1、XXXXXXXXXX 安全評估實施方案安全評估實施方案 20XX20XX 年年 X X 月月 北京北京 XXXXXXXXXXXX 公司公司 安全服務事業部安全服務事業部 文檔信息文檔信息 項目名稱項目名稱XXXXX 安全服務項目 文檔編號文檔編號 版本號版本號日期日期參與人員參與人員更新說明更新說明 1.0 1.0 分發控制分發控制 編號編號讀者讀者文檔權限文檔權限與文檔的主要關系與文檔的主要關系 1范卿編寫，修 改 負責編制、修改 2XXXXX 項目組成 員 讀取 審核 3XXXXX X 項目組 成員 讀取 版權說明版權說明 本文件中出現的全部內容，除另有特別注明，版權均屬北京 XXXXXX

2、 公司所有。任 何個人、機構未經北京 XXXXXX 公司的書面授權許可，不得以任何方式復制或引用文件 的任何片斷。北京 XXXXXX 公司安全服務事業部負責對本文檔的解釋。 保密申明保密申明 本文件包含了來自北京 XXXXXX 的可靠、權威的信息，以及 XXXXX 網絡系統的敏 感信息，接受這份文件表示同意對其內容保密并且未經北京 XXXXXX 公司書面請求和書 面認可，不得復制，泄露或散布這份文件。如果你不是有意接受者，請注意對這份文件內 容的任何形式的泄露、復制或散布都是被禁止的。 目 錄 一一.背景背景.8 1.1.評估目標 .8 1.2.評估范圍 .9 二二.評估原則評估原則.9 2.

3、1.保密原則 .9 2.2.標準性原則 .10 2.3.可控性原則 .10 2.4.全面性原則 .11 2.5.重點性原則 .11 2.6.最小影響原則 .12 三三.評估標準評估標準.12 3.1.信息安全標準 .12 3.1.1.BS7799 (ISO/IEC 17799).12 3.1.2.SSE-CMM .13 3.1.3.ISO/IEC 15408(GB/T18336) .13 3.1.4.ISO/IEC 13335.13 3.1.5.其他相關標準.14 3.2.組織安全策略 .14 3.2.1.相關法規和政策.14 3.2.2.行業管理規范.15 四四.資產調查與賦值資產調查與賦值

4、.15 4.1.需求調查 .15 4.1.1.調查對象.16 4.1.2.調查方式.17 4.1.3.調查內容.17 4.2.資產賦值 .18 4.2.1.基本概念.18 4.2.2.信息資產分類.19 4.2.3.信息資產賦值.22 五五.安全類別安全類別級評估內容級評估內容.24 5.1.安全技術評估 .25 5.1.1.物理安全.25 5.1.2.網絡安全.26 5.1.3.節點安全.28 5.1.4.應用與數據安全.30 5.2.安全管理評估 .31 5.2.1.政策與制度.32 5.2.2.機構與人員.34 5.2.3.安全風險管理.38 5.2.4.工程建設管理.44 5.2.5.

5、運行與維護管理.49 5.2.6.業務連續性管理.60 5.2.7.其他管理要求.65 六六.掃描評估方案掃描評估方案.66 6.1.目標 .66 6.2.地點 .66 6.3.時間 .66 6.4.參與人員 .67 6.5.范圍 .67 6.5.1.網絡設備.67 6.5.2.應用系統.67 6.6.評估方法 .67 6.7.工具選擇 .68 6.7.1.漏洞掃描工具.68 6.7.2.輔助工具.69 6.7.3.系統自帶程序.73 6.8.評估的代價 .74 6.8.1.流量的代價.74 6.8.2.主機的代價.75 6.8.3.主機的潛在威脅.76 6.9.實施步驟 .76 6.9.1.

