中海信托信息安全风险评估及整改项目技术方案建议书

中海信托信息安全风险评估及整改项目技术方案建议书北京天融信公司第32页目录TOC\o"1-2"\h\z\u1 概述 351.1 项目背景 351.2 项目目标 351.3 项目内容 361.4 项目设计原则 371.5 项目范围 381.6 文件和法律法规 382 天融信对本项目的理解 392.1 对项目目标的理解 392.2 对项目特点的理解 393 项目总体方法与流程 413.1 概述 413.2 天融信风险评估方法 443.3 本项目采用的安全风险评估方法 453.4 技术难点和关键突破 484 信息资产调查和赋值 504.1 信息资产概述 504.2 信息资产分类 504.3 保护对象框架 564.4 资产识别过程 584.5 信息资产赋值 594.6 赋值工作操作方法指南 645 IT设备评估 665.1 评估的过程 665.2 评估的方法 685.3 评估的内容 705.4 评估的风险和应对 726 网络设备安全风险评估 736.1 评估过程描述 746.2 评估的方法 776.3 评估的内容 786.4 评估的风险和应对 817 应用系统和管理安全风险评估 817.1 评估过程描述 847.2 评估方法 467.3 评估内容 477.4 风险及应对措施 608 安全增强与加固 618.1 安全加固内容 628.2 安全加固流程 649 应急响应服务 659.1 服务目标： 659.2 服务特点： 669.3 一般实施流程： 669.4 流程说明： 6610 安全解决方案 6810.1 解决方案设计概述 6810.2 安全需求分析 6810.3 安全解决方案设计 6911 项目组织结构 7111.1 现场实施阶段，项目组织结构 7111.2 项目角色和责任 7112 项目进度计划 7412.1 项目主要过程时间安排 7413 项目启动和准备阶段 7513.1 概述 7513.2 参加人员 7513.3 过程描述 7513.4 需要中海信托配合的工作 7513.5 输出 7614 现场实施阶段 7614.1 资产调查 7614.2 安全评估（包括漏洞扫描、人工检查等） 7714.3 渗透测试 7914.4 安全加固 8014.5 应急响应服务 8115 数据分析及报告阶段 8315.1 概述 8315.2 过程描述 8315.3 需要中海信托配合的工作 8415.4 输出 8416 项目收尾阶段 8416.1 概述 8416.2 过程描述 8516.3 需要中海信托配合的工作 8516.4 输出 8517 售后服务 8517.1 安全服务技术支持服务 8517.2 安全服务跟踪服务 8517.3 天融信安全服务业务关键能力 8618 项目管理及沟通办法 8718.1 天融信工程项目管理方法 8718.2 天融信项目管理遵循的标准 8818.3 项目沟通办法 8819 项目风险管理及保密控制 9219.1 项目风险分析及规避措施 9219.2 项目的保密控制 9420 天融信信息安全服务业务介绍 9520.1 安全服务组织结构图 9520.2 安全服务业务范围 9621 项目实施质量保证 9821.1 项目执行人员的质量职责 9821.2 天融信安全服务质量保证体系严格贯彻以下过程 9822 项目验收方式 10122.1 验收方法确认 10222.2 验收程序 10322.3 版本控制 10522.4 交付件归档办法 10623 项目分项报价表 107概述项目背景近年来，随着信息化技术越来越深入和广泛的应用，信息安全的风险日益加大，国家和各行业主管机构都对防范信息安全风险非常重视。国家信息化领导小组颁发的《信息安全等级化保障体系》系列标准文件对我国信息安全保障工作做出原则性战略性的规定，要求坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，经过五年左右的努力，基本形成国家信息安全保障体系。2006年起，银监会发布了《商业银行内部控制指引》，并进一步发出了关于信托投资公司加强内部控制和风险控制的要求。2008年7月，国家财政部和证监会、银监会、保监会等联合发布了《企业内部控制基本规范》，对企业的内部控制提出了较为具体的要求。为进一步保障银联网络的边界安全，降低信息安全风险，中海信托投资有限公司拟于2009年在业界知名互联网安全服务公司的协助下，对中海信托信息系统实施安全风险管理服务（包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务），为中海信托的核心业务系统稳定运行提供安全保障。项目目标通过实施整体信息安全风险评估服务（包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务）提高中海信托信息系统的安全性和可靠性，并在紧急情况下对提供紧急安全事件响应支持，控制并降低来自于互联网的安全风险。通过本次对中海信托网络安全服务项目，可以达到以下主要目标：通过安全风险评估，得到中海信托的整体安全现状；通过渗透测试和安全技术评估，分析中海信托信息系统存在的各类技术性安全缺陷，并进行整改；通过管理体系评估，发现中海信托在风险管理、安全策略和内部控制等方面存在的问题并加以改进；通过安全加固和策略体系改进，全方位的提升中海信托的信息安全管理水平。项目内容本次整体信息安全风险评估项目的内容可以分为几个部分：信息安全风险评估信息资产调查调查和统计中海信托信息系统所包含的信息资产（包含物理环境、终端、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等），明确其现有状况、配置情况和管理情况。如主机系统，需要明确其平台、版本、补丁等基本情况外，还需明确开放端口、服务和进程等配置管理信息。并对所有信息资产按照一定标准进行资产赋值。现有安全系统调查工作包括明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器等)的部署情况和使用情况；同时了解在建网络与信息安全建设项目，使之服从统一部署原则。安全风险评估根据中海信托现有的安全标准规范和业务对安全的要求，分析主机、网络及安全设备面临的威胁，评估现有系统的存在的弱点，明确所有信息系统面临的安全风险和隐患。应用系统渗透测试通过黑客或白客方式对指定的Internet业务系统进行渗透攻击，发现该系统存在的安全隐患，并提出解决措施。