风险评估方案v2.1.docVIP

成功源于诚信 专注造就专业 息技术有限公司 密 级： 机密 文档编号： 001 项目代号： 001 网络风险评估方案 V1.0 2009年4月 *****信息技术有限公司 目 录 TOC \o 1-2 \h \z \u HYPERLINK \l _Toc203453933 一、 网络安全评估服务背景 PAGEREF _Toc203453933 \h 3 HYPERLINK \l _Toc203453934 1.1 安全评估概念 PAGEREF _Toc203453934 \h 3 HYPERLINK \l _Toc203453935 1.2安全评估的目的 PAGEREF _Toc203453935 \h 3 HYPERLINK \l _Toc203453936 1.3目标现状描述 PAGEREF _Toc203453936 \h 3 HYPERLINK \l _Toc203453937 二、 风险评估内容说明 PAGEREF _Toc203453937 \h 4 HYPERLINK \l _Toc203453938 2.1风险等级分类 PAGEREF _Toc203453938 \h 4 HYPERLINK \l _Toc203453941 2.2 评估目标分类 PAGEREF _Toc203453941 \h 5 HYPERLINK \l _Toc203453943 2.3 评估手段 PAGEREF _Toc203453943 \h 6 HYPERLINK \l _Toc203453944 2.4 评估步骤 PAGEREF _Toc203453944 \h 7 HYPERLINK \l _Toc203453945 2.5 评估检测原则 PAGEREF _Toc203453945 \h 8 HYPERLINK \l _Toc203453946 三、评估操作 PAGEREF _Toc203453946 \h 9 HYPERLINK \l _Toc203453947 3.1 人员访谈调查问卷 PAGEREF _Toc203453947 \h 9 HYPERLINK \l _Toc203453948 3.2 人工评估工具扫描 PAGEREF _Toc203453948 \h 9 HYPERLINK \l _Toc203453950 3.3 模拟入侵 PAGEREF _Toc203453950 \h 11 HYPERLINK \l _Toc203453951 四、 项目实施计划 PAGEREF _Toc203453951 \h 12 HYPERLINK \l _Toc203453952 4.1 项目实施 PAGEREF _Toc203453952 \h 13 HYPERLINK \l _Toc203453953 4.2 项目文档的提交 PAGEREF _Toc203453953 \h 14 HYPERLINK \l _Toc203453954 附录一：使用的工具简单介绍 PAGEREF _Toc203453954 \h 15 HYPERLINK \l _Toc203453955 Nessus scanner 3.2 英文版 PAGEREF _Toc203453955 \h 15 HYPERLINK \l _Toc203453956 Xscan-gui v3.3 中文版 PAGEREF _Toc203453956 \h 16 HYPERLINK \l _Toc203453957 辅助检测工具 PAGEREF _Toc203453957 \h 16 HYPERLINK \l _Toc203453958 附录二： *****信息技术有限公司简介 PAGEREF _Toc203453958 \h 17 HYPERLINK \l _Toc203453959 1.1网络安全服务理念 PAGEREF _Toc203453959 \h 17 HYPERLINK \l _Toc203453960 1.2网络安全服务特点 PAGEREF _Toc203453960 \h 17 一、网络安全评估服务背景 1.1风险评估概念 信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。 风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799