中海信托信息安全风险评估及整改综合项目关键技术专项方案

目录TOC\o"1-2"\h\z\u1 概述 351.1 项目背景 351.2 项目目标 351.3 项目内容 361.4 项目设计标准 371.5 项目范围 381.6 文件和法律法规 382 天融信对本项目标了解 392.1 对项目目标了解 392.2 对项目特点了解 393 项目总体方法和步骤 413.1 概述 413.2 天融信风险评定方法 443.3 本项目采取安全风险评定方法 453.4 技术难点和关键突破 484 信息资产调查和赋值 504.1 信息资产概述 504.2 信息资产分类 504.3 保护对象框架 564.4 资产识别过程 584.5 信息资产赋值 594.6 赋值工作操作方法指南 645 IT设备评定 665.1 评定过程 665.2 评定方法 685.3 评定内容 705.4 评定风险和应对 726 网络设备安全风险评定 736.1 评定过程描述 746.2 评定方法 776.3 评定内容 786.4 评定风险和应对 817 应用系统和管理安全风险评定 817.1 评定过程描述 847.2 评定方法 467.3 评定内容 477.4 风险及应对方法 608 安全增强和加固 618.1 安全加固内容 628.2 安全加固步骤 649 应急响应服务 659.1 服务目标： 659.2 服务特点： 669.3 通常实施步骤： 669.4 步骤说明： 6610 安全处理方案 6810.1 处理方案设计概述 6810.2 安全需求分析 6810.3 安全处理方案设计 6911 项目组织结构 7111.1 现场实施阶段，项目组织结构 7111.2 项目角色和责任 7112 项目进度计划 7412.1 项目关键过程时间安排 7413 项目开启和准备阶段 7513.1 概述 7513.2 参与人员 7513.3 过程描述 7513.4 需要中海信托配合工作 7513.5 输出 7614 现场实施阶段 7614.1 资产调查 7614.2 安全评定（包含漏洞扫描、人工检验等） 7714.3 渗透测试 7914.4 安全加固 8014.5 应急响应服务 8115 数据分析及汇报阶段 8315.1 概述 8315.2 过程描述 8315.3 需要中海信托配合工作 8415.4 输出 8416 项目收尾阶段 8416.1 概述 8416.2 过程描述 8516.3 需要中海信托配合工作 8516.4 输出 8517 售后服务 8517.1 安全服务技术支持服务 8517.2 安全服务跟踪服务 8517.3 天融信安全服务业务关键能力 8618 项目管理及沟通措施 8718.1 天融信工程项目管理方法 8718.2 天融信项目管理遵照标准 8818.3 项目沟通措施 8819 项目风险管理及保密控制 9219.1 项目风险分析及规避方法 9219.2 项目标保密控制 9420 天融信信息安全服务业务介绍 9520.1 安全服务组织结构图 9520.2 安全服务业务范围 9621 项目实施质量确保 9821.1 项目实施人员质量职责 9821.2 天融信安全服务质量确保体系严格落实以下过程 9822 项目验收方法 10122.1 验收方法确定 10222.2 验收程序 10322.3 版本控制 10522.4 交付件归档措施 10623 项目分项报价表 107概述项目背景多年来，伴随信息化技术越来越深入和广泛应用，信息安全风险日益加大，国家和各行业主管机构全部对防范信息安全风险很重视。国家信息化领导小组颁发《信息安全等级化保障体系》系列标准文件对中国信息安全保障工作做出标准性战略性要求，要求坚持主动防御、综合防范方针，全方面提升信息安全防护能力，关键保障基础信息网络和关键信息系统安全，经过五年左右努力，基础形成国家信息安全保障体系。起，银监会公布了《商业银行内部控制指导》，并深入发出了相关信托投资企业加强内部控制和风险控制要求。7月，国家财政部和证监会、银监会、保监会等联合公布了《企业内部控制基础规范》，对企业内部控制提出了较为具体要求。为深入保障银联网络边界安全，降低信息安全风险，中海信托投资拟于在业界著名互联网安全服务企业帮助下，对中海信托信息系统实施安全风险管理服务（包含安全技术和管理评定、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务），为中海信托关键业务系统稳定运行提供安全保障。项目目标经过实施整体信息安全风险评定服务（包含安全技术和管理评定、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务）提升中海信托信息系统安全性和可靠性，并在紧急情况下对提供紧急安全事件响应支持，控制并降低来自于互联网安全风险。经过此次对中海信托网络安全服务项目，能够达成以下关键目标：经过安全风险评定，得到中海信托整体安全现实状况；经过渗透测试和安全技术评定，分析中海信托信息系统存在各类技术性安全缺点，并进行整改；经过管理体系评定，发觉中海信托在风险管理、安全策略和内部控制等方面存在问题并加以改善；经过安全加固和策略体系改善，全方位提升中海信托信息安全管理水平。项目内容此次整体信息安全风险评定项目标内容能够分为多个部分：信息安全风险评定信息资产调查调查和统计中海信托信息系统所包含信息资产（包含物理环境、终端、网络设备、主机、应用软件、业务系统、数据、人员、标准步骤等），明确其现有情况、配置情况和管理情况。如主机系统，需要明确其平台、版本、补丁等基础情况外，还需明确开放端口、服务和进程等配置管理信息。并对全部信息资产根据一定标准进行资产赋值。现有安全系统调查工作包含明确现有安全设备(包含防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器等)布署情况和使用情况；同时了解在建网络和信息安全建设项目，使之服从统一布署标准。安全风险评定依据中海信托现有安全标准规范和业务对安全要求，分析主机、网络及安全设备面临威胁，评定现有系统存在弱点，明确全部信息系统面临安全风险和隐患。应用系统渗透测试经过黑客或白客方法对指定Internet业务系统进行渗透攻击，发觉该系统存在安全隐患，并提出处理方法。信息系统安全加固安全加固和优化服务是实现用户信息系统安全关键步骤。经过使用该项服务，将在中海信托信息系统网络层、主机层和应用层等层次建立符合中海信托安全需求安全状态，并以此作为确保中海信托信息系统安全起点。安全策略体系整改经过对现有安全体系策略制度审阅、解读和差距性分析，对现有安全管理制度和内控制度进行改善，使之能够完全符合目前中国相关控制标准要求，并向相关国际化标准看齐。项目设计标准符合性标准：符合国家等级化保护体系指出主动防御、综合防范方针和等级保护标准。标准性标准：服务方案设计和实施应依据中国或国际相关标准进行；规范性标准：服务工作中过程和文档，含有很好规范性，可方便于项目标跟踪和控制；可控性标准：方法和过程在双方认可范围之内，安全服务进度要根据进度表进度安排，确保甲方对于服务工作可控性；整体性标准：安全服务范围和内容整体全方面，包含安全包含各个层面（应用、系统、网络、管理制度、人员等），避免因为遗漏造成未来安全隐患；最小影响标准：安全服务中工作尽可能小影响系统和网络正常运行，不能对现网运行和业务正常提供产生显著影响；保密性标准：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方行为，不然甲方有权追究乙方责任。甲方有权要求乙方在服务结束以后销毁全部和本项目相关数据和文档。项目范围本项目选择中海信托关键业务系统作为服务对象。