風險評估方案v

成功源于誠信專注造就專業(yè)息技術有限公司密級：機密文檔編號：001項目代號：001網絡風險評估方案V1.02009年4月*****信息技術有限公司

目錄TOC\o"1-2"\h\z\u一、網絡安全評估服務背景 31.1安全評估概念 31.2安全評估的目的 31.3目標現狀描述 3二、風險評估內容說明 42.1風險等級分類 42.2評估目標分類 52.3評估手段 62.4評估步驟 72.5評估檢測原則 8三、評估操作 93.1人員訪談&調查問卷 93.2人工評估&工具掃描 93.3模擬入侵 11四、項目實施計劃 124.1項目實施 134.2項目文檔的提交 14附錄一：使用的工具簡單介紹 15Nessusscanner3.2英文版 15Xscan-guiv3.3中文版 16輔助檢測工具 16附錄二：*****信息技術有限公司簡介 171.1網絡安全服務理念 171.2網絡安全服務特點 17一、網絡安全評估服務背景1.1風險評估概念 信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應用于IT領域時，就是對信息安全的風險評估。風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術操作，逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統安全等級評測準則》等方法，充分體現以資產為出發(fā)點、以威脅為觸發(fā)因素、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。1.2風險評估目的 風險評估的目的是全面、準確的了解組織機構的網絡安全現狀，發(fā)現系統的安全問題及其可能的危害，為系統最終安全需求的提出提供依據。準確了解組織的網絡和系統安全現狀。具有以下目的：找出目前的安全策略和實際需求的差距獲得目前信息系統的安全狀態(tài)為制定組織的安全策略提供依據提供組織網絡和系統的安全解決方案為組織未來的安全建設和投入提供客觀數據為組織安全體系建設提供詳實依據此外還可以通過選擇可靠的安全產品通過合理步驟制定適合具體情況的安全策略及其管理規(guī)范，為建立全面的安全防護層次提供了一套完整、規(guī)范的指導模型。1.3目標現狀描述XXXXXXX省略XXXX二、風險評估內容說明2.1風險等級分類信息系統風險包括下表所示內容，本方案按照國家二級標準將對XX公司信息風險進行評估。下面列出了根據弱點威脅嚴重程度與弱點發(fā)生的可能性的賦值表：威脅嚴重程度（資產價值）劃分表等級標識描述5很高一旦發(fā)生將產生非常嚴重的經濟或社會影響，如組織信譽嚴重破壞、嚴重影響組織的正常經營，經濟損失重大、社會影響惡劣。4高一旦發(fā)生將產生較大的經濟或社會影響，在一定范圍內給組織的經營和組織信譽造成損害。3中一旦發(fā)生會造成一定的經濟、社會或生產經營影響，但影響面和影響程度不大。2低一旦發(fā)生造成的影響程度較低，一般僅限于組織內部，通過一定手段很快能解決。1很低一旦發(fā)生造成的影響幾乎不存在，通過簡單的措施就能彌補。威脅可能性賦值表等級標識定義5很高出現的頻率很高（或≥1次/周）；或在大多數情況下幾乎不可避免；或可以證實經常發(fā)生過。4高出現的頻率較高（或≥1次/月）；或在大多數情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經發(fā)生過。2低出現的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。對資產弱點進行賦值后，使用矩陣法對弱點進行風險等級劃分。