6、網絡掃描.76 6.9.2.掃描策略.77 6.9.3.掃描操作.78 6.9.4.報告整理.82 七七.人工評估方案人工評估方案.82 7.1.目標 .82 7.2.地點 .82 7.3.時間 .83 7.4.參與人員 .83 7.5.范圍 .83 7.5.1.網絡設備.83 7.5.2.應用系統.83 7.6.評估方法 .83 7.7.實施步驟 .85 7.7.1.評估步驟.85 7.7.2.評估內容.86 7.7.3.報告整理.87 八八.項目實施計劃項目實施計劃.87 8.1.項目組結構 .87 8.1.1.甲方項目組結構.87 8.1.2.乙方項目組結構.88 8.2.項目小組聯系表

7、 .89 8.2.1.甲方小組聯系表.89 8.2.2.乙方小組聯系表.89 8.3.項目進度安排 .90 8.4.用戶配合 .90 8.5.評估監控 .90 8.5.1.網頁監控.91 8.5.2.系統監控.91 8.6.評估風險的應對措施 .91 8.7.評估風險應急預案 .92 附錄一：甲方項目組聯系表附錄一：甲方項目組聯系表.94 附錄二：乙方項目組聯系表附錄二：乙方項目組聯系表.95 附錄三：項目進度計劃附錄三：項目進度計劃.96 一一. 背景背景 企業對信息技術和服務的依賴意味著自身更容易受到安全威脅的攻擊。為保證企業富 有競爭力，保持現金流順暢和贏利，以及維護企業的良好商業形象，

8、信息安全的三要素保 密性、完整性和可用性都是至關重要的。 對于一個特定的網絡，為了實現其網絡安全的目標，就是要在網絡安全風險評估的基 礎上，明確系統中所存在的各種安全風險，并制訂相應的安全策略，通過網絡安全管理和 各種網絡安全技術的實施，從而達到網絡安全的目標。 安全評估是網絡安全防御中的一項重要技術，其原理是根據已知的安全漏洞知識庫， 對目標可能存在的安全隱患進行逐項檢查。目標可以包括工作站、服務器、交換機、路由 器、數據庫等各種網絡對象和應用對象。然后根據掃描結果向系統管理員提供周密可靠的 安全性分析報告，為提高網絡安全整體水平產生重要依據。在網絡安全體系的建設中，安 全掃描工具花費低、效

9、果好、見效快、與網絡的運行相對獨立、安裝運行簡單，可以大規 模減少安全管理員的手工勞動，有利于保持全網安全政策的統一和穩定。 為了充分了解客戶當前的網絡安全威脅狀況，需要利用一些常用的掃描工具、應用軟 件以及人工分析的等方式獲得客戶中重要服務器的各類數據。在掃描之后，將掃描系統獲 得的報告匯集成為一個當前系統漏洞評估報告，同時根據漏洞情況提供加強網絡安全的建 議。 為了保證客戶網絡的安全有效運行以及漏洞信息能夠更加完整和準確，XXXXXX 公 司還為客戶提供手工的安全評估服務，我們公司擁有大量具有豐富經驗的安全工程師，通 過對客戶網絡主機的直接接觸，對目標進行安全評估，達到及時發現網絡存在的安

10、全問題， 保證網絡的安全性，同時對網絡系統性能不造成影響。 1.1.評估目標評估目標 本期安全風險評估項目，將通過管理上、技術上的等多方面進行，以實現以下安全評 估目標： 管理上 審核安全策略的合理性 審核安全管理文檔的完備程度 完成資產識別、分類工作 擬定體系及策略改進計劃 技術上 識別被評估系統面臨的威脅 識別被評估系統存在的脆弱性 識別安全設施的有效性 分析威脅發生的可能性 分析威脅發生的后果 評價安全風險 擬定風險處理計劃 1.2.評估范圍評估范圍 對于指定的信息系統必須首先進行資產識別和分類，明確被保護的信息資產，對每一 項資產進行確認和評估。在對信息資產進行識別評估分析時，要根據系