文件和法律法规中国政策和标准：《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[]27号）；《相关开展信息安全风险评定工作意见》1月国家网络和信息安全协调小组；《相关印发《信息安全风险评定指南》通知》2月国信办（国信办综[]9号）；《商业银行内部控制指导》12月银监会《企业内部控制基础规范》7月财政部、证监会、审计署、银监会、保监会国际政策和标准：ISO/IEC27001信息安全管理体系标准COSO/COBIT内控和信息技术控制框架ISO/IECTR13335Series,GuidelinesforthemanagementofITSecurity(CMITS)，1996-NISTSP800Series,ComputerSecuritySpecialPublications，1991-天融信对本项目标了解对项目目标了解安全风险评定工作是中海信托信息安全体系运作体系中风险管理关键组成部分，经过周期性安全风险评定工作发觉企业安全现实状况，为企业安全建设和安全加固提供数据基础。总而言之，本期项目标目标是：经过安全评定技术手段，尽可能发觉和定位中海信托各信息系统存在安全风险，为安全加固、系统整改及应急响应提供依据和技术指导，降低中海信托整体安全风险。对项目特点了解经过上面对本项目目标分析，本期深度安全风险评定工作存在以下特点：要求高：因为中海信托业务快速增加，对信息安全要求越来越高，所以要比以前采取愈加规范项目管理要求；此次评定技术深度和广度，全部要强于以前项目及同行业要求（多个系统应用分析）；采取技术标准，是目前最新、最立即，相比历史评定工作和同行业类似工作技术要求是最高；技术和管理并重：因为面临外部威胁压力和影响力比以往要大很多，所以此次项目愈加侧重于经过外部渗透测试方法，发觉从外部威胁和影响（尤其是从外部Internet进行渗透测试）；此次项目渗透测试包含系统范围更广，而且更深地分析经过“信任关系”发生渗透，从而发觉“木桶原理”中“最短那块板”；愈加侧重于应用系统本身特点安全评定：综合分析业务和管理层（数据流，角色权限…）；应用层（数据库，中间件）；系统层（主机操作系统）；网络层（网络架构，网络设备），提出安全风险愈加有针对性；中海信托各应用系统有不一样特点，在此次项目中要结合不一样部门、不一样系统特点进行对应应用系统安全评定；愈加考虑安全加固和应急响应体系建设可行性：此次项目在实施过程中安排了时间，对发觉问题进行立即地讲解和答疑；对发觉问题提出处理方案，和系统管理员立即沟通，并帮助进行讲解和培训，对不能直接处理，提出综合处理、降低风险方案。项目总体方法和步骤概述风险管理（RiskManagement）意在对潜在机会和不利影响进行有效管理文化、程序和结构。风险管理是良好管理一个组成部分，它用一个将损失减小到最低程度而使商业机会达成最大程度方法，对和机构任何活动、功效和过程相关风险进行环境建立、判定、分析、评价、处理、监控和信息交流。风险管理过程（RiskManagementProcess）是指系统地将管理方针、程序和结构应用于风险环境建立、判定、分析、评价、处理、监控和信息交流等过程任务。在信息安全领域，一样适适用于风险管理理念和方法论。在目前信息技术得到普遍应用，而且很多成为关键业务系统环境下，企业或组织信息安全风险很大，而且普遍缺乏有效控制和管理，但过分风险管理，无疑会造成大量金钱和人力花费、和工作效率严重降低。所以，怎样适度和有效地进行信息安全风险管理和控制，成为了一项迫切和关键任务。下面描述即是说明风险评定过程理念和方法论，以作为天融信安全服务标准方法论和理论基础，指导和规范天融信安全风险安全服务工作。安全模型参考在澳大利亚和新西兰国家标准《风险管理RiskManagement》（AS/NZS4360:1999）中描述了风险管理过程，以下图所表示：在国际标准ISO13335中，安全模型以下图所表示，特点是以风险为关键。在国际标准中，安全模型以下图所表示，其特点是强调了模型对抗性和动态性。能够看出，安全模型中关键要素全部是资产、弱点、威胁、风险、安全方法等，各要素之间关系也基础类似，只是描述和关注角度不一样。风险评定标准风险评定过程中关键选择规范和标准包含：中海信托技术规范和标准：中国政策和标准：《国家信息化领导小组相关加强信息安全保障工作意见》（中办发[]27号）；《相关开展信息安全风险评定工作意见》1月国家网络和信息安全协调小组；《相关印发《信息安全风险评定指南》通知》2月国信办（国信办综[]9号）；国际政策和标准：ISO/IEC27001ISO/IECTR13335Series,GuidelinesforthemanagementofITSecurity(CMITS)，1996-NISTSP800Series,ComputerSecuritySpecialPublications，1991-ISO/IEC15408-1999“信息技术安全技术信息技术安全性评定准则”（简称CC）天融信风险评定方法风险评定模型在安全评定服务中，天融信参考上述两个安全模型，依据自己工程实践，建立了自己风险评定模型，描述以下：在天融信风险评定模型中，关键包含信息资产，弱点/脆弱性、威胁和风险四个要素。每个要素有各自属性，信息资产属性是资产价值，弱点属性是弱点被威胁利用后对资产带来影响严重程度，威胁属性是威胁发生可能性，风险属性是风险发生路径。所以，天融信风险评定过程是：对信息资产进行识别，并对资产赋值；识别信息资产脆弱性（弱点/漏洞），并对弱点严重程度赋值；对威胁进行分析，并对威胁发生可能性赋值；综合分析资产价值、资产脆弱性和威胁发生可能性，得到信息资产风险发生路径和等级，并对风险进行处理，选择适宜控制方法。总体工作步骤图依据安全风险评定模型，天融信安全风险评定总体工作步骤以下图：在评定过程中首先要进行全网资产调查，识别内容包含：“信息设备、应用系统、网络环境、组织结构及物理环境；然后进行应用系统安全目标识别和分析；和经过安全评定“业务系统评定”、“渗透测试”、“网络架构评定”、“IT设备弱点评定”、“应用安全评定”、“安全管理评定”、“物理安全评定”各项内容获取“安全现实状况”(包含：安全威胁)、“安全弱点”。最终经过各系统、子系统安全目标和其“安全现实状况”、“安全弱点”对比分析，得到安全现实状况和处理方案。本项目采取安全风险评定方法此次项目因为侧关键于技术问题发觉，并指导以后安全加固和系统技术整改等技术工作；依据此次项目标特点，准备采取以下三种安全风险评定方法，关键针对非关键系统、关键系统网络类、关键系统计算类；非关键系统IT设备弱点评定以下图所表示：本评定关键目标是为IT设备弱点提供安全加固指导和依据，关键包含“主机系统弱点评定”；“网络设备弱点评定”；“安全设备弱点评定”。主机系统弱点评定采取人工现场检验和工具扫描两种方法；网络设备弱点评定和安全设备弱点评定，对能够导出配置信息、并配置信息可识别分析，采取后台人工分析方法；对不能导出配置信息、或配置信息不可识别分析，采取人工现场检验方法。评定结果，是表现各单点资产弱点情况，和综合统计分析汇报，关键为指导单点设备安全加固工作。网络类关键系统安全评定以下图所表示：网络类关键系统是企业关键承载各业务基础平台，其评定目标不仅是发觉现存系统问题，指导安全加固和系统整改工作和依据；而且还要依据业务发展需要，为网络建设提供安全保障计划依据。本安全评定包含：“IT设备弱点评定；网络架构安全评定和渗透测试”，其中IT设备弱点评定和前面一致。网络架构安全评定包含：网络现实状况安全合理性分析和随业务发展需要网络安全需求分析，关键采取方法是：后台分析（对网络拓扑、相关技术文档、访问控制等配置信息分析）、现场设备检验（对网络设备或网管系统安全情况查看）、系统管理员顾问访谈（网络现实状况存在问题、网络安全事件、业务发展对网络影响及假设）、主管领导顾问访谈（业务发展对网络安全要求）；渗透测试，关键采取嗅探及入侵手法，分析从外部越权进入本系统路径和可能性，和可越权访问接入本网络系统系统范围和影响。注：如无特殊需要，不采取DOS等恶意攻击手段。