信息系统安全加固安全加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务，将在中海信托信息系统的网络层、主机层和应用层等层次建立符合中海信托安全需求的安全状态，并以此作为保证中海信托信息系统安全的起点。安全策略体系整改通过对现有安全体系策略制度的审阅、解读和差距性分析，对现有安全管理制度和内控制度进行改善，使之能够完全符合当前国内相关控制标准的要求，并向相关的国际化标准看齐。项目设计原则符合性原则：符合国家等级化保护体系指出的积极防御、综合防范的方针和等级保护的原则。标准性原则：服务方案的设计与实施应依据国内或国际的相关标准进行；规范性原则：服务工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；可控性原则：方法和过程在双方认可的范围之内，安全服务的进度要按照进度表进度的安排，保证甲方对于服务工作的可控性；整体性原则：安全服务的范围和内容整体全面，包括安全涉及的各个层面（应用、系统、网络、管理制度、人员等），避免由于遗漏造成未来的安全隐患；最小影响原则：安全服务中的工作尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响；保密性原则：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方的行为，否则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销毁所有和本项目有关的数据和文档。项目范围本项目选择中海信托的核心业务系统作为服务对象。文件和法律法规国内政策与标准：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《关于开展信息安全风险评估工作的意见》2006年1月国家网络与信息安全协调小组；《关于印发《信息安全风险评估指南》的通知》2006年2月国信办（国信办综[2006]9号）；《商业银行内部控制指引》2006年12月银监会《企业内部控制基本规范》2008年7月财政部、证监会、审计署、银监会、保监会国际政策与标准：ISO/IEC27001信息安全管理体系标准COSO/COBIT内控和信息技术控制框架ISO/IECTR13335Series,GuidelinesforthemanagementofITSecurity(CMITS)，1996-2001NISTSP800Series,ComputerSecuritySpecialPublications，1991-2005天融信对本项目的理解对项目目标的理解安全风险评估工作是中海信托信息安全体系运作体系中风险管理的重要组成部分，通过周期性的安全风险评估工作发现公司的安全现状，为公司安全建设和安全加固提供数据基础。综上所述，本期项目的目标是：通过安全评估的技术手段，尽可能发现和定位中海信托各信息系统存在的安全风险，为安全加固、系统整改及应急响应提供依据和技术指导，降低中海信托整体的安全风险。对项目特点的理解通过上面对本项目目标的分析，本期深度安全风险评估工作存在如下特点：要求高：由于中海信托业务的快速增长，对信息安全的要求越来越高，所以要比以前采用更加规范的项目管理要求；本次评估的技术深度和广度，都要强于以前的项目及同行业的要求（多个系统的应用分析）；采用的技术标准，是当前最新、最及时的，相比历史评估工作和同行业类似工作的技术要求是最高的；技术与管理并重：由于面临的外部威胁的压力和影响力比以往要大很多，所以本次项目更加侧重于通过外部渗透测试的方法，发现从外部的威胁和影响（尤其是从外部Internet进行渗透测试）；本次项目渗透测试涉及的系统范围更广，而且更深地分析通过“信任关系”发生的渗透，从而发现“木桶原理”中的“最短那块板”；更加侧重于应用系统自身特点的安全评估：综合分析业务和管理层（数据流，角色权限…）；应用层（数据库，中间件）；系统层（主机操作系统）；网络层（网络架构，网络设备），提出的安全风险更加有针对性；中海信托各应用系统有不同的特点，在本次项目中要结合不同部门、不同系统特点进行相应的应用系统安全评估；更加考虑安全加固和应急响应体系建设的可行性：本次项目在实施过程中安排了时间，对发现的问题进行及时地讲解和答疑；对发现的问题提出的解决方案，和系统管理员及时沟通，并协助进行讲解和培训，对不能直接解决的，提出综合解决、降低风险的方案。项目总体方法与流程概述风险管理（RiskManagement）旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。风险管理是良好管理的一个组成部分，它用一种将损失减小到最低程度而使商业机会达到最大限度的方式，对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理过程（RiskManagementProcess）是指系统地将管理方针、程序和结构应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等过程任务。在信息安全领域，同样适用于风险管理的理念和方法论。在当前信息技术得到普遍应用，并且很多成为关键业务系统的环境下，企业或组织的信息安全风险很大，而且普遍缺乏有效的控制和管理，但过度的风险管理，无疑会导致大量的金钱和人力的花费、以及工作效率的严重降低。所以，如何适度和有效地进行信息安全的风险的管理和控制，成为了一项迫切和重要的任务。下面的描述即是阐明风险评估过程的理念和方法论，以作为天融信安全服务的标准方法论和理论基础，指导和规范天融信的安全风险安全服务工作。安全模型参考在澳大利亚和新西兰国家标准《风险管理RiskManagement》（AS/NZS4360:1999）中描述了风险管理过程，如下图所示：在国际标准ISO13335中，安全模型如下图所示，特点是以风险为核心。在国际标准中，安全模型如下图所示，其特点是强调了模型的对抗性和动态性。可以看出，安全模型中的核心要素都是资产、弱点、威胁、风险、安全措施等，各要素之间的关系也基本类似，只是描述和关注的角度不同。