11、統遭受破壞后，對 保密性、完整性和可用性造成的影響來決定信息資產的價值。 XXXXX 目前擁有一個機房。XXXXXX 將對個機房進行安全評估和加固服務。主要從 這個機房的管理層、技術層、操作層、物理層等多個層面進行安全評估工作，以求能夠通 過這次評估和加固工作達到要求的安全標準，大幅度提高 XXXXX 以及下屬機房的安全防 御能力。 二二. 評估原則評估原則 為了確保安全項目成功實施，我們將遵循以下原則進行： 2.1.保密原則保密原則 對于安全項目，實施方首先應做到的就是對用戶要求保密的信息遵守保密原則。 XXXXXX 公司和參加此次評估項目的所有項目組成員，都要與甲方簽署相關的保密 協議和非

12、侵害性協議。 2.2.標準性原則標準性原則 依據國際國內標準開展工作是本次評估工作的指導原則，也是 XXXXXX 公司提供信 息安全服務的一貫原則。 XXXXXX 公司在提供本次評估服務中，將會依據相關的國內和國際標準進行。這些 標準包括： ISO 17799 BS7799-2 ISO 13335 AS/NZS 4360 ISO 15408 / GB18336 SSE-CMM XXXXXX 公司在提供本次評估服務中，除了依據相關的國內和國際標準之外，還要 參考一些沒有成為國際和國內標準，但是已經成為業界事實上標準的一些規范和約定。這 些規范和約定包括： CVE 公共漏洞和暴露 PMI 項目管理

13、方法學 XXXXXX 公司在提供本次評估服務中，除了依據相關的國內和國際標準之外，還根 據本項目的需要，遵循 XXXXXX 公司自身的一些規范和要求。這些規范包括： XXXXXX 科技顧問服務項目管理規范 V1.0 XXXXXX 科技信息安全顧問服務規范 V1.0 XXXXXX 科技信息安全風險評估標準 V1.1 XXXXXX 科技信息安全風險評估服務規范 V1.1 2.3.可控性原則可控性原則 XXXXXX 公司將從多個方面配合甲方，以便達到甲方對評估工作的可控性。這些可 控性包括： 人員可控性 XXXXXX 公司項目組將確保項目組成員工作的連續性。 XXXXXX 公司將派遣有經驗的顧問、評

14、估師和工程師參加本項目的評估工 作，同時還會安排有經驗的項目管理人員、質量保證人員、標準化審核人員 等支持項目的工作。 XXXXXX 公司的人員安排將在顧問服務的工作說明中明確定義并得到雙方 的同意、確認和簽署。如果根據項目的具體情況，后期需要進行人員調整時， 必須經過正規的項目變更程序，并得到雙方的正式認可和簽署。 工具可控性 XXXXXX 公司項目組所使用的所有技術工具都事先通告甲方。并且在必要 時可以應甲方要求，向甲方介紹主要工具的使用方法，并進行一些實驗。 項目過程可控性 本評估項目的管理將依據 PMI 項目管理方法學達到項目過程的可控性。 為了保證 XXXXXX 公司的工作能夠按照工

15、程進度實施，甲方組成的評估小 組的工作需要在雙方進行評估之前舉行會議，予以討論，正式形成文字材料， 即書面確定甲方評估小組的職責和義務。評估期間雙方將本著友好合作的態 度完成各自的職責。 2.4.全面性原則全面性原則 XXXXXX 公司將按照確定的評估范圍進行全面的評估，從范圍上滿足甲方的要求。 XXXXXX 公司實施的網絡、系統和應用評估是對 xxxxx 的全面評估；XXXXXX 公司實施 的人工分析也覆蓋了上述業務系統的業務流程和相互間的業務相關性和數據共享； XXXXXX 公司進行的綜合分析和建議將結合 XXXXXX 公司長期的信息安全經驗和相關的 國際經驗。 評估覆蓋信息的存儲、傳輸、

