網絡科技有限公司智行系統

信息安全風險評估項目評估方案

目錄

一、項目概述........................................................4

1.1項目背景......................................................4

1.2項目目標......................................................4

1.3術語..........................................................4

1.4項目實施參考標準..............................................5

二、項目評估總體目標、要求和原則....................................6

2.1項目評估總體目標..............................................6

2.2項目評估總體要求..............................................6

2.3項目評估原則..................................................6

2.3.1^U???????????????????????????????????????????????0

2.3.2最小影響原則...............................................7

2.3.3規范性原則................................................7

2.3.4標準化原則.................................................7

2.3.5完整性原則.................................................7

2?3?6.貝U???????????????????????????????????????????????7

2.3.7結合實際，注重實效.........................................8

三、項目管理........................................................9

3.1項目管理目標..................................................9

3.2項目風險管理..................................................9

3.3項目溝通管理.................................................10

3.4項目變更管理.................................................12

3.4.1目的說明..................................................12

3.4.2變更控制的方法............................................12

3.4.3變更控制涉及的表格........................................13

3.5項目質量管理..................................................13

3.5.1評審和驗證................................................13

3.5.2工程實施...................................................13

3.5.3文件管理..................................................14

3.6項目進度管理..................................................14

3.7參與人員與角色職責...........................................15

四、信息系統風險評估...............................................16

4.1.項目評估準備工作............................................16

4.L1項目評估準備工作實施和確認................................16

4.1.2項目評估前提條件..........................................16

4.2.資產識別與分析..............................................17

4.2.1業務應用識別與分析........................................17

4.2.2資產識別..................................................18

4.3.脆弱性識別與分析............................................20

4.3.1脆弱性掃描介紹............................................20

4.3.2脆弱性掃描流程............................................20

4.3.3脆弱性掃描與檢測..........................................21

4.4.威脅識別與分析...............................................23

4.5.已有安全措施確認............................................24

4.5.1安全功能評估..............................................24

4.5.2安全保證評估..............................................25

4.5.3物理安全評估..............................................27

4.6.關鍵區域的滲透性測試........................................28

4.6.1滲透測試介紹...............................................28

4.6.2滲透測試實施保障..........................................28

4.6.3滲透測試實施...............................................29

4.7.安全風險分析.................................................30

4.8.安全整改加固方案和殘余風險評估..............................31

五、評估方法與工具.................................................33

5.1采用的檢測方法..............................................33

1項目概述

1.1項目背景

隨著信息技術的不斷發展，信息技術己經作為二十一世紀的重要科技技術被

越來越多的領域和行業廣泛利用，在大力發展信息產業的同時，信息安全已成為

信息系統面臨的巨大威脅和隱患，在信息系統的生命周期中，信息安全都將作為

一項重要指標進行重點關注。隨著網約車（以下簡稱“網約車”）信息產業的發

展，生產經營管理對信息系統的依賴性越來越強，信息安全事件的影響范圍隨之

擴大，為了使重要信息系統具備相應級別的安全防護水平，下一步需要依據《GBT

20984-2007信息安全技術信息安全風險評估規范》等國家標準，在全面了解網

約車行業信息化現況的基礎上，開展信息安全審計與風險評估工作，同時完善信

息系統安全管理制度，提升信息系統安全管理水平。

1.2項目目標

根據《GBT20984-2007信息安全技術信息安全風險評估規范》等標準的要

求，通過在出行（）網絡科技有限公司智行系統開展信息安全審計與風險評估工

作，對信息系統進行技術和管理體系的分析、規劃，出具有針對性的安全加固整

改方案，在保障出行O網絡科技有限公司智行系統的業務連續性的基礎上，有

針對性的進行整改加固，并完成風險評估工作。

1.3術語

用戶和評估方

為行文簡便，本文稱出行o網絡科技有限公司為用戶，其智行系統為待評

估系統。

為出行()網絡科技有限公司智行系統提供信息安全審計與風險評估的單位

稱為評估方。

1.4項目實施參考標準

＞《GB/T20984-2007信息安全技術信息安全風險評估規范》

其它參考標準：

＞《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發

[2003]27號）

＞《計算機信息系統安全保護等級劃分準則》(GB17859-1999)

＞《信息安全技術信息系統通用安全技術要求》(GB/T20271-2006)

＞《信息安全技術網絡基礎安全技術要求》(GB/T20270-2006)

＞《信息安全技術操作系統安全技術要求》(GB/T20272-2006)

＞《信息安全技術數據庫管理系統安全技術要求》(GB/T20273-2006)

