风险评估方案v21.docVIP

密 级： 机密 文档编号： 001 项目代号： 001 网络风险评估方案 V1.0 2009年4月 *****信息技术有限公司 目 录 一、 网络安全评估服务背景 3 1.1 安全评估概念 3 1.2安全评估的目的 3 1.3目标现状描述 3 二、 风险评估内容说明 4 2.1风险等级分类 4 2.2 评估目标分类 5 2.3 评估手段 6 2.4 评估步骤 7 2.5 评估检测原则 8 三、评估操作 9 3.1 人员访谈调查问卷 9 3.2 人工评估工具扫描 9 3.3 模拟入侵 11 四、 项目实施计划 12 4.1 项目实施 13 4.2 项目文档的提交 14 附录一：使用的工具简单介绍 15 Nessus scanner 3.2 英文版 15 Xscan-gui v3.3 中文版 16 辅助检测工具 16 附录二： *****信息技术有限公司简介 17 1.1网络安全服务理念 17 1.2网络安全服务特点 17 一、网络安全评估服务背景 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。 风险评估从漏洞扫描、人工审计、渗透测试这类型的纯技术操作到BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法安全风险评估方法操作模型。≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过。 4 高 出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过。 3 中 出现的频率中等（或 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。 2 低 出现的频率较小；或一般不太可能发生；或没有被证实发生过。 1 很低 威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。 对资产弱点进行赋值后，使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下： 威胁可能性 1 2 3 4 5 资 产 价 值 1 2 4 6 10 13 2 3 5 9 12 16 3 4 7 11 15 20 4 5 8 14 19 22 5 6 10 16 21 25 然后根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定威胁的风险等级 风险等级划分对照表 风险值 1-6 7-12 13-18 19-23 24-25 风险等级 1 2 3 4 5 最后对资产威胁进行填表登记，获得资产风险评估报告。 资产 威胁名称 严重程度 可能性 风险等级 资产1 资产2 资产3 2.2 评估目标分类 根据《信息系统安全等级评测准则》，将评估目标划分为以下10个部分 机房物理安全检测 网络安全检测 主机系统安全 应用系统安全 数据安全 安全管理机构 安全管理制度 人员安全管理 系统建设管理 系统运维管理 在实际的评估操作中，由于出于工作效率的考虑，将评估目标进行整合实施考察，评估完成后再根据评估信息对划分的10个部分进行核对，检查达标的项目。 2.3 评估手段 安全评估采用评估工具和人工方式进行评估，即根据定制的扫描策略实施远程评估，根据评估工具的初步结果进行人工分析和本机控制台分析。 2.4 评估步骤 风险评估项目 描述 备注 1、网络安全评估知识培训 网络信息安全典型案例培训 目的是为了让客户对网络安全有个清晰的认识，从而在评估前就引起其重视，方便后面动作的开展。 网络安全评估流程培训 目的是为了客户能理解我们的工作，从而获得客户的支持。 2、资产评估 收集信息 完成《资产信息登记表》 可以远程操作 3、威胁评估 对物理安全进行评估 参照《物理安全规范表》 访谈、查看相关文档，实地考察 对人员安全管理进行评估 参照《人员安全管理规范表》 访谈人事部门相关人员 4、弱点评估 （完成网络安全、应用安全、主机安全规范表） 整体网络安全信息 Xscan-gui进行全网安全扫描，获得全网的安全统计 使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进行扫描统计 使用工具共享资源扫描整个网络，同时演示给客户其暴露在内网中的敏感信息 应用服务 Nessus对服务器系统进行安全扫描 使用自动化评估脚本对服务器安全信息进行收集 根据checklist对服务器进行本地安全检查 使用密码强度测试工具请求客户网管进行密码强度测试 网络设备 Nessus对网络设备进行安全扫描 使用密码强度测试工具请求客户网管进行密码强度测试 根据chec