網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告范文

1、未知驅(qū)動(dòng)探索專注成就專業(yè)大成天下風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)白皮書VI. 0僅供參考I深圳市大成天下信息技術(shù)有限公司ShenZhen Unnoo Information Tech., Inc.二oo六年二月聲明：本文檔是深圳市大成天下信息技術(shù)有限公司（簡(jiǎn)稱大成科技）解決方案的一部分，版權(quán)歸 大成科技所有，任何對(duì)文檔的修改、發(fā)布、傳播等行為都需獲得大成科技書面授權(quán)，大成科技 保留對(duì)違反以上聲明的組織或個(gè)人追究責(zé)任，直至訴諸法律的權(quán)力.版權(quán)說明©版權(quán)所有2004-2006,深圳市大成天下信息技術(shù)有限公司本文件中出現(xiàn)的任何文字?jǐn)⑹觥⑽臋n格式、插圖、照片、方法、過程等內(nèi)容, 除另有特別注明，版權(quán)均屬深圳

2、市大成天下信息技術(shù)有限公司所有，受到有關(guān)產(chǎn) 權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng)深圳市大成天下信息技術(shù)有限公司的書面 授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。商標(biāo)信息大成天下、大成科技、游刃、鐵卷等是深圳市大成天下信息技術(shù)有限公司注 冊(cè)商標(biāo)，受商標(biāo)法保護(hù)。深圳市大成夭下信息技術(shù)有限公司第#頁共22頁犬成夭下未知驅(qū)動(dòng)探索專注成就專業(yè)文檔信息文檔名稱大成天下風(fēng)險(xiǎn)評(píng)估服務(wù)技術(shù)白皮書保密級(jí)別內(nèi)部公開文檔版本編號(hào)VI. 0制作人吳魯加制作日期2006-02-03復(fù)審人黃鑫復(fù)審日期2006-02-04適用范圍本文件是深圳市大成天下信息技術(shù)有限公司（簡(jiǎn)稱大成科技）系列白皮書 的一部份，供需要風(fēng)險(xiǎn)評(píng)

3、估服務(wù)的客戶、合作伙伴決策參考.分發(fā)控制編號(hào)讀者文檔權(quán)限與文檔的主要關(guān)系1大成科技項(xiàng)目組創(chuàng)建、修改、讀取項(xiàng)目組成員，負(fù)責(zé)編制、修改、審核本文件2王娟批準(zhǔn)項(xiàng)目的負(fù)責(zé)人，負(fù)責(zé)本文檔的批準(zhǔn)程序3吳魯加標(biāo)準(zhǔn)化審核項(xiàng)目標(biāo)準(zhǔn)化負(fù)責(zé)人，對(duì)文檔進(jìn)行標(biāo)準(zhǔn)化審核版本控制時(shí)間版本說明修改人吳魯加VI. 0文檔創(chuàng)建2006-02-041摘要深圳市大成天下信息技術(shù)有限公司是一家專業(yè)從事網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)的 高科技公司。憑借多年的從業(yè)經(jīng)驗(yàn)，大成科技聚集了一批優(yōu)秀的專業(yè)人才，在華 南信息安全領(lǐng)域中具有獨(dú)到的地位。目前，大成科技的研究人員通過多年的專業(yè)安全服務(wù)經(jīng)驗(yàn)，開發(fā)出包括游刃 基線安全（漏洞掃描）系統(tǒng)、鐵卷電子文檔保護(hù)系

4、統(tǒng)等多款產(chǎn)品，涉及的研究領(lǐng) 域涵蓋安全評(píng)估、內(nèi)容安全、接入安全等多方面，并取得多項(xiàng)科研技術(shù)成果。作為專業(yè)信息安全技術(shù)與產(chǎn)品提供商，大成天下致力于利用自身的信息安全 專業(yè)知識(shí)和經(jīng)驗(yàn)，以幫助客戶成功保障他們的資產(chǎn)安全。本白皮書描述了大成天下安全服務(wù)體系中的一個(gè)重要部分一一風(fēng)險(xiǎn)評(píng)估服 務(wù)。本文主要面向企業(yè)的技術(shù)決策者、安全維護(hù)人員和基礎(chǔ)結(jié)構(gòu)工程人員。2風(fēng)險(xiǎn)評(píng)估概述2/I風(fēng)險(xiǎn)評(píng)估簡(jiǎn)介風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的重要組成部分，要忍更好地理解風(fēng)險(xiǎn)評(píng)估，首先要了 解風(fēng)險(xiǎn)管理。風(fēng)險(xiǎn)管理以可接受的費(fèi)用識(shí)別、控制、降低或消除可能影響信息系統(tǒng)的安全 風(fēng)險(xiǎn)的過程。是一個(gè)識(shí)別、控制、降低或消除安全風(fēng)險(xiǎn)的活動(dòng)，通過風(fēng)險(xiǎn)評(píng)估來 識(shí)

