1、XX學院信息系統等級保護及安全整改建設方案2015年10月 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第一章項目概述9 HYPERLINK l bookmark2 o Current Document 1.1項目背景9 HYPERLINK l bookmark4 o Current Document 1.2項目目標10 HYPERLINK l bookmark6 o Current Document 1.3項目范圍10 HYPERLINK l bookmark8 o Current Document 1.4項目內容10 HYP

2、ERLINK l bookmark10 o Current Document 第二章需求分析11 HYPERLINK l bookmark12 o Current Document 2.1現狀分析112.1.1重要資產分析112.1.2脆弱性分析12網絡設備自身存在的安全弱點12安全設備自身存在的安全弱點12主機系統自身存在的安全弱點12應用系統自身存在的安全弱點12工作人員自身存在的安全弱點132.1.3安全威脅分析13 HYPERLINK l bookmark14 o Current Document 2國家信息安全等級保護合規性需求分析15 HYPERLINK l bookmark16

3、o Current Document 第三章整體設計183.115/1118 HYPERLINK l bookmark20 o Current Document 2設計原則19 HYPERLINK l bookmark22 o Current Document 3設計依據19 HYPERLINK l bookmark28 o Current Document 第四章等級保護定級21 HYPERLINK l bookmark30 o Current Document 1定級審核.21 HYPERLINK l bookmark32 o Current Document 2定級資料完善224.2.1

4、現場調研224.2.2定級對象的確定222.2.1信息系統的劃分222.2.2信息系統和業務子系統23 HYPERLINK l bookmark34 o Current Document 第五章等級保護差距分析24 HYPERLINK l bookmark36 o Current Document 5.1確定差距分析評估指標241.1形成評估指標241.2制定差距分析評估方案24 HYPERLINK l bookmark38 o Current Document 2等級指標對比評估252.1安全技術評估252.2安全管理評估26 HYPERLINK l bookmark40 o Current

5、 Document 第六章額外/特殊風險評估27 HYPERLINK l bookmark42 o Current Document 1資料收集276.1.1問卷調查286.1.3小組討論286.1.4文檔查看286.1.5現場勘查28 HYPERLINK l bookmark44 o Current Document 6.2資產識別與賦值296.2.1資產類別296.2.2資產價值30 HYPERLINK l bookmark46 o Current Document 6.3脆弱性分析306.3.1脆弱性來源306.3.2脆弱性分析手段316.3.3非技術脆弱性分析316.3.4技術脆弱性分

6、析316.3.5網絡掃描31掃描實施方案326.3.6主機審計34Windows主機安全審計表34小型機安全審計表37Oracle數據庫安全審計表381142路由器審計473.7滲透測試錯誤!未定義書簽。3.7.1滲透測試實施方案錯誤!未定義書簽。3.7.2滲透測試工具介紹錯誤!未定義書簽.6.3.8日志分析506.3.9系統分析506.3.10威脅分析506.3.11已有控制措施分析516.4綜合評估分析526.4.1風險識別526.4.2控制建議53 HYPERLINK l bookmark48 o Current Document 5差距分析評估風險規避53 HYPERLINK l bo

7、okmark50 o Current Document 第七章等級保護規劃與整改方案設計56 HYPERLINK l bookmark56 o Current Document 1總體安全設計567.1.1總體安全策略設計577.1.2安全技術體系結構設計577.1.3整體安全管理體系結構設計587.1.4設計結果文檔化59 HYPERLINK l bookmark58 o Current Document 7.2安全建設項目規劃607.2.1安全建設目標確定607.2.2安全建設內容規劃607.2.3形成安全建設項目計劃61 HYPERLINK l bookmark60 o Current

8、Document 7.3安全方案詳細設計617.3.1技術措施實現內容設計617.3.2管理措施實現內容設計627.3.3設計結果文檔化62 HYPERLINK l bookmark62 o Current Document 7.4管理措施實現637.4.1管理機構和人員的設置637.4.2管理制度的建設和修訂637.4.3人員安全技能培訓647.4.4安全實施過程管理64 HYPERLINK l bookmark64 o Current Document 7.5技術措施實現設計657.5.1安全域技術實施設計錯誤!未定義書簽。等級保護基本要求6XX學院門戶網站系統、教育系統、

9、財務系統安全域劃分需求65解決方案6XX學院等級保護整改方案拓撲圖設計6XX學院辦公外網安全域劃分67建設效果錯誤!未定義書簽.7.5.2流量清洗與抗DDOS技術實施設計錯誤!未定義書簽。等級保護基本要求錯誤!未定義書簽。XX學院門戶網站系統、教育系統、財務系統流量清洗與抗DDOS系統需求錯誤!未定義書簽。產品規格設計錯誤!未定義書簽。部署設計錯誤!未定義書簽。實現功能錯誤!未定義書簽。建設效果錯誤!未定義書簽。 TOC o 1-5 h z 7.5.3入侵防御技術實施設計68等級保護基本要求68XX學院門戶網站系統、教育系統、財務系統入侵防御系統防御需求68產品

10、規格設計69建設效果錯誤!未定義書簽.7.5.4防病毒技術實施設計69等級保護基本需求69XX學院防病毒需求70產品規格設計70部署設計70建設效果錯誤!未定義書簽。7.5.5上網行為管理技術實施設計71等級保護基本要求71XX學院門戶網站系統、教育系統、財務系統上網行為管理需求71產品規格設計72部署設計72建設效果錯誤!未定義書簽。7.5.6Web防火墻技術實施設計73等級保護基本要求73XX學院門戶網站系統、教育系統、財務系統Web防火墻需求73產品規格設計73部署設計73建設效果錯誤!未定義書簽。7.5.7網頁防篡改技術實施設計74等級保護基本要求74XX學院門戶網站系統、教育系統、財

11、務系統網頁防篡改需求74產品規格設計74部署設計74建設效果錯誤!未定義書簽。7.5.8日志審計技術實施設計75等級保護基本要求75XX學院門戶網站系統、教育系統、財務系統日志審計系統需求75產品規格設計76部署設計76建設效果錯誤!未定義書簽.7.5.9運維審計技術實施設計767.5,9.1等級保護基本要求76XX學院運維審計需求77產品規格設計80部署設計80建設效果錯誤!未定義書簽。5.10漏洞掃描技術實施設計錯誤!未定義書簽。5.10.1等級保護基本要求錯誤!未定義書簽。5.10.2XX學院門戶網站系統、教育系統、財務系統漏洞掃描需求錯誤!未定義書簽。5.10.3產品規格設計錯誤!未定

12、義書簽。5.10.4部署設計錯誤!未定義書簽。5.10.5建設效果錯誤!未定義書簽.7.5.11安全管理平臺技術實施設計錯誤!未定義書簽。等級保護基本要求錯誤!未定義書簽.XX學院門戶網站系統、教育系統、財務系統安全管理平臺需求.錯誤!未定義書簽。產品規格設計錯誤!未定義書簽建設效果錯誤!未定義書簽。 TOC o 1-5 h z 5.12信息安全產品采購805.13安全控制開發815.14安全控制集成815.15系統驗收827.6方案評審錯誤!未定義書簽。 HYPERLINK l bookmark66 o Current Document 第八章整改的落實84 HYPERLINK l book

13、mark68 o Current Document 1工作目標84 HYPERLINK l bookmark70 o Current Document 8.2工作內容848.2.1安全管理建設整改86安全管理機構86安全管理制度86人員安全管理86系統運維管理86系統建設管理882.2安全技術建設整改882.2.2通信網絡安全902.2.3區域邊界安全902.2.4主機系統安全912.2.5應用系統安全91.2.6備份和恢復91 HYPERLINK l bookmark72 o Current Document 第九章等保合規審計92 HYPERLINK l bookmark74 o Curr

14、ent Document 1現場檢查測試前的準備92 HYPERLINK l bookmark76 o Current Document 2現場檢查測試94 HYPERLINK l bookmark78 o Current Document 3綜合測評分析95 HYPERLINK l bookmark80 o Current Document 第十章等級測評97 HYPERLINK l bookmark82 o Current Document 1等級測評機構聘請97 HYPERLINK l bookmark84 o Current Document 2等級測評機構簡介97 HYPERLINK

15、 l bookmark86 o Current Document 3協助測評9710.3.1準備資料9710.3.2現場協助98 HYPERLINK l bookmark88 o Current Document 10.4測評指標98 HYPERLINK l bookmark90 o Current Document 10.5測評方式和工具9910.5.1測評方式9910.5.2測評工具9910.5.3測評工具接入點說明99 HYPERLINK l bookmark92 o Current Document 10.6單元測評實施10010.6.1物理安全10010.6.2網絡安全10110.6

16、.3主機安全10210.6.4應用及數據安全10310.6.5安全管理機構10410.6.6安全管理制度10510.6.7人員安全管理10510.6.8系統建設管理10610.6.9系統運維管理107 HYPERLINK l bookmark94 o Current Document 10.7系統測評實施1097.1安全控制間安全測評1097.2層面間安全測評1107.3區域間安全測評1117.4系統結構安全測評111第十一章項目驗收錯誤!未定義書簽。11.1驗收標準錯誤!未定義書簽。2驗收流程錯誤!未定義書簽。 TOC o 1-5 h z HYPERLINK l bookmark96 o C

17、urrent Document 第十二章項目培訓與知識轉移1121概述112 HYPERLINK l bookmark100 o Current Document 2培訓目的1123ipfijll*(*(*(*(*(*1134培訓對象1135培訓內容1136文檔管理1157土音訓11幣115 HYPERLINK l bookmark112 o Current Document 12.8培訓計劃表116 HYPERLINK l bookmark114 o Current Document 第十三章組織架構1171組織架構圖117 HYPERLINK l bookmark116 o Current

18、 Document 13.2角色與責任11713.2.1項目領導小組11713.2.2項目管理小組11713.2.3客戶經理11813.2.4XX學院項目協調組11813.2.5質量審計QA11813.3目實且1193.1安全咨詢組1193.2網絡技術組1193.3主機及應用安全組1193.4文檔工程師11913.4人員名單120 HYPERLINK l bookmark122 o Current Document 第十四章項目實施121 HYPERLINK l bookmark124 o Current Document 1項目實施原則121 HYPERLINK l bookmark126