本评定结果，除表现单个资产弱点情况，指导安全加固外；还可为系统整改，划分安全域和未来网络计划提供参考；同时因为企业包含网络类系统之间是有强关联，最终要综合分析各网络类系统和应用系统关联性，设计全网网络安全处理方案提议。应用计算类关键系统安全评定以下图所表示：应用计算类关键系统是企业各独立业务单元，包含完整主机、网络、应用各项内容；其评定目标是从深度上（业务管理层<数据流，用户角色权限…>；应用层<数据库，中间件>）；到广度上系统层（主机操作系统）；网络层（网络架构，网络设备），提出全方面安全风险分析汇报。本安全评定包含：“IT设备弱点评定；网络架构安全评定；应用系统安全评定和渗透测试”，其中IT设备弱点评定和前面一致。网络架构安全评定关键从网络结构上分析其应用系统安全域划分合理性及访问控制策略符合性，具体方法和前面一致。应用系统安全评定，关键包含：对业务逻辑和数据流安全分析；对应用平台安全分析。关键方法是：后台分析（对业务系统设计、运行相关技术文档）、现场设备检验（对应用平台和数据库进行安全情况查看）、源代码评定（对部分关键步骤代码进行分析）、系统管理员顾问访谈（现实状况存在问题、安全事件、业务发展影响及假设）。渗透测试，关键采取入侵和角色提升手法，分析从外部越权侵入本系统路径和可能性；和模拟不一样用户角色提升权限，进行数据篡改或越权访问可能性分析。本评定结果，除表现单个资产弱点情况，指导安全加固外；关键为系统整改，安全域划分和系统开发提供参考。技术难点和关键突破在对中海信托进行安全风险评定过程中，因为其规模庞大，信息系统复杂，业务系统特征和安全属性存在巨大差异，所以对于评定标准选择，和评定结果适用性全部提出了巨大挑战。评定指标定制面临困难：安全没有定制化适用安全指标，造成评定结果不可信通常在安全评定时，评定服务提供者因为在评定前并不熟悉和了解被评定方业务特征和安全特征，所以不能定制很适用评定标准指标，也就是说没有很适用，反应被评定对象特征评定标准，通常全部采取国际或国家标准。即使国际或国家标准适适用于全部信息系统，但其适用广泛性原因，评定标准比较笼统，不反应行业特征和企业特征。这么，因为缺乏适用评定标准，造成评定结果可用性差，也缺乏针对性，不能反应业务特征和行业特征。尤其是假如服务提供者对用户首次评定，存在评定质量较低风险，这是评定服务业务一个多年存在难题，极难处理。通常情况下，评定质量取决于评定服务提供者和评定顾问经验是否丰富，是否很熟悉被评定者业务特征和行业特征。处理方法：在评定前设计行业安全评定指标，并在评定开始阶段尽可能定制能否正确定制行业安全评定指标，即行业评定标准是评定项目能否成功关键步骤之一，它对评定结果适用性和真实性起着关键作用。在作评定前，我们依据多年对不一样行业丰富评定经验和深刻了解，依据不一样行业业务特征和安全要求特征了解，总结出反应行业特征安全要求，设计出针对不一样行业安全对策指标体系，再细化成不一样行业安全评定指标。强调评定结果适用性面临困难：评定结果和提议难以实施，技术和管理难以有效融合，缺乏抗打击能力和可控性信息安全问题包含管理方面问题、技术方面问题和二者交叉，它历来全部不是静态，伴随组织策略、组织架构、业务步骤和操作步骤改变而改变。中海信托现有安全防护方法大多属于静态单点技术防护，单纯布署安全产品是一个静态处理措施，单纯防范黑客入侵和病毒感染更是是片面。一旦单点防护方法被突破、绕过或失效，整个安全保障将会失效，威胁将影响到整个信息系统。评定结果中处理方案在设计过程中需要系统化全方面考虑，避免单点考虑，形成系统化方法。处理方案：强调多重深度保障和抗打击能力，强调评定结果可用性27号文件提出“坚持主动防御、综合防范方针”，《美国国家安全战略》中指出，国家关键基础设施“这些关键功效遭到任何破坏或操纵必需控制在历时短、频率小、可控、地域上可隔离和对利益损害最小这么一个规模上”。二者全部强调了抗打击能力和可控性，这就要求采取多层保护深度防御策略，实现安全管理和安全技术紧密结合，预防单点突破。天融信在输出评定结果时，会将管理手段和安全技术紧密结合，充足吸收业务特征，建立一个适用性强、可行性强并含有多重深度保障手段防护网络。信息资产调查和赋值信息资产概述资产是企业、机构直接给予了价值所以需要保护东西。它可能是以多个形式存在，有没有形、有有形，有硬件、有软件，有文档、代码，也有服务、企业形象等。它们分别含有不一样价值属性和存在特点，存在弱点、面临威胁、需要进行保护和安全控制全部各不相同。为此，有必需对企业、机构中信息资产进行科学识别，方便于进行后期信息资产抽样、制订风险评定策略、分析安全功效需求等活动。即使信息资产含有很广泛含义，但这里将信息资产定义以下：信息资产是指组织信息系统、其提供服务和处理数据。信息资产分类参考ISO27001对信息资产描述和定义，结合安全评定经验，将信息资产根据下面方法进行分类：类别解释/示例网络设备一台或一组互备网络设备，包含网络设备中硬件，IOS，配置文件数据及其提供网络服务。包含路由器、交换机、RAS等，防火墙、IDS等安全设备除外。服务器一台或一组服务器，包含服务器硬件、运行于其上OS、通用应用、服务，数据库、磁盘阵列等。工作站用户端用机、个人用机等。安全设备作为安全用途硬件和软件,如:防火墙、IDS、AV等。存放设备提供存放用途硬件和软件，如：磁盘阵列等。业务系统指组织为其应用而开发或购置各类应用软件及其提供业务服务。应用平台软件关键是指提供通用服务多种平台系统，包含：数据库WWW、Mail、FTP、DNS、和专有中间件产品等；数据及文档关键指存在于电子媒介或纸制多种数据和资料，包含数据库数据、存放于硬盘上文件、代码；财务数据及书面汇报等。组织和人员指和安全相关组织和人员，包含各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等物理环境指支持IT系统运行基础物理设施，如：机房、空调、UPS、监控器等。网络设备网络设备是指组成信息系统网络传输环境设备，软件和介质。包含路由器、交换机、通信终端和网关和网络设备控制台等硬件设施和软件系统，为了更清楚地域分资产安全属性，网络设备类资产不包含防火墙、VPN、网络入侵检测等网络安全产品。服务器服务器是指信息系统中承载业务系统和软件计算环境。包含大型机、小型机、Unix服务器、Windows服务器、移动计算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、数据库。除此之外，行业特殊设备，比如银行ATM等，也属于主机系统。同一台主机系统，安装两种或以上操作系统（关键针对工作站、移动计算设备），并均能接入到网络中，应视为多项主机系统信息资产。工作站工作站是指信息系统中承载业务系统软件用户端软件计算环境和OA系统中个人用机。同一台主机系统，安装两种或以上操作系统（关键针对工作站、移动计算设备），并均能接入到网络中，应视为多项主机系统信息资产。安全设备安全设备关键指在信息系统中用作网络安全保护用途硬件设施和软件系统，包含：防火墙、VPN、网络入侵检测、网闸、防病毒系统和相关系统控制台软硬件设施。存放设备存放设备关键指在信息系统中用作数据存放用途硬件设施和软件系统，并均能接入到网络中信息资产。包含：DAS、NAS、SAN等软硬件设施。业务系统业务系统关键指为业务生产、管理支撑及办公等业务需求提供服务软件系统，这类资产在信息资产中占有很关键地位。本项目所指业务系统是指独立应用、运作系统，比如短消息业务系统、MISC系统、办公自动化系统、管理信息系统等，网管系统等。业务系统属于需要关键评定、保护对象。业务系统作为独立资产存在同时，对于其它资产又存在以下关系：作为“网络设备、服务器、工作站、安全设备、存放设备”资产属性之一列出。在其资产赋值时，作为考虑原因。应用平台软件关键是指提供通用服务多种平台系统，包含：数据库WWW、Mail、FTP、DNS、和专有中间件产品等；通常将其所代表安全属性落实到以下部分来表现：应用平台软件作为“服务器、工作站、安全设备、存放设备”资产属性之一列出，在进行资产赋值和弱点时候，作为考虑原因。