＞《信息安全技術服務器技術要求》(GB/T21028-2007)

＞《信息安全技術終端計算機系統安全等級技術要求》(GA/T671-2D06)

＞《信息安全技術信息系統安全管理要求》(GB/T20269-2006)

《信息安全技術信息系統安全工程管理要求》(GB/T20282-2006)

GB/T18336-2001信息技術安全技術信息技術安全性評估準則

2項目評估總體目標、要求和原則

2.1項目評估總體目標

根據國家相關和行業標準對出行（）網絡科技有限公司智行系統進行信息安

全審計與風險評估工作；對系統的安全風險進行全面的分析與評估，提出有針對

性的整改與加固方案，指導并協助出行（）網絡科技有限公司智行系統完成安全

整改與加固工作；為出行（）網絡科技有限公司智行系統建立起規范、可靠、高

效的網絡與信息安全防護體系，提高出行（）網絡科技有限公司智行系統網絡與

信息系統的整體安全水平、管理水平與運維水平。

2.2項目評估總體要求

評估方將嚴格遵守國家規定和行業的法律法規，按照服務原則要求（保密性

原則、最小影響原則、規范性原則、標準化原則、完整性原則、互動性原則、

把握重點、分清主次原則、結合實際、注重實效原則）進行有序的風險評估工作。

評估方在實施方案的制定及項目的實施過程中，要把握項目的總體目標，遵

循項目的總體原則。合理分配資源，科學安排進度，充分調動參與各方的積極性,

使評估項目開展的有序高效。

2.3項目評估原則

2.3.1保密性原則

評估單位與用戶簽訂保密協議，風險評估工作人員要與用戶簽訂個人保密協

議，在進行信息安全風險評估的過程中，嚴格遵循保密原則，評估過程中要采取

嚴格的管理措施，確保所涉及到的任何用戶保密信息，不會泄露給第三方單位或

個人，不得利用這些信息損害用戶利益。

2.3.2最小影響原則

評估項目要求從項目管理和技術應用的層面，在風險評估工作實施過程對我

局現有信息系統和網絡的正常運行所可能的影響降到最低程度；要求制定風險評

估過程中的風險規避方案及應急措施。

2.3.3規范性原則

要求評估單位在充分總結多年開展信息系統安全風險評估實踐經驗的基礎

上，確定規范的方案；在此次信息安全風險評估任務執行過程中，通過規范的項

目管理，在人員、項目實施環節、質量保障和時間進度等方面進行嚴格管控。

2.3.4標準化原則

風險評估工作要求嚴格遵守國家和行業的相關法規、標準，并參考國際的標

準來實施。

2.3.5完整性原則

完整性原則包含以下兩個層次的內容：

評估內容的完整性一一要求在風險評估工作中，綜合考慮所評估信息系統的

技術措施、人員、業務及運行維護等方面，涵蓋信息安全風險評估合同要求。

評估流程的完整性一一要求信息安全評估過程應遵循科學性、規范性、而謹

性原則。

2.3.6互動性原則

在進行信息安全風險評估過程中，要求必須有用戶單位人員參與，雙方共同

組成項目實施工作組，進行項目實施，從而保證項目執行的效果，并促進XXXX

整體安全技能和安全意識的提高。

2.3.7結合實際，注重實效

在項目實施過程中必須堅持結合實際，注重實效的原則。在方案的編制、評

估的實施、安全整改與加固等各個環節，都應立足出行（）網絡科技有限公司智

行系統信息化工作現狀，調查、研究、分析出行（）網絡科技有限公司智行系統

網絡與信息系統的建設、管理、運行中面臨的實際威脅，存在的實際問題，在此

基礎上提出有針對性的整改與加固方案，指導并協助出行（）網絡科技有限公司

智行系統對整改與加同方案進行實施，力求通過此次評估活動，切實提高出行（）

網絡科技有限公司智行系統網絡與信息系統的健壯性與安全性，切實提高出行（）

網絡科技有限公司智行系統網絡與信息系統的整體安全水平、管理水平與運維水

平。

3項目管理

3.1項目管理目標

通過新潮多年的項目管理經驗，結合出行（）網絡科技有限公司智行系統的

特點，使用先進的項目管理方法，保證項目在規定進度計劃內高質量的完成項目

的管理和實施。

3.2項目風險管理

風險管理計劃是成功交付項目的基礎。風險管理計劃確保項目內每個己識別

的風險都被記錄下來（預發生概率的大小排列）,方盡可能地減小不利事實發生的

可能性。從項目的目的來看?，風險可被定義為任何可能影響項目成功的不利事實。

通過以下五個關鍵過程，我們將風險管理引到項目中來：

風險檢充表評估標準應對策略控制面板風險數據庫

風險評估風險數據庫風險數據庫風險數據庫

風險數據庠

圖：風險控制圖

3.3項目溝通管理

項目溝通管理包括為了確保項目信息及時適當的產生、收集、傳播、保存和

最終配置所必須的過程。項目溝通管理把成功所必須的因素：人、想法和信息之

間提供了一個關鍵連接。涉及項目的任何人都應準備以項目“語言”發送和接收

信息并且必須理解他們以個人身份參與的溝通怎樣影響整個項目。

溝通計劃決定項目涉及人的信息和溝通需求：誰需要什么信息，什么時候需

要，怎樣獲得。

信息傳播使需要的信息及時發送給項目涉及人。

執行報告收集和傳播執行信息，包括狀況報告、進步衡量和預測

行政總結產生、收集和傳播信息以形成一個階段或項目完成。

這些過程之間以及與其他領域的過程之間相互作用。如果項目需要，每個流

程可以由個人、多人或團體來完成。在每個項目階段每個過程至少發生一次。雖

然在這里列舉的流程是分立的階段并具有明確定義的分界面，事實上他們互相交

織、互相作用在一起。

溝通的通用管理技術技巧跟項目溝通管理有關，但并不等同。溝通是一個更

寬廣的課題，包括一些重要的知識體系，它特別適用于項目的唯一知識體系。并

不局限適用于項目的重要知識體系C

為保證項目實施過程中的信息溝通，我們主要采取以下的手段進行管理：

定期項目協調會：每周開項目協調會，主要對項目的進度、項目的質量、人

員安排等進行討論，并對技術難點進行分析解決；同時有用戶參加，解決項目中

涉及的各方面問題，包括管理、商務、用戶配合等問題。

每天的項目進度例會：組織簡短的項目進度例會，可以采用吃飯的時間，或

者路上，或者其他的休息時間，也可以是指定的時間（例如下班前30分鐘），

項目組成員總結每天的工作，并提出計劃J,分析當天遇到的技術難點，討論解決;

討論項目中遇到的管理問題，人員安排問題，商務問題等，由項目經理統一協調

解決。

項目進度報告：有工程師定期提交給項目經理進度和工作日志，匯報工作情

況，以及難點。項目進行中，形成定期的報告制度，內容包含如下:項目計劃書、

每周聯絡會議紀要、項目更改紀要、項目驗收報告，各個報告的具體要求如下:

溝通內容描述細節

持續時間：整個實施階段

頻度：每周

項目當前的進度情況以

反饋時間：3天

及重要的實施結果報告

項目進度報告方式：電子郵件、傳真

給用戶以及我們的管理

聽眾：客戶負責人，、項目組管理人員、

人員。

建立負責人

負責人；項目經理

持續時間：項目全程

與我們項目經理討論項

頻度：每周

目當前狀態，檢查問題解

反饋時間：1周

項目組討論會決情況，評估項目變更對

方式：會議室，電話會議

項目進度的影響、討論近

聽眾：項目組

期項目事件。

所有者：項目經理

持續時間：項目全程

與項目組成員一起討論

頻度：根據需要

當前狀態、討論問題、評

項目組成員討反饋時間：3天

估改變項對項目進度的

論會議方式：會議室，電話會議

影響、討論近期項目事

聽眾：項目組

件。

所有者：項目經理

持續時間：項目全程

頻度：不定期

項目領導委員向項目領導委員會匯報

反饋時間：1周

會會議項目當前狀態。

方法：會議室

聽眾：項目總體協調組

溝通內容描述細節

所有者：項目經理

3.4項目變更管理

3.4.1目的說明

信息系統項目計劃的變更管理也就是信息系統項目的控制過程。在項目執行

過程中，經常出現到項目的某一里程碑或報告期時，項目的進度早于或晚于計劃

進度、已經發生的實際成本低于或高于計劃成本，這時都需要對計劃進行相應的

調整。

如果發現項目的進度計劃或預算計劃需要調整，則調整的重點應放在以下的

三個方面：

對近期即將發生的工作加強控制，積極挽回時間和成本；

工期估計最長或預算估計最大的工作應進一步審核預估依據，并做好壓縮

該工作時間和費用的準備工作，因為估計值越大的工作越有壓縮的可能；

將某些可以再分的工作進一步細分，研究細分后工作之間并行及知識復用

的可行性。

3.4.2變更控制的方法

變更控制的目的并不是控制變更的發生，而是對變更進行管理，確保變更有

序進行。

項目中引起變更的因素有兩個：一是來自外部的變更要求，如要求修改工作

范圍和需求等；二是實施過程內部的變更要求。比較而言，最難處理的是來自外

部的需求變更，因為口項目需求變更的概率大，引發的工作量也大（特別是到

項目的后期）。

變更控制不能僅在過程中靠流程控制，有效的方法是在事前明確定義。事前

控制的一種方法是在項目開始前明確定義，否則“變化”也無從談起。另一種方

法是評審，特別是對需求進行評審，這往往是項目成敗的關鍵。需求評審的目的

不僅是“確認”，更重要的是找出不正確的地方并進行修改，使其盡量接近“真

實”需求。另外，需求通過正式評審后應作為重要基線，從此之后即開始對需求

變更進行控制。

要在項目開始就市項目組和客戶進行宣傳和培訓I,讓所有成員都理解變更控

制的重要意義；在項目過程中要對變更控制的執行情況進行審計，發現違反規定

的事件要嚴肅處理，否則過程很快就會失效。

綜上所述，變更控制的目的是管理變化。變更控制對項目成敗有重要影響，

事前要明確定義，事中要嚴格執行。實施變更之前有四個重要控制點：授權、審

核、評估和確認；在實施過程要進行跟蹤和驗證，確保變更被正確執行。

3.4.3變更控制涉及的表格

《項目變更申請單》

《項目變更協議》

3.5項目質量管理

在項目執行中，我們將設置專門的質量工程師負責項目質量監督，嚴格按

1S09U01質量體系標準對工作質量進行把關，以保障項目實施的質量。

3.5.1評審和驗證

在項目過程中，我們將對設計的內容進行評審和臉證，并形成正規化文件，

保證設計結果嚴格符合用戶的實際需求。

3.5.2工程實施

嚴格按設計方案和有關規范指導實施并進行驗收，施工人員必須詳細閱讀并

熟悉評估方案和有關資料?，遇到特殊情況需要變更評估方式，必須經XXXX同意,

并辦理簽字證明手續，不得擅自更改。評估前應進行質量技術交底。

3.5.3文件管理

我們將會對所有的項目文件進行有效的控制和管理，以保持質量體系運行的

