系统程序漏洞扫描安全评估方案.pdfVIP

目录 一、项目概述 1 1。1 评估范围 1 1。2 评估层次 1 1.3 评估方法 1 1.4 评估结果 2 1.5 风险评估手段 2 1。5。1 基于知识的分析方法 2 1.5.2 基于模型的分析方法 3 1。5。3 定量分析 3 1.5.4 定性分析 4 1。6 评估标准 4 二、网拓扑评估 5 2。1 拓扑合理性分析 5 2。2 可扩展性分析 5 三、网络安全管理机制评估 5 3.1 调研访谈及数据采集 5 3。2 网络安全管理机制健全性检查 6 3。3 网络安全管理机制合理性检查 7 3.4 网络管理协议分析 7 四、脆弱性严重程度评估 7 4.1 安全漏洞扫描 8 4.2 人工安全检查 10 4。3 安全策略评估 11 4.4 脆弱性识别 11 五、网络威胁响应机制评估 12 5.1 远程渗透测试 12 六、网络安全配置均衡性风险评估 13 6.1 设备配置收集 13 6。2 检查各项 HA 配置 15 6.3 设备日志分析 16 七、风险级别认定 17 八、项目实施规划 17 九、项目阶段 18 十、交付的文档及报告 19 10.1 中间评估文档 19 10.2 最终报告 19 十一、安全评估具体实施内容 19 11.1 网络架构安全状况评估 19 11.1.1 内容描述 19 11.1。2 过程任务 20 11。1.3 输入指导 20 11.1.4 输出成果 20 12。2 系统安全状态评估 21 11.2.1 内容描述 21 11.2。2 过程任务 23 11.2.3 输入指导 24 11。2.4 输出成果 24 11。3 策略文件安全评估 24 11。3.1 内容描述 24 11.3。2 过程任务 25 12。3.3 输入指导 25 12.3。4 输出成果 25 11.4 最终评估结果 25 一、项目概述 1.1 评估范围 针对网络、应用、服务器系统进行全面的风险评估。 1。2 评估层次 评估层次包括网络系统、主机系统、终端系统相关的安全措施，网络业务路由分配安全，精品文档放心下载 管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备谢谢阅读 及相关网络配置信息和技术文件；主机系统包括各类 UNIX、Windows 等应用服务器;终端系精品文档放心下载 统设备. 1.3 评估方法 安全评估工作内容： ✓ 管理体系审核； ✓ 安全策略评估； ✓ 顾问访谈； ✓ 安全扫描； ✓ 人工检查; ✓ 远程渗透测试; ✓ 遵循性分析; 1.4 评估结果 通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评估，形感谢阅读 成安全评估报告，其中应包含评估范围中信息系统环境的安全现状、存在安全问题、潜在威感谢阅读 胁和改进措施。协助对列出的安全问题进行改进或调整,提供指导性的建设方案:精品文档放心下载 《安全现状分析报告》 《安全解决方案》 1。5 风险评估手段 在风险评估过程中，可以采用多种操作方法，包括基于知识 (Knowledge-based）的分析谢谢阅读 方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量(Quantitative)感谢阅读 分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全谢谢阅读 水平与组织安全需求之间的差距. 1.5。1 基于知识的分析方法 在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安感谢阅读 全标准之间的差距。 基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标感谢阅读 和市场等）的 “最佳惯例”的重用，适合一般性的信息安全社团.采用基于知