1、 网络风险评估方案【最新资料,WORD 文档,可编辑修改】目 录一、 网络安全评估服务背景.1.1 安全评估概念.1.2 安全评估的目的.1.3 目标现状描述.二、 风险评估内容说明.2.1 风险等级分类.2.2 评估目标分类.2.3 评估手段.2.4 评估步骤.2.5 评估检测原则.三、评估操作.3.1 人员访谈&调查问卷.3.2 人工评估&工具扫描.3.3 模拟入侵.四、 项目实施计划.4.1 项目实施.4.2 项目文档的提交.附录一:使用的工具简单介绍.Nessus scanner 3.2 英文版 .Xscan-gui v3.3 中文版.辅助检测工具.附录二: *信息技术有限公司简介.1
2、.1 网络安全服务理念.1.2 网络安全服务特点. 一、网络安全评估服务背景1.1 风险评估概念信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于 IT 领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的 BS7799、ISO17799、国家标准信息系统安全等级评测准则等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的
3、信息安全风险评估综合方法及操作模型。1.2 风险评估目的风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的: 找出目前的安全策略和实际需求的差距 获得目前信息系统的安全状态 为制定组织的安全策略提供依据 提供组织网络和系统的安全解决方案 为组织未来的安全建设和投入提供客观数据 为组织安全体系建设提供详实依据此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范,为建立全面的安全防护层次提供了一套完整、规范的指导模型。1.3 目标现状描述XXXXXX
4、X 省略 XXXX 二、 风险评估内容说明2.1 风险等级分类信息系统风险包括下表所示内容,本方案按照国家二级标准将对 XX 公司信息风险进行评估。下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表:威胁严重程度(资产价值)划分表一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。5很高高一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。4321中 一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解低很低 一旦发
5、生造成的影响几乎不存在,通过简单的措施就能弥补。威胁可能性赋值表定义出现的频率很高(或1 次/周);或在大多数情况下几乎不可避免;或可以证实很高高出现的频率较高(或 1 次/月);或在大多数情况下很有可能会发生;或可以出现的频率中等(或 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。中21低 出现的频率较小;或一般不太可能发生;或没有被证实发生过。很低 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。对资产弱点进行赋值后,使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下:威胁可能性12345 12345234561012151921131620222511
6、141610然后根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定威胁的风险等级风险等级划分对照表1-617-12213-18319-23424-255风险等级最后对资产威胁进行填表登记,获得资产风险评估报告。资产 32.2 评估目标分类根据信息系统安全等级评测准则,将评估目标划分为以下 10 个部分1) 机房物理安全检测2) 网络安全检测3) 主机系统安全4) 应用系统安全5) 数据安全6) 安全管理机构7) 安全管理制度8) 人员安全管理9) 系统建设管理 10) 系统运维管理在实际的评估操作中,由于出于工作效率的考虑,将评估目标进行整合实施考察,评估完成后再根据评估信息对划分的 10
7、个部分进行核对,检查达标的项目。 2.3 评估手段安全评估采用评估工具和人工方式进行评估,即根据定制的扫描策略实施远程评估,根据评估工具的初步结果进行人工分析和本机控制台分析。 2.4 评估步骤风险评估项目1、网络安全评估知识培训网络信息安全典型案例 目的是为了让客户对网络安全有个清晰的认识,从而在评估前就引起其重视,方便网络安全评估流程培训目的是为了客户能理解我们的工作,从而获得客户的支持。3、威胁评估对物理安全进行评估访谈、查看相关文档,实地考察访谈人事部门相关人员估Xscan-gui 进行全网安全扫描,获得全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进行扫描统计使用工具
