安全評估實施方案完整模板

1、XXXXXXXXXX 安全評估實施方案安全評估實施方案 20XX20XX 年年 X X 月月 北京北京 XXXXXXXXXXXX 公司公司 安全服務(wù)事業(yè)部安全服務(wù)事業(yè)部 文檔信息文檔信息 項目名稱項目名稱XXXXX 安全服務(wù)項目 文檔編號文檔編號 版本號版本號日期日期參與人員參與人員更新說明更新說明 1.0 1.0 分發(fā)控制分發(fā)控制 編號編號讀者讀者文檔權(quán)限文檔權(quán)限與文檔的主要關(guān)系與文檔的主要關(guān)系 1范卿編寫，修 改 負責編制、修改 2XXXXX 項目組成 員 讀取 審核 3XXXXX X 項目組 成員 讀取 版權(quán)說明版權(quán)說明 本文件中出現(xiàn)的全部內(nèi)容，除另有特別注明，版權(quán)均屬北京 XXXXXX

2、 公司所有。任 何個人、機構(gòu)未經(jīng)北京 XXXXXX 公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用文件 的任何片斷。北京 XXXXXX 公司安全服務(wù)事業(yè)部負責對本文檔的解釋。 保密申明保密申明 本文件包含了來自北京 XXXXXX 的可靠、權(quán)威的信息，以及 XXXXX 網(wǎng)絡(luò)系統(tǒng)的敏 感信息，接受這份文件表示同意對其內(nèi)容保密并且未經(jīng)北京 XXXXXX 公司書面請求和書 面認可，不得復(fù)制，泄露或散布這份文件。如果你不是有意接受者，請注意對這份文件內(nèi) 容的任何形式的泄露、復(fù)制或散布都是被禁止的。 目 錄 一一.背景背景.8 1.1.評估目標 .8 1.2.評估范圍 .9 二二.評估原則評估原則.9 2.

3、1.保密原則 .9 2.2.標準性原則 .10 2.3.可控性原則 .10 2.4.全面性原則 .11 2.5.重點性原則 .11 2.6.最小影響原則 .12 三三.評估標準評估標準.12 3.1.信息安全標準 .12 3.1.1.BS7799 (ISO/IEC 17799).12 3.1.2.SSE-CMM .13 3.1.3.ISO/IEC 15408(GB/T18336) .13 3.1.4.ISO/IEC 13335.13 3.1.5.其他相關(guān)標準.14 3.2.組織安全策略 .14 3.2.1.相關(guān)法規(guī)和政策.14 3.2.2.行業(yè)管理規(guī)范.15 四四.資產(chǎn)調(diào)查與賦值資產(chǎn)調(diào)查與賦值

4、.15 4.1.需求調(diào)查 .15 4.1.1.調(diào)查對象.16 4.1.2.調(diào)查方式.17 4.1.3.調(diào)查內(nèi)容.17 4.2.資產(chǎn)賦值 .18 4.2.1.基本概念.18 4.2.2.信息資產(chǎn)分類.19 4.2.3.信息資產(chǎn)賦值.22 五五.安全類別安全類別級評估內(nèi)容級評估內(nèi)容.24 5.1.安全技術(shù)評估 .25 5.1.1.物理安全.25 5.1.2.網(wǎng)絡(luò)安全.26 5.1.3.節(jié)點安全.28 5.1.4.應(yīng)用與數(shù)據(jù)安全.30 5.2.安全管理評估 .31 5.2.1.政策與制度.32 5.2.2.機構(gòu)與人員.34 5.2.3.安全風險管理.38 5.2.4.工程建設(shè)管理.44 5.2.5.