风险评估标准风险评估过程中主要选择的规范和标准包括：中海信托技术规范和标准：国内政策与标准：《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）；《关于开展信息安全风险评估工作的意见》2006年1月国家网络与信息安全协调小组；《关于印发《信息安全风险评估指南》的通知》2006年2月国信办（国信办综[2006]9号）；国际政策与标准：ISO/IEC27001ISO/IECTR13335Series,GuidelinesforthemanagementofITSecurity(CMITS)，1996-2001NISTSP800Series,ComputerSecuritySpecialPublications，1991-2005ISO/IEC15408-1999“信息技术安全技术信息技术安全性评估准则”（简称CC）天融信风险评估方法风险评估模型在安全评估服务中，天融信参照上述两个安全模型，根据自己的工程实践，建立了自己的风险评估模型，描述如下：在天融信的风险评估模型中，主要包含信息资产，弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属性是风险发生的路径。因此，天融信风险评估的过程是：对信息资产进行识别，并对资产赋值；识别信息资产的脆弱性（弱点/漏洞），并对弱点的严重程度赋值；对威胁进行分析，并对威胁发生的可能性赋值；综合分析资产价值、资产的脆弱性和威胁发生的可能性，得到信息资产的风险发生的路径和级别，并对风险进行处置，选择合适的控制措施。总体工作流程图根据安全风险评估模型，天融信安全风险评估的总体工作流程如下图：在评估过程中首先要进行全网的资产调查，识别的内容包括：“信息设备、应用系统、网络环境、组织结构及物理环境；然后进行应用系统安全目标的识别和分析；以及通过安全评估的“业务系统评估”、“渗透测试”、“网络架构评估”、“IT设备弱点评估”、“应用安全评估”、“安全管理评估”、“物理安全评估”各项内容获取“安全现状”(包括：安全威胁)、“安全弱点”。最后通过各系统、子系统的安全目标和其“安全现状”、“安全弱点”的对比分析，得到安全现状和解决方案。本项目采用的安全风险评估方法本次项目由于侧重点于技术问题的发现，并指导今后的安全加固和系统技术整改等技术工作；根据本次项目的特点，准备采用如下三种安全风险评估的方法，主要针对非重点系统、重点系统网络类、重点系统计算类；非重点系统的IT设备弱点评估如下图所示：本评估主要目标是为IT设备的弱点提供安全加固的指导和依据，主要涉及“主机系统弱点评估”；“网络设备弱点评估”；“安全设备弱点评估”。主机系统弱点评估采用人工现场检查和工具扫描两种方式；网络设备弱点评估和安全设备弱点评估，对能够导出配置信息、并配置信息可识别分析的，采用后台人工分析方式；对不能导出配置信息、或配置信息不可识别分析的，采用人工现场检查方式。评估的结果，是体现各单点资产的弱点状况，以及综合的统计分析报告，主要为指导单点设备的安全加固工作。网络类重点系统的安全评估如下图所示：网络类重点系统是公司主要承载各业务的基础平台，其评估的目标不仅是发现现存系统的问题，指导安全加固和系统整改的工作和依据；而且还要根据业务发展需要，为网络建设提供安全保障的规划依据。本安全评估包含：“IT设备弱点评估；网络架构安全评估和渗透测试”，其中IT设备弱点评估和前面的一致。网络架构安全评估包括：网络现状安全合理性分析以及随业务发展需要的网络安全需求分析，主要采用的方法是：后台分析（对网络拓扑、相关技术文档、访问控制等配置信息分析）、现场设备检查（对网络设备或网管系统的安全状况查看）、系统管理员的顾问访谈（网络现状存在的问题、网络安全事件、业务发展对网络的影响及假设）、主管领导的顾问访谈（业务发展对网络安全的要求）；渗透测试，主要采用嗅探及入侵的手法，分析从外部越权进入本系统的路径和可能性，以及可越权访问接入本网络系统的系统范围和影响。注：如无特殊需要，不采用DOS等恶意攻击手段。本评估的结果，除体现单个资产的弱点状况，指导安全加固外；还可为系统整改，划分安全域以及未来网络规划提供参考；同时由于公司涉及网络类系统之间是有强的关联，最后要综合分析各网络类系统和应用系统的关联性，设计全网的网络安全解决方案建议。应用计算类重点系统的安全评估如下图所示：应用计算类重点系统是公司各独立的业务单元，包括完整的主机、网络、应用各项内容；其评估的目标是从深度上（业务管理层<数据流，用户角色权限…>；应用层<数据库，中间件>）；到广度上系统层（主机操作系统）；网络层（网络架构，网络设备），提出全面的安全风险分析报告。本安全评估包含：“IT设备弱点评估；网络架构安全评估；应用系统安全评估和渗透测试”，其中IT设备弱点评估和前面一致。网络架构安全评估主要从网络结构上分析其应用系统安全域划分的合理性及访问控制策略的符合性，具体方法和前面一致。应用系统安全评估，主要包括：对业务逻辑和数据流的安全分析；对应用平台的安全分析。主要方法是：后台分析（对业务系统设计、运行相关技术文档）、现场设备检查（对应用平台和数据库进行安全状况查看）、源代码评估（对部分关键流程的代码进行分析）、系统管理员的顾问访谈（现状存在的问题、安全事件、业务发展的影响及假设）。渗透测试，主要采用入侵和角色提升的手法，分析从外部越权侵入本系统的路径和可能性；以及模拟不同用户角色提升权限，进行数据篡改或越权访问的可能性分析。本评估的结果，除体现单个资产的弱点状况，指导安全加固外；重点为系统整改，安全域划分以及系统开发提供参考。技术难点和关键突破在对中海信托进行安全风险评估的过程中，由于其规模庞大，信息系统复杂，业务系统的特性和安全属性存在巨大差异，因此对于评估标准的选择，以及评估成果的适用性都提出了巨大的挑战。评估指标的定制面临困难：安全没有定制化的适用的安全指标，造成评估结果不可信一般在安全评估时，评估服务提供者因为在评估前并不熟悉和理解被评估方的业务特性和安全特性，所以不能定制非常适用的评估标准指标，也就是说没有非常适用，反映被评估对象特性的评估标准，一般都采用国际或国家标准。虽然国际或国家标准适用于所有信息系统，但其适用广泛性原因，评估标准比较笼统，不反映行业特性和企业特性。这样，因为缺乏适用的评估标准，造成的评估结果可用性差，也缺乏针对性，不能反映业务特性和行业特性。尤其是如果服务提供者对客户首次评估，存在评估质量较低的风险，这是评估服务业务一个多年存在的难题，很难解决。通常情况下，评估质量取决于评估服务提供者和评估顾问的经验是否丰富，是否非常熟悉被评估者的业务特性和行业特性。