正規化和規范化。這些文件包括公司部門程序文件、項目質量計劃、文檔、操作

規程以及工程實施當中的記錄：評審記錄、點檢記錄、調試記錄、運行日志等，

還有一些國際及國家標準文件等。

3.6項目進度管理

項目的進度管理是確保項目準時完成所必需的方法。其中涉及的主要過程包

括：

活動定義，涉及確定項目團隊成員和項目干系人為完成項目可交付成果而

必須完成的具體活動。一項活動和任務代表了實施過程中的一部分具體，

作，它有一個預期歷時、成本和資源要求，根據以往的經驗確定。

活動排序，涉及確定項目活動之間的關系，并形成響應的文檔。根據不同

的項目特點以及實施的具體要求進行安排。

活動歷史計算，涉及估計完成具體活動所需要的工作時段數。

制定進度計劃，涉及分析活動順序、活動歷時估算和資源要求，并根據要

求制定項目進度計劃。

進度計劃控制，涉及控制和管理項目進度計劃的變更。

項目運行包括各個階段，在不同階段，需要各個部門配合完成不同的工作。

任何一個環節出現問題，都會影響到后續工作的進行。所以，明確各個階段的任

務和雙方職責，會促進項目的順利執行。根據以往經驗，將此次項目的實施劃分

為7個主要的階段，項目啟動階段、準備和訂貨階段、到貨驗收階段、現場實施

階段、初驗階段、試運行階段和終驗階段。

為了更好的對xxxx信息安全風險評估服務項目實施工作，根據本項目的生

命周期和項目管理的相關方法，我們制定了詳細的項目施工計劃和方案用于保證

項目實施的順利進行。

3.7參與人員與角色職責

序號姓名項目角色

1項目經理

2項目質量管理

3物理、應用安全評估實施

4主機、網絡、數據安全評估實施

5安全管理評估實施

4信息系統風險評估

本次風險評估流程將主要參考《信息安全風險評估規范》（GB/T

20984-2007）,通過現場調查、現場測試、交流訪談、分析研究等方式找出出行

O網絡科技有限公司智行系統信息系統存在的脆弱性、面臨的威脅，以及威脅

發生的可能性、造成的影響，最終確定出行（）網絡科技有限公司智行系統信息

系統面臨的風險，并給出安全加固建議。

4.1.項目評估準備工作

4.1.1項目評估準備工作實施和確認

在評估實施階段的工作開始之前，雙方應細致檢查準備階段所有的工作內容

和工作結果，包括；

D確定風險評估的目標；

2）確定風險評估的范圍；

3）組建適當的評估管理與實施團隊；

4）進行系統調研：

5）確定評估依據和方法；

6）制定風險評估方案；

7）獲得最高管理者對風險評估工作的支持。

注意核實結果的簽名確認，以確保所收集和整理的信息、材料的客觀性和準

確性。

4.1.2項目評估前提條件

對于因客觀條件所限，無法滿足的評估條件，雙方應根據受測系統的實際情

況做出合理的假設，以確保安全評估工作的展開。

由安全評估專家根據評估條件核實和部件安全性分析的結果，查找無法修正

或無法從其他機構處獲得相應信息的問題，隨即確定需要假設的問題。

由安全評估工程師分別與網絡管理員、安全管理員和應用系統分析員逐一確

認需要假設的問題，并做出合適的假設。

由安全評估專家和協調人員確認假設的合理性，并形成假設說明文檔。

若有不符合的情況，需進行項目變更，包括：項目目標，項目范圍的變更。

4.2.資產識別與分析

4.2.1業務應用識別與分析

業務應用調查的目標如下：

利用應用流程將安全部件貫穿起來，估算安全性對用戶的價值影響；

確定信息系統中正常、合理的數據流和訪問行為；

確定權限和安全需求。

了解軟件結構的目標在于確定該業務應用的軟件分布于哪些信息系統設備、服務器

或主機上，為最終安全判斷提供證據。因為軟件分布帶來的安全問題包括：

權限和安全控制

軟件安全漏洞和補丁

軟件對環境的適應性

軟件安裝和運行對其他軟件安裝和運行的影響

工作任務和實施要求

評估方參與人員：安全評估專家和安全評估工程師。

用戶參與人員：安全管理員、應用系統分析員。

評估工具：問卷調查表。

主要任務:

由安全評估工程師制定《業務應用分析實施方案》;