5、運行與維護管理.49 5.2.6.業(yè)務(wù)連續(xù)性管理.60 5.2.7.其他管理要求.65 六六.掃描評估方案掃描評估方案.66 6.1.目標 .66 6.2.地點 .66 6.3.時間 .66 6.4.參與人員 .67 6.5.范圍 .67 6.5.1.網(wǎng)絡(luò)設(shè)備.67 6.5.2.應(yīng)用系統(tǒng).67 6.6.評估方法 .67 6.7.工具選擇 .68 6.7.1.漏洞掃描工具.68 6.7.2.輔助工具.69 6.7.3.系統(tǒng)自帶程序.73 6.8.評估的代價 .74 6.8.1.流量的代價.74 6.8.2.主機的代價.75 6.8.3.主機的潛在威脅.76 6.9.實施步驟 .76 6.9.1.

6、網(wǎng)絡(luò)掃描.76 6.9.2.掃描策略.77 6.9.3.掃描操作.78 6.9.4.報告整理.82 七七.人工評估方案人工評估方案.82 7.1.目標 .82 7.2.地點 .82 7.3.時間 .83 7.4.參與人員 .83 7.5.范圍 .83 7.5.1.網(wǎng)絡(luò)設(shè)備.83 7.5.2.應(yīng)用系統(tǒng).83 7.6.評估方法 .83 7.7.實施步驟 .85 7.7.1.評估步驟.85 7.7.2.評估內(nèi)容.86 7.7.3.報告整理.87 八八.項目實施計劃項目實施計劃.87 8.1.項目組結(jié)構(gòu) .87 8.1.1.甲方項目組結(jié)構(gòu).87 8.1.2.乙方項目組結(jié)構(gòu).88 8.2.項目小組聯(lián)系表

7、 .89 8.2.1.甲方小組聯(lián)系表.89 8.2.2.乙方小組聯(lián)系表.89 8.3.項目進度安排 .90 8.4.用戶配合 .90 8.5.評估監(jiān)控 .90 8.5.1.網(wǎng)頁監(jiān)控.91 8.5.2.系統(tǒng)監(jiān)控.91 8.6.評估風險的應(yīng)對措施 .91 8.7.評估風險應(yīng)急預(yù)案 .92 附錄一：甲方項目組聯(lián)系表附錄一：甲方項目組聯(lián)系表.94 附錄二：乙方項目組聯(lián)系表附錄二：乙方項目組聯(lián)系表.95 附錄三：項目進度計劃附錄三：項目進度計劃.96 一一. 背景背景 企業(yè)對信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。為保證企業(yè)富 有競爭力，保持現(xiàn)金流順暢和贏利，以及維護企業(yè)的良好商業(yè)形象，

8、信息安全的三要素保 密性、完整性和可用性都是至關(guān)重要的。 對于一個特定的網(wǎng)絡(luò)，為了實現(xiàn)其網(wǎng)絡(luò)安全的目標，就是要在網(wǎng)絡(luò)安全風險評估的基 礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風險，并制訂相應(yīng)的安全策略，通過網(wǎng)絡(luò)安全管理和 各種網(wǎng)絡(luò)安全技術(shù)的實施，從而達到網(wǎng)絡(luò)安全的目標。 安全評估是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識庫， 對目標可能存在的安全隱患進行逐項檢查。目標可以包括工作站、服務(wù)器、交換機、路由 器、數(shù)據(jù)庫等各種網(wǎng)絡(luò)對象和應(yīng)用對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的 安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安 全掃描工具花費低、效

9、果好、見效快、與網(wǎng)絡(luò)的運行相對獨立、安裝運行簡單，可以大規(guī) 模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 為了充分了解客戶當前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工具、應(yīng)用軟 件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲 得的報告匯集成為一個當前系統(tǒng)漏洞評估報告，同時根據(jù)漏洞情況提供加強網(wǎng)絡(luò)安全的建 議。 為了保證客戶網(wǎng)絡(luò)的安全有效運行以及漏洞信息能夠更加完整和準確，XXXXXX 公 司還為客戶提供手工的安全評估服務(wù)，我們公司擁有大量具有豐富經(jīng)驗的安全工程師，通 過對客戶網(wǎng)絡(luò)主機的直接接觸，對目標進行安全評估，達到及時發(fā)現(xiàn)網(wǎng)絡(luò)存在的安