5、別風(fēng)險(xiǎn)大小，通過制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn) 進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn)移或降至一個(gè)可被接受的水平.22評(píng)估目的進(jìn)行風(fēng)險(xiǎn)評(píng)估的目的通常包括以下幾個(gè)方面： 了解組織的管理、網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀；確定可能對(duì)資產(chǎn)造成危害的威脅，包括入侵者、罪犯、不滿員工、恐怖 分子和自然災(zāi)害；通過對(duì)歷史資料和專家的經(jīng)驗(yàn)確定威脅實(shí)施的可能性；深圳市大成夭下信息技術(shù)有限公司第#頁共22頁成天下未知驅(qū)動(dòng)探索專注成就專業(yè)對(duì)可能受到威脅影響的資產(chǎn)確定其價(jià)值、敏感性和嚴(yán)重性，以及相應(yīng)的 級(jí)別，確定哪些資產(chǎn)是最重要的；對(duì)最重要的、最敏感的資產(chǎn)，確定一旦威脅發(fā)生其潛在的損失或破壞；明晰組織的安全需求，指導(dǎo)組織

6、建立安全管理框架，提出安全建議，合 理規(guī)劃未來的安全建設(shè)和投入。2.3評(píng)估內(nèi)容評(píng)估內(nèi)容包括如下方面：通過網(wǎng)絡(luò)弱點(diǎn)檢測(cè)，識(shí)別信息系統(tǒng)在技術(shù)層面存在的安全弱點(diǎn)。 通過采集本地安全信息，獲得目前操作系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備、各種安全 管理、安全控制、人員、安全策略、應(yīng)用系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的信息, 并進(jìn)行相應(yīng)的分析。通過對(duì)組織的人員、制度等相關(guān)安全管理措施的分析，了解組織現(xiàn)有的 信息安全管理狀況。通過對(duì)以上各種安全風(fēng)險(xiǎn)的分析和匯總，形成組織安全風(fēng)險(xiǎn)評(píng)估報(bào)告。根據(jù)組織安全鳳險(xiǎn)評(píng)估報(bào)告和安全現(xiàn)狀，提出相應(yīng)的安全建議，指導(dǎo)下 一步的信息安全建設(shè).2.4. 風(fēng)險(xiǎn)評(píng)估技術(shù)操作拓?fù)浞治龇治稣w的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全隱患，

7、準(zhǔn)確把握網(wǎng)絡(luò)拓?fù)渖系陌踩[患，重點(diǎn) 是網(wǎng)絡(luò)邊界面臨的安全隱患.漏洞掃描使用漏洞掃描工具從局域網(wǎng)內(nèi)部進(jìn)行遠(yuǎn)程漏洞檢查，使用最性的漏洞檢測(cè) 庫，發(fā)現(xiàn)最新的安全隱患。人工審計(jì)通過現(xiàn)場(chǎng)分析，發(fā)現(xiàn)遠(yuǎn)程自動(dòng)掃描工具無法發(fā)現(xiàn)的安全隱患。通過現(xiàn)場(chǎng)調(diào)查 分析的方法進(jìn)行。滲透測(cè)試深圳市大成夭下信息技術(shù)有限公司第5頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè)由安全工程師模擬黑客的行為模式，采用黑客最可能采用的漏洞發(fā)現(xiàn)技術(shù)和盡可能多的攻擊方法，對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)行深入分析，發(fā)現(xiàn)網(wǎng)絡(luò)中存在的脆弱環(huán)節(jié)，并且提供相關(guān)報(bào)告，為網(wǎng)絡(luò)管理員了解自己網(wǎng)絡(luò)所面臨的威脅提供 最直觀的依據(jù)。安全優(yōu)化根據(jù)安全需求，通過各種防護(hù)手段提高設(shè)備的安

8、全性（例如修改網(wǎng)絡(luò)設(shè)備、 操作系統(tǒng)、數(shù)據(jù)庫的配置等），確保滿足可以性和管理要求。3技術(shù)評(píng)估與系統(tǒng)優(yōu)化3/1 技術(shù)評(píng)估3/M.漏洞掃描評(píng)估項(xiàng)目名稱漏洞掃描評(píng)估簡(jiǎn)要描述利用掃描工具檢查整個(gè)客戶網(wǎng)絡(luò)系統(tǒng)的主機(jī)系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的漏洞情況達(dá)成目標(biāo)發(fā)掘客戶網(wǎng)絡(luò)系統(tǒng)的安全漏洞，提出漏列修補(bǔ)建議主要內(nèi)容以大成科技游刃基線管理（漏澗掃描）產(chǎn)品為主，采用多種漏洞掃描工具實(shí)施 大規(guī)模的漏洞掃描實(shí)現(xiàn)方式以大成科技游刃基線管理（漏洞掃描）產(chǎn)品為主，采用多種漏洞掃描工具實(shí)施 大規(guī)模的漏洞掃描工作條件23人工作環(huán)境，2臺(tái)筆記本電腦份別安裝Windows與Linux系統(tǒng)），電源和 網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果客戶網(wǎng)絡(luò)

9、系統(tǒng)網(wǎng)絡(luò)漏洞列表，掃描評(píng)估結(jié)乘報(bào)告，所需時(shí)間3-5 X作日參加人員大成科技信息安全評(píng)估小組，客戶網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理 人員3/12人工審計(jì)項(xiàng)目名稱人工審計(jì)深圳市大成夭下信息技術(shù)有限公司第7頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè)簡(jiǎn)要描述作為漏洞掃描的輔助手段，登陸系統(tǒng)控制臺(tái)檢査糸統(tǒng)的安全配置情況達(dá)戌目標(biāo)檢測(cè)系統(tǒng)的安全配置情況，發(fā)掘配置隱患主要內(nèi)容操作系統(tǒng)控制臺(tái)審計(jì)數(shù)據(jù)庫系統(tǒng)控制臺(tái)審計(jì)實(shí)現(xiàn)方式操作系統(tǒng)控制臺(tái)審計(jì)數(shù)據(jù)庫系統(tǒng)控制臺(tái)審計(jì)工作條件23人工作環(huán)境，2臺(tái)筆記本電腦份別安裝Windows與Linux系統(tǒng)），電源和 網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果客戶網(wǎng)絡(luò)系統(tǒng)抽樣控制臺(tái)審計(jì)報(bào)告所

10、需時(shí)間3工作日參加人員大成科技信息安全評(píng)估小組，客戶網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理 人員成夭下3.1.3滲透測(cè)試項(xiàng)目名稱滲透測(cè)試簡(jiǎn)要描述由安全工程師模擬黑客的行為模式，采用黑客最可能采用的漏洞發(fā)現(xiàn)技術(shù)和盡 可能多的攻擊方法，對(duì)目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全性進(jìn)行深入分析達(dá)成目標(biāo)檢查通過不同的攻擊路徑，判斷惡意攻擊者是否有可能完成對(duì)服務(wù)器的攻擊.主要內(nèi)容緩沖區(qū)溢出 防火墻規(guī)則探測(cè)弱口令發(fā)掘應(yīng)用脆弱性發(fā)掘等實(shí)現(xiàn)方式 端口掃描及防火墻規(guī)則探測(cè)0應(yīng)用滲透工作條件23人工作環(huán)境，2臺(tái)筆記本電腦份別安裝Windows與Linux系統(tǒng)），電源和 網(wǎng)絡(luò)環(huán)境，客戶人員和資料配合工作結(jié)果客戶網(wǎng)絡(luò)系統(tǒng)滲透測(cè)試報(bào)告所需時(shí)

11、間2工作日魯加人員大成科技信息安全評(píng)估小組，客戶網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員、數(shù)據(jù)庫管理 人員32 安全加固與優(yōu)化3.2.1. 術(shù)加固安全基線本節(jié)描述的技術(shù)加固安全基線將成為網(wǎng)絡(luò)和系統(tǒng)評(píng)估加固過程中的基本輪 廓。原則上，每個(gè)加固過程都要考慮基線的所有部分。在實(shí)際的評(píng)估加固過程中, 特定的系統(tǒng)和網(wǎng)絡(luò)類型會(huì)對(duì)應(yīng)基線中的一個(gè)部分。. 補(bǔ)丁加載修補(bǔ)系統(tǒng)安全漏洞類補(bǔ)丁修補(bǔ)系統(tǒng)BUG類補(bǔ)丁. 服務(wù)與端口最小化服務(wù)最小化服務(wù)端口. 鑒別和認(rèn)證口令：在所有的系統(tǒng)入口處采用嚴(yán)格的口令策略身份：在所有的系統(tǒng)入口處采用嚴(yán)格的身份認(rèn)證策略. 問控制網(wǎng)絡(luò)層訪問控制：

12、在網(wǎng)絡(luò)邊界處部署防火墻，對(duì)正常業(yè)務(wù)外的網(wǎng)絡(luò)流量 加以屏蔽，并對(duì)業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)訪問進(jìn)行最小化網(wǎng)絡(luò)設(shè)備訪問控制：對(duì)網(wǎng)絡(luò)設(shè)備本身的訪問地址和用戶進(jìn)行最小化 操作系統(tǒng)訪問控制：部署主機(jī)訪問控制系統(tǒng)，對(duì)于用戶和文件權(quán)限進(jìn)行 最小化。應(yīng)用系統(tǒng)訪問控制：部署主機(jī)訪問控制系統(tǒng)，對(duì)于用戶和使用權(quán)限進(jìn)行 最小化。深圳市大成夭下信息技術(shù)有限公司第9頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè). 審計(jì)和跟蹤日志：在操作系統(tǒng)、路由器、防火墻、入侵檢測(cè)等設(shè)備上開啟日志記錄 功能，保存并定期分析日志入侵檢測(cè)：在重要部位部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)流量和可能的入 侵行為進(jìn)行監(jiān)控和報(bào)警漏洞掃描和評(píng)估：采用先進(jìn)的漏洞掃搭系統(tǒng)

13、對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)進(jìn)行掃描 評(píng)估. 內(nèi)容安全加密：對(duì)業(yè)務(wù)敏感采用強(qiáng)加密方式，包括鏈路加密和負(fù)載加密防病毒：部署全網(wǎng)統(tǒng)一的防毒體系，實(shí)現(xiàn)統(tǒng)一升級(jí)和管理VPN加密信道：對(duì)VPN隧道上傳輸?shù)姆庋b后的IP數(shù)據(jù)包進(jìn)行加密和認(rèn) 證處理，保證數(shù)據(jù)在傳遞過程的機(jī)密性、完整性和真實(shí)性. 冗余和恢復(fù)HA技術(shù)：對(duì)網(wǎng)絡(luò)核心層設(shè)備采用負(fù)載均衡，雙機(jī)備份技術(shù)鏈路冗余：對(duì)骨干線路采用備份鏈路，保證業(yè)務(wù)連續(xù)性數(shù)據(jù)備份和恢復(fù)技術(shù)：制訂合理的備份和災(zāi)難恢復(fù)策略并嚴(yán)格執(zhí)行322 修補(bǔ)加固內(nèi)容 針對(duì)網(wǎng)絡(luò)設(shè)備的修補(bǔ)加固技術(shù)基線網(wǎng)絡(luò)設(shè)備修補(bǔ)加固的范圍重要程度補(bǔ)丁加載IOS升級(jí)高服務(wù)與端口Finge

14、r 服務(wù)，cdp, HTTP 等高鑒別認(rèn)證口令加密方式高Snmp字串符問題高訪問控制telnet,設(shè)置 ACL高Snmp 設(shè)置 ACL高深圳市大成夭下信息技術(shù)有限公司第11頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè)保留地址過濾中等：在邊界設(shè)備上配置審計(jì)跟蹤日志設(shè)置，ACL過濾日志及其重要高內(nèi)容安全telnet連接SSH加密重要冗余與恢復(fù)主要線路是否采用鏈路冗余重要：建議為主其他安全問題如何防御蠕蟲病毒，DDOS攻擊高針對(duì)WINDOWS操作系統(tǒng)的加固技術(shù)基線WINDOWS系統(tǒng)需要加固范圍重要程度補(bǔ)丁加載漏洞補(bǔ)丁高:Windows系統(tǒng)漏洞補(bǔ)丁 對(duì)于系統(tǒng)安全性極其重要服務(wù)與端口ipc空連接等髙

15、比如：端口 135, 139, 445 等高鑒別認(rèn)證密碼策略高訪問控制修改部分文件目錄權(quán)限髙審計(jì)跟蹤日志（文件大小，保留天數(shù)等）高安全審計(jì)（策略設(shè)置）內(nèi)容安全檢查防病毒軟件是否升級(jí)IPSEC應(yīng)用高冗余和恢復(fù)備份系統(tǒng)使用的配置文件，注冊(cè) 表，制作緊急故障修復(fù)盤。高其他安全問題IIS安全設(shè)置高注冊(cè)表安全設(shè)置和優(yōu)化高：適當(dāng)設(shè)置注冊(cè)表可以提 髙系統(tǒng)抗DDOS攻擊的能力3.223針對(duì)UNIX類操作系統(tǒng)的加固技術(shù)基線UNIX系統(tǒng)，linux系統(tǒng)需要加固的范圍重要程度補(bǔ)丁加載修補(bǔ)各種漏洞，RPC.SENDMAIL等高服務(wù)與端口服務(wù)髙深圳市大成夭下信息技術(shù)有限公司第門頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè)端口高鑒

