【正文】 安全評(píng)估工作內(nèi)容：? 管理體系審核；? 安全策略評(píng)估；? 顧問(wèn)訪談；? 安全掃描；? 人工檢查；? 遠(yuǎn)程滲透測(cè)試；? 遵循性分析； 評(píng)估結(jié)果通過(guò)對(duì)管理制度、網(wǎng)絡(luò)與通訊、主機(jī)和桌面系統(tǒng)、業(yè)務(wù)系統(tǒng)等方面的全面安全評(píng)估，形成安全評(píng)估報(bào)告，其中應(yīng)包含評(píng)估范圍中信息系統(tǒng)環(huán)境的安全現(xiàn)狀、存在安全問(wèn)題、潛在威脅和改進(jìn)措施。目錄一、項(xiàng)目概述 .....................................................................0 評(píng)估范圍 ....................................................................0 評(píng)估層次 ....................................................................0 評(píng)估方法 ....................................................................0 評(píng)估結(jié)果 ....................................................................0 風(fēng)險(xiǎn)評(píng)估手段 ................................................................1 基于知識(shí)的分析方法 .....................................................1 基于模型的分析方法 .....................................................1 定量分析 ...............................................................2 定性分析 ...............................................................3 評(píng)估標(biāo)準(zhǔn) ....................................................................3二、網(wǎng)拓?fù)湓u(píng)估 ...................................................................3 拓?fù)浜侠硇苑治?..............................................................3 可擴(kuò)展性分析 ................................................................3三、網(wǎng)絡(luò)安全管理機(jī)制評(píng)估 .........................................................4 調(diào)研訪談及數(shù)據(jù)采集 ..........................................................4 網(wǎng)絡(luò)安全管理機(jī)制健全性檢查 ..................................................5 網(wǎng)絡(luò)安全管理機(jī)制合理性檢查 ..................................................5 網(wǎng)絡(luò)管理協(xié)議分析 ............................................................6四、脆弱性嚴(yán)重程度評(píng)估 ...........................................................6 安全漏洞掃描 ................................................................6 人工安全檢查 ................................................................8 安全策略評(píng)估 ................................................................9 脆弱性識(shí)別 .................................................................10五、網(wǎng)絡(luò)威脅響應(yīng)機(jī)制評(píng)估 ........................................................10 遠(yuǎn)程滲透測(cè)試 ...............................................................11六、網(wǎng)絡(luò)安全配置均衡性風(fēng)險(xiǎn)評(píng)估 ..................................................12 設(shè)備配置收集 ...............................................................12 檢查各項(xiàng) HA 配置 ............................................................14 設(shè)備日志分析 ...............................................................15七、風(fēng)險(xiǎn)級(jí)別認(rèn)定 ................................................................16八、項(xiàng)目實(shí)施規(guī)劃 ................................................................16九、項(xiàng)目階段 ....................................................................17十、交付的文檔及報(bào)告 ............................................................18.. . . ..