10、全問題， 保證網(wǎng)絡(luò)的安全性，同時對網(wǎng)絡(luò)系統(tǒng)性能不造成影響。 1.1.評估目標評估目標 本期安全風險評估項目，將通過管理上、技術(shù)上的等多方面進行，以實現(xiàn)以下安全評 估目標： 管理上 審核安全策略的合理性 審核安全管理文檔的完備程度 完成資產(chǎn)識別、分類工作 擬定體系及策略改進計劃 技術(shù)上 識別被評估系統(tǒng)面臨的威脅 識別被評估系統(tǒng)存在的脆弱性 識別安全設(shè)施的有效性 分析威脅發(fā)生的可能性 分析威脅發(fā)生的后果 評價安全風險 擬定風險處理計劃 1.2.評估范圍評估范圍 對于指定的信息系統(tǒng)必須首先進行資產(chǎn)識別和分類，明確被保護的信息資產(chǎn)，對每一 項資產(chǎn)進行確認和評估。在對信息資產(chǎn)進行識別評估分析時，要根據(jù)系

11、統(tǒng)遭受破壞后，對 保密性、完整性和可用性造成的影響來決定信息資產(chǎn)的價值。 XXXXX 目前擁有一個機房。XXXXXX 將對個機房進行安全評估和加固服務(wù)。主要從 這個機房的管理層、技術(shù)層、操作層、物理層等多個層面進行安全評估工作，以求能夠通 過這次評估和加固工作達到要求的安全標準，大幅度提高 XXXXX 以及下屬機房的安全防 御能力。 二二. 評估原則評估原則 為了確保安全項目成功實施，我們將遵循以下原則進行： 2.1.保密原則保密原則 對于安全項目，實施方首先應(yīng)做到的就是對用戶要求保密的信息遵守保密原則。 XXXXXX 公司和參加此次評估項目的所有項目組成員，都要與甲方簽署相關(guān)的保密 協(xié)議和非

12、侵害性協(xié)議。 2.2.標準性原則標準性原則 依據(jù)國際國內(nèi)標準開展工作是本次評估工作的指導(dǎo)原則，也是 XXXXXX 公司提供信 息安全服務(wù)的一貫原則。 XXXXXX 公司在提供本次評估服務(wù)中，將會依據(jù)相關(guān)的國內(nèi)和國際標準進行。這些 標準包括： ISO 17799 BS7799-2 ISO 13335 AS/NZS 4360 ISO 15408 / GB18336 SSE-CMM XXXXXX 公司在提供本次評估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標準之外，還要 參考一些沒有成為國際和國內(nèi)標準，但是已經(jīng)成為業(yè)界事實上標準的一些規(guī)范和約定。這 些規(guī)范和約定包括： CVE 公共漏洞和暴露 PMI 項目管理

13、方法學 XXXXXX 公司在提供本次評估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標準之外，還根 據(jù)本項目的需要，遵循 XXXXXX 公司自身的一些規(guī)范和要求。這些規(guī)范包括： XXXXXX 科技顧問服務(wù)項目管理規(guī)范 V1.0 XXXXXX 科技信息安全顧問服務(wù)規(guī)范 V1.0 XXXXXX 科技信息安全風險評估標準 V1.1 XXXXXX 科技信息安全風險評估服務(wù)規(guī)范 V1.1 2.3.可控性原則可控性原則 XXXXXX 公司將從多個方面配合甲方，以便達到甲方對評估工作的可控性。這些可 控性包括： 人員可控性 XXXXXX 公司項目組將確保項目組成員工作的連續(xù)性。 XXXXXX 公司將派遣有經(jīng)驗的顧問、評