19、o Current Document 14.2項目實施計劃時間表122第十五章項目管理錯誤!未定義書簽。1項目管理方法綜述錯誤!未定義書簽。2項目管理方法詳述錯誤!未定義書簽。1項目范圍管理錯誤!未定義書簽。.1范圍定義錯誤!未定義書簽。.2范圍變更控制錯誤!未定義書簽15.2.2項目溝通管理錯誤!未定義書簽.溝通協調與反饋機制的基本準則錯誤!未定義書簽。溝通計劃錯誤!未定義書簽。15.2.3項目進度管理錯誤!未定義書簽.計劃制定與細化錯誤!未定義書簽。進度跟蹤與匯報錯誤!未定義書簽計劃變更錯誤!未定義書簽。15.2.4項目風險管理錯誤!未定義書簽。風險評估錯誤!未定義書簽。風險管理錯誤!未定

20、義書簽。15.2.5項目質量管理錯誤!未定義書簽。質量管理原則錯誤!未定義書簽.質量管理的角色與職責錯誤!未定義書簽。質量管理過程錯誤!未定義書簽。15.2.6項目變更管理錯誤!未定義書簽。2.7項目會議管理錯誤!未定義書簽。.2.7.1項目管理定期會議錯誤!未定義書簽.2.7.2項目管理非定期會議錯誤!未定義書簽.15.2.8項目文檔管理錯誤!未定義書簽.文檔分類與規范錯誤!未定義書簽.文檔登記與日常管理錯誤!未定義書簽。第十六章售后服務錯誤!未定義書簽。16.1售后服務目標錯誤!未定義書簽。16.2售后服務期限錯誤!未定義書簽。16.3售后服務保障錯誤!未定義書簽.16.3.1專業的售后服

21、務團隊錯誤!未定義書簽。16.3.2規范的服務體系錯誤!未定義書簽。16.3.3服務質量監督錯誤!未定義書簽.16.4安全監控服務錯誤!未定義書簽。16.4.1可用性監控錯誤!未定義書簽。16.4.2掛馬檢測錯誤!未定義書簽。16.4.3網頁篡改監測錯誤!未定義書簽.16.5安全巡檢服務錯誤!未定義書簽.16.5.1概要錯誤!未定義書簽。巡檢目標錯誤!未定義書簽.巡檢范圍錯誤!未定義書簽。巡檢內容錯誤!未定義書簽巡檢過程錯誤!未定義書簽。巡檢總結錯誤!未定義書簽。16.5.2漏洞檢測錯誤!未定義書簽.掃描實施方案錯誤!未定義書簽。16.6應急響應服務錯誤!未定義書簽。16.6.1應急目標錯誤!

22、未定義書簽.16.6.2應急過程錯誤!未定義書簽。16.6.3應急范圍錯誤!未定義書簽。安全事件的響應錯誤!未定義書簽.安全事件分類錯誤!未定義書簽。安全事件處理時限錯誤!未定義書簽.16.6.4服務承諾錯誤!未定義書簽.16.6.5交付物錯誤!未定義書簽。16.7安全培訓服務錯誤!未定義書簽。16.7.1培訓概述錯誤!未定義書簽。16.7.2培訓目的錯誤!未定義書簽。16.7.3培訓流程錯誤!未定義書簽.16.8安全通告服務錯誤!未定義書簽。16.8.1通告目標錯誤!未定義書簽.16.8.2通告流程錯誤!未定義書簽.16.8.3通告內容錯誤!未定義書簽。16.8.4交付物錯誤!未定義書簽。第

23、十七章項目交付成果錯誤!未定義書簽。第十八章項目預算表12318.1等級保護建設服務費錯誤!未定義書簽。18.2安全產品預算12718.3安全運維費錯誤!未定義書簽。第一章項目概述項目背景XX學院是一所富有“三外兩高”特色的財經高校，即培養具有外語、外經、外貿專門知識的高素質、高技能人才。學校設外語學院、會計學院、外貿學院、管理學院、國際旅游學院、信息學院、社科學院、汽電學院、藝術學院、音樂舞蹈學院等10個二級學院和2個中心、1個創業園。開設商務英語、會計、國際經濟與貿易、物流管理、電子商務、汽車檢測與維修、藝術設計等24個專業。學校設有省（部）市及行業職業技能培訓考試點（站）10個，并與國內

24、知名大學和國外知名院校聯合舉辦十多個專業的專升本學歷教育。學校立足廣東，面向全國13個省市招生。折合在校生7900人。有著眾多的業務系統和學生的教學信息。為促進教育行業信息化建設、應用、管理和服務水平的持續提高，保障各學校和教育機構的網絡、信息系統的安全、穩定運行，同時為了落實公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室共同印發信息安全等級保護管理辦法的通知（公通字（2007）43號）和關于開展全國重要信息系統安全等級保護定級工作的通知（公信安（2007）861號）的要求，近年以來，教育部多次就信息安全以及等級保護工作下發文件要求，包括教育部辦公廳關于開展信息系統安全等級保護工作

