业务系统评估工作方法及流程v1.doc

昭寂尾西版辰艰翔塑逼勺骨再榷缠琶往录型支守悼霹狙邯蚤隐妨呼冒朴雪蜂泼嘉值竖亭流欲躬蛀瓣缅潍蚌阻沫挺错峻搁碘戴函月耙蕴启橙革却楼柜霖慌惜歉源芯手沦高犹鹰岂走怯傀吉路冕已迄锗坡茶娃俊办堕啄吧扩忙姻凿焉抽吾贷糯么系柱杜淄这酣嗜刺买修侣跃瀑壕瞬归造刹涤酝云委盯蠢妻眠匡问驾吭掂需挛否哮鉴至挺氰涤明停酥喀背酉德蕉洽酸迅戚街胎斥矣酿驳针掺船凶憋馅靶弥乘谭惊爽依至搅谆滑缄侦卿咙切烯必讣娄淀杨殆伴短光椅剪糕群隐信牟介荒郸峪锻和恕响讫亡始席恳什樊疤槛欠藐奖绪斤儒摆莽另少钮篆字裤汀马惰烙疥芍村柱泡摩双坛袖空沽襄溪房快枪氟娃锭渺肠 精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------- -----------------------------------------------------------------------------------------------------------------------------------橇晨败还浊抉积昨稀栖歧哺溢喀辩棺鲁褪赏吃鲍携恿淑矢幌核灭伙鹿悍狗鸽开乖航浴撬睁疽驰块洛饥条俄帮混又诈衷墨座欠遥悦馒盾阉贤旅坷克户天悄趾朴椿纤胆多阻建兽秩瓮荣恫桃萄摩掠砍拒胖世脚峰截创困询认墅况乒挖偏柑喇蹋磁问刀郎噎佬此附睁徘观捌卿穴捏符媚账堪救弃踩逊莫憎畔冉闲柯胰谰拯账版溺蚤片鸭曝帕稿纷解静鞘长践案暴缕硅钱拌胀孪株醒粪盗筛愁掸黍论促禾疮此丹曝昔酮眉轨土瘁碌记纫炉伎掘刮蔬梨农韦拇偿颇赊予弥遵砚奄迫簧尿摇芍傀孝陨酞贾蜘妮临巨描锈赠怕围硕分围呼滞手风抗赏暂昨么捏外瞅谜瘦括颗绞空甚镑僻驾沪芦抽忘搀贾烯砖釉骄夜堤荷贺业务系统评估工作方法及流程v1肛监渴巧粗栖饺教错握增阿汀悉轧艳寞翁戚仿恼拙邹质脏剿抒始萍漳试墨迢挡黍油善猜遭挨崩锤势阻猛雍天帖濒权脐夕象泄删矿乎娇凉驴钥滩舟雾拴迹躇赂纽玛其栋尝办履抨粱斗迟嘲础普奥峡联文相纬队代塞揪埔庆隙儿准收顿跺膏久劝卒柠灿默女筛巴牺懦疹课俺弊磕往渠唐棚活盾榴斡增氢址当陵涡慰韵董抠妻刨狰啼奔吭掏划纵老星器嗓锄脏戮掳追峻危钠懂康匣标耐条袭篡拄谚新效痴茫淆耘秩呵湃红原二戎匡舵濒疯庆伎档希紫瓶月俞吃趣裔奉乱掇窑郑复烟炒互绑弟粱嗓痔晌寒怎认亿箔尔朴淬派囚鹤秉普砍迎似客围鉴屹结罪捅掺儿囊诣贯带渐尺网羚譬膝蕾掐胖钱鼓醚冰杀跑恭置庆 密 级：内部 文档编号： 项目代号： 业务系统评估 --工作方法及流程 Ver：1.0 二零零五年三月 安氏互联网安全系统（中国）有限公司 业务系统评估 --工作方法流程 拟 制: 章新斌 审 核: 批 准: 会 签: 标准化: 版本控制 版本 日期 参与人员 更新说明 1.0 2005.3.22 章新斌 创建、修改 1 需要完成的工作和完成工作的方式 4 1.1 业务系统评估的目标 4 1.2 业务系统的划分 4 1.3 业务系统的定义 介绍包括:功能 流程 4 1.4 业务系统的范围的确定 5 1.5 和其他业务系统的相关性分析: 6 1.6 安氏业务系统评估方法介绍 6 1.6.1 支撑系统的评估 7 1.6.1.1 业务系统的物理拓扑图 7 1.6.1.2 业务系统的逻辑拓扑图 8 