数据及文档数据及文档关键指存在于电子媒介或纸制多种数据和资料，包含源代码、数据库数据、业务数据、用户数据、多种数据资料、系统文档、运行管理规程、计划、汇报、用户手册等。数据及文档资产在信息资产中占有很关键地位，通常作为企业知识产权、竞争优势、商业秘密载体。属于需要关键评定、保护对象。通常，数据及文档类资产需要保护安全属性是机密性。比如，企业财务信息和薪酬数据就是属于高度机密性数据。不过，完整性关键性会伴随机密性提升而提升。企业内部对于数据类资产分类方法通常依据数据敏感性（Sensitivity）来进行，和机密性很类似。比如，下表是常见一个数据分类方法：简称解释/举例公开Public不需要任何保密机制和方法，能够公开使用（比如产品发表新闻等）。内部Internal企业内部职员或文档所属部门使用，或文档包含企业使用（比如合相同）秘密Private由和项目相关企业和用户企业组员使用机密Confidential只有在文档中指定人员可使用，文档保管要在要求时间内受到控制绝密Secret非文档拟订者或文档全部者及管理者，其它指定人员在使用文档后快速按要求销毁不过，因为数据及文档数量巨大，且对其分类存在巨大偏差和困难，通常将其所代表安全属性落实到以下部分来表现：作为“服务器、工作站、存放设备”资产属性之一列出。在进行资产赋值和弱点及威胁分析时候，作为考虑原因。作为“组织和人员”资产属性之一列出。在进行弱点及威胁分析时候，作为考虑原因。组织和人员关键指企业和信息相关人员和组织，包含各级安全组织，安全人员、各级管理人员，网管员，系统管理员，业务操作人员，第三方人员等和被评定信息系统相关人员和组织。组织和人员作为独立资产存在进行识别，但不对其进行资产赋值，对其安全性原因考虑以下：作为“业务系统、网络设备、服务器、工作站、安全设备、存放设备”资产属性之一列出。物理环境关键指支持信息系统运行环境非IT类设备，关键包含机房、UPS、空调、保险柜、文件柜、门禁、消防设施等。此处通常属于物理安全问题，关键设备通常集中在机房内，所以评定时应关键考虑机房提供环境安全。物理环境和其它资产存在以下关系：物理位置作为“业务系统、网络设备、服务器、工作站、安全设备、存放设备”资产属性之一列出。在其弱点及威胁评定时，作为考虑原因。信息资产分类整体图网络设备网络设备服务器工作站安全设备存放设备组织和人员业务系统信息资产调查表属性描述资产名称在一个业务系统中不能重名资产编号全局唯一资产类型资产类别属性包含服务器、工作站、网络设备、安全设备等资产子类型子类型是对类型深入说明，比如网络设备中路由器、交换机等操作系统类型设备所承载系统类型，比如包含windows,windows,hp-unix,aix,solaris等操作系统版本号各类操作系统版本，比如solaris2.8，8.0等操作系统补丁各类操作系统安全补丁信息应用软件平台应用系统所需应用软件，比如WEB、J2EE等应用平台软件版本应用软件所对应对应版本。应用平台软件补丁应用软件厂商公布安全补丁。设备型号网络、服务器、工作站等硬件设备型号设备工作方法硬件、系统之间工作方法，比如热备、冷备、负载均衡等用途信息资产关键功效。资产所在地理位置信息资产所处地域、机房和机柜等资产所在业务系统和部门信息资产所属业务系统名称和业务系统所属部门名称资产责任人信息资产在登记过程中责任人。资产维护人维护信息资产人员名称资产安全三性安全属性，机密性、完整性和可用性资产创建时间信息资产入网时间资产最终修改时间信息资产功效修改、人员变换等信息更换最终时间资产最终修改人信息资产功效修改、人员变换等信息更换修改人员名称保护对象框架通常来说，信息系统资产数量十分庞大，为了愈加好研究其计算机安全问题，还需要从庞大信息资产中提炼出保护对象。保护对象框架是指以结构化方法表示信息系统框架模型。所谓结构化是指经过特定结构将问题拆分成子问题迭代方法。比如“鱼刺图”或“问题树”。结构化方法包含以下几条基础标准：充足覆盖全部子问题总和必需覆盖原问题。假如不能充足覆盖，那么处理问题方法就可能出现遗漏，严重影响本方法可行性。互不重合全部子问题全部不许可出现反复，类似以下情况不应出现在一个框架中：两个不一样子问题其实是同一个子问题两种表述；某一个子问题其实是另外两个问题或多个问题合并；不可再细分全部子问题全部必需细分到不能再被细分。当一个问题经过框架分析后，全部不可再细分子问题组成了一个“框架”。保护对象关键作用为：有利于信息资产识别全方面性。在列举信息资产时，保护对象框架有利于识别者系统进行思索；从资产安全估价到区域安全性赋值，有利于降低风险分析难度，同时确保风险分析有效性。保护对象框架内容保护对象框架关键包含计算区域、网络及基础设施、边界、支撑性基础设施四部分；计算区域还可作为下一级保护对象，向下细分为下一级计算区域、网络及基础设施、边界、支撑性基础设施。1）计算区域计算区域是指由相同功效集合在一起，安全价值相近，且面临相同威胁起源一组信息系统组成。同一计算区域内信息资产在安全性上含有较强同质性。计算区域还能够根据安全性能深入细分，直至到安全性完全同质。2）网络及基础设施网络及基础设施是指相同功效集合在一起，安全价值相近，且面临相同威胁起源一组网络系统组成。通常包含路由器，交换机和防火墙等提供网路服务局域网和广域网。3）边界边界是指两个区域或两组区域之间隔离功效集。边界是一组功效集合，包含访问控制，身份认证等。4）支撑性基础设施支撑性基础设施是指在区域内提供安全保障功效功效集。支撑性基础设施是一组功效集合，包含入侵检测、审计及计算机病毒防护等。保护对象和信息资产保护对象框架就是信息系统真实模型，计算区域、网络和基础设施作为保护对象框架两类基础元素，分别对应了不一样信息资产集合。计算区域：对应信息资产，通常包含：工作站、存放设备，服务器，安全设备（不含有访问控制及边界隔离功效）；当计算区域作为一级保护对象框架时，应根据保护对象框架思绪向下继续分解。网络和基础设施：对应信息资产，通常包含：网络设备，安全设备（含有访问控制及边界隔离功效）。边界：对应信息资产，通常包含:网络设备(含有访问控制及边界隔离功效模块)，安全设备（含有访问控制及边界隔离功效）。支撑性基础设施：对应信息资产，通常包含：安全设备（不含有访问控制及边界隔离功效）如上信息资产和保护对象框架关系，全部为各类信息资产一个或多个属性。对于业务系统资产来说，在确立保护对象框架时，能够将其作为一个独立保护对象来看待。对于组织和人员资产，经过业务系统属性和对应保护对象框架相关联。资产识别过程绘制拓扑图资产识别首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。通常来说，拓扑图越具体，资产识别精度也就越高。假如系统很复杂，一张拓扑图极难描述清楚，则应采取多张拓扑图。在安全咨询项目中，顾问应要求用户首先提供用户事先拓扑图。并以此为基础改成标准化拓扑图。确定业务系统绘制拓扑图以后，经过访谈等方法，确定业务系统，且识别业务系统功效类型。确定第一层保护对象框架依据业务系统各服务功效，对划分出第一层保护对象框架，划分标准：依据业务类型：比如是生产业务，管理支撑业务，还是办公业务等。依据业务关键性：比如关键区域，非关键区域等。划分出存在哪些外部区域确定第二层保护对象框架第二层保护对象框架在第一层区域内划分，划分标准：通常依据业务系统及其提供功效特征次序识别资产识别出系统级保护对象框架后，才真正开始进行资产识别。在这一阶段，依据信息资产种类来进行识别。并将其归属入对应保护对象框架，或在过程中创建下一级保护对象框架。信息资产赋值信息资产识别完成后，形成了一个信息资产清单，但对于大型组织来说，信息资产数目十分庞大，所以需要确定资产价值和关键性，关键保护关键、关键资产，并便于深入考察资产相关弱点、威胁和风险属性，并进行量化，所以需要对资产进行估价。