解决方法：在评估前设计行业安全评估指标，并在评估开始阶段尽可能的定制能否准确定制行业安全评估指标，即行业评估标准是评估项目能否成功的关键环节之一，它对评估结果的适用性和真实性起着关键作用。在作评估前，我们根据多年对不同行业的丰富评估经验和深刻理解，根据不同的行业业务特性和安全要求特性的理解，总结出反映行业特性的安全要求，设计出针对不同行业的安全对策指标体系，再细化成不同行业的安全评估指标。强调评估成果的适用性面临困难：评估成果和建议难以实施，技术和管理难以有效融合，缺乏抗打击能力和可控性信息安全问题包含管理方面问题、技术方面问题以及两者的交叉，它从来都不是静态的，随着组织的策略、组织架构、业务流程和操作流程的改变而改变。中海信托现有的安全防护措施大多属于静态的单点技术防护，单纯部署安全产品是一种静态的解决办法，单纯防范黑客入侵和病毒感染更是是片面的。一旦单点防护措施被突破、绕过或失效，整个安全保障将会失效，威胁将影响到整个信息系统。评估成果中解决方案在设计过程中需要系统化的全面考虑，避免单点考虑，形成系统化措施。解决方案：强调多重深度保障和抗打击能力，强调评估成果的可用性27号文件提出“坚持积极防御、综合防范的方针”，《美国国家安全战略》中指出，国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对利益损害最小这样一个规模上”。两者都强调了抗打击能力和可控性，这就要求采用多层保护的深度防御策略，实现安全管理和安全技术的紧密结合，防止单点突破。天融信在输出评估结果时，会将管理手段和安全技术紧密结合，充分吸收业务特性，建立一个适用性强、可行性强并具有多重深度保障手段的防护网络。信息资产调查和赋值信息资产概述资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别具有不同的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此，有必要对企业、机构中的信息资产进行科学识别，以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。虽然信息资产具有非常广泛的含义，但这里将信息资产定义如下：信息资产是指组织的信息系统、其提供的服务以及处理的数据。信息资产分类参照ISO27001对信息资产的描述和定义，结合安全评估的经验，将信息资产按照下面的方法进行分类：类别解释/示例网络设备一台或一组互备的网络设备，包括网络设备中的硬件，IOS，配置文件数据及其提供的网络服务。包括路由器、交换机、RAS等，防火墙、IDS等安全设备除外。服务器一台或一组服务器，包括服务器硬件、运行于其上的OS、通用应用、服务，数据库、磁盘阵列等。工作站客户端用机、个人用机等。安全设备作为安全用途的硬件和软件,如:防火墙、IDS、AV等。存储设备提供存储用途的硬件和软件，如：磁盘阵列等。业务系统指组织为其应用而开发或购买的各类应用软件及其提供的业务服务。应用平台软件主要是指提供通用服务的各种平台系统，包括：数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等；数据及文档主要指存在于电子媒介或纸制的各种数据和资料，包括数据库数据、存放于硬盘上的文件、代码；财务数据及书面报告等。组织和人员指和安全相关的组织和人员，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等物理环境指支持IT系统运行的基础物理设施，如：机房、空调、UPS、监控器等。网络设备网络设备是指构成信息系统网络传输环境的设备，软件和介质。包括路由器、交换机、通信终端和网关以及网络设备控制台等硬件设施和软件系统，为了更清晰地区别资产的安全属性，网络设备类资产不包括防火墙、VPN、网络入侵检测等网络安全产品。服务器服务器是指信息系统中承载业务系统和软件的计算环境。包括大型机、小型机、Unix服务器、Windows服务器、移动计算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、数据库。除此之外，行业特殊的设备，例如银行的ATM等，也属于主机系统。同一台主机系统，安装两种或以上操作系统（主要针对工作站、移动计算设备），并均能接入到网络中的，应视为多项主机系统信息资产。工作站工作站是指信息系统中承载业务系统软件客户端软件的计算环境和OA系统中个人用机。同一台主机系统，安装两种或以上操作系统（主要针对工作站、移动计算设备），并均能接入到网络中的，应视为多项主机系统信息资产。安全设备安全设备主要指在信息系统中用作网络安全保护用途的硬件设施和软件系统，包括：防火墙、VPN、网络入侵检测、网闸、防病毒系统以及相关系统的控制台软硬件设施。存储设备存储设备主要指在信息系统中用作数据存储用途的硬件设施和软件系统，并均能接入到网络中的信息资产。包括：DAS、NAS、SAN等软硬件设施。业务系统业务系统主要指为业务生产、管理支撑及办公等业务需求提供服务的软件系统，此类资产在信息资产中占有非常重要的地位。本项目所指的业务系统是指独立应用、运作的系统，例如短消息业务系统、MISC系统、办公自动化系统、管理信息系统等，网管系统等。业务系统属于需要重点评估、保护的对象。业务系统作为独立的资产存在的同时，对于其他资产又存在如下关系：作为“网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出。在其资产赋值时，作为考虑的因素。应用平台软件主要是指提供通用服务的各种平台系统，包括：数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等；通常将其所代表的安全属性落实到如下部分来体现：应用平台软件作为“服务器、工作站、安全设备、存储设备”资产的属性之一列出，在进行资产赋值和弱点的时候，作为考虑的因素。数据及文档数据及文档主要指存在于电子媒介或纸制的各种数据和资料，包括源代码、数据库数据、业务数据、客户数据、各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等。数据及文档资产在信息资产中占有非常重要的地位，通常作为企业知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。通常，数据及文档类资产需要保护的安全属性是机密性。