网络风险评估方案,网络风险评估方案和控制措施

('目录一、网络安全评估服务背景.......................................................31.1安全评估概念.............................................................31.2安全评估的目的...........................................................31.3目标现状描述.............................................................3二、风险评估内容说明...........................................................42.1风险等级分类.............................................................42.2评估目标分类.............................................................52.3评估手段.................................................................62.4评估步骤.................................................................72.5评估检测原则.............................................................8三、评估操作....................................................................93.1人员访谈&调查问卷........................................................93.2人工评估&工具扫描........................................................93.3模拟入侵................................................................11网络风险评估方案【最新资料，WORD文档，可编辑修改】四、项目实施计划..............................................................124.1项目实施................................................................134.2项目文档的提交..........................................................14附录一：使用的工具简单介绍.....................................................15Nessusscanner3.2英文版...................................................15Xscan-guiv3.3中文版......................................................16辅助检测工具................................................................16附录二：信息技术有限公司简介.............................................171.1网络安全服务理念.........................................................171.2网络安全服务特点.........................................................17一、网络安全评估服务背景1.1风险评估概念信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。1.2风险评估目的风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的：\uf0b2找出目前的安全策略和实际需求的差距\uf0b2获得目前信息系统的安全状态\uf0b2为制定组织的安全策略提供依据\uf0b2提供组织网络和系统的安全解决方案\uf0b2为组织未来的安全建设和投入提供客观数据\uf0b2为组织安全体系建设提供详实依据此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范，为建立全面的安全防护层次提供了一套完整、规范的指导模型。