表

在每次的安全服务实施前，召开30分钟的实施准备会议，总结前一次的工作和讨论当次的工作注意事项；每天项目实施完成填写工程实施记录表。项目实施时间进度表工程实施时间安排是该项工程实施的时间进度计划，是工程控制的基本依据之一。网络服务安全项目工期是六月中旬~八月上旬。评估实施内容、时间进度表标识号任务名称子任务开始时间备注1安全检测评估协调会议六月中旬与甲方工程师配合，就这次评估进行讨

论。2远程评估在实施过程中注意保证网络正常动作。4本地评估在实施过程中注意保证网络正常工作。5安全修复方案讨论讨论修复方案6安全修复与甲方工程师一起修复7运行观察运行观察8评估协调会议与甲方工程师配合，就这次评估进行讨论。9远程评估在实施过程中注意保证络正常动作。10安全检测本地评估七月上旬在实施过程中注意保证网络正常工作。11安全修复方案讨论讨论修复方案12不合格项的整改与甲方工程师一起整改13验收提交安全检测验收报告提交工作总结及评估验收报告八．项目管理文档模版会议纪要模版会议主题时 间地点参加人员

会议纪要会议纪要双方确认人：安络： 甲方负责人：8.2工程开工通知单模版开工通知单收件人：项目负责人发件人：****项目主管抄送：项目组成员日期：年月日项目负责人：根据贵公司和****有限公司双方签定的合同的要求，决定从年月日开始此工程的实施，具体内容请参见《项目实施计划》****项目负责人签字：客户项目负责人签字：2006年月日

8.4工程实施记录表工程实施记录表编号客户名称：服务时间： 年月日客户公司地址：服务地点：客户联系人姓名：客户联系电话：客户联系email地址：工程内容：具体工作进程：工作结果及下步工作安排:安络工程师签名:以下栏由客户填写:为了提高安络公司的服务质量和服务水平，请提出您宝贵的意见：您对我们的服务的满意度：1）有待改进 2）—般 3）满意您认为我们应在哪些方面提高服务水平：1）服务态度 2）技术水平3）工作流程 4）与客户协调谢谢您的宝贵意见，请您签名:九.项目文档管理要求1）文档分类规范：****对此次项目的所有工程文档分为工程管理类和工程技术类两大类文档，主要有编号工程管理类文档名工程技术类文档名1项目实施计划主机系统检测报告2项目协调会议记录3项目开工通知单4项目阶段工作会议记录5项目总结工作会议记录评估检测文档2）文档编号规范：此次项目的文档编号采用如下格式CNNS-PGGL-0801-001说明：GL指管理类；0801指年月；001指文档顺序号；CNNS-PG-S-0802-001说明：JS指技术类；0801指年月；001指文档顺序号；文档编号由项目经理统一分发。3）文档归档要求：此次项目的所有文档由项目主管统一归档，****的项目参与工程师的所有的电子文档