25、的通知（教辦廳函200980號）、教育部辦公廳關于進一步加強網絡信息系統安全保障工作的通知（教辦廳函（2011）83號）、教育部辦公廳關于印發教育行業信息系統安全等級保護定級工作指南（試行）的通知（教技廳函201474號）。2014年8月，教育部向全行業下發了教育部關于加強教育行業網絡與信息安全工作的指導意見（教技20144號），文件要求加快建立健全教育行業網絡與信息安全保障體系，提高防護能力和水平，保障教育事業健康有序發展，切實落實國務院關于大力推進信息化發展和切實保障信息安全的若干意見與信息安全等級保護制度的要求。2014年11月，教育信息安全等級保護測評中心廣東測評部在廣東省教育廳教育技

26、術中心掛牌成立，體現教育部及廣東公安網安總隊對本省教育行業網絡與信息安全的重視。2015年7月，廣東省公安廳聯合廣東省教育廳共同下發文件關于印發全省高校網絡安全保護工作電視電話會議工作任務書的通知（粵公通字2015123號），通知明確了從7月開始到2016年6月，各項安全工作的開展計劃和要求，全面推進等級保護工作在廣東省高校的開展。因此，涉外經濟學院開展信息系統等級保護建設工作是非常重要的任務。同時，新近頒布的“十二五”規劃綱要中明確指出要“健全網絡與信息安全法律法規，完善信息安全標準體系和認證認可體系，實施信息安全等級保護、風險評估等制度。”項目目標本項目的建設目標是在國家信息系統安全等級保

27、護相關政策和標準的指導下，結合XX學院門戶網站系統、教育系統、財務系統的安全需求分析，確定涉外門戶網站系統、教育系統、財務系統安全等級保護的級別，對信息系統進行差距分析并提出整改建議，對XX學院門戶網站系統、教育系統、財務系統進行安全整改,達到國家信息安全等級保護相關標準的要求，并通過信息系統等級測評,更好地保障XX學院各業務系統的正常運行，全面提升XX學院門戶網站系統、教育系統、財務系統的安全保護水平。培養內部技術和管理人員，帶動安全隊伍建設，促使更多的員工掌握信息系統安全相關的標準和知識、具備相關的管理和維護能力，從而落實到日常工作中。項目范圍本項目涉及的范圍為XX學院的門戶網站系統、教育

28、系統、財務系統。項目內容依據國家信息安全等級保護技術和管理要求，開展信息系統安全等級保護建設工作，工作的主要內容包括：（1）方案設計；（2）系統集成；（3）安全運維;（4）差距測評和測評驗收。第二章需求分析現狀分析涉外經濟學院經過多年的信息化建設，已基本搭建起覆蓋全校區的IP網絡以及滿足日常教學教務需求的信息系統。同時，為保障網絡及信息化系統的正常運作，在關鍵位置上購置部署了安全防護設備。但是隨著業務的不斷擴大以及國家信息安全日趨重視，對網絡安全提出了更高的要求。現階段的網絡安全建設已經不滿足國家等級保護的建設要求。型仞六奧同位笠訊1328父帙smc m&s憶臺區it*27號播學生宿舍 SM

29、*72AAI.225. ”號上學4.帝含 S5K672kAL217、1號樓學鎏宿含 SMC6726AL231. 號樓學生宿舍|2B. 29. J號樓學“：宿 MMC67MAU35. 3八；樓學TI3臺SMC6l2tiAl.2w號樓學生flr*SMC12KAL2SM( bl28AL2”，工作站SM 6121.2。中心交摟機SMC S748IJ學生由會區4t區宿務網北區辦公網47號樓學生宿舍 ti2SAl.27. 9號噎軟外帝含 SMC 672AL 212、 SMC672AAL23號襁放郵窗臺SM( 62bl SMC*I2NAI.221. ”號樓學*宿舍 SM672AL2“、42號“收18臺SM(

30、 612*7.2清早同方GIR聯我T180 0 0 000人員訪談內容：針對組織內的安全管理人員、安全員、安全主管、工作人員、關鍵活動批準人、管理人員、機房值守人員、人事負責人、人事工作人員、審計員、網絡管理員、文檔管理員、物理安全負責人、系統管理員、系統建設負責人、系統運維負責人、資產管理員等不同類型崗位的人員訪談方法：訪談相關人員文檔檢查內容：安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理等方面的文檔檢查方法:查看相關文件第六章額外/特殊風險評估通過對信息系統重要資產特殊保護要求的分析，確定超出相應等級保護要求的部分或具有獨特安全保護要求的部分，采用風險評估的方法，確

31、定可能的安全風險，判斷超出等級保護要求部分安全措施的必要性。在安全現狀和評估指標對比后確定基本安全需求的基礎上，通過風險評估的手段可以確定額外或特殊的安全需求。確定額外安全需求可以采用目前成熟或流行的風險評估方法，也可以采用但不局限于下面介紹的活動：a）重要資產的分析明確信息系統中的重要部件，如邊界設備、網關設備、核心網絡設備、重要服務器設備、重要應用系統等。b）重要資產安全脆弱性評估檢查或判斷上述重要部件可能存在的脆弱性，包括技術上和管理上的；分析安全脆弱性被利用的可能性。c）重要資產面臨威脅評估分析和判斷上述重要部件可能面臨的威脅，包括外部的威脅和內部的威脅，威脅發生的可能性或概率。d）綜