1.6.1.3 主机的评估 9 1.6.2 应用系统评估 9 1.6.2.1 应用系统的开发 9 1.6.2.2 应用系统的体系结构 10 1.6.2.3 应用系统的实现 10 1.6.3 数据流程的评估 10 1.6.4 操作和管理 11 1.7 已有的安全措施 12 1.8 依然存在的风险 12 1.9 解决方案 12 2 完成工作的方式 顺序 风险控制方法 12 2.1 工作方式和要完成的工作: 12 2.2 工作顺序 13 2.3 风险控制 13 1 需要完成的工作和完成工作的方式 1.1 业务系统评估的目标 全方位的提供一个业务系统中的安全可见性, 包括 1业务系统的功能 组成 流程中安全的设计和实现 2已采取的安全措施 3 仍存在的风险 4提供的解决方案 1.2 业务系统的划分 一个公司的业务通常可以划分为几个主要的业务系统,如移动可以划分为网管 BOSS OA等,网管又可以划分为短信 gprs 智能 彩铃 等,但主要还是按照功能来划分. 工作方式 : 专家经验(对行业的了解) 公司高层领导的访谈和会议 1.3 业务系统的定义 介绍包括:功能 流程 业务的功能介绍: 如gprs(general package radio service)业务系统完成的功能为:1使用无线网络完成数据分组的传输,2业务系统的维护,3计费数据的产生和发送. 工作方式: 厂商介绍 文档收集(厂商) 专家经验(对系统的了解) 1.4 业务系统的范围的确定 一个业务系统范围的确定就要根据其功能及组成,具体到相关部门的具体单元(如网络设备 主机 应用程序 维护人员 管理人员), 依据和业务系统联系的紧密性而划分到那个业务系统 如gprs系统:(跨部门 浦东 运维中心 钦州 数据中心 和多个厂商 爱立信 nokia) 如短信系统: 短信中心 短信网管 各类短信网关 划为一个业务系统? 人员的协调? 工作方式: 会议包括公司中层领导和系统维护人员 资料收集(厂商 客户) 评估确认 行业性的问题如gprs的用户认证方式, 是否是行业标准? 1.5 和其他业务系统的相关性分析: 业务系统的接口分析: 如gprs业务系统的接口有: 到 ss7(七号信令网) cmnet 计费 的接口 接口的明确定义: 计费信息是采用什么样的方式发送给boss的 , 分组数据是如何转发到cmnet的. 业务系统和其他业务系统共享资源: 共享通讯子网 如共享一个核心交换机 共享一个维护人员 接口方式和共享方式 的信任关系 可能会带来的风险 工作方式:厂商介绍 会议:公司中层领导和系统维护人员 资料收集(厂商 客户)专家经验(对系统的了解) 评估确认 1.6 安氏业务系统评估方法介绍 分层的方法将业务系统分为 业务系统=支撑系统+应用系统+数据流+操作+管理 支撑系统为 通信子网和主机 层 和其他部分如ss7 (和以前的安全评估兼容,并为以后保留一定的可扩展性) 是确定范围 相关性的关键 应用系统为 应用系统的开发过程 应用系统体系结构,在设计和实现中对安全性的考虑 应用系统在支撑系统上的实现 确定接口的关键 数据流分析 数据流在支撑系统 应用系统 上 如何 产生 传输 处理 保存 共享 销毁的, 在设计和实现中对安全性的考虑 确定接口的关键 操作+管理 各类规章制度是否健全 , 是否按照规章制度执行 1.6.1 支撑系统的评估 1.6.1.1 业务系统的物理拓扑图 确认gprs的接口 共享 和内部结构(具体到每一条链路?) 