业务系统评估工方法及流程v1.docVIP

密 级：内部 文档编号： 项目代号： 业务系统评估 --工作方法及流程 Ver：1.0 二零零五年三月 安氏互联网安全系统（中国）有限公司  业务系统评估 --工作方法流程 拟 制: 章新斌 审 核: 批 准: 会 签: 标准化: 版本控制 版本 日期 参与人员 更新说明 1.0 2005.3.22 章新斌 创建、修改 1 需要完成的工作和完成工作的方式 4 1.1 业务系统评估的目标 4 1.2 业务系统的划分 4 1.3 业务系统的定义 介绍包括:功能 流程 4 1.4 业务系统的范围的确定 5 1.5 和其他业务系统的相关性分析: 6 1.6 安氏业务系统评估方法介绍 6 1.6.1 支撑系统的评估 7 业务系统的物理拓扑图 7 业务系统的逻辑拓扑图 8 主机的评估 9 1.6.2 应用系统评估 9 应用系统的开发 9 应用系统的体系结构 10 应用系统的实现 10 1.6.3 数据流程的评估 10 1.6.4 操作和管理 11 1.7 已有的安全措施 12 1.8 依然存在的风险 12 1.9 解决方案 12 2 完成工作的方式 顺序 风险控制方法 12 2.1 工作方式和要完成的工作: 12 2.2 工作顺序 13 2.3 风险控制 13 需要完成的工作和完成工作的方式 业务系统评估的目标 全方位的提供一个业务系统中的安全可见性, 包括 1业务系统的功能 组成 流程中安全的设计和实现 2已采取的安全措施 3 仍存在的风险 4提供的解决方案 业务系统的划分 一个公司的业务通常可以划分为几个主要的业务系统,如移动可以划分为网管 BOSS OA等,网管又可以划分为短信 gprs 智能 彩铃 等,但主要还是按照功能来划分. 工作方式 : 专家经验(对行业的了解) 公司高层领导的访谈和会议 业务系统的定义 介绍包括:功能 流程 业务的功能介绍: 如gprs(general package radio service)业务系统完成的功能为:1使用无线网络完成数据分组的传输,2业务系统的维护,3计费数据的产生和发送. 工作方式: 厂商介绍 文档收集(厂商) 专家经验(对系统的了解) 业务系统的范围的确定 一个业务系统范围的确定就要根据其功能及组成,具体到相关部门的具体单元(如网络设备 主机 应用程序 维护人员 管理人员), 依据和业务系统联系的紧密性而划分到那个业务系统 如gprs系统:(跨部门 浦东 运维中心 钦州 数据中心 和多个厂商 爱立信 nokia) 如短信系统: 短信中心 短信网管 各类短信网关 划为一个业务系统? 人员的协调? 工作方式: 会议包括公司中层领导和系统维护人员 资料收集(厂商 客户) 评估确认 行业性的问题如gprs的用户认证方式, 是否是行业标准? 和其他业务系统的相关性分析: 业务系统的接口分析: 如gprs业务系统的接口有: 到 ss7(七号信令网) cmnet 计费 的接口 接口的明确定义: 计费信息是采用什么样的方式发送给boss的 , 分组数据是如何转发到cmnet的. 业务系统和其他业务系统共享资源: 共享通讯子网 如共享一个核心交换机 共享一个维护人员 接口方式和共享方式 的信任关系 可能会带来的风险 工作方式:厂商介绍 会议:公司中层领导和系统维护人员 资料收集(厂商 客户)专家经验(对系统的了解) 评估确认 安氏业务系统评估方法介绍 分层的方法将业务系统分为 业务系统=支撑系统+应用系统+数据流+操作+管理 支撑系统为 通信子网和主机 层 和其他部分如ss7 (和以前的安全评估兼容,并为以后保留一定的可扩展性) 是确定范围 相关性的关键 应用系统为 应用系统的开发过程 应用系统体系结构,在设计和实现中对安全性的考虑 应用系统在支撑系统上的实现 确定接口的关键 数据流分析 数据流在支撑系统 应用系统 上 如何 产生 传输 处理 保存 共享 销毁的, 在设计和实现中对安全性的考虑 确定接口的关键 操作+管理 各类规章制度是否健全 , 是否按照规章制度执行 支撑系统的评估 业务系统的物理拓扑图 确认gprs的接口 共享 和内部结构(具体到每一条链路?) 工作方式: 资料收集(客户) 专家确认 业务系统的逻辑拓扑图 如gprs业务系统通常划为3个vlan:分组数据转发 , 计费 ,维护 , 在具体实现时可能就会划分为更多的vlan , 如果有路由通过划分为不同的子网和路由来确定 工作方式: