公司业务系统安全检测方案

XX公司第1页共18页深圳市****有限公司业务系统安全检测方案二零一八年四月XXX公司文件XX公司第2页共18页目录一.目的...........................................................................................................................................3二.项目实施时间和地点................................................................................................................32.1项目实施时间....................................................................................................................32.2项目实施地点....................................................................................................................3三.项目具体实施方法...................................................................................................................43.1重点评估具体内容............................................................................................................43.2评估项目总体流程............................................................................................................83.3具体流程举例..................................................................................................................9五.双方及设备厂商项目组成人员..............................................................................................10六.项目实施质量控制..................................................................................................................106.1过程控制..........................................................................................................................10七.项目实施时间进度表..............................................................................................................11八．项目管理文档模版.................................................................................................................128.1会议纪要模版..................................................................................................................128.2工程开工通知单模版......................................................................................................138.3事故记录表模版..............................................................................................................148.4工程实施记录表...............................................................................................................15九.项目文档管理要求..................................................................................................................16十一.工程验收..............................................................................................................................1711.1正式验收要项.................................................................................................................1711.2验收流程.........................................................................................................................18XX公司第3页共18页一.目的为保障客户网络、业务系统、数据库等安全稳定的运行，****对客户业务系统及相关支撑系统进行全面的安全检测。安全检测分两次进行，第一次安排在六月中旬，第二次安排在七月上旬。在每次安全检测完毕由****提供《业务系统安全检测报告》和《业务系统安全漏洞修复方案》，并指导客户相关人员对业务系统及相关支撑系统进行安全修复或整改。安全检测是对客户业务系统及相关支撑系统进行安全风险分析和评估，主要检测有以下几方面：1、网络规划与布局的安全性评估；2、网络基础设施安全性与稳定性评估；3、边界防御设施与接入安全性评估；4、服务器主机系统安全性与稳定性评估；5．数据库安全性评估；6．业务系统安全性评估。第一次安全检测是对客户业务系统及相关支撑系统进行全面的安全检测和安全漏洞修复。第二次安全检测是在第一次的基础上再次对对客户业务系统及相关支撑系统进行安全检测，找出没有修复的安全漏洞和还存在的安全漏洞。二.项目实施时间和地点2.1项目实施时间*********2.2项目实施地点*********XX公司第4页共18页三.项目具体实施方法安全评估指的是对网络系统进行安全风险分析和评估。选取在业务系统、网络服务、主机操作系统平台、网络规划与布局、数据库等方面作为安全评估的对象。风险评估是网络安全重要的一环，在这里主要是以安全检测、扫描和风险评估技术来实现，以预先发现信息系统中存在的安全隐患，并及时解决问题。评估能使网络系统具有预先识别和防范风险的功能。风险评估系统用于评估和管理网络、防火墙、WEB服务器、应用服务器及数据库存在的安全风险和漏洞，企业安全管理员可以根据安全评估报告优化主机和网络设备的安全策略配置，进一步提高安全性。3.1重点评估具体内容1、网络规划与布局的安全性评估网络拓扑规划分析网络流量分析网络逻辑结构分析子网/VLAN的合理划分分析域和工作组划分安全分析数据广播域分离分析IP地址规划分析共享资源架设效率分析网络访问控制分析VPN系统安全分析2、网络基础设施安全性与稳定性评估路由器安全配置交换机安全配置拨号服务器安全配置防火墙安全配置XX公司第5页共18页设备口令审计设备开放服务安全审计网管软件安全性审计设备固件或OS安全分析设备访问控制列表分析设备稳定性测试分析(各种DoS拒绝服务测试)3、服务器主机系统安全性与稳定性评估服务器主机操作系统内核、版本及补丁审计服务器主机操作系统通用/默认应用程序安全性审计服务器主机后门检测服务器主机漏洞检测服务器主机安全配置审计服务器主机用户权限审计服务器主机口令审计服务器主机文件系统安全性审计4、数据库系统安全性评估Oracle/MSSQL数据库系统用户权限审计Oracle/MSSQL数据库系统口令审计Oracle/MSSQL数据库系统数据同步或热备份机制可靠性审计Oracle/MSSQL数据库系统存储进程安全机制审计Oracle/MSSQL数据库日志审计分析Oracle/MSSQL数据库系统灾难处理及预防安全机制审计Oracle/MSSQL数据库系统与前台接口安全访问控制机制审计5、边界防御设施与接入安全性评估生产系统跨域访问需求分析防火墙安全策略审计(外网发起)生产网远程入侵整体测试接入节点主机安全性测试分支机构网络边界安全性模拟攻击测试6.、业务系统安全性评估XX公司第6页共18页业务系统支撑软件安全评估，如Apache、JBoss业务系统重要部分代码检测业务系统口令审计业务系统数据传输保密性检测业务系统权限划分业务系统数据备份安全性业务系统数据同步安全性安全评估主要通过以下二种方式进行：主要方式为工具扫描和人工分析。下面列表介绍CNNS在平台层次实施过程中用到的部分工具和手段：项目内容引用的专业安全检测软件ISSInternetScannerCNNS风险评估系统NmapCNNS风险管理系统NAISniffereEyeIrisSniffer引用的人工服务项目手工网络检测远程渗透测试应用软件、脚本代码脆弱性分析与攻击测试数据库脆弱性手工分析弱加密机制分析高强度口令猜解（引用60万口令字字典）管理脆弱性问题分析通信安全性、网络监听分析整合测试报告输出与整理安全统计分析出具安全性评估报告结果人工分析安全检测的内容涉及：远程越权存取系统后门及木马程序拒绝服务(DenialofService)XX公司第7页共18页CGI（通用网关接口）或ASP、JSP和其它动态网页程序的安全性防火墙(FireWall)设置文件传输服务安全性密码安全性操作系统内核的安全性网络协议和配置的安全性用户管理的安全性日志和审计系统的健全性远程维护程序和管理策略的安全性系统敏感信息的保密性网络路由设备的安全性代理服务和网关的安全配置网络结构的合理性和安全性合作伙伴系统的可信任度已有安全产品和设备的有效性XX公司第8页共18页3.2评估项目总体流程风险评估（评估工具及标准）培训协商评估审计对象和具体范围确定验收标准开始风险评估审计调查问卷工具自动审计专家现场审计专家访谈风险评估报告风险加固建议安全规划安全技术及管理培训总体安全测试/模拟攻击评估验收售后服务XX公司第9页共18页3.3具体流程举例以平台层次的安全评估工作为例，下面列表介绍CNNS在实施过程中用到的具体流程：评估检测流程多套扫描软件逐项扫描手工网络检测远程渗透测试各项脆弱分析攻击测试本地检测报告整理安全统计分析出具报告和解决方