文档介绍：XX集团
信息安全咨询评估服务
方案建议书
目录
需求分析 3
背景分析 3
项目目标 4
需求内容分析 4
技术风险评估需求分析 4
管理风险评估需求分析 5
时间进度需求 6
考核要求 6
服务支撑需求 6管理制度审计：
通过调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现 有的安全措施等情况，并了解目前XX集团所实施的安全管理流程、制度和策略， 分析目前XX集团在安全管理上存在的不合理制度或漏洞。
2、业务管控安全评估：
通过调研业务系统内控制度和实现的业务流程，试用流程中涉及的软件，察 看各个业务控制点是否都得到有效的实施，各个接口的处理是否妥当，监督检查 办法是否健全，从而改进内控制度和业务流程的合理性和数据流的安全性。
时间进度需求
项目的时间需按照整体时间要求完成全部工作，并且需提交阶段性工作成 果。
考核要求
XX集团将对项目的交付成果和执行过程中的质量进行考核，考核结果将作 为最终结算的依据。考核办法将由XX集团和项目服务提供方共同协商制定。
服务支撑需求
本项目的服务供应方需与XX集团项目组成员组成项目团队，并且共同完成 该项目所有工作。
项目团队采取紧密沟通的方式，分为每周例会定期沟通和重大问题共同讨论 的沟通方式。
该项目的办公时间为5天*8小时/周；值班电话须7天*24小时/周保持通话 畅通。交付成果需求
本项目在开展过程中需进行日报、周报、月报等相关工作计划与总结的提交， 并根据实际工作内容及时提交相应工作成果及报告。
二 项目实施方案
技术安全风险评估
资产评估
保护资产免受安全威胁是安全工程实施的根本目标。要做好这项工作，首先 需要详细了解资产分类与管理的详细情况。
项目名称
资产识别
简要描述
采集资产信息，进行资产分类，划分资产重要级别；
达成目标
♦采集资产信息，进行资产分类，划分资产重要级别；
♦进一步明确评估的范围和重点；
主要内容
采集资产信息，获取资产清单；
进行资产分类划分；
确定资产的重要级别；
实现方式
♦填表式调查
《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、 信息、软件等。
♦交流
✓审阅已有的针对资产的安全管理规章、制度；
✓与高级主管、业务人员、网络管理员（系统管理员）等进 行交流。
工作条件
1-2人工作环境，2台Win2000PC，电源和网络环境，客户人员和
资料配合
工作结果
资产类别、资产重要级别；
参加人员
依据现场状况，由XX集团提供现有资产清单，并由全体评估人员 在XX相关技术和管理人员的配合下进行资产分类调查。
项目名称
风险评估
简要描述
评估资产的安全等级和应给予的安全保护等级
达成目标
♦评估资产的安全等级；
♦评估资产应给予的安全保护等级；
主要内容
确定资产的安全等级；
对安全保障进行等级分类；
确定资产的应给予的保护级别；
实现方式
♦填表式调查：
《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、 信息、软件等。
♦交流
✓审阅已有的针对资产的安全管理规章、制度；
✓与高级主管、业务人员、网络管理员（系统管理员）等进
行交流。
工作条件
2-3人工作环境，3台Win2000PC，电源和网络环境，客户人员和
资料配合
工作结果
资产安全级别；
资产应给予的安全保障级别；
资产安全保障建议
参加人员
依据现场状况，由全体评估人员在XX集团相关技术和管理人员的 配合下进行。
操作系统平台安全评估

使用业界专业***软件，根据已有的安全漏洞知识库，模拟黑客的攻击 方法，检测主机操作系统存在的安全隐患和漏洞。
1、主要检测内容：
服务器主机操作系统内核、版本及补丁审计
服务器主机操作系统通用/默认应用程序安全性审计
服务器主机***检测
服务器主机漏洞检测
服务器主机安全配置审计
服务器主机用户权限审计
服务器主机口令审计
服务器主机文件系统安全性审计
操作系统内核的安全性
文件传输服务安全性
2、扫描策略
提供可定制扫描策略的策略编辑器。按照扫描强度，默认的扫描策略模板包
括：
高强度扫描 中强度扫描 低强度扫描
按照扫描的漏洞类别，默认的扫描策略模板包括：
NetBIOS***
Web&CGI***
主机信息扫描
帐户扫描
端口扫描
数据库扫描
在远程扫描过程中，将对远程扫描的目标按照操作系统类型和业务应用情况 进行分类，采用定制的安全的扫描策略。

对于主要的操作系统，安全专家将主要从下面几个方面来获取系统的运行信 息：