14、估師和工程師參加本項目的評估工 作，同時還會安排有經(jīng)驗的項目管理人員、質(zhì)量保證人員、標準化審核人員 等支持項目的工作。 XXXXXX 公司的人員安排將在顧問服務(wù)的工作說明中明確定義并得到雙方 的同意、確認和簽署。如果根據(jù)項目的具體情況，后期需要進行人員調(diào)整時， 必須經(jīng)過正規(guī)的項目變更程序，并得到雙方的正式認可和簽署。 工具可控性 XXXXXX 公司項目組所使用的所有技術(shù)工具都事先通告甲方。并且在必要 時可以應(yīng)甲方要求，向甲方介紹主要工具的使用方法，并進行一些實驗。 項目過程可控性 本評估項目的管理將依據(jù) PMI 項目管理方法學達到項目過程的可控性。 為了保證 XXXXXX 公司的工作能夠按照工

15、程進度實施，甲方組成的評估小 組的工作需要在雙方進行評估之前舉行會議，予以討論，正式形成文字材料， 即書面確定甲方評估小組的職責和義務(wù)。評估期間雙方將本著友好合作的態(tài) 度完成各自的職責。 2.4.全面性原則全面性原則 XXXXXX 公司將按照確定的評估范圍進行全面的評估，從范圍上滿足甲方的要求。 XXXXXX 公司實施的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用評估是對 xxxxx 的全面評估；XXXXXX 公司實施 的人工分析也覆蓋了上述業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程和相互間的業(yè)務(wù)相關(guān)性和數(shù)據(jù)共享； XXXXXX 公司進行的綜合分析和建議將結(jié)合 XXXXXX 公司長期的信息安全經(jīng)驗和相關(guān)的 國際經(jīng)驗。 評估覆蓋信息的存儲、傳輸、

16、處理全過程。 2.5.重點性原則重點性原則 從用戶的業(yè)務(wù)期望出發(fā)，采用詳細的安全風險評估方式對用戶指出的關(guān)鍵性業(yè)務(wù)系統(tǒng) 進行重點評估。 2.6.最小影響原則最小影響原則 XXXXXX 公司會從項目管理層面和工具技術(shù)層面，將評估工作對甲方系統(tǒng)和網(wǎng)絡(luò)正 常運行的可能影響降低到最低限度，不會對現(xiàn)有網(wǎng)絡(luò)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影 響。系統(tǒng)評估我們選擇對業(yè)務(wù)連續(xù)性影響較小的主機進行。數(shù)據(jù)庫評估和網(wǎng)絡(luò)評估，我們 選擇業(yè)務(wù)最小的時段進行，一般在半夜 12 點以后進行，在評估前作好數(shù)據(jù)備份。 三三. 評估標準評估標準 XXXXXX 公司采用國際信息安全管理標準 BS 7799 的風險管理思想作為貫穿整個

17、風險 評估過程的主要指導(dǎo)規(guī)范。另外，在風險等關(guān)鍵因素的評估方面，我們還參考了 SSE- CMM、ISO15408 和 ISO13335 標準。同時，SSE-CMM 在這次項目的安全工程實施， ISO15408、ISO13335 在安全評估方案的制定等方面都提供了規(guī)范化的指導(dǎo)。 其中在評估過程中涉及到的一些技術(shù)細節(jié)問題，我們嚴格遵循和執(zhí)行有關(guān)國家的法律 法規(guī)和行業(yè)的管理規(guī)范。 3.1.信息安全標準信息安全標準 3.1.1. BS7799 (ISO/IEC 17799) BS 7799 是國內(nèi)外現(xiàn)在比較流行的信息安全管理標準，其安全模型主要是建立在風險 管理的基礎(chǔ)上，通過風險分析的方法，使信息風險