例如，公司的财务信息和薪酬数据就是属于高度机密性的数据。但是，完整性的重要性会随着机密性的提高而提高。企业内部对于数据类资产的分类方法通常根据数据的敏感性（Sensitivity）来进行，与机密性非常类似。例如，下表是常用的一种数据分类方法：简称解释/举例公开Public不需要任何保密机制和措施，可以公开使用（例如产品发表新闻等）。内部Internal公司内部员工或文档所属部门使用，或文档涉及的公司使用（例如合同等）秘密Private由和项目相关公司和客户公司成员使用机密Confidential只有在文档中指定的人员可使用，文档的保管要在规定的时间内受到控制绝密Secret非文档的拟订者或文档的所有者及管理者，其他指定人员在使用文档后迅速的按要求销毁但是，由于数据及文档数量巨大，且对其分类存在巨大的偏差和困难，通常将其所代表的安全属性落实到如下部分来体现：作为“服务器、工作站、存储设备”资产的属性之一列出。在进行资产赋值和弱点及威胁分析的时候，作为考虑的因素。作为“组织和人员”资产的属性之一列出。在进行弱点及威胁分析的时候，作为考虑的因素。组织和人员主要指企业与信息相关的人员和组织，包括各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等与被评估信息系统相关人员和组织。组织和人员作为独立的资产存在进行识别，但不对其进行资产赋值，对其安全性因素的考虑如下：作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出。物理环境主要指支持信息系统运行的环境的非IT类的设备，主要包括机房、UPS、空调、保险柜、文件柜、门禁、消防设施等。此处一般属于物理安全的问题，主要的设备一般集中在机房内，所以评估时应重点考虑机房提供的环境安全。物理环境与其他资产存在如下关系：物理位置作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出。在其弱点及威胁评估时，作为考虑的因素。信息资产分类整体图网络设备网络设备服务器工作站安全设备存储设备组织和人员业务系统信息资产调查表属性描述资产名称在一个业务系统中不能重名资产编号全局唯一资产类型资产的类别属性包括服务器、工作站、网络设备、安全设备等资产子类型子类型是对类型的进一步说明，例如网络设备中的路由器、交换机等操作系统类型设备所承载的系统的类型，例如包括windows2000,windows2003,hp-unix,aix,solaris等操作系统版本号各类操作系统的版本，例如solaris2.8，8.0等操作系统补丁各类操作系统的安全补丁信息应用软件平台应用系统所需的应用软件，例如WEB、J2EE等应用平台软件版本应用软件所对应的相应版本。应用平台软件补丁应用软件厂商发布的安全补丁。设备型号网络、服务器、工作站等的硬件设备型号设备工作方式硬件、系统之间的工作方式，例如热备、冷备、负载均衡等用途信息资产的主要功能。资产所在地理位置信息资产所处的地域、机房和机柜等资产所在业务系统和部门信息资产所属的业务系统名称和业务系统所属的部门名称资产责任人信息资产在登记过程中的责任人。资产维护人维护信息资产的人员名称资产安全三性安全属性，机密性、完整性和可用性资产创建时间信息资产入网的时间资产最后修改时间信息资产功能修改、人员变换等信息更换的最后时间资产最后修改人信息资产功能修改、人员变换等信息更换的修改人员名称保护对象框架一般来说，信息系统的资产数量十分庞大，为了更好的研究其计算机安全问题，还需要从庞大的信息资产中提炼出保护对象。保护对象框架是指以结构化的方法表达信息系统的框架模型。所谓结构化是指通过特定的结构将问题拆分成子问题的迭代方法。例如“鱼刺图”或“问题树”。结构化方法包括以下几条基本原则：充分覆盖所有子问题的总和必须覆盖原问题。如果不能充分覆盖，那么解决问题的方法就可能出现遗漏，严重影响本方法的可行性。互不重叠所有子问题都不允许出现重复，类似以下的情况不应出现在一个框架中：两个不同的子问题其实是同一个子问题的两种表述；某一个子问题其实是另外两个问题或多个问题的合并；不可再细分所有子问题都必须细分到不能再被细分。当一个问题经过框架分析后，所有不可再细分的子问题构成了一个“框架”。保护对象的主要作用为：有助于信息资产识别的全面性。在列举信息资产时，保护对象框架有助于识别者系统的进行思考；从资产安全估价到区域的安全性赋值，有助于降低风险分析的难度，同时确保风险分析的有效性。保护对象框架内容保护对象框架主要包括计算区域、网络及基础设施、边界、支撑性基础设施四部分；计算区域还可作为下一级保护对象，向下细分为下一级计算区域、网络及基础设施、边界、支撑性基础设施。1）计算区域计算区域是指由相同功能集合在一起，安全价值相近，且面临相似的威胁来源的一组信息系统组成。同一计算区域内的信息资产在安全性上具有较强的同质性。计算区域还可以按照安全性能进一步细分，直至到安全性完全同质。2）网络及基础设施网络及基础设施是指相同功能集合在一起，安全价值相近，且面临相似的威胁来源的一组网络系统组成。通常包括路由器，交换机和防火墙等提供网路服务的局域网和广域网。3）边界边界是指两个区域或两组区域之间的隔离功能集。边界是一组功能集合，包括访问控制，身份认证等。4）支撑性基础设施支撑性基础设施是指在区域内提供安全保障功能的功能集。支撑性基础设施是一组功能集合，包括入侵检测、审计及计算机病毒防护等。保护对象和信息资产保护对象框架就是信息系统的真实模型，计算区域、网络与基础设施作为保护对象框架的两类基本元素，分别对应了不同信息资产的集合。计算区域：对应信息资产，通常包括：工作站、存储设备，服务器，安全设备（不具有访问控制及边界隔离功能）；当计算区域作为一级保护对象框架时，应按照保护对象框架的思路向下继续分解。网络与基础设施：对应信息资产，通常包括：网络设备，安全设备（具有访问控制及边界隔离功能）。边界：对应信息资产，通常包括:网络设备(具有访问控制及边界隔离的功能模块)，安全设备（具有访问控制及边界隔离功能）。支撑性基础设施：对应信息资产，通常包括：安全设备（不具有访问控制及边界隔离功能）如上信息资产和保护对象框架的关系，都为各类信息资产的一个或多个属性。对于业务系统资产来说，在确立保护对象框架时，可以将其作为一个独立的保护对象来看待。对于组织和人员资产，通过业务系统的属性和相应的保护对象框架相关联。