信息安全风险评估方案模板.doc

《信息安全风险评估方案模板.doc》由会员分享，可在线阅读，更多相关《信息安全风险评估方案模板.doc（63页珍藏版）》请在咨信网上搜索。

____________________________ 某单位 信息安全风险评估投标书 技术部分____________________________ 北京启明星辰信息安全技术有限公司 注释：本文档所包含的信息在未事先得到北京启明星辰信息技术股份有限公司书面同意之前，本文档全部或部分内容不得用于其他任何用途或交与第三方。 62 目 录 第1章项目概述 5 1.1. 项目背景 5 1.2. 项目目标 5 1.3. 项目范围 6 1.4. 项目内容 6 第2章 项目需求理解 7 第3章 项目方案设计 7 3.1. 设计目标 7 3.2. 设计原则 8 3.3. 设计依据 8 3.3.1. 政策依据 8 3.3.2. 标准依据 9 3.4. 方法模型 10 3.4.1. 风险关系模型 10 3.4.2. 风险分析方法模型 11 3.5. 工具方法 12 3.5.1. 风险评估采用方法 12 3.5.2. 风险评估使用工具 13 第4章 风险评估实施流程 14 4.1. 阶段1：项目启动阶段 14 4.1.1. 阶段目标 14 4.1.2. 阶段步骤 15 4.1.3. 阶段输出 15 4.2. 阶段2：资产评估阶段 16 4.2.1. 阶段目标 16 4.2.2. 阶段步骤 16 4.2.3. 阶段方法 16 4.2.4. 阶段输出 17 4.3. 阶段3：威胁评估 17 4.3.1. 阶段目标 17 4.3.2. 阶段步骤 17 4.3.3. 阶段方法 18 4.3.4. 阶段输出 19 4.4. 阶段4：脆弱性评估 19 4.4.1. 阶段目标 19 4.4.2. 实施步骤 19 4.4.3. 已有安全措施识别 38 4.4.4. 阶段输出 39 4.5. 阶段5：风险综合分析 39 4.5.1. 阶段目标 39 4.5.2. 阶段步骤 39 4.5.3. 阶段输出 42 4.6. 阶段6：风险处置计划 42 4.7. 阶段7：风险评估验收 43 4.7.1. 成果交付 43 4.7.2. 成果验收 44 第5章 应急预案修订与演练 44 5.1. 应急预案修订 44 5.1.1. 修订方法 44 5.1.2. 修订程序 44 5.1.3. 修订要点 45 5.1.4. 阶段输出 45 5.2. 应急预案演练 45 5.2.1. 应急演练目标： 46 5.2.2. 应急演练计划 46 5.3. 项目验收 49 第6章 项目管理 49 6.1. 组织管理 50 6.2. 范围管理 51 6.2.1. 范围定义 51 6.2.2. 范围变更控制 51 6.3. 进度管理 52 6.4. 风险管理 53 6.5. 质量管理 53 6.5.1. 项目实施负责人质量控制 53 6.5.2. 项目经理质量控制 53 6.5.3. 质量管理质量控制 53 6.6. 沟通管理 54 6.6.1. 协调沟通机制基本准则 54 6.6.2. 沟通计划 54 6.7. 会议管理 55 6.8. 文档管理 55 6.9. 保密管理 56 第7章 人员安排 56 7.1. 职责和分工 56 7.2. 人员简历 57 第8章 项目计划 68 8.1. 总体计划 68 8.2. 项目计划时间表 70 第9章 项目收益 70 第10章 成果交付一览表 70 第11章 成功案例 71 11.1. 重点案例列表 71 11.2. 重点案例简介 72 11.2.1. 金融案例 72 11.2.2. 电信案例 73 11.2.3. 能源案例 73 11.2.4. 政府案例 74 第12章 公司优势 74 12.1. 公司简介 74 12.2. 公司资质 75 第1章 项目概述 1.1. 项目背景 中国石油天然气股份有限公司管道分公司（简称某单位）隶属于中国石油天然气股份有限公司，主要负责长输油气管道的运营管理、建设和科研。公司下辖大庆、长春等26个输油（气）单位以及管道工程项目经理部、管道科技中心等单位，所属单位和人员分布在全国17个省（自治区、直辖市）。 