1.3目标现状描述XXXXXXX省略XXXX二、风险评估内容说明2.1风险等级分类信息系统风险包括下表所示内容，本方案按照国家二级标准将对XX公司信息风险进行评估。下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表：威胁严重程度（资产价值）划分表等级标识描述5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。威胁可能性赋值表等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过。4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或>1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。对资产弱点进行赋值后，使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下：威胁可能性12345资产价值12461013235912163471115204581419225610162125然后根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定威胁的风险等级风险等级划分对照表风险值1-67-1213-1819-2324-25风险等级12345最后对资产威胁进行填表登记，获得资产风险评估报告。资产威胁名称严重程度可能性风险等级资产1资产2资产32.2评估目标分类根据《信息系统安全等级评测准则》，将评估目标划分为以下10个部分1)机房物理安全检测2)网络安全检测3)主机系统安全4)应用系统安全5)数据安全6)安全管理机构7)安全管理制度8)人员安全管理9)系统建设管理10)系统运维管理在实际的评估操作中，由于出于工作效率的考虑，将评估目标进行整合实施考察，评估完成后再根据评估信息对划分的10个部分进行核对，检查达标的项目。2.3评估手段安全评估采用评估工具和人工方式进行评估，即根据定制的扫描策略实施远程评估，根据评估工具的初步结果进行人工分析和本机控制台分析。2.4评估步骤风险评估项目描述备注1、网络安全评估知识培训网络信息安全典型案例培训目的是为了让客户对网络安全有个清晰的认识，从而在评估前就引起其重视，方便后面动作的开展。网络安全评估流程培训目的是为了客户能理解我们的工作，从而获得客户的支持。2、资产评估收集信息完成《资产信息登记表》可以远程操作3、威胁评估对物理安全进行评估参照《物理安全规范表》访谈、查看相关文档，实地考察对人员安全管理进行评估参照《人员安全管理规范表》访谈人事部门相关人员4、弱点评估（完成网络安全、应用安全、主机安全规范表）整体网络安全信息Xscan-gui进行全网安全扫描，获得全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进使用工具共享资源扫描整个网络，同时演示给客户其暴露应用服务Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行收集根据checklist对服务器进行本地安全检查使用密码强度测试工具请求客户网管进行密码强度测试网络设备Nessus对网络设备进行安全扫描使用密码强度测试工具请求客户网管进行密码强度测试根据checklist对网络设备进行本地安全检查5、安全管理评估网络拓扑结构分析分析冗余、负载均衡功能数据安全调查《数据安全规范表》管理机构评估《安全管理机构规范表》需要访谈对方领导，需要先获得领导的支持与配合安全管理制度《安全管理制度规范表》通过问卷调查的方式获得部分内容、管理制度文档审查系统建设管理《系统建设管理规范表》查看相关文档、访谈网管系统运维管理《系统运维管理规范表》访谈部门领导、网管。实地考察6、渗透测试渗透测试参考有关渗透测试方案签署有关授权协议渗透测试报告《XX系统渗透测试报告》7、数据整理、风险评估报告以及加固建议资产风险《资产风险评估报告》信息系统安全《整体网络安全报告》领导参阅版和技术人员参阅版加固建议《安全加固报告》、《管理规范建议》根据checklis进行加固2.5评估检测原则2.5.1标准性原则依据国际国内标准开展工作是本次评估工作的指导原则，也是信息技术有限公司提供信息安全服务的一贯原则。在提供的评估服务中，依据相关的国内和国际标准进行。这些标准包括：《信息安全风险评估指南》《信息系统安全等级保护测评准则》《信息系统安全等级保护基本要求》《信息系统安全保护等级定级指南》(试用版v3.2)《计算机机房场地安全要求》（GB9361-88）《计算机信息系统安全等级保护网络技术要求》（GA/T387-2002）《计算机信息系统安全等级保护操作系统技术要求》（GA/T388-2002）《计算机信息系统安全等级保护数据库管理系统技术要求》（GA/T389-2002）《计算机信息系统安全等级保护通用技术要求》（GA/T390-2002）《计算机信息系统安全等级保护管理要求》（GA/T391-2002）《计算机信息系统安全等级保护划分准则》（GB/T17859-1999）2.5.2可控性原则人员可控性：将派遣数名经验丰富的工程师参加本项目的评估工作，有足够的经验应付评估工程中的突发事件。工具可控性：在使用技术评测工具前都事先通告。并且在必要时可以应客户要求，介绍主要工具的使用方法，并进行一些实验。2.5.3完整性原则将按照提供的评估范围进行全面的评估，从范围上满足的要求。实施的远程评估将涉及全部外网可以访问到的设备；实施的本地评估将全面覆盖安全需求的各个点。2.5.4最小影响原则信息技术有限公司会从项目管理层面和工具使用层面，将评估工作对系统和网络正常运行的可能影响降低到最低限度，不会对现有运行业务产生显着影响。信息技术有限公司和参加此次评估项目的所有项目组成员，都要与签署相关的保密协议。三、评估操作3.1人员访谈&调查问卷为了检查XXXX安全现状，主要在安全管理方面进行一个安全状况的调查和摸底，我们采取安全审计的方法，主要依据国家等级安全标准的要求，向XXXX提交了详细的问题清单，针对管理层、技术人员和普通员工分别进行面对面的访谈。通过人员访谈的形式，大范围地了解XXXX在信息安全管理方面的各项工作情况和安全现状，作为安全弱点评估工作中的一个重要手段。过程描述此阶段主要通过提出书面的问题审计清单，安全工程师进行问题讲解，和XXXX相关人员共同回答，并询问相关背景和相关证据的工作方式，以此来了解XXXX的关于信息安全各方面的基本情况。此访谈包括的内容为：物理安全规范、人员安全规范、数据安全规范、安全管理制度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。3.2人工评估&工具扫描此内容评估采用扫描工具和人工方式（仿黑客攻击手段）进行评估，即根据定制的扫描策略实施远程评估，根据评估工具的初步结果进行人工分析和本机控制台分析。项目内容专业安全评估软件\uf06cNessusv3.2英文版\uf06cXscan-guiv3.3中文版安全评估辅助工具\uf06c密码强度测试器\uf06cSql注入渗透测试工具\uf06c评估自动化脚本\uf06c阿D注入工具v2.3人工检测\uf06c模拟入侵渗透测试\uf06c本地自动化检测脚本评估\uf06c全网安全统计报告\uf06c出具安全加固报告工具扫描过程描述由于评估可实际操作的时间有限，我们对该网络安全评估制定以下评估步骤：网关设备的安全扫描评估，其内容包括：\uf075用Nessus扫描网关设备，获取设备的操作系统漏洞信息，开启的服务信息以及开放的多余端口信息等，工具自动生成扫描报告；应用服务器的安全扫描评估，评测内容为：\uf075用nessus扫描各个服务器，获取操作系统的漏洞信息，开启的服务信息和暴露出来的敏感信息等，工具自动生成扫描报告。整体网络扫描探测，评测内容为：\uf075使用xscan-gui扫描网络内的共享资源、并根据评估人员总结的密码列表进行常用密码猜解；如果时间充足将考虑进行共享资源、弱口令的利用演示，让客户了解该威胁的严重性。\uf075使用客户自有的网络版杀毒软件控制中心漏洞扫描功能对用户电脑进行漏洞检测；（如果客户未部署网络版杀毒软件，则不操作此项。）人工评估过程描述网关设备的人工评估，其内容包括：\uf075登录设备分析router、firewall、switch等网关设备的配置；\uf075根据checklist对网络设备进行手工检测；\uf075对网络设备密码进行强度测试；应用服务器的人工评估，其内容包括：\uf075使用自动化评估脚本进行信息收集；\uf075根据checklist对服务器进行手工检测；\uf075对服务器密码进行强度测试；\uf075对服务器日志进行审计，获取服务器的安全状况；（有一定难度，选做）整体网络安全的人工评估，其内容包括：\uf075分析网络拓扑图是否具备一定的攻击防范、重要设备冗余等信息；\uf075分析整体网络的网段划分、IP地址规划是否合理；最后分析工具扫描、人工评估中收集到的所有数据，并做出加固建议报告：\uf075分析所有扫描日志及人工评估记录，做出安全分析报告；\uf075针对出现的安全威胁做出加固建议报告。