32、合風險分析分析威脅利用脆弱性可能產生的安全事件，安全事件發生的可能性或概率，安全事件造成的損害或產生的影響大小，防止此種風險的必要性。按照重要資產的排序和風險的排序確定安全保護的要求。資料收集根據項目范圍，收集相關資料的方法包括：問卷調查與各級人員進行訪談小組討論文檔查看現場勘查問卷調查問卷調查和清單是有效的簡單工具，用來判斷是否需要更詳盡風險評估。調查問卷由一組相關的封閉式或開放式問題組成，用于在評估過程中獲取信息系統在各個層面的安全狀況，包括安全策略、組織制度、執行情況等。人員訪談組建等級評估小組，評估小組與被評估組織內有關的管理、技術和一般員工進行逐個溝通。根據對評估人員所提問題的回答，

33、評估人員為評估獲得相應信息,并可驗證之前收集到的資料，從而提高其準確度和完整性。通過訪談管理和技術人員，評估人員可以收集到業務系統相關的物理、環境、安全組織結構、操作習慣等大量有用的信息，也可以了解到被訪談者的安全意識和安全技能等自身素質。由于訪談的互動性，不同于調查表，評估人員可以廣泛提問，從多個角度獲得多方面的信息。小組討論評估小組與被評估組織的若干人員進行交流，從而獲得相關信息或就某些問題達成共識。文檔查看為了分析業務系統現有的或計劃采取的安全控制措施，需要查看策略文檔（例如政策法規、指導性文檔）、系統文檔（例如用戶手冊、管理員手冊、系統設計和需求文檔）和安全相關文檔（例如以前的審計報告

34、、風險評估報告、測試報告、安全策略、應急預案）等。現場勘查評估人員對辦公環境和機房內設備作現場檢查，或觀察人員的行為或環境狀況、系統命令或工具的輸出，尋找是否有違反安全策略的現象，比如敏感文件隨意放置、人離開電腦不鎖屏幕、設備的網絡連接情況等。根據現場勘查的結果，獲得相應評估信息。6.2資產識別與賦值資產是構成整個系統的各種元素的組合，它直接地表現了這個系統的業務或任務的重要性，這種重要性進而轉化為資產應具有的保護價值。評估小組采集資產信息，確定系統劃分原則和等級評估原則，并與組織共同確認系統和CIA等級劃分。資產識別和賦值的目的就是要對組織的各類資產做潛在價值分析，了解其資產利用、維護和管理

35、現狀；明確各類資產具備的保護價值和需要的保護層次，從而使組織能夠更合理地利用現有資產，更有效地進行資產管理，更有針對性地進行資產保護，最具策略性地進行新的資產投入。風險評估范圍內的所有資產必須予以確認，包括數據、服務、聲譽、硬件和軟件、通訊、程序界面、物理資產、支持設施、人員和訪問控制措施等有形和無形資產。考慮到應用系統是組織業務信息化的體現，因此將應用系統定義為組織的關鍵資產。與應用系統有關的信息或服務、組件（包括與組件相關的軟硬件）、人員、物理環境等都是組織關鍵資產一一應用系統的子資產，從而使得子資產與應用系統之間更加具有關聯性。2.1資產類別各項資產可歸入不同的類別，歸類的目的是反映這些

36、資產對評估對象系統或領域的重要性。依據資產的屬性，主要分為以下幾個類別：信息資產信息資產主要包括各種設備以及數據庫系統中存儲的各類信息、設備和系統的配置信息、用戶存儲的各類電子文檔以及各種日志等等，信息資產也包括各種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產的范疇。軟件資產軟件資產包括各種專門購進的系統與應用軟件（比如操作系統、業務系統、辦公軟件、防火墻系統軟件等）、隨設備贈送的各種配套軟件、以及自行開發的各種業務軟件等。物理資產物理資產主要包括各種主機設備（比如各類PC機、工作站、服務器等）、各種網絡設備（比如交換、路由、撥號設備等）、各種安全設備（比如防火墻設備、入侵檢測

37、設備等）、數據存儲設備以及各類基礎物理設施（比如辦公樓、機房以及輔助的溫度控制、濕度控制、防火防盜報警設備等）。人員資產人員資產是各類資產中很難有效衡量甚至根本無法衡量的一部分，它主要包括組織內部各類具備不同綜合素質的人員，包括各層管理人員、技術人員以及其他的保障與維護人員等。2.2資產價值資產分析是與風險評估相關聯的重要任務之一，資產分析通過分析評估對象一一資產的各種屬性，進而對資產進行確認、價值分析和統計報告。簡單地說資產分析是一種為資產業務提供價值尺度的行為。資產價值可以下列方式表達：有形價值，例如重置成本無形價值，例如商譽信息價值，例如保密性、完整性及可用性6.3脆弱性分析脆弱性是指于