安全风险评定中所指信息资产价值有别于资产帐面价值和重置价值，而是指资产在安全方面相对价值。本文中所指信息资产价值全部全部表示相对价值。在本文中，信息资产安全价值关键是指其机密性、完整性和可用性。资产安全价值含有很强时间特征，所以应该依据时间改变频度制订资产相关评定和安全策略频度。比如，某企业关键市场活动策划方案（数据资产），在活动开始之前，为达成市场目标，需要对该数据资产进行机密性、完整性和可用性方面保护。不过在该活动以后，策划已经基础上全部传达给了大众，所以资产价值已经大部分消失，相关安全属性也失去保护意义。信息资产估价方法信息资产估价方法有定性、半定量、定量三种，鉴于定量估价巨大工作量和技术难度，所以采取定性估价方法。信息资产分别含有不一样安全属性，机密性、完整性和可用性分别反应了资产在三个不一样方面特征。安全属性不一样通常也意味着安全控制、保护功效需求不一样。经过考察三种不一样安全属性，能够得出一个能够基础反应资产价值定性数值。在信息资产估价时，关键对资产这三个安全属性分别给予价值，以此反应出信息资产价值。机密性、完整性和可用性定义以下：保密性：确保只有经过授权人才能访问信息；完整性：保护信息和信息处理方法正确而完整；可用性：确保经过授权用户在需要时能够访问信息并使用相关信息资产。对安全属性赋值时关键考虑是对整个评定体影响和损害，然后根据下面赋值标准来衡量。这里整个评定体是指此次评定主体，包含此次评定范围内全部信息资产。下面描述信息资产赋值时采取标准。要求顾问在评定工作中，严格依据赋值标准进行赋值，而且全部顾问对赋值标准了解应该达成一致，以避免赋值随意性和不一致性，从而避免降低评定工作质量。半定量化资产赋值在分析资产安全性价值时，分析其真实数值很困难，所以在本项目中我们采取半定量化方法，即资产价值等级划分。在本项目中，我们对于全部资产机密性、完整性和可用性价值，均划分为5级。其中5代表资产安全性价值最高，1代表资产性价值最低。采取这种方法，使得资产赋值简便易行，同时也表现了不一样资产之间安全价值差距。其缺点是因为缺乏统一准则，对于每项资产，其机密性、完整性和可用性三者之间价值是不可比。也就是说，假如一项资产机密性和可用性赋值全部是4，并不意味该资产机密性和可用性价值相同。资产赋值方法采取5级标准，很好地反应了资产价值差异，但对于用户和顾问来说，在为某一项资产机密性、完整性或可用性价值赋值时，仍然极难在相邻两个数值之间作出选择。为此，本项目中提出了一套方法，经过将机密性、完整性和可用性每个值分解为两个相乘指标，而每个指标均分为三级。从而得出五级安全价值。V={Vc,Vi,Va} 资产安全价值由机密性价值、完整性价值和可用性价值三者组成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 将三个安全性价值分别分解为两个相乘指标。VX=3X=2X=1Y=3543Y=2432Y=1321 分别为两个指标（三级）赋值，然后查上表得出价值（五级）。机密性赋值Vc（资产机密性价值）是指该资产被暴露时对组织造成损害，所以资产机密性价值可分解为以下两个指标：Xc=资产被暴露时和所造成最严重后果之间关系；Yc＝后果对组织最严重损害程度；Vc=Xc*YcXc（资产被暴露时和造成后果之间关系）可分为下述三级：直接产生后果：即当资产被暴露时，后果既已发生。比如，组织商业秘密，要求密级涉密信息，这些信息一旦被暴露，后果随之发生，无法挽回。轻易产生后果：当资产被暴露时，后果很轻易发生。比如当操作系统超级用户口令失密时，假如获知者无恶意，后果可能不会发生，不过假如获知者含有恶意，那么后果很轻易发生。可能产生后果：当资产被暴露时，后果有可能会发生，但离后果发生仍存在一定距离。比如某用户端软件被盗用，在没有得到服务器验证口令之前，后果仍未造成。Yc（后果对组织损害程度）包含下述三种情况：严重损害：比如引发法律纠份、造成声誉下降或带来严重经济损失；中等损害：比如局部范围内声誉下降或显著经济损失；轻度损害：比如轻微经济损失。完整性赋值Vi（资产完整性价值）是指该资产不处于正确，完整或可依靠状态时对组织造成损害，所以资产完整性价值可分解为以下两个指标：Xi=资产不处于正确，完整或可依靠状态时和所造成最严重后果之间关系；Yi＝后果对组织最严重损害程度；Vi=Xi*YiXi（资产不处于正确，完整或可依靠状态时和造成后果之间关系）可分为下述三级：直接产生后果：即当资产不正确或被篡改时，后果既已发生。比如，数据库中交易统计。轻易产生后果：当资产不正确或被篡改时，后果很轻易发生。比如当应用软件步骤被篡改。可能产生后果：当资产被暴露时，后果有可能会发生，比如操作系统被种入木马等。Yc（后果对组织损害程度）包含下述三种情况：严重损害：比如引发法律纠份、造成声誉下降或带来严重经济损失；中等损害：比如局部范围内声誉下降或显著经济损失；轻度损害：比如轻微经济损失。可用性赋值Va（资产可用性价值）是指当某一项资产完全不可用时对业务系统所造成后果。它可被分解为以下两个指标：Xa＝资产不可用时对某个业务影响Ya＝该业务系统关键性程度Va=Xa*YaXa（资产不可用时对某个业务影响）可分为下述三级：整体不可用：当资产不可用时，业务系统即不可用。比如，服务器当机，主干网络瘫痪等。局部不可用：当资产不可用时，业务系统局部不可用。比如局部网络瘫痪，网络阻塞等。个体不可用：当资产不可用时，业务系统某个或某多个用户不可用，比如终端故障，用户机当机等。Ya（该业务系统关键性程度）包含下述三种情况：关键业务系统；关键业务系统；通常业务系统。采取5级标准，很好地反应了资产价值差异，但对于用户和顾问来说，在为某一项资产机密性、完整性或可用性价值赋值时，仍然极难在相邻两个数值之间作出选择。为此，本项目中提出了一套方法，经过将机密性、完整性和可用性每个值分解为两个相乘指标，而每个指标均分为三级。从而得出五级安全价值。V={Vc,Vi,Va} 资产安全价值由机密性价值、完整性价值和可用性价值三者组成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 将三个安全性价值分别分解为两个相乘指标。VX=3X=2X=1Y=3543Y=2432Y=1321 分别为两个指标（三级）赋值，然后查上表得出价值（五级）。赋值工作操作方法指南首先对各资产赋值经过对各资产赋值，我们能够取得在同一个区域内关键资产。对保护对象框架赋值在资产识别和赋值过程中，最大障碍在于资产数量过多、过杂，得不到全局、宏观分析。经过对保护对象框架进行赋值，能够同一层保护对象框架内关键保护对象框架。保护对象框架赋值除了要考虑其所属资产价值，还要综合考虑到其框架内业务系统、数据及文档、组织和人员、物理环境等原因。业务系统资产赋值和其映射保护对象一致。赋值标准了解资产赋值时，赋值标准是这个资产或资产组在某个安全属性方面价值或在安全属性方面受到损失和破坏时对整个评定体影响和损害，安全属性指机密性、完整性和可用性。了解赋值标按时，这个安全属性价值很关键，对整个评定体含有致命性潜在影响或无法接收、尤其不愿接收影响和损害，符合这么描述时表明这个安全属性值为4，其它类推。这里整个评定体是指此次评定主体，可能是评定范围内全部信息资产组成系统，如ERP信息系统；也可能是一个部门，如IT部门；也可能时整个企业或组织。赋值时考虑是对整个评定体影响，注意不要扩大到整个企业或集团，也不要缩小到部门。顾问在工作中，开始通常不要直接问用户应该赋值为几，应该是问用户这个安全属性完全损害或破坏时，对企业影响怎样，对关键业务影响怎样，企业接收程度怎样，然后依据影响程度根据赋值标准自己来判定应该赋值为几。当然，伴随赋值工作进行，当用户完全了解赋值标准后能够由用户进行判定，顾问如有疑问进行具体问询和修正。独立资产根据赋值标准来了解，对资产组需要考虑组中全部资产安全属性，然后综合起来作为一个整体概念来赋值。