公司拥有集油气管道输送技术研发、服务、培训、检测和监测为一体的专业科研机构，科研力量雄厚，科研设施完备，拥有管道核心技术研发能力。在油气储运工艺、管道完整性管理、管道化学添加剂、管道规划、信息与经济等研究领域整体处于国内领先水平。 随着 “十二五”计划的开局与发展，某单位将加快战略转型，深入使用信息化科技手段提高生产效率。当企业经营数据、生产过程控制及信息交换完成信息化的大集中后，信息系统的安全一旦受到破坏将产生严重的、不可估量的后果。 因此，某单位急需展开信息安全风险评估专项工作，加强信息安全建设和管理，本次项目根据某单位工作要求，结合国家相关政策要求，依据信息安全建设相关国际和国内标准，对石油管道公司重要信息系统进行完整的信息系统评估，为公司信息系统的安全运行提供有力的保障。 1.2. 项目目标 安全评估的目的通常包括以下几个方面： n 确定可能对信息系统造成危害的威胁 n 通过历史资料和专家的经验确定威胁实施的可能性 n 对可能受到威胁影响的信息资产确定其价值、敏感性和严重性 n 对各类信息资产，确定一旦威胁发生其潜在的损失或破坏 针对本次的安全评估，主要包括以下目的： n 准确了解企业的网络和系统安全现状 n 明晰企业的安全需求 n 制定企业网络和系统的安全策略 n 制定企业网络和系统的安全解决方案 n 指导企业未来的安全建设和投入 n 指导企业建立信息安全框架 1.3. 项目范围 此次信息安全评估服务范围涵盖由项目组双方沟通确认，推荐主管信息化部门、系统建设和运维部门、业务部门都参与本次项目。 涉及的信息系统如下表所示： 实施范围 范围类型 详细资产 技术评估范围 物理环境 评估设备系统所在机房 主机系统 主机设备名称[操作系统型号]（IP地址） 数据库系统 数据库(SqlServer、Oracle、Informix、DB2等) 应用中间件 信息系统中间件（WEBLOGIC、WEBSPHERE、APACHE、TOMCAT等) 网络设备 核心层交换机 汇聚层交换机 接入层交换机 安全设备 IPS、IDS、防火墙 管理评估范围 安全管理机构 信息系统责任单位的安全管理机构设置情况 安全管理制度 信息系统责任单位的安全管理制度建设情况 人员安全管理 信息系统责任单位的人员安全管理情况 系统建设管理 信息系统责任单位的系统建设管理情况 系统运维管理 信息系统责任单位的系统运维管理情况 1.4. 项目内容 本次安全评估的内容包括： n 通过技术性检测评估，获得网络层存在的网络安全漏洞报告； n 通过问卷调查和交流沟通，了解非技术层面的安全漏洞； n 通过对上述技术和非技术漏洞的分析，得出安全状况报告； n 提出网络安全策略和网络安全解决方案，指导下一步的网络安全建设； n 根据某单位的要求，可以进行授权渗透测试，模拟黑客入侵的过程； 第2章 项目需求理解 风险评估的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等；同时对管理风险、综合安全风险以及应用系统安全性进行评估。 风险评估采用专业工具扫描、人工评估、渗透测试三种相结合的方式，对各种操作系统进行评估，包括：帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等；从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁，根据应用系统所存在的威胁，来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。 第3章 项目方案设计 3.1. 设计目标 本次风险评估的安全服务项目主要目标是： n 通过风险评估，得到某单位的整体安全现状； n 通过资产评估，得到某单位的网络信息安全资产状况，并录入资产库，进行资产梳理； n 通过威胁评估，得到某单位存在的安全威胁情况； n 通过脆弱性评估，得到某单位当前业务系统存在的脆弱性； n 对各个业务系统进行综合风险分析，得到风险情况，提出分系统的安全解决方案； n 提出各个系统的风险处置解决方案。 3.2. 设计原则 1. 标准性原则 遵循国家、行业和组织相关标准开展风险评估工作。 2. 可控性原则 在项目建设与实施过程中，应保证参与实施的人员、使用的技术和工具、过程都是可控的。 