资产识别过程绘制拓扑图资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说，拓扑图越详细，资产识别的精度也就越高。如果系统非常复杂，一张拓扑图很难描述清楚，则应采用多张拓扑图。在安全咨询项目中，顾问应要求用户首先提供用户事先拓扑图。并以此为基础改成标准化的拓扑图。确定业务系统绘制拓扑图以后，通过访谈等方式，确定业务系统，且识别业务系统的功能类型。确定第一层保护对象框架根据业务系统的各服务功能，对划分出第一层保护对象框架，划分的原则：根据业务的类型：比如是生产业务，管理支撑业务，还是办公业务等。根据业务的重要性：比如核心区域，非核心区域等。划分出存在哪些外部区域确定第二层保护对象框架第二层保护对象框架在第一层的区域内划分，划分原则：通常依据业务系统及其提供的功能特性顺序识别资产识别出系统级保护对象框架后，才真正开始进行资产识别。在这一阶段，根据信息资产的种类来进行识别。并将其归属入相应的保护对象框架，或在过程中创建下一级保护对象框架。信息资产赋值信息资产识别完成后，形成了一个信息资产的清单，但对于大型组织来说，信息资产数目十分庞大，所以需要确认资产的价值和重要性，重点保护关键的、重要的资产，并便于进一步考察资产相关的弱点、威胁和风险属性，并进行量化，因此需要对资产进行估价。安全风险评估中所指的信息资产价值有别于资产的帐面价值和重置价值，而是指资产在安全方面的相对价值。本文中所指的信息资产价值全部都表示相对价值。在本文中，信息资产的安全价值主要是指其机密性、完整性和可用性。资产的安全价值具有很强的时间特性，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。例如，某公司重要的市场活动策划方案（数据资产），在活动开始之前，为达成市场目标，需要对该数据资产进行机密性、完整性和可用性方面的保护。但是在该活动之后，策划已经基本上都传达给了大众，所以资产价值已经大部分消失，相关的安全属性也失去保护意义。信息资产估价方法信息资产估价的方法有定性、半定量、定量三种，鉴于定量估价的巨大工作量和技术难度，所以采用定性估价的方法。信息资产分别具有不同的安全属性，机密性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以得出一个能够基本反映资产价值的定性的数值。在信息资产估价时，主要对资产的这三个安全属性分别赋予价值，以此反映出信息资产的价值。机密性、完整性和可用性的定义如下：保密性：确保只有经过授权的人才能访问信息；完整性：保护信息和信息的处理方法准确而完整；可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。对安全属性赋值时主要考虑的是对整个评估体影响和损害，然后按照下面的赋值标准来衡量。这里整个评估体是指本次评估的主体，包含本次评估范围内的所有信息资产。下面描述信息资产赋值时采用的标准。要求顾问在评估工作中，严格依照赋值标准进行赋值，并且所有顾问对赋值标准的理解应该达成一致，以避免赋值的随意性和不一致性，从而避免降低评估工作的质量。半定量化的资产赋值在分析资产的安全性价值时，分析其真实数值非常困难，因此在本项目中我们采用半定量化的方式，即资产价值等级划分。在本项目中，我们对于所有资产的机密性、完整性和可用性价值，均划分为5级。其中5代表资产安全性价值最高，1代表资产性价值最低。采用这种方法，使得资产赋值简便易行，同时也体现了不同资产之间安全价值的差距。其缺点是由于缺乏统一准则，对于每项资产，其机密性、完整性和可用性三者之间价值是不可比的。也就是说，如果一项资产的机密性和可用性赋值都是4，并不意味该资产的机密性和可用性价值相同。资产赋值方法采用5级标准，较好地反映了资产价值的差异，但对于用户和顾问来说，在为某一项资产的机密性、完整性或可用性价值赋值时，仍然很难在相邻的两个数值之间作出选择。为此，本项目中提出了一套方法，通过将机密性、完整性和可用性的每个值分解为两个相乘的指标，而每个指标均分为三级。从而得出五级安全价值。V={Vc,Vi,Va} 资产的安全价值由机密性价值、完整性价值和可用性价值三者组成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 将三个安全性价值分别分解为两个相乘的指标。VX=3X=2X=1Y=3543Y=2432Y=1321 分别为两个指标（三级）赋值，然后查上表得出价值（五级）。机密性赋值Vc（资产的机密性价值）是指该资产被暴露时对组织造成的损害，因此资产的机密性价值可分解为以下两个指标：Xc=资产被暴露时与所造成最严重后果之间的关系；Yc＝后果对组织的最严重损害程度；Vc=Xc*YcXc（资产被暴露时与造成后果之间的关系）可分为下述三级：直接产生后果：即当资产被暴露时，后果既已发生。例如，组织的商业秘密，要求密级的涉密信息，这些信息一旦被暴露，后果随之发生，无法挽回。容易产生后果：当资产被暴露时，后果非常容易发生。例如当操作系统的超级用户口令失密时，如果获知者无恶意，后果可能不会发生，但是如果获知者具有恶意，那么后果非常容易发生。可能产生后果：当资产被暴露时，后果有可能会发生，但离后果发生仍存在一定距离。例如某客户端软件被盗用，在没有得到服务器验证口令之前，后果仍未造成。Yc（后果对组织的损害程度）包括下述三种情况：严重损害：例如引起法律纠份、造成声誉下降或带来严重的经济损失；中等损害：例如局部范围内的声誉下降或明显的经济损失；轻度损害：例如轻微的经济损失。完整性赋值Vi（资产的完整性价值）是指该资产不处于准确，完整或可依赖状态时对组织造成损害，因此资产的完整性价值可分解为以下两个指标：Xi=资产不处于准确，完整或可依赖状态时与所造成最严重后果之间的关系；Yi＝后果对组织的最严重损害程度；Vi=Xi*YiXi（资产不处于准确，完整或可依赖状态时与造成后果之间的关系）可分为下述三级：直接产生后果：即当资产不准确或被篡改时，后果既已发生。例如，数据库中的交易记录。容易产生后果：当资产不准确或被篡改时，后果非常容易发生。例如当应用软件的流程被篡改。可能产生后果：当资产被暴露时，后果有可能会发生，例如操作系统被种入木马等。Yc（后果对组织的损害程度）包括下述三种情况：严重损害：例如引起法律纠份、造成声誉下降或带来严重的经济损失；中等损害：例如局部范围内的声誉下降或明显的经济损失；轻度损害：例如轻微的经济损失。