3.3模拟入侵在获得客户授权的情况下，对路由器、firewall、网站进行远程模拟入侵，在指定时间，我公司工程师将完全模拟外部入侵者的身份以一切可行的入侵方式，做到对网络无伤害的攻击，完全从黑客的角度发现受检系统的所有安全漏洞或安全隐患；过程描述a．远程模拟入侵将突破口暂定为公司对外网站、路由器设备、vpn设备等几个出口。b．如能远程从这三个的Internet出口找出可入侵的突破口，将继续寻找其他隐患试图向骨干网深入。c．找到突破口后，尝试利用漏洞提权，获取WEBshell。3.3.2安全弱点的探测方法a)自编程序：对某些产品或者系统，已经发现了一些安全漏洞，但并不一定及时对这些漏洞的打上“补丁”程序。通过这些漏洞进入目标系统。?b)利用商业的软件：例如nessus等网络安全分析软件，可以对目标进行扫描，寻找规则库中的安全漏洞。c)手工分析：结合信息技术有限公司的网络安全工程师的工作经验，对目标服务器进行手工提交的方式（SQL注入等方式）模拟入侵。当我们取得需要的信息以后。将建立一个类似攻击对象的模拟环境，然后对模拟目标机进行一系列的入侵。如我公司工程师在入侵测试工作中成功突破Web服务器或其它相关主机并可接触到应用程序段或数据库段，我公司将立即以文档或口头方式告之项目负责人。并在次日与项目负责人会面并商讨下一步入侵检测工作计划，如发生入侵检测工作影响到网站及其它服务器正常服务情况。我公司工程师将在第一时间通知相关技术人员，并以最快的速度赶往现场协助相关技术人员处理相关问题。四、项目实施计划针对网络安全评估项目，我们定制如下的工作流程：4.1项目实施工作项目描述备注用户信息收集阶段1网络规模统计2用户需求安全等级检测办公网络安全隐患3服务器、网络设备统计做详细统计，确定评估范围4其他信息制定实施方案阶段1实施人员2参与人员工作分配情况3使用设备统计4与客户研究确定实施方案《X网络安全评估实施方案》5做出评估进度控制表6其他《X网络渗透测试实施方案》安全评估方案实施阶段1网络设备评估根据checklist2应用服务器安全评估根据checklist3整体网络状况评估网络拓扑分析、访问控制、系统漏洞、抽查个人主机安全状况检测4用户安全意识评估《用户安全知识调查》5网络管理规范评估查看文档、访谈的方式进行管理规范评估6入侵渗透根据《XX渗透测试实施方案》在外网进行7物理安全评估8其他评估文档编写阶段1编写《整体网络安全评估报告》详细列出安全风险技术人员参阅版2编写《入侵渗透报告》3编写《评估问题总结报告》4编写《网络安全评估报告》只对安全内容进行概括统计领导参阅版5编写加固建议6其他报告客户反馈问题汇总安全加固实施阶段1制定加固方案《网络安全加固实施方案》2确定加固范围与客户协商确定加固范围及时间、实施人员3实施加固方案4实施过程问题总结项目验收阶段1安全加固验收《安全加固验收报告》2其他《网络安全建议书》4.2项目文档的提交提交评估报告：\uf075网络安全评估报告（领导参阅版）\uf075整体网络安全评估报告（技术人员参阅版）\uf075网络安全加固实施方案\uf075渗透测试报告附录一：使用的工具简单介绍Nessusscanner3.2英文版Nessus被认为是目前全世界最多安全技术人员使用的系统弱点扫描与分析软件。总共有超过75,000个机构使用Nessus作为扫描该机构电脑系统的软件。1998年,Nessus的创办人RenaudDeraison展开了一项名为"Nessus"的计划，其计划目的是希望能位因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫瞄程式。经过了数年的发展,包括CERT与SANS等着名的网络安全相关机构皆认同此工具软件的功能与可用性。2002年时,Renaud与RonGula,JackHuffard创办了一个名为TenableNetworkSecurity的机构。在第三版的Nessus释出之时,该机构收回了Nessus的版权与程式源代码(原本为开放源代码),并注册了nessus.org成为该机构的网站。目前此机构位于美国马里兰州的哥伦比亚。Nessus的特色\uf0b2提供完整的电脑弱点扫描服务,并随时更新其弱点数据库。\uf0b2提供不同于传统的弱点扫描软件,Nessus可同时在本机或远端上摇控,进行系统的弱点分析扫描。\uf0b2其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU速度或增加内存大小),其效率表现可因为丰富资源而提高。