風險評估中常用的矩陣表格如下：威脅可能性12345資產價值12461013235912163471115204581419225610162125然后根據資產價值和脆弱性嚴重程度值在矩陣中進行對照，確定威脅的風險等級風險等級劃分對照表風險值1-67-1213-1819-2324-25風險等級12345最后對資產威脅進行填表登記，獲得資產風險評估報告。資產威脅名稱嚴重程度可能性風險等級資產1資產2資產32.2評估目標分類根據《信息系統安全等級評測準則》，將評估目標劃分為以下10個部分機房物理安全檢測網絡安全檢測主機系統安全應用系統安全數據安全安全管理機構安全管理制度人員安全管理系統建設管理系統運維管理在實際的評估操作中，由于出于工作效率的考慮，將評估目標進行整合實施考察，評估完成后再根據評估信息對劃分的10個部分進行核對，檢查達標的項目。2.3評估手段安全評估采用評估工具和人工方式進行評估，即根據定制的掃描策略實施遠程評估，根據評估工具的初步結果進行人工分析和本機控制臺分析。2.4評估步驟風險評估項目描述備注1、網絡安全評估知識培訓網絡信息安全典型案例培訓目的是為了讓客戶對網絡安全有個清晰的認識，從而在評估前就引起其重視，方便后面動作的開展。網絡安全評估流程培訓目的是為了客戶能理解我們的工作，從而獲得客戶的支持。2、資產評估收集信息完成《資產信息登記表》可以遠程操作3、威脅評估對物理安全進行評估參照《物理安全規(guī)范表》訪談、查看相關文檔，實地考察對人員安全管理進行評估參照《人員安全管理規(guī)范表》訪談人事部門相關人員4、弱點評估（完成網絡安全、應用安全、主機安全規(guī)范表）整體網絡安全信息Xscan-gui進行全網安全掃描，獲得全網的安全統計使用網絡版殺毒殺毒軟件對全網絡的操作系統漏洞情況進行掃描統計使用工具共享資源掃描整個網絡，同時演示給客戶其暴露在內網中的敏感信息應用服務Nessus對服務器系統進行安全掃描使用自動化評估腳本對服務器安全信息進行收集根據checklist對服務器進行本地安全檢查使用密碼強度測試工具請求客戶網管進行密碼強度測試網絡設備Nessus對網絡設備進行安全掃描使用密碼強度測試工具請求客戶網管進行密碼強度測試根據checklist對網絡設備進行本地安全檢查5、安全管理評估網絡拓撲結構分析分析冗余、負載均衡功能數據安全調查《數據安全規(guī)范表》管理機構評估《安全管理機構規(guī)范表》需要訪談對方領導，需要先獲得領導的支持與配合安全管理制度《安全管理制度規(guī)范表》通過問卷調查的方式獲得部分內容、管理制度文檔審查系統建設管理《系統建設管理規(guī)范表》查看相關文檔、訪談網管系統運維管理《系統運維管理規(guī)范表》訪談部門領導、網管。實地考察6、滲透測試滲透測試參考有關滲透測試方案簽署有關授權協議滲透測試報告《XX系統滲透測試報告》7、數據整理、風險評估報告以及加固建議資產風險《資產風險評估報告》信息系統安全《整體網絡安全報告》領導參閱版和技術人員參閱版加固建議《安全加固報告》、《管理規(guī)范建議》根據checklis進行加固2.5評估檢測原則2.5.1標準性原則依據國際國內標準開展工作是本次評估工作的指導原則，也是*****信息技術有限公司提供信息安全服務的一貫原則。在提供的評估服務中，依據相關的國內和國際標準進行。