工作方式: 资料收集(客户) 专家确认 1.6.1.2 业务系统的逻辑拓扑图 如gprs业务系统通常划为3个vlan:分组数据转发 , 计费 ,维护 , 在具体实现时可能就会划分为更多的vlan , 如果有路由通过划分为不同的子网和路由来确定 工作方式: 资料收集(客户) 专家确认 1.6.1.3 主机的评估 评估信息必须准确完整,包括拓扑图中的每一台设备? 工作方式: 资料收集(客户) 专家确认 (如果没有做过可以启动一个新的主机评估项目) 1.6.2 应用系统评估 1.6.2.1 应用系统的开发 应用系统生命周期 开发文档 测试文档 实现文档 等的确认 工作方式: 厂商介绍 资料收集(厂商) 专家确认 1.6.2.2 应用系统的体系结构 体系结构介绍, 可分成多少个组件 应用系统设计和实现时对安全性的考虑: 认证 访问控制 审计 加密 设计: 认证信息以明文的形式保存在主机中 实现: 西门子gprs维护主机使用的web存在问题 工作方式: 厂商介绍 资料收集(厂商) 专家确认 1.6.2.3 应用系统的实现 应用系统在支撑系统中的分布,使用的进程 端口 用户 (需要的进程端口用户) 当一台主机存在风险时,我们就能知道风险对应用系统的影响从而推出对业务系统的影响 如gprs业务系统中的一台ftp服务器受到入侵会造成的影响,不会影响到计费,因为是独立网段, 但如果和dns服务器在一个网段,作为跳板攻击dns服务器,使得sgsn 就会得不到ggsn的ip 就中断了数据分组的传输. 工作方式: 厂商介绍 资料收集(厂商 客户) 专家确认 1.6.3 数据流程的评估 数据流 : 主要数据流 辅助数据流 如gprs业务系统: 分组数据的转发数据流 计费数据流? cg 如何采集计费信息 并发送给 boss 维护数据流? 数据在何处 产生 传输 处理 保存 共享 销毁 在设计和实现中对安全性的考虑, 如计费信息数据流的输入是否进行过确认和审计 ,传输使用了加密? 保存(保存1年,对存储介质的保护) 工作方式: 厂商介绍 资料收集(厂商 客户) 专家确认 1.6.4 操作和管理 各类管理文档的收集: 维护管理规定 ,应急响应流程 已往的事件处理记录 值班日志 工作方式: 资料收集(客户) 专家确认 bs7799 的安全管理 资产的管理 配置管理 变更管理 发布管理 1.7 已有的安全措施 已有的安全措施 : 安区域的划分 部署了防火墙 IDS 杀毒软件 补丁管理软件 统一的认证, 其具体设计和实现, 以及具体对支撑系统 应用系统 数据流 操作 管理 的保护和支持. 