网络风险评估方案

目录一、网络安全评估服务背景......................................................1.1安全评估概念.............................................................1.2安全评估的目的...........................................................1.3目标现状描述.............................................................二、风险评估内容说明..........................................................2.1风险等级分类.............................................................2.2评估目标分类.............................................................2.3评估手段.................................................................2.4评估步骤.................................................................2.5评估检测原则.............................................................三、评估操作...................................................................3.1人员访谈&调查问卷........................................................3.2人工评估&工具扫描........................................................3.3模拟入侵.................................................................四、项目实施计划..............................................................4.1项目实施.................................................................4.2项目文档的提交...........................................................附录一：使用的工具简单介绍.....................................................Nessusscanner3.2英文版....................................................Xscan-guiv3.3中文版.......................................................辅助检测工具.................................................................附录二：*****信息技术有限公司简介.............................................1.1网络安全服务理念..........................................................1.2网络安全服务特点..........................................................网络风险评估方案【最新资料，WORD文档，可编辑修改】一、网络安全评估服务背景1.1风险评估概念信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。1.2风险评估目的风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的：找出目前的安全策略和实际需求的差距获得目前信息系统的安全状态为制定组织的安全策略提供依据提供组织网络和系统的安全解决方案为组织未来的安全建设和投入提供客观数据为组织安全体系建设提供详实依据此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范，为建立全面的安全防护层次提供了一套完整、规范的指导模型。1.3目标现状描述XXXXXXX省略XXXX二、风险评估内容说明2.1风险等级分类信息系统风险包括下表所示内容，本方案按照国家二级标准将对XX公司信息风险进行评估。下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表：威胁严重程度（资产价值）划分表等级标识描述5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。威胁可能性赋值表等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过。4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。对资产弱点进行赋值后，使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下：威胁可能性12345资产价值12461013235912163471115204581419225610162125然后根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定威胁的风险等级风险等级划分对照表风险值1-67-1213-1819-2324-25风险等级12345最后对资产威胁进行填表登记，获得资产风险评估报告。资产威胁名称严重程度可能性风险等级资产1资产2资产32.2评估目标分类根据《信息系统安全等级评测准则》，将评估目标划分为以下10个部分1)机房物理安全检测2)网络安全检测3)主机系统安全4)应用系统安全5)数据安全6)安全管理机构7)安全管理制度8)人员安全管理9)系统建设管理10)系统运维管理在实际的评估操作中，由于出于工作效率的考虑，将评估目标进行整合实施考察，评估完成后再根据评估信息对划分的10个部分进行核对，检查达标的项目。2.3评估手段安全评估采用评估工具和人工方式进行评估，即根据定制的扫描策略实施远程评估，根据评估工具的初步结果进行人工分析和本机控制台分析。2.4评估步骤风险评估项目描述备注1、网络安全评估知识培训网络信息安全典型案例培训目的是为了让客户对网络安全有个清晰的认识，从而在评估前就引起其重视，方便后面动作的开展。网络安全评估流程培训目的是为了客户能理解我们的工作，从而获得客户的支持。2、资产评估收集信息完成《资产信息登记表》可以远程操作3、威胁评估对物理安全进行评估参照《物理安全规范表》访谈、查看相关文档，实地考察对人员安全管理进行评估参照《人员安全管理规范表》访谈人事部门相关人员4、弱点评估（完成网络安全、应用安全、主机安全规范表）整体网络安全信息Xscan-gui进行全网安全扫描，获得全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进行扫描统计使用工具共享资源扫描整个网络，同时演示给客户其暴露在内网中的敏感信息应用服务Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行收集根据checklist对服务器进行本地安全检查使用密码强度测试工具请求客户网管进行密码强度测试网络设备Nessus对网络设备进行安全扫描使用密码强度测试工具请求客户网管进行密码强度测试根据checklist对网络设备进行本地安全检查5、安全管理评估网络拓扑结构分析分析冗余、负载均衡功能数据安全调查《数据安全规范表》管理机构评估《安全管理机构规范表》需要访谈对方领导，需要先获得领导的支持与配合安全管理制度《安全管理制度规范表》通过问卷调查的方式获得部分内容、管理制度文档审查系统建设管理《系统建设管理规范表》查看相关文档、访谈网管系统运维管理《系统运维管理规范表》访谈部门领导、网管。实地考察6、渗透测试渗透测试参考有关渗透测试方案签署有关授权协议渗透测试报告《XX系统渗透测试报告》7、数据整理、风险评估报告以及加固建议资产风险《资产风险评估报告》信息系统安全《整体网络安全报告》领导参阅版和技术人员参阅版加固建议《安全加固报告》、《管理规范建议》根据checklis进行加固2.5评估检测原则2.5.1标准性原则依据国际国内标准开展工作是本次评估工作的指导原则，也是*****信息技术有限公司提供信息安全服务的一贯原则。在提供的评估服务中，依据相关的国内和国际标准进行。这些标准包括：《信息安全风险评估指南》《信息系统安全等级保护测评准则》《信息系统安全等级保护基本要求》《信息系统安全保护等级定级指南》(试用版v3.2)《计算机机房场地安全要求》（GB9361-88）《计算机信息系统安全等级保护网络技术要求》（GA/T387-2002）《计算机信息系统安全等级保护操作系统技术要求》（GA/T388-2002）《计算机信息系统安全等级保护数据库管理系统技术要求》（GA/T389-2002）《计算机信息系统安全等级保护通用技术要求》（GA/T390-2002）《计算机信息系统安全等级保护管理要求》（GA/T391-2002）《计算机信息系统安全等级保护划分准则》（GB/T17859-1999）2.5.2可控性原则人员可控性：将派遣数名经验丰富的工程师参加本项目的评估工作，有足够的经验应付评估工程中的突发事件。工具可控性：在使用技术评测工具前都事先通告。并且在必要时可以应客户要求，介绍主要工具的使用方法，并进行一些实验。2.5.3完整性原则将按照提供的评估范围进行全面的评估，从范围上满足的要求。实施的远程评估将涉及全部外网可以访问到的设备；实施的本地评估将全面覆盖安全需求的各个点。2.5.4最小影响原则*****信息技术有限公司会从项目管理层面和工具使用层面，将评估工作对系统和网络正常运行的可能影响降低到最低限度，不会对现有运行业务产生显着影响。*****信息技术有限公司和参加此次评估项目的所有项目组成员，都要与签署相关的保密协议。三、评估操作3.1人员访谈&调查问卷为了检查XXXX安全现状，主要在安全管理方面进行一个安全状况的调查和摸底，我们采取安全审计的方法，主要依据国家等级安全标准的要求，*****向XXXX提交了详细的问题清单，针对管理层、技术人员和普通员工分别进行面对面的访谈。通过人员访谈的形式，