3. 完整性原则 项目方案要充分考虑项目所有环节，做到统筹兼顾，细节清楚。 4. 最小影响原则 项目的所有阶段，保证项目实施过程工作对系统正常运行的可能影响降低到最低限度，不会对某单位目前的业务系统运行造成明显的影响。 5. 保密原则 项目的所有阶段，将严格遵循保密原则，服务过程中涉及到的任何用户信息均属保密信息，不得泄露给第三方单位或个人，不得利用这些信息损害用户利益。并与某单位签订保密协议，承诺未经允许不向其他任何第三方泄露有关信息系统的信息。 3.3. 设计依据 本方案设计主要参照以下政策和标准进行设计。 3.3.1. 政策依据 表格 1 相关策略 时间 相关政策文件 2003年 ü 《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发27号文），提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估”。 2004年 ü 为贯彻落实27号文件精神，原国信办组织有关单位和专家编写了《信息安全风险评估指南》。 2005年 ü 国务院信息化工作办公室《关于印发<信息安全风险评估试点工作方案>的通知》（国信办【2005】5号），组织在北京、上海、黑龙江、云南等地方以及银行、税务、电力等重要行业开展信息安全风险评估试点工作。 2006年 ü 由国家网络与信息安全协调小组讨论通过的《关于开展信息安全风险评估工作的意见》（国信办[2006]5号），文件要求三年内在国家基础信息网络和重要行业信息系统中普遍推行信息安全风险评估工作。 ü 中共中央办公厅国务院办公厅《关于印发2006—2020年国家信息化发展战略的通知》（中办[2006]11号文）提出加强信息安全风险评估工作。 2007年 ü 为保障十七大，在国家基础信息网络和重要信息系统范围内，全面展开了自评估工作。（中国移动、电力、税务、证券） 2008年 ü 《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号），明确“加强和规范国家电子政务工程建设项目信息安全风险评估工作”。 3.3.2. 标准依据 表格 2 相关标准 标准类型 参考标准 国际标准 v ISO15408 信息技术安全评估准则 v ISO/IEC TR 13335信息和通信技术安全管理 v ISO/TR 13569 银行和相关金融服务信息安全指南 v ISO/IEC 27000 信息安全管理体系系列标准 v AS/NZS 4360 风险管理 v NIST SP 800-30 IT系统风险管理指南 国内标准 v GB17859计算机信息系统安全保护等级划分准则 v GBT 20984信息安全风险评估规范 v GBT 22239信息安全技术信息系统安全等级保护基本要求 v GBZ 20985信息技术安全技术信息安全事件管理指南 v GBZ 20986信息安全技术信息安全事件分类分级指南 v 各组织或行业内相关要求 3.4. 方法模型 本方案中提供的风险评估与管理模型参考了多个国际风险评估标准，建立安全风险关系模型和安全风险分析方法模型。 3.4.1. 风险关系模型 风险关系模型从安全风险的所有要素：资产、影响、威胁、弱点、安全控制、安全需求、安全风险等方面形象地描述的他们各自之间的关系和影响，风险关系模型如下图所示。 图 1风险关系模型图 在上述关系图中： 资产指组织要保护的资产，是构成整个系统的各种元素的组合，它直接的表现了这个系统的业务或任务的重要性，这种重要性进而转化为资产应具有的保护价值。它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。 弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足，它们不直接对资产造成危害，但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。 威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害；威胁也可能源于偶发的、或蓄意的事件。