16、處理全過程。 2.5.重點性原則重點性原則 從用戶的業務期望出發，采用詳細的安全風險評估方式對用戶指出的關鍵性業務系統 進行重點評估。 2.6.最小影響原則最小影響原則 XXXXXX 公司會從項目管理層面和工具技術層面，將評估工作對甲方系統和網絡正 常運行的可能影響降低到最低限度，不會對現有網絡的運行和業務的正常提供產生顯著影 響。系統評估我們選擇對業務連續性影響較小的主機進行。數據庫評估和網絡評估，我們 選擇業務最小的時段進行，一般在半夜 12 點以后進行，在評估前作好數據備份。 三三. 評估標準評估標準 XXXXXX 公司采用國際信息安全管理標準 BS 7799 的風險管理思想作為貫穿整個

17、風險 評估過程的主要指導規范。另外，在風險等關鍵因素的評估方面，我們還參考了 SSE- CMM、ISO15408 和 ISO13335 標準。同時，SSE-CMM 在這次項目的安全工程實施， ISO15408、ISO13335 在安全評估方案的制定等方面都提供了規范化的指導。 其中在評估過程中涉及到的一些技術細節問題，我們嚴格遵循和執行有關國家的法律 法規和行業的管理規范。 3.1.信息安全標準信息安全標準 3.1.1. BS7799 (ISO/IEC 17799) BS 7799 是國內外現在比較流行的信息安全管理標準，其安全模型主要是建立在風險 管理的基礎上，通過風險分析的方法，使信息風險

18、的發生概率和后果降低到可接受水平， 并采取相應措施保證業務不會因安全事件的發生而中斷。這個標準中風險管理框架的構建 過程也就是宏觀上指導整個安全風險評估的過程。 這個標準中給出了 10 類需要進行控制的部分：安全策略、安全組織、資產分類與控制、 個人信息安全、物理和環境安全、通信和操作安全、訪問控制、系統的開發和維護、商業 持續規劃、合法性要求等方面的安全風險評估和控制，以及 127 項控制細則。 3.1.2. SSE-CMM SSE-CMM 是“系統安全工程能力成熟模型”的縮寫。系統安全工程旨在了解用戶單 位存在的安全風險，建立符合實際的安全需求，將安全需求轉換為貫穿安全系統工程的實 施指南

19、。系統安全工程需要對安全機制的正確性和有效性做出驗證，證明系統安全的信任 度能夠達到用戶要求，以及未在安全基線內仍存在的安全問題連帶的風險在用戶可容許、 或可控范圍內。 SSE-CMM 將一個安全事件分為了三個組成部分：威脅、脆弱性和影響，并且提供了 影響、風險、威脅和脆弱性的具體評估方法和過程，進一步為安全風險評估的實施提供了 指導。 作為更主要的作用，我們應用 SSE-CMM 模型把整個安全風險評估工程劃分為如下幾 個階段：安全需求分析階段、安全系統規劃階段、安全系統實施階段、安全系統確認階段 和安全需求驗證階段。在安全工程的整個生命周期過程中，我們都將嚴格按照 SSE-CMM 的要求進行

20、實施，以保證整個項目工程的質量。 3.1.3. ISO/IEC 15408(GB/T18336) 信息技術安全性評估通用準則 ISO15408 已被頒布為國家標準 GB/T18336，簡稱通用 準則（CC） ，它是評估信息技術產品和系統安全性的基礎準則。該標準針對在安全性評估 過程中信息技術產品和系統的安全功能及相應的保證措施提出一組通用要求，使各種相對 獨立的安全性評估結果具有可比性。 ISO15408 同樣對本次項目的安全風險評估模型及關鍵風險因素有著指導意義，但更重 要的是它能比較好的指導我們對系統安全功能的各方面進行安全檢查和分析，保證了安全 風險評估的全面性和完整性，也使得信息系統在

