網(wǎng)絡(luò)安全測(cè)評(píng)工作流程_第1頁(yè)
網(wǎng)絡(luò)安全測(cè)評(píng)工作流程_第2頁(yè)
網(wǎng)絡(luò)安全測(cè)評(píng)工作流程_第3頁(yè)
網(wǎng)絡(luò)安全測(cè)評(píng)工作流程_第4頁(yè)
網(wǎng)絡(luò)安全測(cè)評(píng)工作流程_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、網(wǎng)絡(luò)安全測(cè)評(píng)工作流程流程圖說(shuō)明:網(wǎng)絡(luò)安全測(cè)評(píng)工作主要分為三大部分:業(yè)務(wù)和現(xiàn)狀調(diào)查,安全框架設(shè)計(jì),風(fēng)險(xiǎn)控制一、業(yè)務(wù)和現(xiàn)狀調(diào)查工作小組成員首先進(jìn)行風(fēng)險(xiǎn)評(píng)估,其中包括資產(chǎn)調(diào)查、業(yè)務(wù)系統(tǒng)UML建模、威脅評(píng)估、漏洞評(píng)估、風(fēng)險(xiǎn)分析等? 成果描述:-各系統(tǒng)建立了用例模型、用例流程、用例序列圖、用例協(xié)作圖、用例實(shí)現(xiàn)視 圖、用例圖、域模型圖、狀態(tài)圖 -所有系統(tǒng)的整體UML模型工作小組成員在各系統(tǒng)對(duì)于系統(tǒng)中的接口和服務(wù)進(jìn)行了安全性分析? 作用和效果:-分析了各系統(tǒng)的服務(wù)和流程-各系統(tǒng)分析了數(shù)據(jù)流中服務(wù)的安全性最后工作小組成員對(duì)業(yè)務(wù)過(guò)程進(jìn)行梳理和UML建模,輸出:a) XXX業(yè)務(wù)模型b) XXX業(yè)務(wù)流程重要性等級(jí)劃

2、分及關(guān)鍵流程識(shí)別而后工作小組成員進(jìn)行各系統(tǒng)安全現(xiàn)狀評(píng)估和風(fēng)險(xiǎn)分析:? 主機(jī)系統(tǒng)安全現(xiàn)狀評(píng)估-評(píng)估方式:人工評(píng)估 & 工具掃描-輸出:主機(jī)掃描報(bào)告&主機(jī)人工報(bào)告? 網(wǎng)絡(luò)安全現(xiàn)狀評(píng)估:-評(píng)估方式:人工評(píng)估;-輸出:網(wǎng)絡(luò)架構(gòu)報(bào)告? 數(shù)據(jù)庫(kù)安全現(xiàn)狀評(píng)估-評(píng)估方式:人工評(píng)估;-輸出:數(shù)據(jù)庫(kù)報(bào)告? 應(yīng)用安全現(xiàn)狀評(píng)估:-評(píng)估方式:人工評(píng)估 &訪談;-輸出:應(yīng)用安全報(bào)告? 策略和管理現(xiàn)狀評(píng)估:-評(píng)估方式:訪談(主管;運(yùn)行維護(hù);用戶)&查閱現(xiàn)有策略文檔-輸出:策略分析報(bào)告,安全管理評(píng)估報(bào)告? 各系統(tǒng)風(fēng)險(xiǎn)分析-分析方式:通過(guò) UML建模對(duì)各系統(tǒng)的安全現(xiàn)狀進(jìn)行分析-輸出:各系統(tǒng)風(fēng)險(xiǎn)分