18、的發(fā)生概率和后果降低到可接受水平， 并采取相應(yīng)措施保證業(yè)務(wù)不會因安全事件的發(fā)生而中斷。這個標準中風險管理框架的構(gòu)建 過程也就是宏觀上指導(dǎo)整個安全風險評估的過程。 這個標準中給出了 10 類需要進行控制的部分：安全策略、安全組織、資產(chǎn)分類與控制、 個人信息安全、物理和環(huán)境安全、通信和操作安全、訪問控制、系統(tǒng)的開發(fā)和維護、商業(yè) 持續(xù)規(guī)劃、合法性要求等方面的安全風險評估和控制，以及 127 項控制細則。 3.1.2. SSE-CMM SSE-CMM 是“系統(tǒng)安全工程能力成熟模型”的縮寫。系統(tǒng)安全工程旨在了解用戶單 位存在的安全風險，建立符合實際的安全需求，將安全需求轉(zhuǎn)換為貫穿安全系統(tǒng)工程的實 施指南

19、。系統(tǒng)安全工程需要對安全機制的正確性和有效性做出驗證，證明系統(tǒng)安全的信任 度能夠達到用戶要求，以及未在安全基線內(nèi)仍存在的安全問題連帶的風險在用戶可容許、 或可控范圍內(nèi)。 SSE-CMM 將一個安全事件分為了三個組成部分：威脅、脆弱性和影響，并且提供了 影響、風險、威脅和脆弱性的具體評估方法和過程，進一步為安全風險評估的實施提供了 指導(dǎo)。 作為更主要的作用，我們應(yīng)用 SSE-CMM 模型把整個安全風險評估工程劃分為如下幾 個階段：安全需求分析階段、安全系統(tǒng)規(guī)劃階段、安全系統(tǒng)實施階段、安全系統(tǒng)確認階段 和安全需求驗證階段。在安全工程的整個生命周期過程中，我們都將嚴格按照 SSE-CMM 的要求進行

20、實施，以保證整個項目工程的質(zhì)量。 3.1.3. ISO/IEC 15408(GB/T18336) 信息技術(shù)安全性評估通用準則 ISO15408 已被頒布為國家標準 GB/T18336，簡稱通用 準則（CC） ，它是評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基礎(chǔ)準則。該標準針對在安全性評估 過程中信息技術(shù)產(chǎn)品和系統(tǒng)的安全功能及相應(yīng)的保證措施提出一組通用要求，使各種相對 獨立的安全性評估結(jié)果具有可比性。 ISO15408 同樣對本次項目的安全風險評估模型及關(guān)鍵風險因素有著指導(dǎo)意義，但更重 要的是它能比較好的指導(dǎo)我們對系統(tǒng)安全功能的各方面進行安全檢查和分析，保證了安全 風險評估的全面性和完整性，也使得信息系統(tǒng)在

21、技術(shù)上能夠符合國家的安全測評認證的要 求。最后，我們可以根據(jù)這個標準生成針對信息系統(tǒng)安全的規(guī)范化的安全評估方案，或者 更確切叫信息系統(tǒng)安全規(guī)范。 3.1.4. ISO/IEC 13335 ISO13335 是信息安全管理方面的規(guī)范，這個標準的主要目的就是要給出如何有效地實 施 IT 安全管理的建議和指南。 ISO13335 首先為風險評估提供了方法上的支持，并且它所定義的安全概念更加全面化 了安全風險評估考慮的問題，使得最終生成的安全評估方案不但在技術(shù)方面完整而且從管 理的角度看也很全面。 3.1.5. 其他相關(guān)標準其他相關(guān)標準 這些標準包括國際和國內(nèi)的一些涉及具體安全技術(shù)方面的標準，如 GB