這些標準包括：《信息安全風險評估指南》《信息系統安全等級保護測評準則》《信息系統安全等級保護基本要求》《信息系統安全保護等級定級指南》(試用版v3.2)《計算機機房場地安全要求》（GB9361-88）《計算機信息系統安全等級保護網絡技術要求》（GA/T387-2002）《計算機信息系統安全等級保護操作系統技術要求》（GA/T388-2002）《計算機信息系統安全等級保護數據庫管理系統技術要求》（GA/T389-2002）《計算機信息系統安全等級保護通用技術要求》（GA/T390-2002）《計算機信息系統安全等級保護管理要求》（GA/T391-2002）《計算機信息系統安全等級保護劃分準則》（GB/T17859-1999）2.5.2可控性原則人員可控性：將派遣數名經驗豐富的工程師參加本項目的評估工作，有足夠的經驗應付評估工程中的突發(fā)事件。工具可控性：在使用技術評測工具前都事先通告。并且在必要時可以應客戶要求，介紹主要工具的使用方法，并進行一些實驗。2.5.3完整性原則將按照提供的評估范圍進行全面的評估，從范圍上滿足的要求。實施的遠程評估將涉及全部外網可以訪問到的設備；實施的本地評估將全面覆蓋安全需求的各個點。2.5.4最小影響原則*****信息技術有限公司會從項目管理層面和工具使用層面，將評估工作對系統和網絡正常運行的可能影響降低到最低限度，不會對現有運行業(yè)務產生顯著影響。2.5.5保密原則*****信息技術有限公司和參加此次評估項目的所有項目組成員，都要與簽署相關的保密協議。三、評估操作3.1人員訪談&調查問卷為了檢查XXXX安全現狀，主要在安全管理方面進行一個安全狀況的調查和摸底，我們采取安全審計的方法，主要依據國家等級安全標準的要求，*****向XXXX提交了詳細的問題清單，針對管理層、技術人員和普通員工分別進行面對面的訪談。通過人員訪談的形式，大范圍地了解XXXX在信息安全管理方面的各項工作情況和安全現狀，作為安全弱點評估工作中的一個重要手段。過程描述此階段主要通過提出書面的問題審計清單，安全工程師進行問題講解，和XXXX相關人員共同回答，并詢問相關背景和相關證據的工作方式，以此來了解XXXX的關于信息安全各方面的基本情況。此訪談包括的內容為：物理安全規(guī)范、人員安全規(guī)范、數據安全規(guī)范、安全管理制度規(guī)范、安全管理機構規(guī)范、系統建設管理規(guī)范、系統運維管理規(guī)范。3.2人工評估&工具掃描此內容評估采用掃描工具和人工方式（仿黑客攻擊手段）進行評估，即根據定制的掃描策略實施遠程評估，根據評估工具的初步結果進行人工分析和本機控制臺分析。項目內容專業(yè)安全評估軟件Nessusv3.2英文版Xscan-guiv3.3中文版安全評估輔助工具密碼強度測試器Sql注入滲透測試工具評估自動化腳本阿D注入工具v2.3人工檢測模擬入侵滲透測試本地自動化檢測腳本評估全網安全統計報告出具安全加固報告工具掃描過程描述由于評估可實際操作的時間有限，我們對該網絡安全評估制定以下評估步驟：網關設備的安全掃描評估，其內容包括：用Nessus掃描網關設備，獲取設備的操作系統漏洞信息，開啟的服務信息以及開放的多余端口信息等，工具自動生成掃描報告；應用服務器的安全掃描評估，評測內容為：用nessus掃描各個服務器，獲取操作系統的漏洞信息，開啟的服務信息和暴露出來的敏感信息等，工具自動生成掃描報告。整體網絡掃描探測，評測內容為：使用xscan-gui掃描網絡內的共享資源、并根據評估人員總結的密碼列表進行常用密碼猜解；如果時間充足將考慮進行共享資源、弱口令的利用演示，讓客戶了解該威脅的嚴重性。使用客戶自有的網絡版殺毒軟件控制中心漏洞掃描功能對用戶電腦進行漏洞檢測；（如果客戶未部署網絡版殺毒軟件，則不操作此項。）