3、析報(bào)告。? 綜合風(fēng)險(xiǎn)分析-分析方式:綜合各系統(tǒng)共性風(fēng)險(xiǎn),摘出各系統(tǒng)個(gè)性風(fēng)險(xiǎn),提出安全對(duì)策-輸出:綜合風(fēng)險(xiǎn)分析報(bào)告 1篇二、 工作小組成員進(jìn)行安全框架設(shè)計(jì) 分別對(duì)以下問(wèn)題進(jìn)行分析檢查: 安全現(xiàn)狀評(píng)估和風(fēng)險(xiǎn)分析結(jié)果 資產(chǎn) 安全現(xiàn)狀評(píng)估和風(fēng)險(xiǎn)分析結(jié)果 威脅 安全現(xiàn)狀評(píng)估和風(fēng)險(xiǎn)分析結(jié)果 弱點(diǎn) 安全現(xiàn)狀評(píng)估和風(fēng)險(xiǎn)分析結(jié)果 風(fēng)險(xiǎn) 項(xiàng)目組首先進(jìn)行安全域劃分,將客戶單位劃分為對(duì)外服務(wù)區(qū)和內(nèi)部生產(chǎn)區(qū): 而后項(xiàng)目組進(jìn)行等級(jí)保護(hù)定級(jí) 工作小組成員進(jìn)行安全需求分析:綜合安全評(píng)估階段發(fā)現(xiàn)的風(fēng)險(xiǎn)和等級(jí)保護(hù)列表篩選后的結(jié)果,整理得到現(xiàn)網(wǎng)的安全問(wèn)題管理類安全問(wèn)題 策略類安全問(wèn)題技術(shù)類安全問(wèn)題項(xiàng)目對(duì) IT 資產(chǎn)進(jìn)行全面調(diào)查,輸

4、出:a) 核心網(wǎng)各系統(tǒng)資產(chǎn)信息列表b) 核心網(wǎng)各系統(tǒng)詳細(xì)拓?fù)鋱Dc) 核心網(wǎng)信息資產(chǎn)調(diào)查總結(jié)報(bào)告d) 核心網(wǎng)信息資產(chǎn)調(diào)查差異性調(diào)查報(bào)告 并且對(duì)電子政務(wù)網(wǎng)進(jìn)行安全域劃分,輸出:a) 安全區(qū)域和等級(jí)劃分報(bào)告ITb) 核心網(wǎng)安全體系框架設(shè)計(jì)報(bào)告 根據(jù)已經(jīng)建立的業(yè)務(wù)模型和業(yè)務(wù)等級(jí),分析組織的 IT 技術(shù)架構(gòu)和處理功能,形成過(guò)程的必要的控制目標(biāo),輸出:a) IT 過(guò)程定義及控制框架b)IT過(guò)程重要性等級(jí)劃分及的控制目標(biāo)c)關(guān)鍵IT過(guò)程管理指南-CSF、KGI、KPI及CMM列表風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)評(píng)估的過(guò)程是:a)對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)賦值;b)對(duì)威脅進(jìn)行分析,并對(duì)威脅發(fā)生的可能性賦值;c)識(shí)別信息資產(chǎn)的脆

5、弱性(弱點(diǎn) 偏洞),并對(duì)弱點(diǎn)的嚴(yán)重程度賦值;d)計(jì)算信息資產(chǎn)的風(fēng)險(xiǎn)值,得到信息資產(chǎn)的風(fēng)險(xiǎn)級(jí)別,并對(duì)風(fēng)險(xiǎn)進(jìn)行處置,的控制措施。工作小組成員通過(guò)風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)差距分析,項(xiàng)目組確定安全問(wèn)題存在于以下領(lǐng)域:? 信息安全方針和組織? IT規(guī)劃和建設(shè)安全? 信息資產(chǎn)安全管理? 信息安全風(fēng)險(xiǎn)管理? 系統(tǒng)安全維護(hù)? 信息安全審計(jì)? 安全事件響應(yīng)? 安全意識(shí)和培訓(xùn)工作小組成員通過(guò)分析得出安全解決方案建議安全加固與實(shí)施:系統(tǒng)服務(wù)加固注冊(cè)表加固帳號(hào)加固補(bǔ)丁升級(jí)安全策略加固數(shù)據(jù)庫(kù)加固 應(yīng)用軟件升級(jí)調(diào)研各個(gè)系統(tǒng)應(yīng)用需要使用的端口對(duì)防火墻的控制策略進(jìn)行細(xì)化,遵循最小化原則風(fēng)險(xiǎn)評(píng)估主要實(shí)施階段,通過(guò)人工/工具的方法對(duì)全