\uf0b2可自行定义外嵌软件(Plug-in)\uf0b2完整支持SSL(SecureSocketLayer)。\uf0b2自从1998年开发至今已谕十年,故为一架构成熟的软件。Xscan-guiv3.3中文版X-Scan是国内最着名的综合扫描器之一，其界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内着名的民间入侵者组织“安全焦点”“风险等级”评估，并提供漏洞描述、漏洞溢出程序，方便网管测试、修补漏洞建议等。辅助检测工具密码强度测试器Sql注入渗透测试工具评估自动化脚本阿D注入工具v2.3附录二：信息技术有限公司简介信息技术有限公司成立于2006年，作为网络安全服务商，公司主要为客户提供计算机安全风险评估、安全等级评估、安全检查、安全培训、网上信息安全审计、病毒防治和安全应急处理等服务，并依托自身强大的技术实力为客户提供全面的网络安全解决方案和网络安全服务。1.1网络安全服务理念根据客户需求定制相应的安全解决方案是信息技术有限公司的安全服务理念。“及时准确完善”是信息技术有限公司的服务作风。1.2网络安全服务特点\uf06c第三方安全服务提供商信息技术有限公司主要对外提供如下的特色网络安全服务：\uf0d8网络安全顾问服务信息技术有限公司作为专业的网络安全服务提供商，在以往的网络安全项目和日常工作中积累了大量的网络安全项目规划实施经验和专业的网络安全知识，可以为客户提供实用、可靠的网络安全顾问服务，服务主要包括以下几点：1.信息化建设或网络安全建设项目前期的需求分析和安全规划；2.日常运维过程中的安全技术指导和安全制度定制；3.新系统、新业务的安全性、可靠性分析；4.网络安全培训；\uf0d8网络安全项目验收期安全评估服务网络安全项目实施成功与否最好的判断方法就是模拟攻击者对网络的内外层面做全面的模拟入侵。一轮全面的模拟入侵之后，立刻可以对网络安全项目实施的结果做出明确判断。信息技术有限公司有资质和有能力承担网络安全项目验收期安全评估服务。根据我们的评估结果，督促客户的安全提供商不断的修改安全系统。最终达到项目的安全需求和国家的网络安全要求，可为客户提供技术依据、划分安全责任。\uf0d8安全评估安全评估是对现有系统整个或单个进行全方位的评估，包括桌面主机系统，服务器系统，应用服务系统以及网络设备系统等。通过全方位的评估，以期发现安全建设中潜在的风险和威胁，最终完成评估报告；为网络安全的建设提供现实依据，为安全保障工作提供技术指导。\uf0d8安全检查和加固安全是一个计划、建设、检查的循环过程，没有一层不变的威胁，也没有一劳永逸的安全；要保证网络的高度安全，须定期或不定期的对整个安全架构或单个应用系统进行检查，及时发现存在的漏洞，进而对漏洞进行修补和安全加固。信息技术有限公司可以为客户提供全面的安全检查，包括以下内容：1.WINDOWS2000/2003/2008SERVER系统检查和加固2.LINUX/UNIXSERVER系统检查和加固3.WINDOWS桌面系统检查和加固4.应用服务检查和加固，包括MSSQL，MYSQL，IIS，APACHE等5.网络设备检查和加固，包括路由器，交换机，防火墙等网关设备\uf0d8网络系统日常安全维护、应急处理服务保证网络的安全是一项长期的工作，并不能单独依靠配备安全设备而完全解决安全问题，必须在整个系统的运维过程中考虑到网络安全的维护。由于安全技术本身的专业性和网络提供商基于产品售后服务的针对性，使得很多客户在日常维护中无法实现网络安全的长期维护机制。信息技术有限公司作为专业的网络安全服务提供商，可以为客户提供全面的网络安全运维服务，服务内容包括：1.日常网络安全评估；2.日常网络安全修复；3.日常病毒防治；4.网上信息安全审计预警；5.7X24小时应急响应；信息技术有限公司提供的日常安全运维服务主要以人工手段为主，配合各个安全厂商提供的安全评估工具和自身的安全服务经验，可以在日常运维过程中督促、协助系统集成商和网络安全提供商不断完善系统安全。\uf0d8网络案件技术取证和追踪服务目前网络犯罪已经成为一个社会性问题，网上诽谤、网上诈骗、煽动、黑客攻击、破坏等犯罪行为逐年上升。预防、破获网络犯罪不单单是个技术问题，还必须配合行政手段。当网络犯罪发生时，如果无法追踪到肇事源头，那么将永远无法解决此犯罪行为带来的影响。\uf06c完整的安全解决方案提供商信息技术有限公司作为专业的第三方安全服务提供商，可以为各个行业用户提供解决方案。针对不同客户的不同需求，我们可以提供符合客户要求的解决方案。从服务到产品，从评估到加固，从咨询顾问到培训辅导，中、小型企业，IT企业非IT企业都可以在信息技术有限公司找到适合自己的安全解决方案。',)