安全評估工程師根據《業務應用分析實施方案》的要求調查、整理用戶在評估范圍

內的應用系統及其應用流程，安全管理員和應用系統分析員應協助安全評估工程師完

成該項任務；

安全評估工程師利用所獲取的應用流程將受測系統中的安全設備、網絡設備、服

務器或主機系統等貫穿起來。以應用流程為主線，由安全評估工程師標識業務應用所

連貫的部件資產，注意業務應用與服務器或主機系統的對應關系。本步驟需要了解業

務應用的內容包括：業務使命、安全目標、業務流程（用戶+信息+操作）、軟件結構

和功能、訪問路徑等；

由安全評估專家與應用系統分析員合作，根據應用系統及其應用流程所創造的價

值大小來為部件資產賦值，并確定受測系統的重要程濱；

安全評估專家將業務應用分析結果形成《業務應用分析說明書》。

成果

雙方協作，提交如下文檔：

《業務應用分析實施方案》

《業務應用分析說明書》

4.2.2資產識別

根據與出行（）網絡科技有限公司配合人員商定，信息系統主要設備大致情

況如卜.：

設備大類設備小類數量（臺）

主機服務器11臺

設備大類設備小類數量（臺）

應用系統智行系統1套

注：客戶系統部署于阿里云，僅租用虛擬服務器網絡設備與安全設備歸屈阿里云負責運維管理

工作目標

根據所獲得的系統資產信息，根據安全評估的要求，做出合適的部件資產分

析，包括：

部件資產分類

部件資產賦值

資產關鍵設備

工作任務和實施要求

評估方參與人員：安全評估工程師。

用戶參與人員：網絡管理員、安全管理員、應用系統分析員以及協調人員。

評估工具：座談和問卷調查表。

主要任務

雙方協商資產分類依據和賦值方法：

資產類型屬性分析計算

設備型號，IP地址，系統軟件及版本，部署

網絡設備

位置等

資產權重,C/I/A

屬性賦值，計算資

設備類型、IP地址、軟硬件情況、部署位置

安全設備

等產賦值

主機和服務設備型號，IP地址，軟硬件情況，承載的業

資產類型屬性分析計算

器務等

安全評估工程師在網絡管理員的協助卜，利用生成受測系統網絡拓撲圖。

由安全評估工程師根據計算環境、區域邊界、網絡及其基礎設施以及支撐基

礎設施的信息系統區域劃分方法，為部件資產分類。

由安全評估工程借助問卷調查表詢問協調人員，為部件資產劃分級別，并賦

予相應的級別值。協調人員應回答的內容包括資產的商業價值以及保密性、

完整性和可用性等的相對程度。若受測系統已經具備資產的安全級別劃分方

法和結果，則應遵循用戶的部件資產安全級別劃分結果。在最終的安全評估

報告中，評估方宜對用戶具備的資產級別劃分方法和結果給出合適的建議。

安全評估工程師根據調查分析的結果形成資產分析說明書。

成果

雙方協作，提交如下文檔：《資產識別賦值結果記錄》

4.3.脆弱性識別與分析

4.3.1脆弱性掃描介紹

脆弱性掃描主要是根據已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測

網絡協議、網絡服務、網絡設備等各種信息資產所存在的安全隱患和漏洞。掃描

的方式可以采用工具進行遠程或本地的網絡掃描。

利用安全掃描評估工具掃描網絡中的核心服務器及重要的網絡設備，包括服

務器、交換機、防火墻、數據庫等，以對網絡設備、服務器和數據庫等進行安全

漏洞檢測和分析，對識別出的能被入侵者用來非法進入網絡或者非法獲取信息資

產的漏洞，提醒安全管理員，及時完善安全策略，降低安全風險。

4.3.2脆弱性掃描流程

脆弱性掃描流程如下圖所示。

4.3.3脆弱性掃描與檢測

工作目標

對部件安全性分析部分所列出的主要部件進夕亍安全漏洞檢測，確認其上所存