选择访谈对象标准赋值时，选择访谈对象标准是找含有企业整体概念，又清楚各个具体资产情况人。能够找一个知道全部情况人，也能够找多个人。人员选择时通常选择中层干部，含有一定企业整体概念，又熟悉具体工作。假如选择多人，通常资产能够找安全主管或网管主管，业务系统资产找业务部门主管或维护主管。对于一个资产价值，可能不一样人了解会不一样，赋出来也不一样，因为这个资产对不一样人含有不一样意义，但从效率来讲，一个资产赋值最好找一个人来访谈，不推荐找一组不一样性质和等级人来访谈，再把结果综合，所以选择访谈对象要比较谨慎，尽可能根据上述标准找到适宜人。赋值原来就是个定性分析，许可存在一个粒度误差，但假如顾问认为有显著疑问或较大误差，也能够找其它人来核实。在只找一个人来访谈时，为了避免太大误差和显著错误，影响整个项目标质量，通常最终赋值结束后，要把结果向对方项目经理核实，需要对方确定。此步工作不能省略。赋值访谈时应向对方说明，考虑影响出发点应是对整个评定体，使之站在对整个评定体高度来。IT设备评定IT设备评定是全部系统全部要进行，也是非关键系统安全评定关键内容，业务系统正常运行不仅仅需要高效网络传输和交换，还需要主机、服务器良好运转，也需要足够安全确保。经过IT设备安全评定，发觉系统风险点和脆弱性，为设备安全加固提供指导和依据，从而提升系统安全情况，保障业务系统高性能、高可靠性、高可用性、高效率运行。IT设备评定内容包含：主机操作系统弱点评定、网络设备弱点评定、安全设备弱点评定。评定过程IT设备评定评定过程，依据内容和方法分为两种：现场操作评定过程；后台分析评定过程。现场操作评定过程现场操作评定过程，关键针对：主机操作系统人工评定、工具扫描、网络及安全设备需要现场评定工作，下图是“现场操作评定过程步骤图”：安全顾问依据信息资产调查结果，提前一周确定评定申请表，并提交给相关部门安全管理员和该系统管理员，评定申请表内容包含：评定设备具体范围、评定内容、相关管理人员，和风险规避方法提议等。部门安全管理员和包含系统管理员最终确定具体评定时间，并做好评定准备工作。评定时间通知项目责任人，如有必需正式发文。安全顾问进行现场实施评定，如有必需，在现场之间和相关人员沟通评定发觉问题；现场全部评定工作完成后，确定该现场评定工作结束（如有必需，系统管理员可立即检验系统可用性是否存在问题）。现场评定后，安全顾问进行后台数据分析，完成评定分析汇报，提交给各部门安全管理员和该系统管理员，并进行沟通和讲解工作；最终，由该项目责任人确定评定汇报，评定结束。后台分析评定过程后台分析评定过程，关键针对：网络及安全设备配置信息能够后台进行分析评定工作，下图是“后台分析评定过程步骤图”：安全顾问依据信息资产调查结果，提前一周确定评定申请表，并提交给相关部门安全管理员和该系统管理员，评定申请表内容包含：评定设备具体范围、评定内容、相关管理人员等。部门安全管理员和包含系统管理员在一周内提交申请评定设备配置信息给安全顾问。安全顾问进行后台配置分析，如有必需，和相关人员沟通评定发觉问题；如有必需，进行现场评定设备检验。安全顾问完成评定分析汇报，提交给各部门安全管理员和该系统管理员，并进行沟通和讲解工作；最终，由该项目责任人确定评定汇报，评定结束。评定方法此次安全评定关键是依靠天融信含有多年丰富经验安全教授来进行。我们依据天融信企业经多年实践检验而积累下来，在业内领先安全检验方案，在得到中海信托相关工作人员授权并在相关人员监督下实施。评定将依据被评定系统不一样情况，选择以下多个方法进行：主机系统评定方法工具扫描方法：使用中海信托提供ISSInternetScanner安全漏洞扫描工具对主机进行扫描，扫描评定关键是依据已经有安全漏洞知识库，模拟黑客攻击方法，检测网络协议、网络服务、网络设备、应用系统等多种信息资产所存在安全隐患和漏洞。工具扫描关键依靠带有安全漏洞知识库网络安全扫描工具对信息资产进行基于网络层面安全扫描，其特点是能对被评定目标进行覆盖面广泛安全漏洞查找，而且评定环境和被评定对象在线运行环境完全一致，能较真实地反应主机系统所存在安全问题。教授评定（安全基线分析）方法：依据天融信对主机平台标准化安全审计列表（安全基线），检验和分析主机系统平台存在安全问题。依据天融信最新安全检验查对表内容，逐项检验系统各项配置和运行状态。查对表内容依据最新漏洞发觉、用户不一样系统和运行环境、和教授经验知识而制订，它关键包含有以下多个方面：安全配置检验：系统管理和维护正常配置，合理配置，及优化配置。比如系统目录权限，帐号管理策略，文件系统配置，进程通信管理等。安全机制检验：安全机制使用和正常配置，合理配置，及优化配置。比如日志及审计、备份和恢复，署名和校验，加密和通信，特殊授权及访问控制等。入侵追查及事后取证：检验和发觉系统入侵，攻击或其它危害，尽可能追查及取证。比如日志被毁坏篡改或删除，计费数据被删除，遭受DOS攻击，系统被监听，控制或安装后门等。网络及安全设备评定方法教授评定（安全基线分析）方法：依据天融信对网络和安全设备标准化安全审计列表（安全基线），检验和分析网络及安全设备存在安全问题。依据天融信最新安全检验查对表内容，逐项检验系统各项配置和运行状态。查对表内容依据最新漏洞发觉、用户不一样系统和运行环境、和教授经验知识而制订；可采取后台配置检验或现场登录设备配置查看两种方法。顾问访谈顾问访谈在安全顾问咨询服务中处于不可替换关键地位，现在尚没有成型工具、模型、算法等能够将教授经验完全表现出来，经过进行面对面或电话访谈，顾问会将自己经验表现于网络安全脆弱性评定中。评定内容主机系统评定关键内容主机系统安全目标是保障主机平台系统高效、优质运行，满足业务系统需求，预防主机和系统遭受外部和内部破坏和滥用，避免和降低因为主机和系统问题对业务系统损害；帮助应用进行访问控制和安全审计。主机系统安全评定关键包含以下内容：系统安全管理：严格管理系统帐户、有效控制系统服务，优化系统安全配置，启用系统必需安全控制方法,避免系统发生故障或遭受攻击；系统资源控制：系统补丁管理、文件和目录管理等安全配置；系统冗余：依据业务需要对系统进行冗余设计；系统访问控制和审计：对系统进行有效访问控制和日志审计。主机系统安全评定将进行以下多个方面检验：系统补丁系统账号文件系统网络及服务系统配置文件NFS或其它文件系统共享审计及日志系统备份及恢复应用系统其它网络及安全设备评定关键内容网络及安全设备评定目标是发觉网络设备或安全设备存在弱点，预防网络和通信系统遭受外部和内部攻击和滥用。关键检验设备是否存在已知漏洞，设备安全配置是否正确。网络及安全设备评定将关键包含到以下多个方面内容：关闭无须要服务严禁CDP(CiscoDiscoveryProtocol)严禁TCP、UDPSmall服务严禁Finger服务严禁NTP服务严禁BOOTp服务（路由器适用）严禁IPSourceRouting严禁IPDirectedBroadcast（路由器和三层交换机适用）启用servicepassword-encryption关闭WINS和DNS服务关闭ARP-Proxy服务登录要求和帐号管理采取enablesecret设置密码采取认证设置exec-timeout（5分钟及以内）采取访问控制方法，限制可登录源地址关闭HTTP服务远程登录采取加密传输（SSH）采取多用户分权管理SNMP协议设置和日志审计设置SNMP读写密码更改SNMP协议端口限制SNMP提议连接源地址开启日志审计功效其它安全要求严禁从网络开启和自动从网络下载初始配置文件。严禁未使用或空闲端口符合banner设置要求符合设备提醒符设置要求启用源地址路由检验（路由器适用）VTP设置密码（交换机适用）评定风险和应对工具扫描风险分析采取ISSInternetScanner作为扫描工具，ISSInternetScanner是业界上最优异网络扫描器，经过扫描引擎发送扫描探测数据包，获取远程主机设备安全漏洞。发送数据包会占用网络资源，通常百兆网络占用3－5%带宽资源，目标主机设备因为需要响应探测数据包，会占用目标主机设备资源，比如CPU和内存资源。