網(wǎng)絡(luò)安全測評工作流程

1、網(wǎng)絡(luò)安全測評工作流程流程圖說明：網(wǎng)絡(luò)安全測評工作主要分為三大部分：業(yè)務(wù)和現(xiàn)狀調(diào)查，安全框架設(shè)計，風(fēng)險控制一、業(yè)務(wù)和現(xiàn)狀調(diào)查工作小組成員首先進行風(fēng)險評估，其中包括資產(chǎn)調(diào)查、業(yè)務(wù)系統(tǒng)UML建模、威脅評估、漏洞評估、風(fēng)險分析等? 成果描述：-各系統(tǒng)建立了用例模型、用例流程、用例序列圖、用例協(xié)作圖、用例實現(xiàn)視 圖、用例圖、域模型圖、狀態(tài)圖 -所有系統(tǒng)的整體UML模型工作小組成員在各系統(tǒng)對于系統(tǒng)中的接口和服務(wù)進行了安全性分析? 作用和效果：-分析了各系統(tǒng)的服務(wù)和流程-各系統(tǒng)分析了數(shù)據(jù)流中服務(wù)的安全性最后工作小組成員對業(yè)務(wù)過程進行梳理和UML建模，輸出：a) XXX業(yè)務(wù)模型b) XXX業(yè)務(wù)流程重要性等級劃

2、分及關(guān)鍵流程識別而后工作小組成員進行各系統(tǒng)安全現(xiàn)狀評估和風(fēng)險分析:? 主機系統(tǒng)安全現(xiàn)狀評估-評估方式：人工評估 & 工具掃描-輸出：主機掃描報告&主機人工報告? 網(wǎng)絡(luò)安全現(xiàn)狀評估：-評估方式：人工評估；-輸出：網(wǎng)絡(luò)架構(gòu)報告? 數(shù)據(jù)庫安全現(xiàn)狀評估-評估方式：人工評估；-輸出：數(shù)據(jù)庫報告? 應(yīng)用安全現(xiàn)狀評估：-評估方式：人工評估 &訪談；-輸出：應(yīng)用安全報告? 策略和管理現(xiàn)狀評估：-評估方式：訪談(主管；運行維護；用戶)&查閱現(xiàn)有策略文檔-輸出：策略分析報告，安全管理評估報告? 各系統(tǒng)風(fēng)險分析-分析方式：通過 UML建模對各系統(tǒng)的安全現(xiàn)狀進行分析-輸出：各系統(tǒng)風(fēng)險分

3、析報告。? 綜合風(fēng)險分析-分析方式：綜合各系統(tǒng)共性風(fēng)險，摘出各系統(tǒng)個性風(fēng)險，提出安全對策-輸出：綜合風(fēng)險分析報告 1篇二、 工作小組成員進行安全框架設(shè)計 分別對以下問題進行分析檢查： 安全現(xiàn)狀評估和風(fēng)險分析結(jié)果 資產(chǎn) 安全現(xiàn)狀評估和風(fēng)險分析結(jié)果 威脅 安全現(xiàn)狀評估和風(fēng)險分析結(jié)果 弱點 安全現(xiàn)狀評估和風(fēng)險分析結(jié)果 風(fēng)險 項目組首先進行安全域劃分，將客戶單位劃分為對外服務(wù)區(qū)和內(nèi)部生產(chǎn)區(qū)： 而后項目組進行等級保護定級 工作小組成員進行安全需求分析：綜合安全評估階段發(fā)現(xiàn)的風(fēng)險和等級保護列表篩選后的結(jié)果,整理得到現(xiàn)網(wǎng)的安全問題管理類安全問題 策略類安全問題技術(shù)類安全問題項目對 IT 資產(chǎn)進行全面調(diào)查，輸

4、出：a) 核心網(wǎng)各系統(tǒng)資產(chǎn)信息列表b) 核心網(wǎng)各系統(tǒng)詳細拓撲圖c) 核心網(wǎng)信息資產(chǎn)調(diào)查總結(jié)報告d) 核心網(wǎng)信息資產(chǎn)調(diào)查差異性調(diào)查報告 并且對電子政務(wù)網(wǎng)進行安全域劃分，輸出：a) 安全區(qū)域和等級劃分報告ITb) 核心網(wǎng)安全體系框架設(shè)計報告 根據(jù)已經(jīng)建立的業(yè)務(wù)模型和業(yè)務(wù)等級，分析組織的 IT 技術(shù)架構(gòu)和處理功能，形成過程的必要的控制目標，輸出：a) IT 過程定義及控制框架b）IT過程重要性等級劃分及的控制目標c）關(guān)鍵IT過程管理指南-CSF、KGI、KPI及CMM列表風(fēng)險控制風(fēng)險評估的過程是:a）對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；b）對威脅進行分析，并對威脅發(fā)生的可能性賦值；c）識別信息資產(chǎn)的脆