學(xué)習(xí)參考 中間評(píng)估文檔 ..............................................................19 最終報(bào)告 ..................................................................19十一、安全評(píng)估具體實(shí)施內(nèi)容 ......................................................20 網(wǎng)絡(luò)架構(gòu)安全狀況評(píng)估 ......................................................20 內(nèi)容描述 .............................................................20 過(guò)程任務(wù) .............................................................21 輸入指導(dǎo) .............................................................21 輸出成果 .............................................................21 系統(tǒng)安全狀態(tài)評(píng)估 ..........................................................21 內(nèi)容描述 .............................................................21 過(guò)程任務(wù) .............................................................24 輸入指導(dǎo) .............................................................26 輸出成果 .............................................................26 策略文件安全評(píng)估 ..........................................................26 內(nèi)容描述 .............................................................26 過(guò)程任務(wù) .............................................................27 輸入指導(dǎo) .............................................................28 輸出成果 .............................................................28 最終評(píng)估結(jié)果 ..............................................................28.. . . ..學(xué)習(xí)參考一、項(xiàng)目概述 評(píng)估范圍針對(duì)網(wǎng)絡(luò)、應(yīng)用、服務(wù)器系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估。協(xié)助對(duì)列出的安全問(wèn)題進(jìn)行改進(jìn)或調(diào)整，提供指導(dǎo)性的建設(shè)方案：《安全現(xiàn)狀分析報(bào)告》《安全解決方案》.. . . ..學(xué)習(xí)參考 風(fēng)險(xiǎn)評(píng)估手段在風(fēng)險(xiǎn)評(píng)估過(guò)程中，可以采用多種操作方法，包括基于知識(shí)（Knowledgebased）的分析方法、基于模型（Modelbased）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，無(wú)論何種方法，共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前安全水平與組織安全需求之間的差距?；谥R(shí)的分析方法，最重要的還在于評(píng)估信息的采集，信息源包括：? 會(huì)議討論；? 對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查；? 制作問(wèn)卷，進(jìn)行調(diào)查；? 對(duì)相關(guān)人員進(jìn)行訪談；? 進(jìn)行實(shí)地考察；為了簡(jiǎn)化評(píng)估工作，組織可以采用一些輔助性的自動(dòng)化工具，這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問(wèn)卷，然后對(duì)解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最終的推薦報(bào)告。與傳統(tǒng)的定性和定量分析類似，CORAS 風(fēng)險(xiǎn)評(píng)估沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過(guò)程，但其度量風(fēng)險(xiǎn)的方法則完全不同，所有的分析過(guò)程都是基于面向?qū)ο蟮哪Ｐ蛠?lái)進(jìn)行的。簡(jiǎn)單說(shuō)，定量分析就是試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。? 年度損失期望（Annualized Loss Expectancy，ALE）—— 或者稱作EAC（EstimatedAnnual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。與定量分析相比較，定性分析的準(zhǔn)確性稍好但精確性不夠，定量分析則相反；定性分析沒(méi)有定量分析那樣繁多的計(jì)算負(fù)擔(dān)，但卻要求分析者具備一定的經(jīng)驗(yàn)和能力；定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù)，而定性分析沒(méi)有這方面的要求；定性分析較為主觀，定量分析基于客觀；此外，定量分析的結(jié)果很直觀，容易理解，而定性分析的結(jié)果則很難有統(tǒng)一的解釋。三、網(wǎng)絡(luò)安全管理機(jī)制評(píng)估 調(diào)研訪談及數(shù)據(jù)采集整網(wǎng)對(duì)于核心層設(shè)備、匯聚層設(shè)備以及接入樓層設(shè)備，進(jìn)行遠(yuǎn)程登錄方式、本地登錄模式、特權(quán)模式的用戶名與密碼配置，密碼都是以數(shù)字、大小寫(xiě)字母和字符一體化，防止非法用戶的暴力破解，即便通過(guò)其它方式獲取到配置清單，也無(wú)法知道這臺(tái)設(shè)備的密碼，密碼都是以密文的形式顯示在配置清單里，這樣，無(wú)論是合法用戶還是惡意用戶，只要沒(méi)有設(shè)備的用戶名和密碼都不能登錄到該設(shè)備，自然也無(wú)法對(duì)設(shè)備的內(nèi)容等相關(guān)配置信息進(jìn)行修改，相當(dāng)于給設(shè)備安裝了一層保護(hù)墻，從而保護(hù)了設(shè)備的最基本的安全性。（3）策略：定期對(duì)整網(wǎng)服務(wù)器的密碼進(jìn)行檢查，查看是否開(kāi)啟密碼策略、帳戶鎖定策略、本地審核策略，并作了相應(yīng)的設(shè)置。機(jī)房里有特定的系統(tǒng)專門(mén)對(duì)當(dāng)前設(shè)備的溫度進(jìn)行測(cè)量，不管是白天還是晚上，每天