一般来说，威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲，威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。 安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面：事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险，因此，为了降低安全风险，应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。 安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。 通常安防措施只是降低了安全风险而并未完全杜绝风险，而且风险降低得越多，所需的成本就越高。因此，在系统中就总是有残余风险（RR）的存在，这样，系统安全需求的确定实际上也是对余留风险及其接受程度的确定。 3.4.2. 风险分析方法模型 在安全风险分析方法模型中提供了风险计算的方法，通过两个因素：威胁级别、威胁发生的概率，通过风险评估矩阵得出安全风险。 图 2风险分析原理图 风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产 价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为： a） 对资产进行识别，并对资产的价值进行赋值； b） 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值； c） 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值； d） 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性； e） 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失； f） 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。 3.5. 工具方法 3.5.1. 风险评估采用方法 风险评估常用方法如下： ² 调查访谈 物理安全访谈表、人员安全访谈表、网络安全访谈表、系统安全访谈表等等； ² 工具扫描 网络安全扫描、应用安全扫描、系统安全扫描等等； ² 人工检查 操作系统checklist、数据库checklist、网络设备checklist等等； ² 渗透测试 由专业渗透测试工程师模拟黑客攻击方式对网络与信息系统进行非破坏性漏泀验证性测试； ² 文档查阅 管理制度查阅、管理策略查阅、安全指导方针查阅等等。 3.5.2. 风险评估使用工具 本次项目，用到的部分评估工具列出如下表： 表格 3 评估工具列表 工具类别 工具名称 工具说明 网络漏洞 扫描工具 天镜网络漏洞扫描系统 启明星辰公司自主产权的大规模网络漏洞扫描系统，可扫描端口服务信息、漏洞信息、用户信息，并可鉴别系统类型。 Nessus 世界范围内广泛使用的免费网络端口扫描、系统类型鉴别和漏洞扫描工具 入侵检测工具 天阗网络入侵检测系统 入侵检测系统作为实时的检测工具，是安全威胁信息收集过程中的一种重要手段，分析网络的安全运行状况，发觉配置和运行中的隐患，其数据是网络整体安全的重要参考依据 本地控制 台安全审 计工具 Solaris（TM）Security Toolkit Sun公司官方提供的本地控制台审计工具包 Linux Security Audit Tools（LSAT） Linux系统的本地控制台审计工具包 Win 系统安全审计工具包 启明星辰收集整理的多种针对性的Win 系统安全审计工具的集合 Check Rootkits 多种unix和类unix平台的后门检测工具 路由-交换-防火墙安全审计工具包 启明星辰整理定制的工具包，通过SNMP、Telnet、HTTP、CDP、RIP等协议对网络设备进行安全审计 第4章 风险评估实施流程 我们将整个项目的实施内容分为7个阶段。从项目启动阶段到项目验收整个项目实施过程，我们用WBS图中完整地描述了整个项目实施过程的重要工作任务。 