在的CVE漏洞及補丁情況以及安全配置情況。

參與人員和工具

評估方參與人員：項目經理和安全評估專家。

用戶參與人員：安全管理員和網絡管理員。

評估工具：安全漏洞掃描系統（綠盟）等，最好使用用戶已有的檢查工具。

主要任務：

根據預分析結果，由安全評估工程師制定《安全漏洞檢測實施方案》；

在安全管理員和網絡管理員的協助下，按照網絡區域的劃分情況與實施方案

的要求，逐次利用“安全漏洞掃描系統、入侵檢測”對受測系統實施安全漏洞檢

測。安全管理員和網絡管理員需要提供檢查工具需要的IP地址、訪問設備的用

戶標識和口令、演示環境，并事先做好對檢測對象的備份工作，其詳細的任務要

求參見《安全漏洞檢測實施方案》。

測試完畢之后，由安全評估JL程師測試結果錄入信息庫中。錄入的信息包拈

漏洞的名稱、漏洞所依附的平臺以及可能的安全影響等。這些錄入的信息構成《安

全漏洞檢測整理記錄》。

評估對象

1）出行O網絡科技有限公司智行系統

主機系統（操作系統與數據庫）脆弱性識別與分析

網絡系統（網絡設備與安全設備）脆弱性識別與分析

虛擬化環境脆弱性識別與分析

IT應用（應用系統與中間件）脆弱性識別與分析

運行維護脆弱性識別與分析

開發管理脆弱性識別與分析

實施要求

脆弱性掃描過程中可能會發生對應用、系統和網絡等不利的情形出現，為了

保證掃描的效果和用戶網絡信息系統的安全。在進行掃描實施前要完成如下工

作：

1）客戶的書面授權委吒書

這體現了脆弱性掃描的合法性，表明用戶同意評估方的實施方案，并旦允許

評估方按照實施方案去測試。實施方案內容應該包括實施目的、實施方法、實施

時間、實施人員、實施工具、實施步躲、實施風險和風險規避措施、用戶方配合

方式和要求等信息。通過實施方案要讓客戶知道脆弱性掃描所有細節和風險，所

有過程都在客戶的控制之下。

2）風險規避措施

為了規避對網絡、系統等的風險給用戶可能帶來的損害，脆弱性掃描應該有相應的

規避措施：

時間選擇：脆弱性掃描應該選在非業務繁忙期或是晚上，以避免給網絡和系統過多

負擔；

掃描策略選擇：為防止網絡和系統業務中斷，脆弱性掃描過程中中不使用含有拒絕

服務的掃描策略

保守策略選擇：對不接受任何風險的系統掃描時，可以通過checklist和安全審計的

方式杳找脆弱性；

系統監測；在滲透測試時，允許用戶對整個測試流程進行全程監控，及時解

決測試過程中出現的問題。

成果

雙方協作，提交如下文檔：

安全漏洞檢測原始結果（自動掃描工具的結果）

《安全漏洞檢測整理記錄》

《主機系統（操作系統與數據庫）脆弱性整理記錄》

《網絡系統（網絡設備與安全設備）脆弱性整理記錄》

《虛擬化環境脆弱性脆弱性整理記錄》

《1T應用（應用系統與中間件）脆弱性整理記錄》

《運行維護脆弱性整理記錄》

《開發管理脆弱性整理記錄》

《終端安全脆弱性整理記錄》

4.4.威脅識別與分析

工作目標

評估方調查、分析、總結受測系統面臨的威脅狀況，包括面臨的主要威脅、

威脅發生的頻率以及造成的影響等。

工作任務和實施要求

評估方參與人員：安全評估專家和安全評估工程師。

用戶參與人員：安全管理員。

評估工具：問卷調查表。

主要任務：

雙方確認威脅途徑和威脅類型的屬性，包括：

外部環境威脅；

內部環境威脅；

外部系統威脅；

內部系統威脅：

外部人為蓄意威脅；

內部人為蓄意威脅；

內部人為無意威脅；

其他主要威脅；

由安全評估工程師制定《安全威脅分析實施方案》；

由安全評估工程借助威脅調查表詢問安全管理員，用戶曾經發生的安全事件

中所面臨的安全威脅，并根據威脅的描述結陶形成相應的記錄；

安全評估工程師根據受測系統的網絡拓撲情況，分析受測可能面臨的安全威