5、弱性（弱點 偏洞），并對弱點的嚴重程度賦值；d）計算信息資產(chǎn)的風(fēng)險值，得到信息資產(chǎn)的風(fēng)險級別，并對風(fēng)險進行處置,的控制措施。工作小組成員通過風(fēng)險評估和等級保護差距分析，項目組確定安全問題存在于以下領(lǐng)域:? 信息安全方針和組織? IT規(guī)劃和建設(shè)安全? 信息資產(chǎn)安全管理? 信息安全風(fēng)險管理? 系統(tǒng)安全維護? 信息安全審計? 安全事件響應(yīng)? 安全意識和培訓(xùn)工作小組成員通過分析得出安全解決方案建議安全加固與實施：系統(tǒng)服務(wù)加固注冊表加固帳號加固補丁升級安全策略加固數(shù)據(jù)庫加固 應(yīng)用軟件升級調(diào)研各個系統(tǒng)應(yīng)用需要使用的端口對防火墻的控制策略進行細化，遵循最小化原則風(fēng)險評估主要實施階段，通過人工/工具的方法對全

6、網(wǎng)進行安全調(diào)研和分析, 成果文檔：a）安全風(fēng)險評估方案b）威脅評估報告c）設(shè)備安全報告主機d）設(shè)備安全報告網(wǎng)絡(luò)設(shè)備e）應(yīng)用安全分析報告f）數(shù)據(jù)庫安全分析報告g）核心網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)安全分析報告選擇合適輸出系列h）安全策略分析報告i) 安全管理評估報告j)風(fēng)險綜合評估和現(xiàn)狀報告安全規(guī)劃對風(fēng)險控制措施的分析和論證包括：對安全風(fēng)險控制措施進行相關(guān)性分析對每個安全風(fēng)險控制措施進行緊迫性分析對每個安全風(fēng)險控制措施進行可實施性分析對每個安全風(fēng)險控制措施進行實施難易程度分析對每個安全風(fēng)險控制措施進行預(yù)期效果分析 對每個安全風(fēng)險控制措施進行綜合分析，形成二到三年的安全規(guī)劃。工作小組成員在此階段輸出：b) 安全建設(shè)規(guī)

7、劃建議報告 解決方案設(shè)計輸出系列安全管理和技術(shù)解決方案 ，其中包括：a) 網(wǎng)絡(luò)安全解決方案b) 安全事件報告和處理制度c) 安全應(yīng)急計劃指南d) 安全組織體系e) 第三方保密協(xié)議f) 第三方接入安全審批流程g) 關(guān)鍵數(shù)據(jù)安全管理規(guī)定h) 介質(zhì)安全管理規(guī)定i) 數(shù)據(jù)備份和恢復(fù)安全管理辦法j) 網(wǎng)絡(luò)接入管理辦法k) 網(wǎng)絡(luò)與信息安全管理辦法l) 網(wǎng)絡(luò)與信息安全監(jiān)控管理規(guī)定m) 系統(tǒng)安全配置管理規(guī)定n) 業(yè)務(wù)持續(xù)性規(guī)范o) 應(yīng)用系統(tǒng)開發(fā)安全管理規(guī)定p) 組織人員安全管理制度q) SQL 安全配置標準r) WINDOWS 安全配置標準s) 防火墻安全配置標準t) 網(wǎng)絡(luò)設(shè)備安全標準u) 安全維護作業(yè)計劃( SQLSERVER )v) 安全維護作業(yè)計劃( Windows )w) 安全維護作業(yè)計劃(交換機路由器) 安全加固： 工作小組成員對 DMZ 區(qū)和資源共享區(qū)的主機設(shè)備實施安全加固，消除了絕大部分高風(fēng)險的漏洞，并且輸出：a) 安全加固服務(wù)報告b) 安全維護手冊 (由系列安全配置標準和維護作業(yè)計劃構(gòu)成)c) 災(zāi)難恢復(fù)計劃 (此文檔包含在數(shù)據(jù)備份和恢復(fù)安全管理辦法中)d) 安全設(shè)備優(yōu)化調(diào)整實施方案e) 安全設(shè)備優(yōu)化調(diào)整實施報告為保證終端與補丁管理能夠保證主體(服務(wù)器、網(wǎng)絡(luò)設(shè)