【文章內(nèi)容簡介】 企業(yè)信用信息管理系統(tǒng) 的實際情況，評估人員使用某些技術(shù)工具對 信構(gòu)企業(yè)信用信息管理系統(tǒng) 進行測試。一般包括漏洞掃描（僅限于終端）、性能測試、配置檢查、日志與記錄分析等內(nèi)容。 在本次差距評估服務(wù)項目實施中，使用的工具包括網(wǎng)絡(luò)和系統(tǒng)漏洞掃描工具、應(yīng)用漏洞掃描工具、綜合掃描工具、網(wǎng)絡(luò)協(xié)議分析工具、滲透測試工具和其它相關(guān)工具等。 ? 漏洞掃描 漏洞掃描是通過自動化的 評估 工具（安全評估系統(tǒng)或掃描器），根據(jù)其內(nèi)置的評估內(nèi)容、測試方法、 評估策略及相關(guān)數(shù)據(jù)庫信息，從系統(tǒng)內(nèi)部、外部對系統(tǒng)進行一系列的脆弱性檢查，發(fā)現(xiàn)潛在安全風(fēng)險問題，如易猜出的密碼、用戶權(quán)限、用戶設(shè)置、關(guān)鍵文件權(quán)限設(shè)置、路徑設(shè)置、密碼設(shè)置、網(wǎng)絡(luò)服務(wù)配置、應(yīng)用程序的可信性、服務(wù)器設(shè)置以及其他含有攻擊隱患的可疑點等。使用漏洞掃描工具的優(yōu)點是能夠明顯降低 評估 工作量，且其報表功能較為強大，有的還具備一定的智能分析和數(shù)據(jù)庫升級功能。 評估方法 漏洞掃描 簡要描述 利用漏洞掃描工具從網(wǎng)絡(luò)的不同接入點對甲方網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)設(shè)備、主機、應(yīng)用和數(shù)據(jù)庫等系統(tǒng)進行脆弱性檢查和分析 達成目標(biāo) 發(fā)掘甲方 信構(gòu)企業(yè)信用信息管理系統(tǒng) 的安全漏洞，提出信息系統(tǒng)安全規(guī)劃建議書 14 / 33 漏洞修補建議 主要內(nèi)容 以多種漏洞掃描工具實施漏洞掃描 實現(xiàn)方式 利用安全掃描器等多種漏洞掃描工具進行安全 評估 工作結(jié)果 甲方系統(tǒng)漏洞掃描分析結(jié)果報告 ? 安全測試 安全測試包括功能測試、性能測試及滲透測試。主要針對應(yīng)用系統(tǒng)的功能及性能方面進行測試，驗證應(yīng)用系統(tǒng)的功能及性能是否符合要求；以及從操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)及網(wǎng)絡(luò)設(shè)備等方面可能存在的漏洞及弱點出發(fā)，對網(wǎng)絡(luò)系統(tǒng)進行滲透性測試，驗證網(wǎng)絡(luò)系統(tǒng)的安全防護是否有效。 評估人員通過對評估對象進行探測、分析、測試 及驗證等活動，獲取證據(jù)以證明 信構(gòu)企業(yè)信用信息管理系統(tǒng) 安全等級保護措施是否有效， 評估過程中會使用到各種專業(yè)的測試工具。 評估方法 安全測試 簡要描述 作為人工審計及安全檢查的輔助手段，通過對設(shè)備及系統(tǒng)的功能、性能、安全性等進行測試和驗證，核查設(shè)備及系統(tǒng)的安全防護情況 達成目標(biāo) 檢測系統(tǒng)的安全防護情況，發(fā)現(xiàn)深度的安全隱患 主要內(nèi)容 設(shè)備及系統(tǒng)的功能、性能及安全性測試 實現(xiàn)方式 主要通過人工方式，并配合使用多種 評估 工具對設(shè)備及系統(tǒng)的功能、性能及安全性方面進行測試 工作結(jié)果 甲方系統(tǒng)安全測試結(jié)果報告 . 實施過程 信構(gòu)企業(yè)信用信息管理系統(tǒng) 安全等級 保護差距評估 的全過程 以 項目管信息系統(tǒng)安全規(guī)劃建議書 15 / 33 理 理論為基礎(chǔ) ，整個 評估 過程共分 評估 準(zhǔn)備、 現(xiàn)場評估、評估分析和整改規(guī)劃 四個階段。 . 評估準(zhǔn)備 階段主要工作 在本階段的主要工作包括： 編制 基于 等級保護 基本要求標(biāo)準(zhǔn)的 差距評估實施計劃，明確差距評估小組成員及其職責(zé)、分工、溝通的流程，明確 ******及用戶雙方的工作分工、權(quán)利和義務(wù)，進行相關(guān)數(shù)據(jù)信息的收集，召開差距評估啟動，獲取資料信息等工作。 各方的主要職責(zé)分工如下： ? ******： 1. 負(fù)責(zé)編制 基于 等級保護 基本要求標(biāo)準(zhǔn)的 差距 評估 實施計劃； 2. 確定 實施人員、工作職責(zé)、實施時間和具體內(nèi)容； 3. 準(zhǔn)備評估工具（表單、技術(shù)工具等）。 ? 用戶方： 1. 確定用戶方的參與人員及工作職責(zé)； ? 雙方共同： 1. 召開 基于 等級保護 基本要求標(biāo)準(zhǔn)的 差距評估啟動會； 2. 討論并確定本差距評估與風(fēng)險分析實施計劃。 信息系統(tǒng)安全規(guī)劃建議書 16 / 33 所需資源 需要用戶方提供以下必要的資料及信息： 1. 資產(chǎn)清單及 信構(gòu)企業(yè)信用信息管理系統(tǒng) 拓?fù)鋱D； 2. 涉及資產(chǎn)的配置情況。 3. 規(guī)章制度相關(guān)文檔 階段成果 在本階段， ******將整理并向用戶方提交以下服務(wù)資料： ? 《項目實施計劃》 ? 《評估表單》 ? 《會議紀(jì)要》 階段目標(biāo) 評估準(zhǔn)備階段的主要目標(biāo)是獲取用 戶方的 信構(gòu)企業(yè)信用信息管理系統(tǒng)基本信息 ，確定評估范圍，共同討論確定現(xiàn)場評估計劃為目標(biāo)，確保雙方在差距評估工作能夠達成共識。 . 現(xiàn)場評估 階段目標(biāo) 進行 信構(gòu)企業(yè)信用信息管理系統(tǒng) 信息的收集、分析，對 信構(gòu)企業(yè)信用信息管理系統(tǒng) 進行合理分解，然后進入標(biāo)準(zhǔn)符合性檢查測試評估階段，任信息系統(tǒng)安全規(guī)劃建議書 17 / 33 務(wù)是全面獲取與驗證當(dāng)前的 信構(gòu)企業(yè)信用信息管理系統(tǒng) ，組織，信息安全管理，系統(tǒng)威脅、脆弱性、安全控制措施等信息。以此為基礎(chǔ)，結(jié)合標(biāo)準(zhǔn)、專業(yè)的安全知識及經(jīng)驗對安全的概況進行補充與調(diào)整，為最終的整改實施階段方案的編制提供依據(jù)。獲取當(dāng)前 信構(gòu)企業(yè)信用信息管 理系統(tǒng) 與等級保護相應(yīng)級別標(biāo)準(zhǔn)要求之間的差距情況。 階段主要工作 在本階段的主要工作包括： 標(biāo)準(zhǔn)符合性評估階段的主要工作有人員調(diào)查、資產(chǎn)調(diào)查、安全威脅調(diào)查、安全需求調(diào)查、安全技術(shù)水平調(diào)查等，采用文檔收集、問卷調(diào)研、人員訪談、現(xiàn)場檢查、技術(shù)測試（如漏洞掃描分析）等多種手段進行差距性分析。主要工作安排如下： 調(diào)查和統(tǒng)計 ********涉及的所有信息資產(chǎn)（包含物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機、應(yīng)用軟件、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)、人員、標(biāo)準(zhǔn)流程等），明確其現(xiàn)有狀況、配置情況和管理情況。 其中拓?fù)浣Y(jié)構(gòu)調(diào)查工作包括對 ********的 TCP/IP 網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)進行實地查驗，核實拓?fù)浣Y(jié)構(gòu)圖；現(xiàn)有安全系統(tǒng)調(diào)查工作包括現(xiàn)有安全設(shè)備 (包括防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、安全掃描系統(tǒng) )的部署情況和使用情況。 結(jié)合等級保護基本要求標(biāo)準(zhǔn)（二級），對 ********的 信構(gòu)企業(yè)信用信息管理系統(tǒng) 進行 全面分析面臨的威脅，評估現(xiàn)有系統(tǒng)的技術(shù)和管理、組織結(jié)構(gòu)等方面的標(biāo)準(zhǔn)符合偏差，明確所有網(wǎng)絡(luò)及應(yīng)用系統(tǒng)標(biāo)準(zhǔn)符合偏差。 信息系統(tǒng)安全規(guī)劃建議書 18 / 33 現(xiàn)場評估階段的具體工作安排如下： 序號 評估控制項 評估內(nèi)容 工具 /作業(yè)指導(dǎo)書 配合人員 備注 1 物理安全（ 天） 機房 機房現(xiàn)場環(huán)境檢查 《物理安全調(diào)查表》 機房管理員 如果有機房建設(shè)、驗收材料，請?zhí)峁? 2 網(wǎng)絡(luò)安全（ 3 天） 交換機/路由器 交換機 /路由器安全配置檢查 《網(wǎng)絡(luò)安全調(diào)查表》 《交換機檢查表》 《路由器檢查表》 網(wǎng)絡(luò)管理員 需要協(xié)助登錄并操作，可提供配置文件 防火墻/VPN/網(wǎng)閘 防火墻安全配置檢查 《網(wǎng)絡(luò)安全調(diào)查表》 《 VPN 檢查表》 《網(wǎng)閘檢查表》 安全管理員 /網(wǎng)絡(luò)管理員 需要協(xié)助登錄并操作，可提供配置文件 IPS/IDS/防病毒 IPS/IDS/防火墻安全配置檢查 《網(wǎng)絡(luò)安全調(diào)查表》 《 IDS 檢查表》 安全 管理員 /網(wǎng)絡(luò)管理員 需要協(xié)助登錄并操作，可提供配置文件 網(wǎng)絡(luò)結(jié)構(gòu) 邊界分析 《網(wǎng)絡(luò)安全調(diào)查表》 對網(wǎng)絡(luò)結(jié)構(gòu)進行現(xiàn)場排查及分析 網(wǎng)絡(luò)管理員 提供訪問控制策略文件。配合解答評估問題。 網(wǎng)絡(luò)分析 3 主機安全（ 2 天） 信息系統(tǒng)安全規(guī)劃建議書 19 / 33 操作系統(tǒng) 服務(wù)器操作系統(tǒng)安全配置檢查 《主機安全調(diào)查表 linux/unix》 《主機安全調(diào)查表windows》 《 WINDOWS 主機 評估項》 系統(tǒng)管理員 需要協(xié)助登錄并操作 數(shù)據(jù)庫系統(tǒng) 數(shù)據(jù)庫安全配置檢查 《 Domino 數(shù)據(jù)庫核查表》 《 SQL SERVER 數(shù)據(jù)庫核查表 》 《 ORACLE 數(shù)據(jù)庫核查表》 數(shù)據(jù)庫管理員 需要協(xié)助登錄并操作 4 應(yīng)用安全（ 3 天） 應(yīng)用