16、別認(rèn)證一次性口令認(rèn)證高訪問控制配置安全的系統(tǒng)訪問方式，制定安全的系統(tǒng)訪 問策略確保對(duì)系統(tǒng)的訪問都是通過安全加密的 方式進(jìn)行高從應(yīng)用層次配置訪問控制系統(tǒng)，提供更高層次 的用戶訪問控制.審計(jì)跟蹤設(shè)置日志服務(wù)器高3.224針對(duì)防火墻的加固技術(shù)基線防火墻需要加固的范圍重要程度鑒別認(rèn)證口令強(qiáng)度高訪問控制基本服務(wù)過濾策略高：合適的ACL策略，決定防火 墻的實(shí)際作用已知攻擊過濾策略防火墻訪問控制高審計(jì)跟蹤日志服務(wù)設(shè)置中等日志內(nèi)容設(shè)置高冗余與恢復(fù)配置備份重要.數(shù)據(jù)庫服務(wù)加固技術(shù)基線數(shù)據(jù)庫需要的加固范圍重要程度補(bǔ)丁加載漏洞補(bǔ)丁 修正程序服務(wù)與端口SA端口高鑒別認(rèn)證高強(qiáng)度口令等用戶身份識(shí)別高訪問控制

17、控制主體對(duì)客體的訪問高審計(jì)跟蹤數(shù)據(jù)庫系統(tǒng)的可審計(jì)性中等冗余與恢復(fù)數(shù)據(jù)備份和恢復(fù)深圳市大成夭下信息技術(shù)有限公司第門頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè)323修補(bǔ)加固流程常規(guī)安全修復(fù)和加固服務(wù)+：箜依據(jù)以F流程:實(shí)施結(jié)果報(bào)告深圳市大成夭下信息技術(shù)有限公司第門頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè)基礎(chǔ)設(shè)施 實(shí)施報(bào)告操作系統(tǒng) 實(shí)施報(bào)告攻系統(tǒng)實(shí)施報(bào) 告系統(tǒng)實(shí)施 報(bào)吿簽字驗(yàn)收3.3二次評(píng)估傳統(tǒng)的PDCA流程包括了計(jì)劃和設(shè)計(jì)(Plan)、建設(shè)和實(shí)施(Do)、運(yùn)行和監(jiān)控 (Check)以及Act(維護(hù)和改進(jìn))，這四個(gè)過程不是運(yùn)行一次就完結(jié)，而是要周而復(fù) 始地進(jìn)行。在安全評(píng)估中，我們也不能期望一次性的評(píng)估及優(yōu)化能夠解

18、決所有問題，因此在我們的評(píng)估流程中，設(shè)計(jì)了二次評(píng)估這一過程，希望通過二次評(píng)估:確認(rèn)當(dāng)前網(wǎng)絡(luò)安全狀態(tài)(及與原始狀態(tài)的差異對(duì)比)；深圳市大成夭下信息技術(shù)有限公司第門頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè) 使用戶掌握基本評(píng)估方法，后續(xù)能夠周期性自評(píng)。4實(shí)施風(fēng)險(xiǎn)及規(guī)避措施41 風(fēng)險(xiǎn)及規(guī)避措施對(duì)照表可能的形響和方式等級(jí)控制方式（措施）備注資產(chǎn)評(píng)估資產(chǎn)信息泄漏合同、協(xié)議、規(guī)章、制度、法律、法規(guī)安全管理評(píng)估安全管理信息泄漏高合同.協(xié)議、規(guī)章、制度、法律、法規(guī)應(yīng)急安全評(píng)估系統(tǒng)切換測(cè)試導(dǎo)致部分業(yè)務(wù)中斷、部分?jǐn)?shù)據(jù)遺失和DBA、SA、NA協(xié)同工作 做好系統(tǒng)備份和恢復(fù)措施； 通知相關(guān)業(yè)務(wù)人員在相應(yīng)時(shí)間 段注意保護(hù)數(shù)據(jù)，并