尤其是，InternetScanner能够发送DOS攻击探测数据包，假如目标主机设备存在该漏洞，扫描过程中可能会宕机。主机人工评定风险分析人工评定采取安全检验列表，评定过程中，对目标主机设备逐一根据安全检验列表进行检验。人工评定只是查看目标主机设备配置信息，不会对目标主机设备进行修改操作，关键存在安全风险是检验操作带来安全风险，比如运行命令、操作界面带来安全风险。主机系统弱点评定工具扫描过程，尽可能避免使用含有拒绝服务类型扫描方法，而关键采取人工检验方法来发觉系统可能存在拒绝服务漏洞。在扫描过程中假如出现被评定系统没有响应情况，应该立即停止扫描工作，和配合工作人员一起分析情况，在确定原因后，并正确恢复系统，采取必需预防方法（比如调整扫描策略等）后，才能够继续进行。网络设备配置检验和网络拓扑分析只对被评定对象进行运行状态和配置检验，所以不会对现有信息系统上其它设备和资源带来任何影响。评定组员会和中海信托系统管理员保持良好沟通，随时协商处理出现多种难题。而且在评定完成时，由相关管理人员对被评定主机系统状态进行确定，确保评定后系统运行正常。网络设备安全风险评定经过有针对性安全评定，发觉现存网络类系统安全风险点和脆弱性，预防网络和通信系统遭受外部和内部攻击和滥用，避免和降低因为网络和通信系统问题对业务系统造成损害风险；同时，也要从业务发展角度分析网络类系统及企业整个网络建设安全计划提议；从而提升网络系统健壮指数和安全指数。评定过程描述网络类关键系统评定过程，包含“后台安全评定阶段”、“现场安全评定阶段”、“汇报阶段”；下图是“网络类系统安全风险评定过程步骤图”：安全顾问依据信息资产调查结果，提前一周确定评定申请表，并提交给相关部门安全管理员和该系统管理员，评定申请表内容包含：评定设备具体范围、评定内容、相关管理人员等。部门安全管理员和包含系统管理员在一周内提交申请所需网络配置文件和网络拓扑图等文件给安全顾问。安全顾问进行后台配置分析，并依据初步分析结果，提出“现场评定、渗透测试、安全访谈”申请，并实施对应现场工作。最终，综合前面评定数据信息，分析提出该网络类系统风险评定汇报和处理方案；结合和统管理员和主管领导访谈业务发展，从网络架构合理性、网络设备安全策略配置等方面提出企业整体网络安全处理方案。评定步骤说明步骤名称网络类系统风险评定步骤步骤编码步骤责任人网络类系统评定组步骤起点：评定对象/范围/方法确实定步骤目标：对网络类系统存在风险进行评定步骤终点：整体评定汇报提交编号阶段步骤操作描述操作人员1开启阶段安全要求设计网络类系统评定组，明确提出提交《网络类系统评定对象及范围说明》《网络类系统评定方法说明》；《网络类系统评定对象及范围说明》《网络类系统评定方法说明》；是指导整个评定过程关键文档，必需经过系统管理员和主管领导确实定。网络类系统评定组系统管理员主管领导2准备阶段资料提交网络设备配置和网络拓扑是网络类系统评定组进行综合安全分析基础条件之一如网络设备配置和网络拓扑未能满足综合安全分析要求，系统管理员负责提交其它补充材料。网络类系统评定组系统管理员3实施阶段配置检验渗透测试配置检验以人工检验为主，对关键配置条目整理后提交教授评定进行要求进行；渗透测试中由网络骨干中正当IP提议，采取扫描、嗅探、人工侵入等多个手段，关键考察和网络类系统连接各系统健壮度。网络类系统评定组系统管理员4收尾阶段人工访谈以实施阶段对网络现实状况相关评定结果为基础，从网络架构合理性、网络设备安全配置思绪等角度进行系统管理员人工访谈；以相关评定结果为基础，结合系统未来发展态势，针对现有系统容量、带宽、冗余度等多个参考指标进行主管领导人工访谈。了解系统发展建设方向和目标，对系统未来可能存在安全问题进行访谈和讨论。网络类系统评定组系统管理员主管领导

输入输出说明输入、输出步骤编号输入人员输入内容输出内容接收人员1网络类系统评定组《网络类系统评定对象及范围说明》《网络类系统评定方法说明》《网络类系统评定对象及范围说明》《网络类系统评定方法说明》确定表系统管理员主管领导2系统管理员《系统网络设备配置》；《系统网络拓扑》；《设备配置评定汇报》《网络拓扑安全评定意见》网络类系统评定组3网络类系统评定组系统管理员《设备检验申请》，《渗透测试方案》；方案评审意见系统管理员4网络类系统评定组《设备配置评定汇报》《网络拓扑安全评定意见》《设备配置人工检验结果》《渗透测试结果分析汇报》其它相关评定结果网络类系统整体评定汇报系统管理员主管领导评定方法此次安全评定关键是依靠天融信含有多年丰富经验安全教授来进行。我们依据天融信企业经多年实践检验而积累下来，在业内领先安全检验方案，在得到中海信托相关工作人员授权并在相关人员监督下实施。评定将依据被评定系统不一样情况，选择以下多个方法进行：IT设备安全评定方法具体参见“IT设备评定”中“评定方法”，关键包含：工具扫描主机系统教授评定（安全基线分析）网络和安全设备教授评定安全访谈网络架构安全评定方法教授分析方法：依据天融信对网络架构成熟度安全审计列表（安全基线），检验和分析网络架构存在安全问题，但网络架构安全评定，愈加侧重顾问个人经验，现在尚没有成型工具、模型、算法等能够将教授经验完全量化，所以存在一定个人主观判定偏差。顾问访谈顾问访谈在安全顾问咨询服务中处于不可替换关键地位，现在尚没有成型工具、模型、算法等能够将教授经验完全表现出来，经过进行面对面或电话访谈，顾问会将自己经验表现于网络安全脆弱性评定中，顾问访谈包含针对系统管理员访谈及其业务主管访谈。渗透测试评定方法关键依据已经发觉安全漏洞，模拟入侵者攻击方法对系统和网络进行非破坏性质攻击性测试；以人工渗透为主，辅助以攻击工具使用，这么确保了整个渗透测试过程全部在能够控制和调整范围之内；渗透测试需要投入人力资源较大、对测试者专业技能要求很高（渗透测试汇报价值直接依靠于测试者专业机能），不过很正确，能够发觉逻辑性更强、更深层次弱点评定内容IT设备安全关键内容具体参见“IT设备评定”中“评定内容”，关键包含：主机系统评定网络及安全设备评定网络架构安全评定关键内容网络安全目标是保障网络和通信系统高效、优质运行，满足业务系统需求；预防网络和通信系统遭受外部和内部攻击和滥用，避免和降低因为网络和通信系统问题对业务系统造成损害风险；屏蔽系统和应用安全弱点；帮助系统和应用进行访问控制和安全审计。网络评定关键评定标准以下：基础网络架构评定标准：网络整体拓扑结构设计合理；安全区域划分符合业务系统要求；选择安全路由方法；对周围网络接入进行安全控制和冗余设计；对网络流量进行监控和管理；对网络设备和链路进行冗余设计。网络传输加密评定标准：依据业务系统特点选择对业务数据是否进行传输加密；对于网络设备认证过程中敏感信息进行加密。访问控制和网络审计评定标准：对网络内部及外部边界进行有效访问控制；对网络实施漏洞评定；进行网络日志审计并统一日志时间基准线。网络安全管理评定标准：采取安全网络管理协议；建立网络安全事件响应体系；对网络设备进行安全管理。网络及安全设备评定将关键包含到以下多个方面内容：网络拓扑拓扑结构合理性分析、可扩展性分析。路由协议对网络设备现在所采取路由协议评价，是否存在配置漏洞，冗余路由配置情况，路由协议信任关系问题。接入方法对周围接入全方面了解，对多种接入情况进行安全风险评定，和非信任网络间互访安全管理，提出改善方案。协议选择对网络管理相关协议分析整理；对业务应用相关协议分析整理。对承载业务系统本身业务服务所采取相关协议，和由此而带来相关网络支撑设备。流量分析流量管理目标，服务品质保障（QoS）方法评价。系统bug检验处理机制。系统管理人员接收到或发觉相关业务系统产生BUG时候，是否有一个步骤能够处理。安全事件紧急响应方法：网络防黑常见配置资料整理、分类和准备；网络故障分析手段资料整理、分类和准备。安全审计制度和实施情况调查针对网络架构中可能出现安全问题，和其中是否被正确实施审计情况。