38、管理、操作、技術和其它安全控制措施和程序中，使威脅可能有機可乘，以致資產因而受損的薄弱環節，例如第三方攔截傳輸中的數據，未授權訪問數據等。脆弱性分析的目的是給出有可能被潛在威脅來源利用的系統缺陷或脆弱性列表。所謂威脅源是指能夠通過系統缺陷和脆弱性對系統安全策略造成危害的主體。脆弱性分析強調系統化地衡量這些脆弱性。6.3.1脆弱性來源脆弱性可能存在于硬件設備、軟件程序、數據中，也可能存在于管理制度、安全策略等方面。因此，脆弱性包括兩類：技術脆弱性和非技術脆弱性。技術脆弱性主要是指操作系統和業務應用系統等存在的設計和實現缺陷。技術脆弱性廣泛地存在于操作系統、數據庫、網絡設備、通訊協議等設備和系統中

39、。非技術性脆弱性主要是指系統的安全策略、物理和環境安全、人事安全、訪問控制、組織安全、運行安全、系統開發和維護、業務連續性管理、遵循性等方面存在的不足或者缺陷。3.2脆弱性分析手段脆弱性分析針對技術脆弱性和非技術脆弱性進行。3.3非技術脆弱性分析非技術脆弱性分析主要采取調查表、人員訪談、現場勘查、文檔查看等手段進行。首先要明確組織高層管理人員對組織重要資產的認識，對資產如何受到威脅的了解、以及資產的安全需求、現在已經采取得保護措施以及和保護該資產相關的問題。通過運作管理人員、組織職員進一步了解組織存在的這些脆弱性。3.4技術脆弱性分析技術脆弱性分析可以采取多種手段，可選擇以下手段收集和獲取信息

40、：網絡掃描主機審計滲透測試系統分析其中，需要注意滲透測試的風險較其它幾種手段要大得多，在實際評估中需要斟酌使用。6.3.5網絡掃描網絡掃描用于本地或遠程檢測系統可能存在的脆弱性。脆弱性掃描工具(Scanner)是一個或一組自動化工具，使用脆弱性掃描工具能夠高效率地收集業務系統的信息。例如，一個網絡端口掃描工具可以快速識別大量主機開放的服務，獲得業務系統所涉及的每個IT設備的運行狀態。網絡掃描遵循掃描時間段選擇、單點試掃、主備分開等原則。掃描結束后，提交經過分析的掃描報告，以及掃描原始報告。3.5.1掃描實施方案(1)掃描配合需求：使用漏洞掃描器臨時接入服務器所在的網絡，并臨時提供IP地址一個。

41、(2)掃描策略策略的構建條件是系統類型、漏洞類型等各個條件進行“與”處理后的結果。我們在進行漏洞掃描時，可以對下列的掃描策略進行選擇：系統類型：windowsUnix、MSSQLOracle、IBMDB2、Sybase、MySql；漏洞類型：WindowsNetBios類、Web類、CGI類、信息收集類、強力攻擊類、守護進程類、Mail類、FTP類、DNS類、SNMP類、Proxy類、協議欺騙類、RPC類、NFS類、NIS類、后門類、網絡設備類、蠕蟲病毒類、Samba類、Apache類、緩沖區溢出和拒接服務攻擊類；危險級別：高、中、低；CVE年份：CVE-1999-X,CVE-2000-X,C

42、VE-2001-X,CVE-2002-X,CVE-2003-X,CVE-2004-X,CVE-2005-X、CVE-2006-X,CVE-2007-X,CVE-2008-X、CVE-2009-X、CVE-2010-X、其他。(3)風險規避措施漏洞掃描風險：我們認為在漏洞掃描評估中可能存在的風險有：評估時間和業務高峰時段沖突由于工具評估的安全掃描行為是在一定程度上進行模擬攻擊測試，從而驗證弱點的存在性，而且存在一定的網絡流量影響。因此，工具掃描評估應當盡量避免業務的高峰時段。工具掃描策略集配置不當在業務系統中可能存在不同的業務應用主機、網絡設備及安全設備,且業務關系復雜。因此，為了降低掃描工具對

43、業務及網絡的影響，應當根據具體的評估對象類型從掃描策略上就進行策略集的最優配置。業務應用脆弱在進行業務設計和實施過程中，由于缺乏安全性、可靠性和擴展性的考慮，使得網絡的核心設備和支撐網絡難以滿足不斷擴展的業務需求。規避措施描述：可以采取以下措施進行風險規避：評估時間的選擇執行工具掃描評估需要避開業務的高峰時段，從而減小評估對業務的影響。掃描測試在可能的情況下，對掃描對象測試機進行預評估。評估方式上采用分類掃描和單臺掃描。對不同的評估對象執行不同的掃描策略；對存在備份關系的設備，可以進行單臺掃描。減緩掃描速度通過減少并發線程來降低被掃描主機所承受的壓力，在幾次測試后得出適中的并發線程數量及掃描方