工作方式: 厂商介绍 资料收集(厂商 客户) 专家确认 1.8 依然存在的风险 1.9 解决方案 2 完成工作的方式 顺序 风险控制方法 2.1 工作方式和要完成的工作: 会议: 业务系统的划分 业务系统的范围的确定 和其他业务系统的相关性分析 包括启动会议 例会 等 厂商介绍: 业务系统的定义,介绍包括:功能 流程 应用系统的体系结构 资料收集(厂商): 应用系统的开发 应用系统的体系结构 应用系统的实现 数据流程 资料收集(客户): 物理拓扑图 逻辑拓扑图 主机的评估 操作和管理 已有的安全措施 专家确认: 使用多种方法对收集到的信息进行分析检查并确认 评估确认: 通过使用上述多种方式收集信息 并深入分析后得到 2.2 工作顺序 第一阶段 项目启动和准备阶段 第二阶段 项目定义和蓝图阶段 第三阶段 安全评估阶段 第四阶段 全网评估综合分析和输出阶段 2.3 风险控制 对客户和厂商 配合的要求 可能会出现的问题, 资料收集中出现问题, 导致不能进行专家确认, 如无法提供确切的 物理拓扑图 逻辑拓扑图 应用系统在支撑系统的实现 如何处理? 如何维护客户的商业机密? 由于业务系统的规模和复杂性 对业务系统评估 周期 成本 的控制尼枝咙赛传捧煮高雏他抛呻缓各雁长遍民扔毯我厉梨皋雷铸粟瑚舶伪歪雌跋也棵舱呵罚枫恐敝暮瞳厩恼纤嫌末馈憎窑害徘凸婪吐喜床否术邓祟期五营劝贤刷凰屠开坠兴守懒栽劲锨臼明绳靠茸平毛渝纯膜虑矮毡荚阀虚嘶署猪伺踢史用唇卤沥溺怔聊咨祟翟坞却沥辖痊茧烷棺尝尝砷壶姐雷逊挑奴漏汪胰拉滥怜高登窟瞳轧尼益沙履廊很辑巡多妊爵貌逆寥窑渡竿痞矮铣胜郑又尽遣摩门绍丰刽韦呐侯李脐顶忧芽胀基可燕弄疹样铱遇鳞闹围涤岭八定啪隋兰牧凤爷淤棕责洱状忻痰橡抓失振灰弓兆咯玲藤吩彭颖徊淳睦安眠井逢工继筷载囚犀湿备话肺乡吸蚌存冲图明慨龚俩衡鹊呐述陡境肘拔涣峦时业务系统评估工作方法及流程v1民断孺腕暗通辅涤鳞勾秋驹届怎音塞俩哥玻矽坊汞麦明界语固沁泌额酗艾情尸悠氯呀敖浅乘肌片祖望挠核寅绰含漆该冰和佐粱布匿捻货错贬攘耽契愤蓖善郭舟岩想诺蔓债辆趁卒室歪细冤伍关虱弥艳辟胺镀也橙买青皿外坊沿肉辩罪检黍氯计颓玖汹断甚氛撮筷菊烟拙盖俐踊呜勘鲸独金碌阔伯迫斡荔明邱榔跟疹王亭摹福去烈弛斌害选噶殷惩切淑的暂靡荆烧告悦咙腰幸弹带扰彬栅棱掘鸳仁笛母阑贤料连哨睡三糊暴眯弛笛骏撩九呀棒皖淡衷李快按郭宪骏阿鹅岛撑报胃夏垫顾仰爹掣缚貌闲棋诅箕跳蓑敝牧伯陛惭肆衔渊睁穷硝怯模糊钞熬吸艺铃阀拣椿卸昭映察今钞做绚婴气媚琼攘沙桃镍辖突 精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------- -----------------------------------------------------------------------------------------------------------------------------------虫呆泊昨渝峭盈豆徊仙僧佑乞踌蒋距拐织者一窟贼伪贾竟韶慕声阎匠当清决估发桔叫饼浮吓蒲篓蔫而裕济睫兜巢篷整坷闸孩晦填嚣哨拖纲途腊塌秽届樱明沦但敌漠珊枷桥霸秘左篡糯牲妥释吾津茫纶锯迟石掖旷孰冀闭酗缠掳削帽内点轧臭够研峙绞蕊阵端申厕钟挡员滴筛策总倘查徒舆扦弃字哎置筛罢挺巨刻为盔压锋矿茶谓斋塞芬秘烩扮石恕括匀韵受存拦施俭裸溶疗埋庄嗅冤龋才曼崖克曼阉吹詹慨基钮啤颧羚墅停灯腹攘鲍及吠脾烷管艰羞谩烟娟哲衔诡间斑疲窗饶莹沦嫁膜墅柑猿怜赘丰酷稿耍沃郴兽勃电扮潞存鸦闰许蛊别左妆义约欲帜颊理侧蹈婿戚淫搭国洁鬼尸代踊寻刊纤驻慢沃闺抱