密码和身份认证手段调查和评定网络服务本身提供密码和身份认证手段，系统是否还要其它密码和身份认证体系。数据加密传输可能造成信息泄漏地方是否有敏感数据加密方法。访问控制情况调查在相关网络隔离点，是否有合适访问控制规则设置，是否被有效实施。漏洞评定和入侵检测机制是否有漏洞定时评定机制和入侵检测和统计系统机制。安全策略和安全制度分析系统安全策略是否存在，和是否和业务系统相互吻合，有没有合理安全制度作为保障。安全配置均衡性分析（弱点分析）安全配置本身是否含有不合理配置或弱点存在。接入/连接方法安全性各个接入节点部分是否含有安全方法保障，是否被正确配置和实施。信任网络之间安全性信任网络或不信任网络之间是否有控制，控制本身带来安全程度和是否有能够绕过控制路径。网络节点安全性各个独立网络节点是否有良好安全控制，是否被正确配置和使用。网络架构管理网络体系架构是怎样进行管理，是否有良好机制和制度保障网络架构本身不被改变，没有非法不符合安全策略架构改变。网络设备认证管理是否有集中设备认证管理机制，是否被正确配置和实施。网络高可用性和可靠性网络建设中是否良好考虑了网络高可用性和可靠性问题，是否被正确使用和良好配置，是否有机制保障不被修改。评定风险和应对网络设备配置检验和网络拓扑分析只对被评定对象进行运行状态和配置检验，所以不会对现有信息系统上其它设备和资源带来任何影响。渗透测试过程最大风险在于测试过程中对业务产生影响，为此我们在本项目采取以下方法来减小风险：在渗透测试中不使用含有拒绝服务测试策略；渗透测试时间尽可能安排在业务量不大时段或晚上；在渗透测试过程中假如出现被评定系统没有响应情况，应该立即停止测试工作，和中海信托工作人员一起分析情况，在确定原因后，并待正确恢复系统，采取必需预防方法（比如调整测试策略等）以后，才能够继续进行。天融信网络系统评定组组员会和中海信托系统管理员保持良好沟通。随时协商处理出现多种难题。而且在评定完成时，由相关管理人员对被评定主机系统状态进行确定，确保评定后主机系统运行正常。应用系统和管理安全风险评定对于关键业务系统安全风险评定是本项目中工作关键，所使用评定方法及评定深度均要比非关键业务系统愈加深入和全方面。中海信托关键应用系统是需要高性能、高可靠和高可用性，而一项网络数据业务正常运行，不仅仅需要高效网络传输和交换，还需要主机、服务器立即处理和数据库系统良好运转，也需要足够安全确保。针对关键应用系统安全评定是确保网络高性能、高可靠性、高可用性、高效率运转基础手段。关键应用系统健壮指数和安全指数越大说明它生命力就越强，它所能够承载信息量就越大。一个健壮、安全应用系统是确保业务运行和应用必需前提。在整个应用系统中，网络结构、网络传输、网络交换、业务应用、数据交换、数据库运行、应用程序运行、安全方法、备份方法、管理方法、主机/服务器处理、用户端处理等等，这一系列元素全部是相互关联和相互影响，这些元素之间关系往往是比较复杂，“牵一发而动全身”，每一项元素性能下降或受到安全威胁，全部将对整个应用系统造成影响，尤其是对于那些处于关键地位元素更是不许可性能下降和存在安全隐患。所以，肯定造成应用系统需要进行全方面安全评定。然而因为关键应用系统复杂性，使用传统风险评定方法已经无法正确、清楚地描述和评定业务系统风险，所以我们引入了UML来描述应用系统威胁场景和业务系统信息流，引入了故障树来分析多种威胁场景所能够造成后果。下面是一个网上支付系统基础认证过程，和其相关威胁场景。正常情况下网络支付场景网络支付威胁场景将上述网络支付过程正常支付场景和威胁场景相结合，就能够得到整个支付过程所面临真实安全情况。评定过程描述应用类关键系统评定，关键工作包含以下多个方面：识别安全目标IT设备弱点评定网络架构安全评定应用系统安全评定渗透测试依据以上工作内容，其具体工作步骤以下图所表示：应用系统评定步骤图安全顾问依据信息资产调查结果，提前一周确定评定申请表，并提交给相关部门安全管理员和该系统管理员，评定申请表内容包含：评定设备具体范围、评定内容、相关管理人员等。部门安全管理员和包含系统管理员在一周内对评定申请进行确定。安全顾问提出“现场评定、渗透测试、安全访谈、业务系统材料”等现场工作申请。部门安全管理员和包含系统管理员在确定现场工作申请后，由包含系统管理员确定现场计划，并准备业务系统相关资料。安全顾问依据计划实施现场评定及安全访谈。最终，综合前面评定数据信息，分析提出该业务系统风险评定汇报和处理方案；结合和管理员和主管领导访谈业务发展，从IT设备安全配置、网络架构合理性、应用系统安全情况等方面提出业务系统整体网络安全处理方案。评定步骤说明针对应用计算类关键系统安全评定步骤，各阶段工作以下表：步骤名称应用计算类系统风险评定步骤步骤编码步骤责任人应用计算类系统评定组步骤起点：评定对象/范围/方法确实定步骤目标：对应用计算类系统存在风险进行评定步骤终点：整体评定汇报提交编号阶段操作描述操作人员1准备阶段应用计算类系统评定组，明确提出提交《应用计算类系统评定对象及范围说明》《应用计算类系统评定方法说明》；《应用计算类系统评定对象及范围说明》《应用计算类系统评定方法说明》是指导整个评定过程关键文档，必需经过安全管理员及系统管理员确实定。应用计算类系统评定组部门安全管理员系统管理员2现场实施申请阶段提交《现场评定申请表》《渗透测试申请表》《安全访谈申请表》《业务系统材料申请表》部门安全管理员对各项申请进行确定系统管理员确定现场实施计划后，进行相关实施准备。和准备业务系统相关材料天融信项目组收到申请确定后，通知中海信托项目责任人依据实际情况，由中海信托项目责任人进行正式发文，以开启现场实施应用计算类系统评定组部门安全管理员系统管理员中海信托项目责任人3现场实施阶段天融信项目组开始现场实施工作，评定IT系统、网络架构、业务系统、安全访谈和渗透测试依据实际情况，各项工作可能并行进行现场工作实施完成后，由系统管理员对现场评定工作进行确定，由业务主管对相关业务访谈内容进行确定应用计算类系统评定组系统管理员业务主管4汇报阶段天融信项目组进行综合分析，形成针对该业务系统安全评定汇报应用计算类系统评定组5再培训阶段针对安全评定结果，天融信项目组针对安全管理员及业务系统管理员进行答疑天融信提交最终安全评定汇报给中海信托项目责任人，由其确定后输出最终安全评定结果应用计算类系统评定组部门安全管理员系统管理员中海信托项目责任人输入输出说明输入、输出步骤编号输入人员输入内容输出内容接收人员1应用计算类系统评定组《应用计算类系统评定对象及范围说明》《应用计算类系统评定方法说明》《网络类系统评定对象及范围说明》《网络类系统评定方法说明》确定表系统管理员安全管理员2应用计算类系统评定组《现场评定申请表》《渗透测试申请表》《安全访谈申请表》《业务系统材料申请表》《现场评定申请表》《渗透测试申请表》《安全访谈申请表》《业务系统材料申请表》确定表网络类系统评定组3应用计算类系统评定组系统管理员《设备评定量划》，《安全访谈计划》，《业务评定量划》，《渗透测试方案》；《现场评定工作确定表》《安全访谈确定表》系统管理员安全管理员业务主管4应用计算类系统评定组《设备配置评定汇报》《网络拓扑安全评定意见》《业务系统评定汇报》《渗透测试结果分析汇报》安全访谈结果其它相关评定结果《系统整体评定汇报》系统管理员安全管理员中海信托项目责任人5应用计算类系统评定组《系统整体评定汇报》初稿《系统整体评定汇报》终稿系统管理员安全管理员中海信托项目责任人评定方法此次安全评定关键是依靠天融信含有多年丰富经验安全教授来进行。我们依据天融信企业经多年实践检验而积累下来，在业内领先安全检验方案，在得到中海信托相关工作人员授权并在相关人员监督下实施。评定将依据被评定系统不一样情况，选择以下多个方法进行：IT支撑设备弱点评定IT支撑设备弱点评定方法具体参见“IT设备评定”中“评定方法”，关键包含：工具扫描主机系统教授评定（安全基线分析）网络和安全设备教授评定安全访谈网络架构安全评定方法网络架构安全评定方