8、共享资源扫描整个网络,同时演示给客户其暴露在内网中的敏感信息Nessus 对服务器系统进行安全扫描整体网络安全信息使用自动化评估脚本对服务器安全信息进行收集根据 checklist 对服务器进行本地安全检查使用密码强度测试工具请求客户网管进行密码强度测试Nessus 对网络设备进行安全扫描使用密码强度测试工具请求客户网管进行密码强度测试根据 checklist 对网络设备进行本地安全检查需要访谈对方领导,需要先获得领通过问卷调查的方式获得部分内安全管理制度规范表容、管理制度文档审查访谈部门领导、网管。实地考察XX 系统渗透测试报告资产风险资产风险评估报告信息系统安全加固建议整体网络安全报告领导
9、参阅版和技术人员参阅版安全加固报告、管理规范建议根据 checklis 进行加固 2.5 评估检测原则2.5.1 标准性原则依据国际国内标准开展工作是本次评估工作的指导原则,也是*信息技术有限公司提供信息安全服务的一贯原则。在提供的评估服务中,依据相关的国内和国际标准进行。这些标准包括:信息安全风险评估指南信息系统安全等级保护测评准则信息系统安全等级保护基本要求信息系统安全保护等级定级指南(试用版 v3.2)计算机机房场地安全要求(GB9361-88)计算机信息系统安全等级保护网络技术要求(GA/T387-2002)计算机信息系统安全等级保护操作系统技术要求(GA/T388-2002)计算机信
10、息系统安全等级保护数据库管理系统技术要求(GA/T389-2002)计算机信息系统安全等级保护通用技术要求(GA/T390-2002)计算机信息系统安全等级保护管理要求(GA/T391-2002)计算机信息系统安全等级保护划分准则(GB/T17859-1999)2.5.2 可控性原则人员可控性:将派遣数名经验丰富的工程师参加本项目的评估工作,有足够的经验应付评估工程中的突发事件。工具可控性:在使用技术评测工具前都事先通告。并且在必要时可以应客户要求,介绍主要工具的使用方法,并进行一些实验。2.5.3 完整性原则将按照提供的评估范围进行全面的评估,从范围上满足的要求。实施的远程评估将涉及全部外网
11、可以访问到的设备;实施的本地评估将全面覆盖安全需求的各个点。2.5.4 最小影响原则*信息技术有限公司会从项目管理层面和工具使用层面,将评估工作对系统和网络正常运行的可能影响降低到最低限度,不会对现有运行业务产生显着影响。*信息技术有限公司和参加此次评估项目的所有项目组成员,都要与签署相关的保密协议。 三、评估操作3.1 人员访谈&调查问卷为了检查 XXXX 安全现状,主要在安全管理方面进行一个安全状况的调查和摸底,我们采取安全审计的方法,主要依据国家等级安全标准的要求,*向 XXXX 提交了详细的问题清单,针对管理层、技术人员和普通员工分别进行面对面的访谈。通过人员访谈的形式,大范围地了解
12、XXXX 在信息安全管理方面的各项工作情况和安全现状,作为安全弱点评估工作中的一个重要手段。过程描述此阶段主要通过提出书面的问题审计清单,安全工程师进行问题讲解,和 XXXX 相关人员共同回答,并询问相关背景和相关证据的工作方式,以此来了解 XXXX 的关于信息安全各方面的基本情况。此访谈包括的内容为:物理安全规范、人员安全规范、数据安全规范、安全管理制度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。&3.2 人工评估 工具扫描此内容评估采用扫描工具和人工方式(仿黑客攻击手段)进行评估,即根据定制的扫描策略实施远程评估,根据评估工具的初步结果进行人工分析和本机控制台分析。专业安全
13、评估软件ll Sql 注入渗透测试工具安全评估辅助工具llllll阿 D 注入工具 v2.3模拟入侵渗透测试本地自动化检测脚本评估全网安全统计报告出具安全加固报告 工具扫描过程描述由于评估可实际操作的时间有限,我们对该网络安全评估制定以下评估步骤:网关设备的安全扫描评估,其内容包括:u 用 Nessus 扫描网关设备,获取设备的操作系统漏洞信息,开启的服务信息以及开放的多余端口信息等,工具自动生成扫描报告;应用服务器的安全扫描评估,评测内容为:u 用 nessus 扫描各个服务器,获取操作系统的漏洞信息,开启的服务信息和暴露出来的敏感信息等,工具自动生成扫描报告。整体网络扫描探测,评测内容为:
14、u 使用 xscan-gui 扫描网络内的共享资源、并根据评估人员总结的密码列表进行常用密码猜解;如果时间充足将考虑进行共享资源、弱口令的利用演示,让客户了解该威胁的严重性。u 使用客户自有的网络版杀毒软件控制中心漏洞扫描功能对用户电脑进行漏洞检测;(如果客户未部署网络版杀毒软件,则不操作此项。)人工评估过程描述网关设备的人工评估,其内容包括:u 登录设备分析 router、 firewall、switch 等网关设备的配置;u 根据 checklist 对网络设备进行手工检测;u 对网络设备密码进行强度测试;应用服务器的人工评估,其内容包括:u 使用自动化评估脚本进行信息收集;u 根据 ch
15、ecklist 对服务器进行手工检测;u 对服务器密码进行强度测试;u 对服务器日志进行审计,获取服务器的安全状况;(有一定难度,选做)整体网络安全的人工评估,其内容包括:u 分析网络拓扑图是否具备一定的攻击防范、重要设备冗余等信息;u 分析整体网络的网段划分、IP 地址规划是否合理;最后分析工具扫描、人工评估中收集到的所有数据,并做出加固建议报告: u 分析所有扫描日志及人工评估记录,做出安全分析报告;u 针对出现的安全威胁做出加固建议报告。3.3 模拟入侵在获得客户授权的情况下,对路由器、firewall、网站进行远程模拟入侵,在指定时间,我公司工程师将完全模拟外部入侵者的身份以一切可行的
16、入侵方式,做到对网络无伤害的攻击,完全从黑客的角度发现受检系统的所有安全漏洞或安全隐患;过程描述a远程模拟入侵将突破口暂定为公司对外网站、路由器设备、vpn 设备等几个出口。b如能远程从这三个的 Internet出口找出可入侵的突破口,将继续寻找其他隐患试图向骨干网深入。c找到突破口后,尝试利用漏洞提权,获取 WEB shell。3.3.2 安全弱点的探测方法a) 自编程序:对某些产品或者系统,已经发现了一些安全漏洞,但并不一定及时对这些漏洞的打上“补丁”程序。通过这些漏洞进入目标系统。?b) 利用商业的软件:例如 nessus 等网络安全分析软件,可以对目标进行扫描,寻找规则库中的安全漏洞。
17、c) 手工分析:结合*信息技术有限公司的网络安全工程师的工作经验,对目标服务器进行手工提交的方式(SQL 注入等方式)模拟入侵。当我们取得需要的信息以后。将建立一个类似攻击对象的模拟环境,然后对模拟目标机进行一系列的入侵。如我公司工程师在入侵测试工作中成功突破 Web 服务器或其它相关主机并可接触到应用程序段或数据库段,我公司将立即以文档或口头方式告之项目负责人。并在次日与项目负责人会面并商讨下一步入侵检测工作计划,如发生入侵检测工作影响到网站及其它服务器正常服务情况。我公司工程师将在第一时间通知相关技术人员,并以最快的速度赶往现场协助相关技术人员处理相关问题。 四、 项目实施计划针对网络安全
18、评估项目,我们定制如下的工作流程:4.1 项目实施工作项目用户信息收集阶段2 用户需求安全等级3 服务器、网络设备统计4 其他信息做详细统计,确定评估范围安全评估方案实施阶段1 网络设备评估根据XX 渗透测试实施方案只对安全内容进行概括统计安全加固实施阶段1 制定加固方案2 确定加固范围3 实施加固方案4 实施过程问题总结网络安全加固实施方案项目验收阶段1 安全加固验收2 其他安全加固验收报告网络安全建议书 4.2 项目文档的提交提交评估报告:u 网络安全评估报告(领导参阅版)u 整体网络安全评估报告(技术人员参阅版)u 网络安全加固实施方案u 渗透测试报告 附录一:使用的工具简单介绍Ness
19、us scanner 3.2 英文版Nessus 被认为是目前全世界最多安全技术人员使用的系统弱点扫描与分析软件。总共有超过 75,000 个机构使用 Nessus 作为扫描该机构电脑系统的软件。1998 年, Nessus 的创办人 Renaud Deraison 展开了一项名为 Nessus的计划,其计划目的是希望能位因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫瞄程式。经过了数年的发展, 包括 CERT 与 SANS 等着名的网络安全相关机构皆认同此工具软件的功能与可用性。2002 年时, Renaud 与 Ron Gula, Jack Huffard 创办了一个名
20、为 Tenable NetworkSecurity 的机构。在第三版的 Nessus 释出之时, 该机构收回了 Nessus 的版权与程式源代码 (原本为开放源代码), 并注册了 nessus.org 成为该机构的网站。 目前此机构位于美国马里兰州的哥伦比亚。Nessus 的特色 提供完整的电脑弱点扫描服务, 并随时更新其弱点数据库。 提供不同于传统的弱点扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的弱点分析扫描。 其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快 CPU 速度或增加内存大小),其效率表现可因为丰富资源而提高。 可自行定义外嵌软件(Pl