44、式。優化掃描策略配置分類掃描：對不同的主機和設備類型執行不同的掃描會話，從而減少不必要的弱點測試。針對掃描對象細化掃描策略配置：對于不同類型的主機或者設備，需要根據其上不同的應用和服務情況，有針對性地定制掃描策略選項。經過對掃描策略的優化，即降低了流量，又減少了不必要的弱點測試給業務帶來的風險。廠商協作廠商需要提供各應用程序的名稱、版本、協議、進程名和相應的端口號等信息，在評估之前，由甲方與評估服務商以及業務廠商共同分析評估對業務可能造成的風險，分析可能存在的問題。在評估過程中盡量規避這些風險。系統備份和恢復為防止在漏洞掃描過程中出現的異常的情況，所有被掃描的設備均應在掃描前作一次完整的系統備

45、份或者關閉正在進行的操作，以便在系統發生災難后及時恢復。6.3.6主機審計主機審計針對網絡設備、主機、數據庫進行，實施時采用腳本工具或人工參照審計手冊進行。審計手冊通常以檢查列表(Checklist)的形式存在，用于人工檢查系統存在的各種安全脆弱性，它針對不同的系統列出待檢查的條目，以保證人工審計結果數據的完備性。需要時，也可利用入侵檢測系統等工具進行網絡審計，分析網絡的安全運行狀況，發覺配置和運行中的隱患。人工審計實施方案如下：Windows主機安全審計表資產編號機器名內部IP地址域名服務器IP操作系統網關IPCPU內存檢查日期檢查人編號檢查內容檢查結果審計命令補丁安裝情況1.操作系統是否已

46、經安裝相關的補丁，Windows2000為SP4,WindowsXP為SP2。2.操作系統是否已經安裝了全部的HOTFIX。賬戶策略3.密碼是否符合復雜性要求。4.密碼長度是否符合要求。5.是否設置了密碼最長使用期限。6.是否設置了賬戶鎖定閥值。7.是否設定了賬戶鎖定時間。8.是否設置了復位賬戶鎖定計數器。9.是否將審核策略更改為成功和失敗。10.是否將審核登錄事件更改為成功和失敗。11.是否將審核對象訪問設置為失敗。安全設置12.當登錄時間用完時自動注銷用戶（啟用）13.在掛起會話之前所需的空閑時間（小于等于30分鐘）14.發送未加密的密碼到第三方SMB服務器：（禁用）15.允許對所有驅動器

47、和文件夾進行軟盤復制和訪問（禁用）16.故障恢復控制臺：允許自動系統管理級登錄（禁用）17.清除虛擬內存頁面文件（啟用）18.交互式登錄：不顯示上次的用戶名（啟用）注冊表安全19.抑制Dr.WatsonCrashDump:HKLMSoftwareMicrosoftDrWatsonCreateCrashDump(REG_DW0RD)020.禁止在任何驅動器上自動運行任何程序：HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerNoDriveTypeAutoRun(REG_DW0RD)25521.禁止自動執行系統調試器：HKLMSof

48、twareMicrosoftWindowsNTCurrentVersionAeDebugAuto(REG_DW0RD)022.刪除服務器上的管理員共享：HKLMSystemCurrentControlSetSercatcesLanmanServerParametersAutoShareServer(REG_DW0RD)023.源路由欺騙保護：HKLMSystemCurrentControlSetSercatcesTcpipParametersDisableIPSourceRouting(REG_DW0RD)224.幫助防止碎片包攻擊：HKLMSystemCurrentControlSetSer

49、catcesTcpipParametersEnablePMTUDiscovery(REG_DW0RD)125.防止SYNFlood攻擊：HKLMSystemCurrentControlSetSercatcesTcpipParametersSynAttackProtect(REG_DW0RD)226.SYN攻擊保護-管理TCP半開sockets的最大數目：HKLMSystemCurrentControlSetSercatcesTcpipParametersTcpMaxHalfOpen(REG_DW0RD)100或500關閉的服務27.Alerter-禁止Clipbook-禁止ComputerBr

50、owser一禁止InternetConnectionSharing一禁止Messenger-禁止RemoteRegistrySercatce-禁止RoutingandRemoteAccess-禁止SimpleMai1TrasferProtocol(SMTP)一禁止SimpleNetworkManagementProtocol(SNMP)Sercatce-禁止SimpleNetworkManagementProtocol(SNMP)Trap-禁止Telnet-禁止TaskScheduler-禁止WorldWideWebPublishingSercatce-禁止其他安全設置28.所有的磁盤卷使用N

51、TFS文件系統29.己經安裝第三方個人版防火墻30.已經安裝防病毒軟件31.防病毒軟件的特征碼和檢查引擎已經更新到最新32.防病毒軟件已設置自動更新33.系統時間是否正確34.文件夾共享是否有過大的權限和帳號35.有無異常的計劃任務36.有無打開審計功能37.有無設置審計文件大小或保留時間38.有無打開不需要的端口（如80、25,110）39.有無禁用Netbios小型機安全審計表資產編號|IP地址操作系統檢查日期檢查人編號檢查內容檢查結果審計命令安裝和配置1.系統已經安裝了最新的安全補丁以系統管理員身份執行：swlist-1product/grepPH2.路由表是否有異常路由以系統管理員身份