22、9361-88 計算機 場地安全要求、GB2887-89 計算機站場地技術(shù)條件等，以便為安全評估的具體技術(shù)細節(jié)作 指導(dǎo)。 3.2.組織安全策略組織安全策略 3.2.1. 相關(guān)法規(guī)和政策相關(guān)法規(guī)和政策 信息系統(tǒng)的建設(shè)是國家信息化的一個組成部分，在促進國民經(jīng)濟發(fā)展和社會穩(wěn)定方面 具有越來越重要的作用。隨著計算機應(yīng)用的進一步普及和發(fā)展，計算機信息系統(tǒng)安全問題 日益社會化、嚴重化，國家有必要運用行政法律手段來進行有效的管理，維護社會的穩(wěn)定 和發(fā)展。這些相關(guān)的政策法規(guī)包括了可能約束信息系統(tǒng)在進行安全體系建立和使用信息的 安全方面的國家法律法規(guī)和政策。這些政策法規(guī)主要有： 中華人民共和國保守國家秘密法 （

23、1988 年 9 月 5 日中華人民共和國主席令 第 6 號公布） 中華人民共和國保守國家秘密法實施辦法 （國家保密局文件 國保發(fā) 1990 1 號） 中華人民共和國國家安全法 （主席令 68 號，1993 年 2 月 22 日第七屆全國人民代 表大會常務(wù)委員會第三十次會議通過） 中華人民共和國計算機信息系統(tǒng)安全保護條例 （國務(wù)院令 147 號） 計算機信息系統(tǒng)保密管理暫行規(guī)定 （國家保密局文件 國保發(fā)1998 1 號） 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 （國家保密局文件 國保發(fā)1999 1 號） 中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 （國務(wù)院令 195 號） 中華人民共和國計算

24、機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法 （1997 年 12 月 8 日國務(wù)院信息化工作領(lǐng)導(dǎo)小組審定） 計算機病毒防治管理辦法 （2000 年 4 月 26 日中華人民共和國公安部 第 51 號令） 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 （1997 年 12 月 11 日國務(wù)院批準， 1997 年 12 月 30 日公安部發(fā)布） 計算機信息系統(tǒng)安全專用產(chǎn)品分類原則 （1997 年 4 月公安部發(fā)布） 計算機信息系統(tǒng)安全保護等級劃分準則 （1999 年 9 月國家技術(shù)監(jiān)督局發(fā)布） 互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定 （信息產(chǎn)業(yè)部 2000 年 10 月 8 日第 4 次部務(wù)會議通過） 互聯(lián)網(wǎng)站從事登載

25、新聞業(yè)務(wù)管理暫行規(guī)定 （國務(wù)院新聞辦公室和信息產(chǎn)業(yè)部 11 月 7 日聯(lián)合發(fā)布） 計算機信息系統(tǒng)安全等級保護劃分準則 （GB/T17859-1999） 計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求 （GA/T387-2002） 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求 （GA/T388-2002） 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 （GA/T389-2002） 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 （GA/T390-2002） 計算機信息系統(tǒng)安全等級保護管理要求 （GA/T391-2002） 計算機機房場地安全要求 （GB9361-88） 上述國家政策法規(guī)對信息系統(tǒng)安全等級標準、機房場地與設(shè)施、通信和信息保密信息、 安全產(chǎn)品和安全系統(tǒng)開發(fā)商、電子商務(wù)安全以及有關(guān)技術(shù)標準等方面提出了具體要求。 3.2.2. 行業(yè)管理規(guī)范行業(yè)管理規(guī)范 行業(yè)管理規(guī)范是指各行業(yè)的主管機構(gòu)對整個行業(yè)信息系統(tǒng)安全所作的針對行業(yè)特點的 具體規(guī)范和要求，這些行業(yè)包括證券、銀行、電信、政府部門等眾多的機構(gòu)和組織。這些 要求成為安全風險評估的基本安全需求和尺度，因此在評估中應(yīng)當嚴格遵循這些要求。 四四. 資產(chǎn)調(diào)查與賦值資產(chǎn)調(diào)查與賦值 4.1.需求調(diào)查