图 3项目实施流程图 4.1. 阶段1：项目启动阶段 此阶段是项目的启动和计划阶段，是项目实施阶段的开始，对项目整个过程的实施工作与项目管理工作都非常重要。 4.1.1. 阶段目标 在此阶段的主要工作目标是召开评估项目启动会议，并就项目组的工作方式、日常流程、工作计划、交付件蓝图进行沟通和确认。 4.1.2. 阶段步骤 评估项目启动阶段，是整个项目过程中，对项目的有效性的一种保证。实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。 步骤一：项目组织，确定双方项目组织结构及人员分工。 步骤二：召开项目启动会，包括项目中需要落实内容： a) 获得支持和配合； b) 确定项目的目标； c) 确定项目的内容； d) 组建项目服务团队； e) 对项目的对象、范围进行调研并确认； f) 宣贯风险评估方法和评估思想； g) 建立项目组的工作场所和环境； h) 确定项目组的工作流程，包括文档交付流程、项目更改流程等； i) 确定项目组的工作方式，包括指定接口人，保密方式，资料保管和备份方式等。 步骤三：确定各个细节后，项目启动完成，进入项目实施阶段。 4.1.3. 阶段输出 本阶段完成后输出如下文件： ü 《项目实施计划》 ü 《项目启动会议纪要》 ü 《项目蓝图》 ü 《保密协议书》 ü 《项目组织结构和人员职责》 ü 《项目范围确认书》 ü 《培训计划》（针对风险评估知识宣贯实施方法） 4.2. 阶段2：资产评估阶段 保护资产免受安全威胁是本项目实施的根本目标。要做好这项工作，首先需要详细了解资产分类与管理的详细情况。 4.2.1. 阶段目标 资产识别的目的就是要对系统的相关资产做潜在价值分析，了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护，最具策略性的进行新的资产投入。 4.2.2. 阶段步骤 阶段一：根据项目范围进行资产分类与识别，包括主机设备、网络设备、数据库系统、应用系统、文档资产、人员资产等等。 阶段二：进行资产识别，分类并赋值。 4.2.3. 阶段方法 表格 4资产评估方法 项目名称 资产分类调查 简要描述 采集资产信息，进行资产分类，划分资产重要级别及赋值； 达成目标 采集资产信息，进行资产分类，划分资产重要级别及赋值； 进一步明确评估的范围和重点。 主要内容 ² 采集资产信息，获取资产清单； ² 进行资产分类划分； ² 确定资产的重要级别，对资产进行赋值。 实现方式 ² 调查。 ² 填表式调查。 ² 《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。 ² 交流。 ² 审阅已有的针对资产的安全管理规章、制度。 ² 与高级主管、业务人员、网络管理员（系统管理员）等进行交流。 工作条件 2-3人工作环境，2台笔记本，电源和网络环境，某单位人员和资料配合。 工作结果 资产类别、资产重要级别。 参加人员 依据现场状况，启明星辰全体评估人员在某单位业务系统相关技术和管理人员的配合下进行资产分类调查。 4.2.4. 阶段输出 本阶段完成后输出文档如下： ü 《资产详细清单》 ü 《资产赋值列表》 4.3. 阶段3：威胁评估 威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。为全面、准确地了解系统所面临的各种威胁，需采用威胁分析方法。 4.3.1. 阶段目标 通过威胁分析，找出系统目前存在的潜在风险因素，并进行统计，赋值，以便于列出风险。 4.3.2. 阶段步骤 威胁识别采用人工审计、安全策略文档审阅、人员面谈、入侵检测系统收集的信息和人工分析。 步骤一：把已经发现的威胁进行分类； 步骤二：把发现的威胁事件进行分析。 4.3.3. 阶段方法 表格 3威胁调查评估 项目名称 威胁调查评估 简要描述 使用技术手段分析信息系统可能面临的所有安全威胁和风险。 达成目标 全面了解掌握信息系统可能面临的所有安全威胁和风险。对威胁进行赋值并确定威胁等级。 主要内容 ² 被动攻击威胁与风险：网络通信数据被监听、口令等敏感信息被截获等。 ² 主动攻击威胁与风险：扫描目标主机、拒绝服务攻击、利用协议、软件、系统故障、漏洞插入或执行恶意代码（如：特洛依木马、病毒、后门等）、越权访问、篡改数据、伪装、重放所截获的数据等。 ² 邻近攻击威胁与风险：毁坏设备和线路、窃取存储介质、偷窥口令等。 ² 分发攻击威胁与风险：在设备制造、安装、维护过程中，在设备上设置隐藏的后门或攻击途径、 ² 内部攻击威胁与风险：恶意修改数据和安全机制配置参数、恶意建立未授权连接、恶意的物理损坏和破坏、无意的数据损坏和破坏。 实现方式 ² 调查交流 ² 工具检测 ² 人工检测 工作条件 2-3人工作环境，2台笔记本，电源和网络环境，某单位人员和资料配合 工作结果 根据分析结果列出系统所面临的威胁，对威胁赋值并确定威胁级别 参加人员 启明星辰评估小组，网络管理人员、系统管理人员 4.3.4. 阶段输出 本阶段完成主要输出文档如下： ü 《威胁调查表》 ü 《威胁赋值列表》 4.4. 阶段4：脆弱性评估 脆弱性是对一个或多个资产弱点的总称，脆弱性评估是对技术脆弱性和管理脆性进行识别和赋值的过程。 4.4.1. 阶段目标 技术脆弱性主要是采用工具扫描、人工检查（checklist）、渗透测试、访谈等方式对物理环境、网络结构、、应用软件、业务流程等进行脆弱性识别并赋值。 管理脆弱性主要是通过管理访谈、文档查阅等方式对安全管理制度、安全管理机构、人员安全管理、安全建设管理、安全运维管理等进行脆弱性识别并赋值。 4.4.2. 实施步骤 脆弱性识别步骤主要是通过技术脆弱性和管理脆弱性来进行识别。 4.4.2.1. 技术脆弱性 4.4.2.1.1. 物理环境评估 物理安全是一切系统安全的基础。对物理安全的评估将从机房选址、建设；员工、外来访问者进入机房的权限控制；机房的报警、电子监控以及防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统等方面进行。 表格 6 物理安全评估 项目名称 物理安全评估 简要描述 分析物理安全是否满足相关的安全标准。 达成目标 准确把握物理安全中的安全隐患，提出安全建议。 主要内容 ² 评估环境安全：机房选址、建设、防火、防水、防静电、防雷击、防鼠害、防辐射、防盗窃、火灾报警及消防措施、内部装修、供配电系统是否满足相关国家标准；内部及外来人员对机房的访问权限控制；安全审查及管理制度。 ² 评估设备安全：门控系统、网络专用设备（路由器，交换机等）和主机设备（终端计算机，打印机、服务器等）。设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护、维修、报废等；设备冗余备份。 ² 评估介质安全：软盘、硬盘、光盘、磁带等媒体的管理，信息媒体的维修将保证所存储的信息不被泄漏，不再需要的媒体，将按规定及时安全地予以销毁。 实现方式 ² 问询 ² 现场检查 ² 资料收集 工作条件 某单位人员和资料配合 工作结果 依据相关的物理安全标准，结合某单位的实际需求，协助某单位改进安全措施 参加人员 某单位机房、设备管理员、维护人员，启明星辰评估小组 4.4.2.1.2. 网络架构评估 网络结构分析是风险评估中对业务系统安全性进行全面了解的基础，一个业务系统的网络结构是整个业务系统的承载基础，及时发现网络结构存在的安全性、网络负载问题，网络设备存在的安全性，抗攻击的问题是整个业务系统评估的重要环节。 对某单位的物理网络结构，逻辑网络结构及网络的关键设备进行评估(基本信息包括网络带宽、协议、硬件、Internet接入、地理分布方式和网络管理)，发现存在的安全性，合理性，使用效率等方面的问题。结合业务体系、系统体系等结构的检查逻辑网络，由什么物理网络组成以及网络的关键设备的位置所在对于保持网络的安全是非常重要的。另外，鉴定关键网络拓扑，对于成功地一个实施基于网络的风险管理方案是很关键的。 网络结构分析能够做到： n 改善网络性能和利用率,使之满足业务系统需要 n 提供有关扩充网络、增加IT投资和提高网络稳定性的信息 n 帮助用户降低风险,改善网络运行效率,提高网络的稳定性 n 确保网络系统的安全运行 n 对网络环境、性能、故障和配置进行检查 在评估过程中，主要针对网络拓扑、访问控制策略与措施、网络设备配置、安全设备配置、网络性能与业务负载几个方面进行调查与分析。 