肋，，形成相應的記錄；

安全評估工程師根據所形成的記錄這些《安全威脅說明書》，并提交安全評

估專家和安全管理員審核。

成果

雙方協作，提交如下文檔：《安全威脅分析農告》

4.5.已有安全措施確認

4.5.1安全功能評估

工作任務和實施要求

評估方參與人員：安全評估工程師。

用戶參與人員：安全管理員、業務系統分析員、網絡管理員。

主要任務：

由安全評估工程師制定《安全功能評估實施方案》。

安全評估專家在應用分析員的協助下，梳理和確認作為評估主線的業務應

用：

安全評估工程師在網絡管理員和安全管理員的協助下，沿著業務應用方向，

完成對網絡安全部件安全功能的評估，包括；

身份鑒別和訪問控制

網絡訪問控制（如防火墻等的安全控制）

審計

安全監控（對CPU和內存等的監控等）

病毒防護情況

應急響應等

安全評估工程師在安全管理員和系統管理員的協助下，完成對操作系統、數

據庫管理系統、應用軟件平臺安全保護功能的評估。

安全評估工程師在安全管理員和應用系統分析員的協助下，完成對應用安全

保護功能的評估。

安全評估工程師借助分析工具，生成安全功能評估的中間結果。

成果

雙方協作，提交如下文檔：

《各層面的安全功能評估實施方案》

《各層面的安全功能評估中間結果報告》

4.5.2安全保證評估

工作目標

本任務的主要目標是通過考察業務應用生命周期過程，以確定業務應用軟件

開發的規范程度，生命周期過程包括需求確定、開發、測試、脆弱性分析、配置

管理等過程，

所需評估的安全保證要素包括：

生命周期支持

開發

測試

分發與操作

指導性文檔

脆弱性分析

配置管理

工作任務和實施要求

評估方參與人員：安全評估專家和安全評估工程師。

用戶參與人員：安全管理員。

主要任務：

由安全評估工程師制定《安全保證評估實施方案》。

以典型應用為例，由安全評估工程借助問卷調查表詢問安全管理員，完成對

安全保證評估指標的應答，并提供相應的解釋信息，形成評估記錄。

由安全評估專家評估結果和評估記錄，形成《安全保證評估報告》（草案）。

成果

雙方協作，提交如下文檔：

安全保證評估結果整理記錄

《安全保證評估報告》（草案）

4.5.3物理安全評估

工作目標

對機房環境、設備、介質等進行安全評估。

工作任務和實施要求

評估方參與人員：安全評估專家和安全評估工程師。

用戶參與人員：安全管理員。

評估工具：問卷調查表。

主要任務：

由安全評估工程師制定《物理安全評估實施方案》。

由安全評估工程借助問卷調查表詢問安全管理員，完成對物理安全評估指標

的應答，并提供相應的解釋信息，形成評估記錄。對于某些技術方面的要求，需

要安全評估工程師進行現場勘察。

由安全評估專家綜合評估結果和評估記錄，形成《物理安全評估報告》（草

案）。

物理安全方面的管理制度（出入、清潔等）則納入到安全管理評估的范圍，

這里的評估以物理安全的技術要求為主，如防靜電、防雷擊等，主要關注技術的

落實情況。但需要用特定的設備測試的內容不在本評估之列，如使用工具測試靜

電、電磁等的狀況。

評估對象

物理環境

成果

雙方協作，提交如下文檔：

物理安全評估結果整理記錄

《物理安全評估報告》（草案）

4.6.關鍵區域的滲透性測試

4.6.1滲透測試介紹

滲透測試利用網絡安全掃描器、專用安全測試工和富有經驗的安仝工程師

的人工經驗對網絡中的核心服務器及重要的網絡設備、應用系統等，進行非破壞

性質的模擬黑客攻擊，目的是侵入系統并獲取機密信息并將入侵的過程和細節產

生報告給用戶。

通過滲透測試用戶可以獲得如下益處:

1）協助用戶發現組織中的安全最短板，協助用戶有效地了解目前降低風險

的初始任務；

2）一份文檔齊全有效的滲透測試報告有助于組織IT管理者以案例說明目前

安全狀況，從而增強信息安全的認知程度，甚至提高組織在安全方面的預算；

3）信息安全是一個整體工程，滲透測試有助與組織中的所有成員意識到自

己的崗位同樣可能提高或降低風險，有助于內部安全的提升。

4.6.2滲透測試實施保障

滲透測試過程中可能會發生對應用、系統和網絡等不利的情形出現，為了保

證測試的效果和用戶網絡信息系統的安全。在進行測試前要做兩項非常重要的工

作：

1）客戶的書面授雙委托書

這體現了滲透測試的合法性，表明用戶同意評估方的實施方案，并且允許評

估方按照實施方案去測試。實施方案內容應該包括實施目的、實施方法、實施時

間、實施人員、實施工具、實施步驟、實施風險和風險規避措施、用戶方配合方

式和要求等信息。通過實施方案要讓客戶知道滲透測試所有細節和風險，所有過

程都在客戶的控制之下。

2）風險規避措施

為了規避對網絡、系統等的風險給用戶可能帶來的損害，滲透測試應該有相應的規

避措施：

時間選擇：滲透測試應該選在非業務繁忙期或是晚上；

攻擊策略選擇：為防止網絡和系統業務中斷，滲透測試中不使用含有拒絕服務的測

試策略

保守策略選擇：對不接受任何風險的系統測試時，可以復制目標環境或是對目標副

本做滲透測試;

系統備份和恢復：為防止測試帶來不可逆轉或恢復的風險，在測試前時系統做備份,

以便出問題時能夠及時恢復系統。

系統監測：在滲透測試時，允許用戶對整個測試流程進行全程監控，及時解

決測試過程中出現的問題。

4.6.3滲透測試實施

工作目標

滲透測試是模擬攻擊者對系統進行滲透，通過測試檢測系統抵抗攻擊的能力

和發現系統最脆弱的環節。

工作參與人員

評估方參與人員：安全滲透測試工程師

用戶參與人員：安全管理員和業務系統管理員

工作任務

滲透測試工作任務包括：

按滲透目標類型：外網服務器區與內網服務器區；

按滲透攻擊路徑：分為外網滲透測試、內網絡滲透測試；

按滲透層次：分為網絡層滲透測試、系統層滲透測試和應用層滲透測試；

針對XXXX網絡信息系統，滲透測試工作將覆蓋上述內容，從不同角度對XXXX

信息系統的各個應用服務進行全方位的滲透測試。

實施流程

實施方案確定，客戶書面授權

信息收集分析（掃描，工具軟件）

實施測試項（口令猜測，腳本測試）

取得權限、提升權限

遠程溢出、本地溢出

成果

根據滲透測試結果為用戶出具相關的滲透測試報告

4.7.安全風險分析

工作目標

本部分的工作目標如下：

匯總資產分析、CVE檢測、威脅分析、安全功能和安全管理評估的結果，形

成風險分析的依據；

根據資產、脆弱性、威脅間的關系，遵循《信息安全風險評估實施指南》中

的要求，估算部件資產的安全風險。

參與人員

評估方參與人員：安全評估專家和安全評估工程師。

用戶參與人員：安全管理員。

工作任務

主要任務:

安全評估工程師在完成CVE漏洞檢測和安全功能評估之后，進行威脅分析，

計算每個部件資產面臨的威脅情況，包括：

部件上的脆弱性情況；

可能面臨的威脅種類、威脅目的；

部件資產威脅發生的可能性和嚴重程度。

安全評估工程師根據部件資產賦值結果，結合威脅分析結果，完成部件資產

的風險計算，包括：

部件風險值范圍；

部件風險結果統計等。

安全評估專家審核部件風險計算結果，最終形成《安全風險情況說明》；

安全評估工程師將以上內容形成評估結果確認說明文檔，經安全評估專家審

核后，提交給安全管理員，由雙方正式簽字確認。

成果

雙方