19、檢查提交的 數(shù)據(jù)是否在測(cè)試后完整；可選網(wǎng)絡(luò)威脅收集網(wǎng)絡(luò)流畳低控制中心與探測(cè)引華直接連接，不占用網(wǎng)絡(luò)流量網(wǎng)絡(luò)/安全設(shè)備評(píng)估誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞嚴(yán)格選擇審計(jì)人員； 用戶進(jìn)行全程監(jiān)控； 制定可能的恢復(fù)計(jì)劃；網(wǎng)絡(luò)/安全設(shè)備資源占用低避開業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）漏洞掃描網(wǎng)絡(luò)流董低避開業(yè)務(wù)高蜂；控制掃描策略（線程數(shù)量、強(qiáng)度）主機(jī)資源占用低控制掃描策略（線程數(shù)量、強(qiáng)度）深圳市大成夭下信息技術(shù)有限公司第15頁共22頁犬成夭下未知驅(qū)動(dòng)探索專注成就專業(yè)控制臺(tái)審計(jì)誤操作引起系統(tǒng)助潰或數(shù)據(jù)丟失、損壞規(guī)范審計(jì)流程； 嚴(yán)格選擇審計(jì)人員； 用戶進(jìn)行全程監(jiān)控； 制定可能的恢復(fù)計(jì)劃；網(wǎng)絡(luò)流量和主機(jī)

20、資源占用低避開業(yè)務(wù)高峰應(yīng)用平臺(tái)產(chǎn)生非法數(shù)據(jù)，致使系統(tǒng)不能正常工作中和DBA、SA、NA協(xié)同工作做好系統(tǒng)備份和恢復(fù)措施可選異常輸入（畸形數(shù)據(jù)、極限測(cè)試）導(dǎo)致系統(tǒng)崩潰裔和DBA、SA, NA協(xié)同工作做好系統(tǒng)備份和恢復(fù)措施可選42技術(shù)規(guī)避措施詳述在國內(nèi)以往的安全評(píng)估項(xiàng)目中，曾經(jīng)有部份被評(píng)估方的設(shè)備曾經(jīng)由于評(píng)估方 式的問題而造成過設(shè)備故障、業(yè)務(wù)中斷等事故。經(jīng)過仔細(xì)考慮，大成科技認(rèn)為在 本次評(píng)估中可能存在的風(fēng)險(xiǎn)有：評(píng)估時(shí)間和業(yè)務(wù)高峰時(shí)段沖突由于工具評(píng)估的安全掃描行為是在一定程度上進(jìn)行模擬攻擊測(cè)試，從而驗(yàn)證 弱點(diǎn)的存在性，而且存在一定的網(wǎng)絡(luò)流量影響。因此，工具掃描評(píng)估應(yīng)當(dāng)盡量避 免業(yè)務(wù)的高峰時(shí)段。工具掃描

21、策略集配置不當(dāng)由于在業(yè)務(wù)系統(tǒng)中存在不同的業(yè)務(wù)應(yīng)用主機(jī)、網(wǎng)絡(luò)設(shè)備及安全設(shè)備，且業(yè)務(wù) 關(guān)系復(fù)雜。因此，為了降低掃描工具對(duì)業(yè)務(wù)及網(wǎng)絡(luò)的影響，應(yīng)當(dāng)根據(jù)具體的評(píng)估 對(duì)象類型從掃描策略上就進(jìn)行策略集的最優(yōu)配置。業(yè)務(wù)應(yīng)用脆弱在進(jìn)行業(yè)務(wù)設(shè)計(jì)和實(shí)施過程中，由于缺乏安全性、可靠性和擴(kuò)展性的考慮， 使得網(wǎng)絡(luò)的核心設(shè)備和支撐網(wǎng)絡(luò)難以滿足不斷擴(kuò)展的業(yè)務(wù)需求?；谝陨系臉I(yè)務(wù)中評(píng)估風(fēng)險(xiǎn)的分析，可以采取以下措施進(jìn)行風(fēng)險(xiǎn)規(guī)避.評(píng)估時(shí)間的選擇執(zhí)行工具掃描評(píng)估需要避開業(yè)務(wù)的高峰時(shí)段，從而減小評(píng)估對(duì)業(yè)務(wù)的影響。掃描測(cè)試在可能的情況下，對(duì)掃描對(duì)象測(cè)試機(jī)進(jìn)行預(yù)評(píng)估。評(píng)估方式上采用分類掃描和單臺(tái)掃描。對(duì)不同的評(píng)估對(duì)象執(zhí)行不同的掃描策略；對(duì)