1) 网络拓扑威胁分析 表格 7网络拓扑威胁分析 项目名称 网络拓扑威胁分析 简要描述 分析整体的网络拓扑结构安全隐患，分析某单位网络内部网面临的外部和内部威胁 达成目标 准确把握网络拓扑上的安全隐患，重点是网络边界面临的安全隐患 主要内容 ² 设备确定，基本的策略状况 ² 外联链路或接口确定 ² 路由确定（ACL、VLAN） ² 备份方式确认 ² 拨号接入确认 ² 业务和网络的关系（制度、规范） ² 网络等级确认（制度、规范） ² FW位置和策略确认 实现方式 ² 问询 ² 检查（采用渗透测试方式） ² 资料收集 工作条件 4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合 工作结果 形成某单位的内部网络拓扑结构图，并针对拓扑图说明威胁状况 参加人员 网络管理员、业务维护人员，启明星辰评估小组 2) 访问控制策略与措施 表格8访问控制策略与措施评估 项目名称 访问控制策略与措施评估 简要描述 评估某单位网络内部网的访问控制策略与措施的安全状况 达成目标 评估某单位网络内部网的访问控制策略与措施的安全状况，协助某单位网络进行访问控制策略和措施的优化改进 主要内容 ² 网络设备的访问控制策略 ² 防火墙的访问控制策略 ² 操作系统访问控制策略 ² 其它访问控制策略，如认证等 实现方式 ² 调查交流 ² 控制台安全审计 ² 工具测试 工作条件 4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合 工作结果 针对某单位网络内部网络的访问控制策略和措施现状，提出改进优化建议 所需时间 1个工作日 参加人员 某单位网络管理员、业务维护人员，启明星辰评估小组 3) 网络设备策略与配置 表格9网络设备策略与配置评估 项目名称 网络设备策略与配置评估 简要描述 评估某单位现有网络设备的配置和使用状况，考察网络设备的有效性、安全性 达成目标 协助某单位网络改进网络设备的安全配置，优化其服务性能 主要内容 ² 网络设备策略配置 ² 网络设备的安全漏洞扫描检测 ² VLAN划分 ² 设备与链路冗余状况 实现方式 ² 调查交流 ² 控制台安全设计 ² 工具漏洞扫描 工作条件 4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合 工作结果 针对某单位网络内部网络设备的策略配置状况，提出优化建议 参加人员 某单位网络管理员、业务维护人员，启明星辰评估小组 4) 安全设备策略与配置 表格10安全设备评估 项目名称 安全设备评估 简要描述 评估某单位现有安全设备的配置和使用状况，考察安全设备的有效性 达成目标 协助某单位优化安全设备的效用，生成新的安全技术和设备的配置需求 主要内容 ² 种类：防火墙 ² 数量 ² 位置 ² 策略、管理 ² 配置 ² 效用 实现方式 ² 调查 ² 实地察看 工作条件 4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合 工作结果 协助某单位优化安全设备的效用，生成新的安全技术和设备的配置需求 参加人员 启明星辰评估小组，某单位技术人员 4.4.2.1.3. 主机/数据库系统评估 这部分的工作包括大规模漏洞扫描评估与控制台审计两项。 1) 漏洞扫描评估 表格11大规模漏洞扫描评估 项目名称 漏洞扫描评估 简要描述 利用扫描工具检查整个某单位内部网络的主机系统与数据库系统的漏洞情况 达成目标 发掘某单位网络内部网络的安全漏洞，提出漏洞修补建议 主要内容 ² 以天镜为主，采用多种漏洞扫描工具实施大规模的漏洞扫描 实现方式 ² 以天镜为主，采用多种漏洞扫描工具实施大规模的漏洞扫描 工作条件 4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合 工作结果 某单位网络内部网网络漏洞列表，扫描评估结果报告， 参加人员 启明星辰评估小组，某单位网络管理人员、系统管理人员、数据库管理人员 2) 控制台审计 虽然工具自动评估能降低安全评估的工作量，但其自身的缺陷也是非常明显的： n 大多数的自动评估工具只能针对特定操作系统，同时也限制了其评估对象目标只能是操作系统。