人工評估過程描述網關設備的人工評估，其內容包括：登錄設備分析router、firewall、switch等網關設備的配置；根據checklist對網絡設備進行手工檢測；對網絡設備密碼進行強度測試；應用服務器的人工評估，其內容包括：使用自動化評估腳本進行信息收集；根據checklist對服務器進行手工檢測；對服務器密碼進行強度測試；對服務器日志進行審計，獲取服務器的安全狀況；（有一定難度，選做）整體網絡安全的人工評估，其內容包括：分析網絡拓撲圖是否具備一定的攻擊防范、重要設備冗余等信息；分析整體網絡的網段劃分、IP地址規(guī)劃是否合理；最后分析工具掃描、人工評估中收集到的所有數據，并做出加固建議報告：分析所有掃描日志及人工評估記錄，做出安全分析報告；針對出現的安全威脅做出加固建議報告。3.3模擬入侵在獲得客戶授權的情況下，對路由器、firewall、網站進行遠程模擬入侵，在指定時間，我公司工程師將完全模擬外部入侵者的身份以一切可行的入侵方式，做到對網絡無傷害的攻擊，完全從黑客的角度發(fā)現受檢系統的所有安全漏洞或安全隱患；3.3.1入侵過程描述a．遠程模擬入侵將突破口暫定為公司對外網站、路由器設備、vpn設備等幾個出口。b．如能遠程從這三個的Internet出口找出可入侵的突破口，將繼續(xù)尋找其他隱患試圖向骨干網深入。c．找到突破口后，嘗試利用漏洞提權，獲取WEBshell。3.3.2安全弱點的探測方法自編程序：對某些產品或者系統，已經發(fā)現了一些安全漏洞，但并不一定及時對這些漏洞的打上“補丁”程序。通過這些漏洞進入目標系統。

利用商業(yè)的軟件：例如nessus等網絡安全分析軟件，可以對目標進行掃描，尋找規(guī)則庫中的安全漏洞。手工分析：結合*****信息技術有限公司的網絡安全工程師的工作經驗，對目標服務器進行手工提交的方式（SQL注入等方式）模擬入侵。當我們取得需要的信息以后。將建立一個類似攻擊對象的模擬環(huán)境，然后對模擬目標機進行一系列的入侵。3.3.3意外解決辦法如我公司工程師在入侵測試工作中成功突破Web服務器或其它相關主機并可接觸到應用程序段或數據庫段，我公司將立即以文檔或口頭方式告之項目負責人。并在次日與項目負責人會面并商討下一步入侵檢測工作計劃，如發(fā)生入侵檢測工作影響到網站及其它服務器正常服務情況。我公司工程師將在第一時間通知相關技術人員，并以最快的速度趕往現場協助相關技術人員處理相關問題。四、項目實施計劃針對網絡安全評估項目，我們定制如下的工作流程：4.1項目實施工作項目描述備注用戶信息收集階段1網絡規(guī)模統計2用戶需求安全等級檢測辦公網絡安全隱患3服務器、網絡設備統計做詳細統計，確定評估范圍4其他信息制定實施方案階段1實施人員2參與人員工作分配情況3使用設備統計4與客戶研究確定實施方案《X網絡安全評估實施方案》5做出評估進度控制表6其他《X網絡滲透測試實施方案》安全評估方案實施階段1網絡設備評估根據checklist2應用服務器安全評估根據checklist3整體網絡狀況評估網絡拓撲分析、訪問控制、系統漏洞、抽查個人主機安全狀況檢測4用戶安全意識評估《用戶安全知識調查》5網絡管理規(guī)范評估查看文檔、訪談的方式進行管理規(guī)范評估6入侵滲透根據《XX滲透測試實施方案》在外網進行7物理安全評估8其他評估文檔編寫階段1編寫《整體網絡安全評估報告》詳細列出安全風險技術人員參閱版2編寫《入侵滲透報告》3編寫《評估問題總結報告》4編寫《網絡安全評估報告》只對安全內容進行概括統計領導參閱版5編寫加固建議6其他報告客戶反饋問題匯總安全加固實施階段1制定加固方案《網絡安全加固實施方案》2確定加固范圍與客戶協商確定加固范圍及時間、實施人員3實施加固方案4實施過程問題總結項目驗收階段1安全加固驗收《安全加固驗收報告》2其他《網絡安全建議書》4.2項目文檔的提交提交評估報告：網絡安全評估報告（領導參閱版）整體網絡安全評估報告（技術人員參閱版）網絡安全加固實施方案滲透測試報告附錄一：使用的工具簡單介紹Nessusscanner3.2英文版Nessus被認為是目前全世界最多安全技術人員使用的系統弱點掃描與分析軟件?？偣灿谐^75,000個機構使用Nessus作為掃描該機構電腦系統的軟件。