可用性赋值Va（资产的可用性价值）是指当某一项资产完全不可用时对业务系统所造成的后果。它可被分解为以下两个指标：Xa＝资产不可用时对某个业务的影响Ya＝该业务系统的关键性程度Va=Xa*YaXa（资产不可用时对某个业务的影响）可分为下述三级：整体不可用：当资产不可用时，业务系统即不可用。例如，服务器当机，主干网络瘫痪等。局部不可用：当资产不可用时，业务系统局部不可用。例如局部网络瘫痪，网络阻塞等。个体不可用：当资产不可用时，业务系统的某个或某几个客户不可用，例如终端故障，客户机当机等。Ya（该业务系统的关键性程度）包括下述三种情况：核心业务系统；关键业务系统；一般业务系统。采用5级标准，较好地反映了资产价值的差异，但对于用户和顾问来说，在为某一项资产的机密性、完整性或可用性价值赋值时，仍然很难在相邻的两个数值之间作出选择。为此，本项目中提出了一套方法，通过将机密性、完整性和可用性的每个值分解为两个相乘的指标，而每个指标均分为三级。从而得出五级安全价值。V={Vc,Vi,Va} 资产的安全价值由机密性价值、完整性价值和可用性价值三者组成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 将三个安全性价值分别分解为两个相乘的指标。VX=3X=2X=1Y=3543Y=2432Y=1321 分别为两个指标（三级）赋值，然后查上表得出价值（五级）。赋值工作操作方法指南首先对各资产赋值通过对各资产赋值，我们可以获得在同一个区域内核心资产。对保护对象框架赋值在资产识别和赋值过程中，最大的障碍在于资产数量过多、过杂，得不到全局、宏观的分析。通过对保护对象框架进行赋值，可以同一层保护对象框架内的核心保护对象框架。保护对象框架赋值除了要考虑其所属资产的价值，还要综合考虑到其框架内业务系统、数据及文档、组织和人员、物理环境等因素。业务系统的资产赋值与其映射的保护对象一致。赋值标准的理解资产赋值时，赋值的原则是这个资产或资产组在某个安全属性方面的价值或者在安全属性方面受到损失和破坏时对整个评估体的影响和损害，安全属性指机密性、完整性和可用性。理解赋值标准时，这个安全属性价值非常关键，对整个评估体具有致命性的潜在影响或无法接受、特别不愿接受的影响和损害，符合这样的描述时表明这个安全属性值为4，其余类推。这里整个评估体是指本次评估的主体，可能是评估范围内的所有信息资产组成的系统，如ERP信息系统；也可能是一个部门，如IT部门；也可能时整个企业或组织。赋值时考虑的是对整个评估体的影响，注意不要扩大到整个企业或集团，也不要缩小到部门。顾问在工作中，开始一般不要直接问客户应该赋值为几，应该是问客户这个安全属性完全损害或破坏时，对企业的影响如何，对关键业务的影响如何，企业的接受程度如何，然后根据影响程度按照赋值标准自己来判断应该赋值为几。当然，随着赋值工作的进行，当客户完全理解赋值标准后可以由客户进行判断，顾问如有疑问进行详细询问和修正。独立资产按照赋值标准来理解，对资产组需要考虑组中所有资产的安全属性，然后综合起来作为一个整体的概念来赋值。选择访谈对象的原则赋值时，选择访谈对象的原则是找具有企业整体概念，又清楚各个具体资产的情况的人。可以找一个知道所有情况的人，也可以找几个人。人员选择时一般选择中层干部，具有一定企业整体概念，又熟悉具体工作。如果选择多人，一般资产可以找安全主管或网管主管，业务系统的资产找业务部门主管或维护主管。对于一个资产的价值，可能不同的人理解会不一样，赋出来也不同，因为这个资产对不同的人具有不同的意义，但从效率来讲，一个资产的赋值最好找一个人来访谈，不推荐找一组不同性质和级别的人来访谈，再把结果综合，所以选择访谈对象要比较谨慎，尽可能按照上述的原则找到合适的人。赋值本来就是个定性分析，允许存在一个粒度的误差，但如果顾问觉得有明显疑问或较大误差，也可以找其他人来核实。在只找一个人来访谈时，为了避免太大的误差和明显错误，影响整个项目的质量，一般最后赋值结束后，要把结果向对方的项目经理核实，需要对方确认。此步工作不能省略。赋值访谈时应向对方说明，考虑影响的出发点应是对整个评估体，使之站在对整个评估体的高度来。IT设备评估IT设备评估是所有系统都要进行的，也是非重点系统安全评估的主要内容，业务系统的正常运行不仅仅需要高效的网络传输和交换，还需要主机、服务器的良好运转，也需要足够的安全保证。通过IT设备安全评估，发现系统的风险点和脆弱性，为设备安全加固提供指导和依据，从而提高系统安全状况，保障业务系统的高性能、高可靠性、高可用性、高效率运行。IT设备评估内容包括：主机操作系统弱点评估、网络设备弱点评估、安全设备弱点评估。评估的过程IT设备评估的评估过程，根据内容和方法分为两种：现场操作的评估过程；后台分析的评估过程。现场操作的评估过程现场操作的评估过程，主要针对：主机操作系统人工评估、工具扫描、网络及安全设备需要的现场评估工作，下图是“现场操作评估过程的流程图”：安全顾问根据信息资产调查的结果，提前一周确定评估申请表，并提交给相关部门安全管理员和该系统管理员，评估申请表内容包括：评估设备详细范围、评估内容、相关的管理人员，以及风险规避措施建议等。部门安全管理员和涉及系统的管理员最终确定具体的评估时间，并做好评估准备工作。评估时间通知项目负责人，如有必要正式发文。安全顾问进行现场实施评估，如有必要，在现场之间和相关人员沟通评估发现的问题；现场全部评估工作完成后，确认该现场评估工作结束（如有必要，系统管理员可及时检查系统的可用性是否存在问题）。现场评估后，安全顾问进行后台数据分析，完成评估分析报告，提交给各部门安全管理员和该系统管理员，并进行沟通和讲解工作；最终，由该项目负责人确认评估报告，评估结束。后台分析的评估过程后台分析的评估过程，主要针对：网络及安全设备配置信息可以后台进行分析的评估工作，下图是“后台分析评估过程的流程图”：安全顾问根据信息资产调查的结果，提前一周确定评估申请表，并提交给相关部门安全管理员和该系统管理员，评估申请表内容包括：评估设备详细范围、评估内容、相关的管理人员等。部门安全管理员和涉及系统的管理员在一周内提交申请评估设备的配置信息给安全顾问。安全顾问进行后台配置分析，如有必要，和相关人员沟通评估发现的问题；如有必要，进行现场评估设备的检查。安全顾问完成评估分析报告，提交给各部门安全管理员和该系统管理员，并进行沟通和讲解工作；最终，由该项目负责人确认评估报告，评估结束。评估的方法本次的安全评估主要是依靠天融信具有多年丰富经验的安全专家来进行的。