安全检测方案.docxVIP

最新 精品 Word 欢送下载 可修改 深圳市**** 业务系统 安 全 检 测方 案 二零零八年四月 XXX 公 司 文 件 目 录 TOC \o 1-3 \h \z \u 一. 目的 3 二. 工程实施时间和地点 3 2.1 工程实施时间 3 2.2 工程实施地点 3 三. 工程具体实施方法 3 3.1 重点评估具体内容 4 3.2 评估工程总体流程 7 3.3 具体流程举例 8 五. 双方及设备厂商工程组成人员 9 六. 工程实施质量控制 10 6.1 过程控制 10 七. 工程实施时间进度表 11 八．工程管理文档模版 12 8.1 会议纪要模版 12 8.2 工程开工通知单模版 13 8.3 事故记录表模版 14 8.4工程实施记录表 15 九. 工程文档管理要求 16 十一. 工程验收 17 11.1正式验收要项 17 11.2验收流程 17 目的 为保障客户网络、业务系统、数据库等平安稳定的运行，****对客户业务系统及相关支撑系统进行全面的平安检测。平安检测分两次进行，第一次安排在六月中旬，第二次安排在七月上旬。在每次平安检测完毕由****提供?业务系统平安检测报告?和?业务系统平安漏洞修复方案?，并指导客户相关人员对业务系统及相关支撑系统进行平安修复或整改。 平安检测是对客户业务系统及相关支撑系统进行平安风险分析和评估，主要检测有以下几方面： 1、网络规划与布局的平安性评估； 2、网络根底设施平安性与稳定性评估； 3、边界防御设施与接入平安性评估； 4、效劳器主机系统平安性与稳定性评估； 5．数据库平安性评估； 6．业务系统平安性评估。 第一次平安检测是对客户业务系统及相关支撑系统进行全面的平安检测和平安漏洞修复。第二次平安检测是在第一次的根底上再次对对客户业务系统及相关支撑系统进行平安检测，找出没有修复的平安漏洞和还存在的平安漏洞。 二. 工程实施时间和地点 2.1 工程实施时间 ********* 2.2 工程实施地点 ********* 工程具体实施方法 平安评估指的是对网络系统进行平安风险分析和评估。选取在业务系统、网络效劳、主机操作系统平台、网络规划与布局、数据库等方面作为平安评估的对象。 风险评估是网络平安重要的一环，在这里主要是以平安检测、扫描和风险评估技术来实现，以预先发现信息系统中存在的平安隐患，并及时解决问题。评估能使网络系统具有预先识别和防范风险的功能。风险评估系统用于评估和管理网络、防火墙、WEB效劳器、应用效劳器及数据库存在的平安风险和漏洞，企业平安管理员可以根据平安评估报告优化主机和网络设备的平安策略配置，进一步提高平安性。 3.1 重点评估具体内容 1、网络规划与布局的平安性评估 网络拓扑规划分析 网络流量分析 网络逻辑结构分析 子网/VLAN的合理划分分析 域和工作组划分平安分析 数据播送域别离分析 IP地址规划分析 共享资源架设效率分析 网络访问控制分析 VPN系统平安分析 2、网络根底设施平安性与稳定性评估 路由器平安配置 交换机平安配置 拨号效劳器平安配置 防火墙平安配置 设备口令审计 设备开放效劳平安审计 网管软件平安性审计 设备固件或OS平安分析 设备访问控制列表分析 设备稳定性测试分析(各种DoS拒绝效劳测试) 3、 效劳器主机系统平安性与稳定性评估 效劳器主机操作系统内核、版本及补丁审计 效劳器主机操作系统通用/默认应用程序平安性审计 效劳器主机后门检测 效劳器主机漏洞检测 效劳器主机平安配置审计 效劳器主机用户权限审计 效劳器主机口令审计 效劳器主机文件系统平安性审计 4、数据库系统平安性评估 Oracle/MSSQL数据库系统用户权限审计 Oracle/MSSQL数据库系统口令审计 Oracle/MSSQL数据库系统数据同步或热备份机制可靠性审计 Oracle/MSSQL数据库系统存储进程平安机制审计 Oracle/MSSQL数据库日志审计分析 Oracle/MSSQL数据库系统灾难处理及预防平安机制审计 Oracle/MSSQL数据库系统与前台接口平安访问控制机制审计 5、边界防御设施与接入平安性评估 生产系统跨域访问需求分析 防火墙平安策略审计 (外网发起)生产网远程入侵整体测试 接入节点主机平安性测试 分支机构网络边界平安性模拟攻击测试 6.、业务系统平安性评估 业务系统支撑软件平安评估，如Apache、JBoss 业务系统重要局部代码检测 业务系统口令审计 业务系统数据传输保密性检测 业务系统权限划分 业务系统数据备份平安性 业务系统数据同步平安