1998年,Nessus的創(chuàng)辦人RenaudDeraison展開了一項名為"Nessus"的計劃，其計劃目的是希望能位因特網社群提供一個免費、威力強大、更新頻繁并簡易使用的遠端系統安全掃瞄程式。經過了數年的發(fā)展,包括CERT與SANS等著名的網絡安全相關機構皆認同此工具軟件的功能與可用性。

2002年時,Renaud與RonGula,JackHuffard創(chuàng)辦了一個名為TenableNetworkSecurity的機構。在第三版的Nessus釋出之時,該機構收回了Nessus的版權與程式源代碼(原本為開放源代碼),并注冊了成為該機構的網站。目前此機構位于美國馬里蘭州的哥倫比亞。Nessus的特色提供完整的電腦弱點掃描服務,并隨時更新其弱點數據庫。提供不同于傳統的弱點掃描軟件,Nessus可同時在本機或遠端上搖控,進行系統的弱點分析掃描。其運作效能能隨著系統的資源而自行調整。如果將主機加入更多的資源(例如加快CPU速度或增加內存大小),其效率表現可因為豐富資源而提高?？勺孕卸x外嵌軟件(Plug-in)完整支持SSL(SecureSocketLayer)。自從1998年開發(fā)至今已諭十年,故為一架構成熟的軟件。Xscan-guiv3.3中文版X-Scan是國內最著名的綜合掃描器之一，其界面支持中文和英文兩種語言、包括圖形界面和命令行方式。主要由國內著名的民間入侵者組織“安全焦點”（）完成，從2000年的內部測試版X-ScanV0.2到目前的最新版本X-Scan3.3都凝聚了國內眾多入侵者的心血。最值得一提的是，X-Scan把掃描報告和安全焦點網站相連接，對掃描到的每個漏洞進行“風險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網管測試、修補漏洞建議等。輔助檢測工具密碼強度測試器Sql注入滲透測試工具評估自動化腳本阿D注入工具v2.3附錄二：*****信息技術有限公司簡介*****信息技術有限公司成立于2006年，作為網絡安全服務商，公司主要為客戶提供計算機安全風險評估、安全等級評估、安全檢查、安全培訓、網上信息安全審計、病毒防治和安全應急處理等服務，并依托自身強大的技術實力為客戶提供全面的網絡安全解決方案和網絡安全服務。1.1網絡安全服務理念根據客戶需求定制相應的安全解決方案是*****信息技術有限公司的安全服務理念?！凹皶r準確完善”是*****信息技術有限公司的服務作風。1.2網絡安全服務特點第三方安全服務提供商*****信息技術有限公司主要對外提供如下的特色網絡安全服務：網絡安全顧問服務*****信息技術有限公司作為專業(yè)的網絡安全服務提供商，在以往的網絡安全項目和日常工作中積累了大量的網絡安全項目規(guī)劃實施經驗和專業(yè)的網絡安全知識，可以為客戶提供實用、可靠的網絡安全顧問服務，服務主要包括以下幾點：信息化建設或網絡安全建設項目前期的需求分析和安全規(guī)劃；日常運維過程中的安全技術指導和安全制度定制；新系統、新業(yè)務的安全性、可靠性分析；網絡安全培訓；網絡安全項目驗收期安全評估服務網絡安全項目實施成功與否最好的判斷方法就是模擬攻擊者對網絡的內外層面做全面的模擬入侵。一輪全面的模擬入侵之后，立刻可以對網絡安全項目實施的結果做出明確判斷。*****信息技術有限公司有資質和有能力承擔網絡安全項目驗收期安全評估服務。根據我們的評估結果，督促客戶的安全提供商不斷的修改安全系統。最終達到項目的安全需求和國家的網絡安全要求，可為客戶提供技術依據、劃分安全責任。安全評估安全評