我们依据天融信公司经多年实践检验而积累下来的，在业内领先的安全检查方案，在得到中海信托有关工作人员的授权并在有关人员的监督下实施。评估将根据被评估系统的不同情况，选择以下几种方式进行：主机系统评估方法工具扫描的方法：使用中海信托提供的ISSInternetScanner安全漏洞扫描工具对主机进行扫描，扫描评估主要是根据已有的安全漏洞知识库，模拟黑客的攻击方法，检测网络协议、网络服务、网络设备、应用系统等各种信息资产所存在的安全隐患和漏洞。工具扫描主要依靠带有安全漏洞知识库的网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评估目标进行覆盖面广泛的安全漏洞查找，并且评估环境与被评估对象在线运行的环境完全一致，能较真实地反映主机系统所存在的安全问题。专家评估（安全基线分析）方法：依据天融信对主机平台的标准化的安全审计列表（安全基线），检查和分析主机系统平台存在的安全问题。根据天融信最新的安全检查核对表内容，逐项检查系统的各项配置和运行状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专家的经验知识而制定，它主要包括有以下几个方面：安全配置检查：系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。安全机制检查：安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份与恢复，签名与校验，加密与通信，特殊授权及访问控制等。入侵追查及事后取证：检查与发现系统入侵，攻击或其它危害，尽可能追查及取证。例如日志被毁坏篡改或删除，计费数据被删除，遭受DOS攻击，系统被监听，控制或安装后门等。网络及安全设备评估方法专家评估（安全基线分析）方法：依据天融信对网络和安全设备的标准化安全审计列表（安全基线），检查和分析网络及安全设备存在的安全问题。根据天融信最新的安全检查核对表内容，逐项检查系统的各项配置和运行状态。核对表内容根据最新漏洞发现、客户不同的系统和运行环境、以及专家的经验知识而制定；可采用后台配置检查或现场登录设备配置查看两种方式。顾问访谈顾问访谈在安全顾问咨询服务中处于不可替代的关键地位，目前尚没有成型的工具、模型、算法等可以将专家的经验完全体现出来，通过进行面对面或电话访谈，顾问会将自己的经验体现于网络安全脆弱性评估中。评估的内容主机系统评估主要内容主机系统的安全目标是保障主机平台系统高效、优质运行，满足业务系统的需求，防止主机和系统遭受外部和内部的破坏和滥用，避免和降低由于主机和系统的问题对业务系统的损害；协助应用进行访问控制和安全审计。主机系统安全评估主要包括如下内容：系统安全管理：严格管理系统帐户、有效控制系统服务，优化系统的安全配置，启用系统必要的安全控制措施,避免系统发生故障或遭受攻击；系统资源控制：系统的补丁管理、文件和目录管理等安全配置；系统冗余：根据业务需要对系统进行冗余设计；系统访问控制和审计：对系统进行有效访问控制和日志审计。主机系统安全评估将进行如下几个方面的检查：系统补丁系统账号文件系统网络及服务系统配置文件NFS或其它文件系统共享审计及日志系统备份及恢复应用系统其它网络及安全设备评估主要内容网络及安全设备评估的目标是发现网络设备或安全设备存在的弱点，防止网络和通信系统遭受外部和内部的攻击和滥用。主要检查设备是否存在已知的漏洞，设备的安全配置是否正确。网络及安全设备评估将主要涉及到以下几个方面的内容：关闭不必要的服务禁止CDP(CiscoDiscoveryProtocol)禁止TCP、UDPSmall服务禁止Finger服务禁止NTP服务禁止BOOTp服务（路由器适用）禁止IPSourceRouting禁止IPDirectedBroadcast（路由器和三层交换机适用）启用servicepassword-encryption关闭WINS和DNS服务关闭ARP-Proxy服务登录要求和帐号管理采用enablesecret设置密码采用认证设置exec-timeout（5分钟及以内）采用访问控制措施，限制可登录的源地址关闭HTTP服务远程登录采用加密传输（SSH）采用多用户分权管理SNMP协议设置和日志审计设置SNMP读写密码更改SNMP协议端口限制SNMP发起连接源地址开启日志审计功能其它安全要求禁止从网络启动和自动从网络下载初始配置文件。禁止未使用或空闲的端口符合banner的设置要求符合设备提示符的设置要求启用源地址路由检查（路由器适用）VTP设置密码（交换机适用）评估的风险和应对工具扫描风险分析采用ISSInternetScanner作为扫描工具，ISSInternetScanner是业界上最优秀的网络扫描器，通过扫描引擎发送扫描探测数据包，获取远程主机设备的安全漏洞。发送的数据包会占用网络资源，通常百兆网络占用3－5%的带宽资源，目标主机设备由于需要响应探测数据包，会占用目标主机设备的资源，例如CPU和内存资源。特别是，InternetScanner可以发送DOS攻击探测数据包，如果目标主机设备存在该漏洞，扫描过程中可能会宕机。主机人工评估风险分析人工评估采用安全检查列表，评估过程中，对目标主机设备逐一按照安全检查列表进行检查。人工评估只是查看目标主机设备的配置信息，不会对目标主机设备进行修改操作，主要存在的安全风险是检查操作带来的安全风险，例如运行命令、操作界面带来的安全风险。主机系统弱点评估的工具扫描过程，尽量避免使用含有拒绝服务类型的扫描方式，而主要采用人工检查的方法来发现系统可能存在的拒绝服务漏洞。在扫描过程中如果出现被评估系统没有响应的情况，应当立即停止扫描工作，与配合的工作人员一起分析情况，在确定原因后，并正确恢复系统，采取必要的预防措施（比如调整扫描策略等）后，才可以继续进行。网络设备配置检查和网络拓扑分析只对被评估对象进行运行状态和配置检查，因此不会对现有信息系统上的其他设备和资源带来任何影响。评估成员会与中海信托系统管理员保持良好沟通，随时协商解决出现的各种难题。并且在评估完成时，由相关的管理人员对被评估主机系统的状态进行确认，保证评估后系统运行正常。网络设备安全风险评估通过有针对性的安全评估，发现现存网络类系统的安全风险点和脆弱性，防止网络和通信系统遭受外部和内部的攻击和滥用，避免和降低由于网络和通信系统的问题对业务系统造成损害的风险；同时，也要从业务发展的角度分析网