文档介绍:XXX网络信息系统
分险评估及安全加固服务内容及进度表
XXX于2009年进行网络改造,投入并使用了大量安全设备,目前已可保证网络的畅通性,并确保用户正常进行工作。从安全的设备角度来看,目前XXX已经使用了防火墙、入侵防御、安全审计、网络拓扑管理软件。所有网络设备、服务器等全部都趋于正常运行状态。在网络建成投入使用初期,很多网络设备与软件漏洞都不会轻易暴露,在使用过程中总是不断出现各种各样的问题,在已经发现的问题的解决过程中发现往往是由于人为调试失误或者设备自身BUG引起,轻则影响用户正常的工作,重则导致一系列的连锁反应。从安全的角度分析,隐藏的漏洞往往比已经暴露的危险更致命,这种漏洞在正常的运行中并不容易暴露,其危险性不言而喻。我们认为,在这时候最需要对网络做一次全面有效的评估。因此,特提出网络安全评估建议,对所有安全产品以后的升级和维护都能得到良好的解决。
以下是整个XXX网络安全风险评估步骤:
1、制定计划
项目范围和目标
–背景资料
限制
参与项目各方的职务和职责
方式和方法
项目规模和进度安排
2、收集资料
–安全要求和目标
–系统或网络的结构和基本设施,例如显示信息系统资产配置和互连情况的网络图
–向公众公开或网页上公布的资料
–硬件设备等物理资产
–操作系统、网络管理系统及其它系统
–数据库、文件等信息内容
–应用系统和服务器资料
–网络支持的协议和提供的服务等资料
–访问控制
–程序
–识别及认证机制
–有关最低安全控制要求的政府法律和规程
–成文或非正式政策和指南
3、风险分析
–资产识别与赋值
–威胁分析
–弱点分析
–资产/威胁/弱点配对
–影响及可能性评估
–风险结果分析
4、确定及选择安全保障措施
常见安全保障措施类别
–杜绝入侵途径:完全杜绝未授权者访问关键资源
–巩固防御能力:使未授权者难以访问关键资源
–系统监督:协助实时、准确地侦测和应付攻击
5、监督与执行
–应妥善地以文件记载风险评估结果
–必要时应重新进行评估
–明确界定、检查和分派操作员、系统开发人员、网络管理员、资料拥有人、安全主任及用户等相关人士的职务和职责,以配合选择及实施安全保障措施。
1、步骤一:系统特征描述
信息收集
2
–调查问卷
3
–现场面谈
4
–文档检查
5
–使用自动扫描工具
2、步骤二:威胁识别
威胁源识别
–威胁源是(1)故意攻击弱点的企图和方法;或
(2)可以偶然触发一个弱点的情形和方法
–威胁源按照其性质一般可分为自然威胁、人为威胁和环境威胁三种
•常见的威胁源
–自然威胁:洪水、地震、飓风、泥石流、雪崩、电风暴及其它类似事件。
–人为威胁:那些由人激发或引发的事件,比如无意识行为(疏忽的数据条目)或故意行为(基于网络的攻击、恶意软件上传、对保密信息未经授权的访问)
–环境威胁:长时间电力故障,污染,化学,液体泄露等
3、步骤三:弱点识别
脆弱性
威胁源
威胁行为
离职员工的系统帐号没有从系统中注销
离职员工
拨号进入政府网络,并访问的私有数据
防火墙允许进入方向的,并且在 XYZ服务器上允许 guest 帐号进入
未经授权的用户(比如黑客、离职员工、计算机罪犯、恐
怖分子)