52、執行：netstat-nr3.系統有無異常開放端口以系統管理員身份執行：netstat-an4.系統有無異常進程以系統管理員身份執行：netstat-nr5.系統文件系統使用是否正常以系統管理員身份執行：ps-ef6.ROOT路徑是否有異常以系統管理員身份執行：echo$PATH7.用戶掩碼配置是否合適以系統管理員身份執行：umask以系統管理員身份執行：8.Cat/etc/rc.config,d/nddconf系統有無配置不恰當的內核參數Cat/etc/rc.config,d/acctCat/etc/rc.config,d/auditingCat/etc/rc.config,d/netdae

53、mons以系統管理員身份執行：9.系統有無不恰當的文件系統權限Ls-1/tmp/etc/usr/usr/bin/sbin/var/*10.CDE是否限制任意用戶XDMCP登錄連接以系統管理員身份執行：Cat/etc/dt/config/Xconfig以系統管理員身份執行：11.SNMP配置是否恰當cat/etc/SnmpAgent.d/snmpd.confcat/etc/snmpd.conf12.網絡配置是否有異常以系統管理員身份執行：Cat/etc/rc.config,d/netconf13.系統是否有異常的用戶登錄以系統管理員身份執行：last-R/cat14.系統是否開啟了審計功能以系統

54、管理員身份執行：audsys15.Cron,allow文件是否有異常配置以系統管理員身份執行：Is-il/var/adm/cron/cron.allowcat/var/adm/cron/cron.allow以系統管理員身份執行：16.At.allow文件是否有異常配置Is-il/var/adm/cron/at.allowcat/var/adm/cron/at.allow是否有異常的ROOT帳號訪問記錄以系統管理員身份執行：11./var/adm/syslog/syslog.log18.密碼文件權限檢查是否恰當以系統管理員身份執行：Is-il/etc/passwd19.At目錄權限檢查是否恰當以

55、系統管理員身份執行：Is-Id/var/spool/cron/atjobs20.網絡安全配置是否恰當以系統管理員身份執行：Cat/etc/rc.config,d/netconf密碼策略檢查21.密碼最小長度是否合適以系統管理員身份執行：Cat/etc/default/security22.密碼最小包含的特殊字符數是否合適以系統管理員身份執行：Cat/etc/default/security23.密碼最小包含的阿拉伯數字是否合適以系統管理員身份執行：Cat/etc/default/security24.系統記錄的密碼歷史數目是否合適以系統管理員身份執行：Cat/etc/default/secur

56、ityOracle數據庫安全審計表2.是否對UTL_FILE包進行了限制以SYSDBA身份登錄sqlplus,執行:SQLshowparameterutl_file_dir;以root身份執行：3.是否啟用XDB服務器#netstat-an1grep8080Unetstat-an/grep21004.oracle日志文件權限是否合理以oracle身份執行：find$ORACLE_BASE/-name*.log5.Oracle用戶工具文件和DBA工具文件權限是否合理以oracle身份執行：$Is-alR$ORACLE_HOME/bin6.數據庫數據文件權限是否合理以DBA身份登錄sqlplus,

57、執行：SQLselectnamefromvfdatafile：SQLshowparametercontrol_files；SQLshowparameterlog_archive_dest；SQLarchiveloglist；根據輸出結果執行：SQLIs-al7.數據庫.ora配置文件權限是否合理以oracle身份，執行：find$ORACLE_BASE/-name*.ora/xargsIs-al8.數據庫.ora起停文件權限是否合理以root身份執行：Uis-al/etc/init.dUgrep-idbstart/etc/init.d/*Ugrep-idbstart/etc/rc?.d/*以o

58、racle身份執行：$ls-al$ORACLE_HOME/bin/dbs*網絡通信安全9.oracle登錄認證方式設置是否合理1、查看服務器和客戶端的sqlnet.ora中是否有以下設置:SQLNET.AUTHENTICATIONSERCATCES=（oracle提供的認證方法）2、以SYSDBA身份登錄sqlplus：SQLshowparameterREMOTE_OS_AUTHENT；10.是否啟用登錄加密傳輸以oracle身份執行：Grep-IORA_ENCRYPT$ORACLE_HOME/network/admin/sqlnet.oragrep-iDB_LINK$ORACLE_HOME/

59、dbs/init.ora以SYSDBA身份執行：SQLshowparameterdblink_encrypt_login；11.TNS登錄是否進行了IP限制以oracle身份執行：feat$0RACLE_H0ME/network/admin/sqlnet,ora12.是否設置了Listener實時修改限制以oracle身份執行：$cat$0RACLE_H0ME/network/admin/1istener,ora13.是否設置監聽器密碼以oracle身份執行：$cat$0RACLE_H0ME/network/admin/1istener.ora14.是否存在DBLink及密碼設置以DBA身份登

60、錄sqlplus,執行:SQLselect*fromall_db_links；SQLshowparameter07_dictionary_accessibility；SQLselect*fromdba_sys_privswherePRICATLEGE=SELECTANYTABLE9；SQLselect*fromdba_sys_privswherePRICATLEGE=SELECTANYDICTIONARY：（僅oracle9i以上）認證授權15.數據庫系統用戶密碼策略設置是否恰當以DBA身份登錄sqlplus,執行：SQLcolRESOURCE_NAMEformata30；SQLcolLIMI