21、技術上能夠符合國家的安全測評認證的要 求。最后，我們可以根據這個標準生成針對信息系統安全的規范化的安全評估方案，或者 更確切叫信息系統安全規范。 3.1.4. ISO/IEC 13335 ISO13335 是信息安全管理方面的規范，這個標準的主要目的就是要給出如何有效地實 施 IT 安全管理的建議和指南。 ISO13335 首先為風險評估提供了方法上的支持，并且它所定義的安全概念更加全面化 了安全風險評估考慮的問題，使得最終生成的安全評估方案不但在技術方面完整而且從管 理的角度看也很全面。 3.1.5. 其他相關標準其他相關標準 這些標準包括國際和國內的一些涉及具體安全技術方面的標準，如 GB

22、9361-88 計算機 場地安全要求、GB2887-89 計算機站場地技術條件等，以便為安全評估的具體技術細節作 指導。 3.2.組織安全策略組織安全策略 3.2.1. 相關法規和政策相關法規和政策 信息系統的建設是國家信息化的一個組成部分，在促進國民經濟發展和社會穩定方面 具有越來越重要的作用。隨著計算機應用的進一步普及和發展，計算機信息系統安全問題 日益社會化、嚴重化，國家有必要運用行政法律手段來進行有效的管理，維護社會的穩定 和發展。這些相關的政策法規包括了可能約束信息系統在進行安全體系建立和使用信息的 安全方面的國家法律法規和政策。這些政策法規主要有： 中華人民共和國保守國家秘密法 （

23、1988 年 9 月 5 日中華人民共和國主席令 第 6 號公布） 中華人民共和國保守國家秘密法實施辦法 （國家保密局文件 國保發 1990 1 號） 中華人民共和國國家安全法 （主席令 68 號，1993 年 2 月 22 日第七屆全國人民代 表大會常務委員會第三十次會議通過） 中華人民共和國計算機信息系統安全保護條例 （國務院令 147 號） 計算機信息系統保密管理暫行規定 （國家保密局文件 國保發1998 1 號） 計算機信息系統國際聯網保密管理規定 （國家保密局文件 國保發1999 1 號） 中華人民共和國計算機信息網絡國際聯網管理暫行規定 （國務院令 195 號） 中華人民共和國計算

24、機信息網絡國際聯網管理暫行規定實施辦法 （1997 年 12 月 8 日國務院信息化工作領導小組審定） 計算機病毒防治管理辦法 （2000 年 4 月 26 日中華人民共和國公安部 第 51 號令） 計算機信息網絡國際聯網安全保護管理辦法 （1997 年 12 月 11 日國務院批準， 1997 年 12 月 30 日公安部發布） 計算機信息系統安全專用產品分類原則 （1997 年 4 月公安部發布） 計算機信息系統安全保護等級劃分準則 （1999 年 9 月國家技術監督局發布） 互聯網電子公告服務管理規定 （信息產業部 2000 年 10 月 8 日第 4 次部務會議通過） 互聯網站從事登載

25、新聞業務管理暫行規定 （國務院新聞辦公室和信息產業部 11 月 7 日聯合發布） 計算機信息系統安全等級保護劃分準則 （GB/T17859-1999） 計算機信息系統安全等級保護網絡技術要求 （GA/T387-2002） 計算機信息系統安全等級保護操作系統技術要求 （GA/T388-2002） 計算機信息系統安全等級保護數據庫管理系統技術要求 （GA/T389-2002） 計算機信息系統安全等級保護通用技術要求 （GA/T390-2002） 計算機信息系統安全等級保護管理要求 （GA/T391-2002） 計算機機房場地安全要求 （GB9361-88） 上述國家政策法規對信息系統安全等級標準、機房場地與設施、通信和信息保密信息、 安全產品和安全系統開發商、電子商務安全以及有關技術標準等方面提出了具體要求。 3.2.2. 行業管理規范行業管理規范 行業管理規范是指各行業的主管機構對整個行業信息系統安全所作的針對行業特點的 具體規范和要求，這些行業包括證券、銀行、電信、政府部門等眾多的機構和組織。這些 要求成為安全風險評估的基本安全需求和尺度，因此在評估中應當嚴格遵循這些要求。 四四. 資產調查與賦值資產調查與賦值 4.1.需求調查