6、網(wǎng)進(jìn)行安全調(diào)研和分析, 成果文檔:a)安全風(fēng)險(xiǎn)評(píng)估方案b)威脅評(píng)估報(bào)告c)設(shè)備安全報(bào)告主機(jī)d)設(shè)備安全報(bào)告網(wǎng)絡(luò)設(shè)備e)應(yīng)用安全分析報(bào)告f)數(shù)據(jù)庫(kù)安全分析報(bào)告g)核心網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)安全分析報(bào)告選擇合適輸出系列h)安全策略分析報(bào)告i) 安全管理評(píng)估報(bào)告j)風(fēng)險(xiǎn)綜合評(píng)估和現(xiàn)狀報(bào)告安全規(guī)劃對(duì)風(fēng)險(xiǎn)控制措施的分析和論證包括:對(duì)安全風(fēng)險(xiǎn)控制措施進(jìn)行相關(guān)性分析對(duì)每個(gè)安全風(fēng)險(xiǎn)控制措施進(jìn)行緊迫性分析對(duì)每個(gè)安全風(fēng)險(xiǎn)控制措施進(jìn)行可實(shí)施性分析對(duì)每個(gè)安全風(fēng)險(xiǎn)控制措施進(jìn)行實(shí)施難易程度分析對(duì)每個(gè)安全風(fēng)險(xiǎn)控制措施進(jìn)行預(yù)期效果分析 對(duì)每個(gè)安全風(fēng)險(xiǎn)控制措施進(jìn)行綜合分析,形成二到三年的安全規(guī)劃。工作小組成員在此階段輸出:b) 安全建設(shè)規(guī)

7、劃建議報(bào)告 解決方案設(shè)計(jì)輸出系列安全管理和技術(shù)解決方案 ,其中包括:a) 網(wǎng)絡(luò)安全解決方案b) 安全事件報(bào)告和處理制度c) 安全應(yīng)急計(jì)劃指南d) 安全組織體系e) 第三方保密協(xié)議f) 第三方接入安全審批流程g) 關(guān)鍵數(shù)據(jù)安全管理規(guī)定h) 介質(zhì)安全管理規(guī)定i) 數(shù)據(jù)備份和恢復(fù)安全管理辦法j) 網(wǎng)絡(luò)接入管理辦法k) 網(wǎng)絡(luò)與信息安全管理辦法l) 網(wǎng)絡(luò)與信息安全監(jiān)控管理規(guī)定m) 系統(tǒng)安全配置管理規(guī)定n) 業(yè)務(wù)持續(xù)性規(guī)范o) 應(yīng)用系統(tǒng)開(kāi)發(fā)安全管理規(guī)定p) 組織人員安全管理制度q) SQL 安全配置標(biāo)準(zhǔn)r) WINDOWS 安全配置標(biāo)準(zhǔn)s) 防火墻安全配置標(biāo)準(zhǔn)t) 網(wǎng)絡(luò)設(shè)備安全標(biāo)準(zhǔn)u) 安全維護(hù)作業(yè)計(jì)劃( SQLSERVER )v) 安全維護(hù)作業(yè)計(jì)劃( Windows )w) 安全維護(hù)作業(yè)計(jì)劃(交換機(jī)路由器) 安全加固: 工作小組成員對(duì) DMZ 區(qū)和資源共享區(qū)的主機(jī)設(shè)備實(shí)施安全加固,消除了絕大部分高風(fēng)險(xiǎn)的漏洞,并且輸出:a) 安全加固服務(wù)報(bào)告b) 安全維護(hù)手冊(cè) (由系列安全配置標(biāo)準(zhǔn)和維護(hù)作業(yè)計(jì)劃構(gòu)成)c) 災(zāi)難恢復(fù)計(jì)劃 (此文檔包含在數(shù)據(jù)備份和恢復(fù)安全管理辦法中)d) 安全設(shè)備優(yōu)化調(diào)整實(shí)施方案e) 安全設(shè)備優(yōu)化調(diào)整實(shí)施報(bào)告為保證終端與補(bǔ)丁管理能夠保證主體(服務(wù)器、網(wǎng)絡(luò)設(shè)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論