22、存在備份關(guān)系的設(shè)備，可以進(jìn)行單臺(tái)掃描。減緩掃描速度通過減少并發(fā)線程來降低被掃描主機(jī)所承受的壓力，在幾次測(cè)試后得出適中 的并發(fā)線程數(shù)量及掃描方式.優(yōu)化掃描策略配置掃描策略的最優(yōu)配置原則是：分類掃描：對(duì)不同的主機(jī)和設(shè)備類型執(zhí)行不同的掃描會(huì)話，從而減少不必要 的弱點(diǎn)測(cè)試。針對(duì)掃描對(duì)象細(xì)化掃描策略配置：對(duì)于不同類型的主機(jī)或者設(shè)備，需要根據(jù) 其上不同的應(yīng)用和服務(wù)情況，有針對(duì)性地定制掃描策略選項(xiàng)。經(jīng)過對(duì)掃描策略的優(yōu)化，即降低了流量，又減少了不必要的弱點(diǎn)測(cè)試給業(yè)務(wù) 帶來的風(fēng)險(xiǎn)。廠商協(xié)作廠商需要提供各應(yīng)用程序的名稱、版本、協(xié)議、進(jìn)程名和相應(yīng)的端口號(hào)等信 息，在評(píng)估之前，由甲方與評(píng)估服務(wù)商以及業(yè)務(wù)廠商共同分析評(píng)

23、估對(duì)業(yè)務(wù)可能造 成的風(fēng)險(xiǎn)，分析可能存在的問題。在評(píng)估過程中盡量規(guī)避這些風(fēng)險(xiǎn)。5評(píng)估成果輸出5/1 項(xiàng)目工作清單項(xiàng)目工作和計(jì)劃描述文檔，即本文檔。內(nèi)容包括：項(xiàng)目概述技術(shù)評(píng)估與系統(tǒng)優(yōu)化實(shí)施風(fēng)險(xiǎn)及規(guī)避措施評(píng)估成果輸出項(xiàng)目實(shí)施計(jì)劃提供以上內(nèi)容描述的詳細(xì)文檔。52網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告及修補(bǔ)建議5.2.1 報(bào)告形式主要內(nèi)容以中文描述，漏洞內(nèi)容可以是英文格式。5.22描述安全評(píng)估報(bào)告將包含以下內(nèi)容：安全評(píng)估結(jié)果摘要安全評(píng)估對(duì)象說明安全隱患統(tǒng)計(jì)表漏洞情況以及解決方法分析高風(fēng)險(xiǎn)漏洞列表中風(fēng)險(xiǎn)漏洞列表低風(fēng)險(xiǎn)漏洞列表漏洞等級(jí)說明參考資源詞匯表5.2.3.驗(yàn)收標(biāo)準(zhǔn)用戶認(rèn)可，簽字。5.3主機(jī)和網(wǎng)絡(luò)設(shè)備加固報(bào)告531 描

24、述網(wǎng)絡(luò)和主機(jī)加固方案:加固目標(biāo)選擇深圳市大成夭下信息技術(shù)有限公司第19頁共22頁成夭下未知驅(qū)動(dòng)探索專注成就專業(yè)目標(biāo)的基本情況介紹主機(jī)安全檢查列表路由器安全檢查列表最終實(shí)施報(bào)告對(duì)無法實(shí)施的配置進(jìn)行說明，并提出合理解決方法對(duì)實(shí)施的加固配置進(jìn)行效果測(cè)試，說明測(cè)試方法和結(jié)果5.3.2. 驗(yàn)收標(biāo)準(zhǔn)客戶認(rèn)可，簽字.54滲透測(cè)試報(bào)告5.4.1 描述滲透測(cè)試方案：滲透測(cè)試目標(biāo)選擇目標(biāo)的基本情況介紹安全隱患及關(guān)聯(lián)威脅分析滲透實(shí)施方法最終實(shí)施報(bào)告對(duì)無法實(shí)施的配置進(jìn)行說明，并提出合理解決方法對(duì)實(shí)施的配置進(jìn)行效果測(cè)試，說明測(cè)試方法和結(jié)果5.4.2. 驗(yàn)收標(biāo)準(zhǔn)客戶認(rèn)可，簽字.5.5. r.次評(píng)估報(bào)告5.5.1 描述對(duì)加