目前绝大多数的自动评估工具只能适用于Solaris、Linux等Unix操作系统和Windows NT/2000操作系统。对于网络设备和其它网络操作系统就无能为力了。 n 由于运行在主机系统上的网络服务和应用服务非常广泛和灵活，自动评估工具往往只能以本地操作系统（主机层）为主要评估目标，对位于数据层和用户层的安全对象目标只能进行极为有限的安全评估，显然这无法满足本地安全评估的完整性和整体性要求。 n 网络安全技术日新月异，一日千里，安全漏洞、攻击手段、防护技术也是层出不穷，但与此同时自动安全评估软件由于开发、成本和费用等问题，常常无法利用最新的安全评估技术，无法根据最新的安全漏洞评估本地系统，也无法给出最及时和合理的安全建议。 n 无法对安全策略，安全管理方面的内容进行评估，而这又正是本地安全评估中很重要的一环。 因此，人工评估对本地安全评估而言是必不可少的。人工安全评估对实施人员的安全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全漏洞、掌握多种先进的安全技术和积累丰富的评估经验，这样才能对本地安全评估中位于物理层、网络层、主机层、数据层和用户层的所有安全对象目标进行最有效和最完整的安全评估，并提供最合理和最及时的安全建议。 对于各种不同的操作系统和数据库平台，启明星辰公司结合多年的安全评估和服务经验，建立了详细有效的本地控制台审计CheckList，可以保证对某单位的本地控制台审计能够有效有序地进行。 表格12控制台审计 项目名称 控制台审计 简要描述 作为大规模漏洞扫描的辅助手段，登陆系统控制台检查系统的安全配置情况 达成目标 检测系统的安全配置情况，发掘配置隐患 主要内容 ² 操作系统控制台审计 ² 数据库系统控制台审计 实现方式 ² 操作系统控制台审计 ² 数据库系统控制台审计 工作条件 4-6人工作环境，2台Win2000PC，电源和网络环境，某单位人员和资料配合 工作结果 某单位网络内部网抽样控制台审计报告 参加人员 启明星辰评估小组，某单位网络管理人员、系统管理人员、数据库管理人员 4.4.2.1.4. 应用安全系统评估 应用评估概述 针对企业关键应用的安全性进行的评估，分析某单位应用程序体系结构、设计思想和功能模块，从中发现可能的安全隐患。全面的了解应用系统在网络上的“表现”，将有助于对应用系统的维护与支持工作。了解某单位应用系统的现状，发现存在的弱点和风险，作为后期改造的需求。 在进行应用评估的时候，引入了威胁建模的方法，这一方法是一种基于安全的分析，有助于我们确定应用系统造成的安全风险，以及攻击是如何体现出来的。 输入： 对于威胁建模，下面的输入非常有用： 用例和使用方案 数据流 数据架构 部署关系图 虽然这些都非常有用，但它们都不是必需的。但是，一定要了解应用程序的主要功能和体系结构。 输出： 威胁建模活动的输出结果是一个威胁模型。威胁模型捕获的主要项目包括： 威胁列表 漏洞列表 应用评估步骤 五个主要的威胁建模步骤如图 4 所示。 图4威胁建模步骤 我们把应用系统的安全评估划分为以下五个步骤： 步骤1：识别应用系统的安全目标 其中包括系统业务目标和安全目标。目标清晰有助于将注意力集中在威胁建模活动，以及确定后续步骤要做多少工作。 业务目标是应用系统使用的相关目标和约束。安全目标是与数据及应用程序的保密性、完整性和可用性相关的目标和约束。通过确定主要的安全目标，可以决定将主要精力放在什么地方。确定目标也有助于理解潜在攻击者的目标，并将注意力集中于那些需要密切留意的应用程序区域。 应用系统的业务目标应该从如下几个方面入手进行分析：信誉、经济、隐私、国家的法律或者政策、公司的规章制度、国际标准、法律协议、公司的信息安全策略。 应用系统的安全目标应该从如下几个方面入手进行分析：系统的机密性、系统的完整性、系统的可用性。 步骤2：了解应用系统概况： 逐条列出应用程序的重要特征和参与者有助于在步骤 4 中确定相关威胁。 创建应用系统概述步骤： ² 画出端对端的部署方案。 ² 确定角色。 ² 确定主要使用方案。 ² 确定技术。 ² 确定应用程序的安全机制。 步骤3：应用系统分解： 全面了解应用程序的结构可以更轻松地发现更相关、更具体的威胁。 分解应用程序按如下步骤：