21、ug-in) 完整支持 SSL (Secure Socket Layer)。 自从 1998 年开发至今已谕十年, 故为一架构成熟的软件。 Xscan-gui v3.3 中文版X-Scan 是国内最着名的综合扫描器之一,其界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内着名的民间入侵者组织“安全焦点”“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞建议等。辅助检测工具密码强度测试器Sql 注入渗透测试工具评估自动化脚本阿 D 注入工具 v2.3 附录二: *信息技术有限公司简介*信息技术有限公司成立于 2006 年,作为网络安全服务商,公司主要为客户提供计
22、算机安全风险评估、安全等级评估、安全检查、安全培训、网上信息安全审计、病毒防治和安全应急处理等服务,并依托自身强大的技术实力为客户提供全面的网络安全解决方案和网络安全服务。1.1 网络安全服务理念根据客户需求定制相应的安全解决方案是*信息技术有限公司的安全服务理念。“及时 准确 完善”是*信息技术有限公司的服务作风。1.2 网络安全服务特点l 第三方安全服务提供商*信息技术有限公司主要对外提供如下的特色网络安全服务: 网络安全顾问服务*信息技术有限公司作为专业的网络安全服务提供商,在以往的网络安全项目和日常工作中积累了大量的网络安全项目规划实施经验和专业的网络安全知识,可以为客户提供实用、可靠
23、的网络安全顾问服务,服务主要包括以下几点:1. 信息化建设或网络安全建设项目前期的需求分析和安全规划;2. 日常运维过程中的安全技术指导和安全制度定制;3. 新系统、新业务的安全性、可靠性分析;4. 网络安全培训; 网络安全项目验收期安全评估服务网络安全项目实施成功与否最好的判断方法就是模拟攻击者对网络的内外层面做全面的模拟入侵。一轮全面的模拟入侵之后,立刻可以对网络安全项目实施的结果做出明确判断。*信息技术有限公司有资质和有能力承担网络安全项目验收期安全评估服务。根据我们的评估结果,督促客户的安全提供商不断的修改安全系统。最终达到项目的安全需求和国家的网络安全要求,可为客户提供技术依据、划分
24、安全责任。 安全评估 安全评估是对现有系统整个或单个进行全方位的评估,包括桌面主机系统,服务器系统,应用服务系统以及网络设备系统等。通过全方位的评估,以期发现安全建设中潜在的风险和威胁,最终完成评估报告;为网络安全的建设提供现实依据,为安全保障工作提供技术指导。 安全检查和加固安全是一个计划、建设、检查的循环过程,没有一层不变的威胁,也没有一劳永逸的安全;要保证网络的高度安全,须定期或不定期的对整个安全架构或单个应用系统进行检查,及时发现存在的漏洞,进而对漏洞进行修补和安全加固。*信息技术有限公司可以为客户提供全面的安全检查,包括以下内容:1. WINDOWS 2000/2003/2008 S
25、ERVER 系统检查和加固2. LINUX/UNIX SERVER 系统检查和加固3. WINDOWS 桌面系统检查和加固4. 应用服务检查和加固,包括 MSSQL,MYSQL,IIS,APACHE 等5. 网络设备检查和加固,包括路由器,交换机,防火墙等网关设备 网络系统日常安全维护、应急处理服务保证网络的安全是一项长期的工作,并不能单独依靠配备安全设备而完全解决安全问题,必须在整个系统的运维过程中考虑到网络安全的维护。由于安全技术本身的专业性和网络提供商基于产品售后服务的针对性,使得很多客户在日常维护中无法实现网络安全的长期维护机制。*信息技术有限公司作为专业的网络安全服务提供商,可以为客
26、户提供全面的网络安全运维服务,服务内容包括:1. 日常网络安全评估;2. 日常网络安全修复;3. 日常病毒防治;4. 网上信息安全审计预警;5. 7X24 小时应急响应; *信息技术有限公司提供的日常安全运维服务主要以人工手段为主,配合各个安全厂商提供的安全评估工具和自身的安全服务经验,可以在日常运维过程中督促、协助系统集成商和网络安全提供商不断完善系统安全。 网络案件技术取证和追踪服务目前网络犯罪已经成为一个社会性问题,网上诽谤、网上诈骗、煽动、黑客攻击、破坏等犯罪行为逐年上升。预防、破获网络犯罪不单单是个技术问题,还必须配合行政手段。当网络犯罪发生时,如果无法追踪到肇事源头,那么将永远无法解决此犯罪行为带来的影响。l 完整的安全解决方案提供商*信息技术有限公司作为专业的第三方安全服务提供商,可以为各个行业用户提供解决方案。针对不同客户的不同需求,我们可以提供符合客户要求的解决方案。从服务到产品,从评估到加固,从咨询顾问到培训辅导,中、小型企业,IT 企业非 IT 企业都可以在*信息技术有限公司找到适合自己的安全解决方案。