25、固優(yōu)化后的網(wǎng)絡(luò)及系統(tǒng)進(jìn)行二次評(píng)估，提交評(píng)估結(jié)果。該結(jié)果可以作為 當(dāng)前客戶網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全基線。5.5.2. 驗(yàn)收標(biāo)準(zhǔn)客戶認(rèn)可，簽字。56設(shè)備入網(wǎng)檢查基準(zhǔn)561 描述該基線將至少包括： Windows設(shè)備入網(wǎng)檢查基準(zhǔn) Solaris設(shè)備入網(wǎng)檢查基準(zhǔn) Oracle入網(wǎng)檢查基準(zhǔn) MSSQL入網(wǎng)檢查基準(zhǔn)5.6.2. 驗(yàn)收標(biāo)準(zhǔn)客戶認(rèn)可，簽字.深圳市大成夭下信息技術(shù)有限公司第21頁共22頁未如驅(qū)動(dòng)探索專注成就專業(yè)6項(xiàng)目實(shí)施計(jì)劃61 評(píng)估環(huán)境準(zhǔn)備6/M.甲方配合需求確立客戶方實(shí)施負(fù)責(zé)人，成立評(píng)估小組（包含業(yè)務(wù)人員和系統(tǒng)管理員）.準(zhǔn) 備網(wǎng)絡(luò)拓?fù)鋱D、業(yè)務(wù)流程以及組織結(jié)構(gòu)說明性文檔、相關(guān)的安全管理規(guī)章和制度 等。

26、準(zhǔn)備工作環(huán)境（包括場(chǎng)地和網(wǎng)絡(luò)接口）。.人員配合需求人AJR責(zé)項(xiàng)目總體負(fù)責(zé)人雙方均應(yīng)安排專門的固定項(xiàng)目總體負(fù)責(zé)人，總體負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估工作。項(xiàng)目協(xié)調(diào)人員雙方可針對(duì)風(fēng)險(xiǎn)評(píng)估工作進(jìn)展的不同階段，安排人員進(jìn)行項(xiàng)目的中間協(xié) 調(diào)。系統(tǒng)管理員我方開展系統(tǒng)安全調(diào)查和控制臺(tái)安全審計(jì)工作時(shí)，需安排各系統(tǒng)的管理 員配合我方的工作。網(wǎng)絡(luò)管理員我方開展網(wǎng)絡(luò)設(shè)備的訓(xùn)查和控制臺(tái)安全審計(jì)工作時(shí)，需安排網(wǎng)絡(luò)管理員 配合我方的工作.業(yè)務(wù)人員我方開展業(yè)務(wù)調(diào)查和交流工作時(shí)，需安排相應(yīng)的業(yè)務(wù)人員配合調(diào)查或參 與交流.安全人員我方開展的所有評(píng)估工作，均應(yīng)盡量安排安全人員參與.資料建議甲方提供評(píng)估目標(biāo)網(wǎng)絡(luò)的業(yè)務(wù)功能

27、、流程和運(yùn)行狀況描述文檔；建議甲方提供評(píng)估目標(biāo)網(wǎng)絡(luò)的IP規(guī)劃；建議甲方提供評(píng)估目標(biāo)網(wǎng)絡(luò)的設(shè)備清單；建議甲方提供相應(yīng)的管理規(guī)章制度文檔；建議甲方提供評(píng)估目標(biāo)網(wǎng)絡(luò)的詳細(xì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；建議甲方提供評(píng)估目標(biāo)網(wǎng)絡(luò)的安全防護(hù)要求和技術(shù)實(shí)現(xiàn)，包括防火墻,深圳市大成夭下信息技術(shù)有限公司第23頁共22頁未知驅(qū)動(dòng)探索專注成就專業(yè)路由器等ACL的要求，以及其他安全設(shè)備;建議甲方提供評(píng)估系統(tǒng)的主機(jī)情況，包括主機(jī)類型，操作系統(tǒng)類型，應(yīng) 用系統(tǒng)等；建議甲方提供系統(tǒng)集成方案建議書建議甲方提供評(píng)估目標(biāo)網(wǎng)絡(luò)以往的業(yè)務(wù)事故案例和網(wǎng)絡(luò)安全事故案例;針對(duì)不同的網(wǎng)絡(luò)業(yè)務(wù)，已方可適當(dāng)要求查閱其他文檔。工作環(huán)境用途：評(píng)估組的工作間。要求：面積可容納4人，擺放4臺(tái)電腦，并提供上網(wǎng)接口。6.1.2.評(píng)估工具平臺(tái)深圳市大成天下信息技術(shù)有限公司自行準(zhǔn)備：網(wǎng)段漏洞掃描：23部筆記本，預(yù)裝win2000和Linux 控制臺(tái)審計(jì)：23部筆記本，預(yù)裝win2000. linux 入侵檢測(cè)（可選）：1部筆記本，預(yù)裝win2000. linux 評(píng)估調(diào)查：2部筆