【文章內(nèi)容簡介】 ...................................................................... 82 . 評估步驟 ...................................................................................................................................... 82 . 評估內(nèi)容 ...................................................................................................................................... 83 . 報告整理 ...................................................................................................................................... 84 八 . 項目實施計劃 ............................................................................................................................................. 84 . 項目組結(jié)構(gòu) ........................................................................................................................................ 84 . 甲方項目組結(jié)構(gòu) ......................................................................................................................... 84 . 乙方 項目組結(jié)構(gòu) ......................................................................................................................... 85 . 項目小組聯(lián)系表 ............................................................................................................................... 86 . 甲方小組聯(lián)系表 ......................................................................................................................... 86 7 / 92 . 乙方小組聯(lián)系表 ......................................................................................................................... 86 . 項目進(jìn)度安排 .................................................................................................................................... 86 . 用戶配合 ............................................................................................................................................. 87 . 評估監(jiān)控 ............................................................................................................................................. 87 . 網(wǎng)頁監(jiān)控 ...................................................................................................................................... 87 . 系統(tǒng)監(jiān)控 ...................................................................................................................................... 88 . 評估風(fēng)險的應(yīng)對措施 ...................................................................................................................... 88 . 評估風(fēng)險應(yīng)急預(yù)案 ........................................................................................................................... 89 附錄一：甲方項目組聯(lián)系表 ............................................................................................................................. 90 附錄二：乙方項目組聯(lián)系表 ............................................................................................................................. 91 附錄三：項目進(jìn)度計劃 ...................................................................................................................................... 92 8 / 92 一 . 背景 企業(yè)對信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。為保證企業(yè)富有競爭力，保持現(xiàn)金流順暢和贏利，以及維護(hù)企業(yè)的良好商業(yè)形象，信息安全的三要素保密性、完整性和可用性都是至關(guān)重要的。 對于一個特定的網(wǎng)絡(luò)，為了實現(xiàn)其網(wǎng)絡(luò)安全的目標(biāo)，就是要在網(wǎng)絡(luò)安全風(fēng)險評估的基礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風(fēng)險，并制訂相應(yīng)的安全策略，通過網(wǎng)絡(luò)安全管理和各種網(wǎng)絡(luò)安全技術(shù)的實施，從而達(dá)到網(wǎng)絡(luò)安全的目標(biāo)。 安全 評估是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識庫，對目標(biāo)可能存在的安全隱患進(jìn)行逐項檢查。目標(biāo)可以包括工作站、服務(wù)器、交換機(jī)、路由器、數(shù)據(jù)庫等各種網(wǎng)絡(luò)對象和應(yīng)用對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費低、效果好、見效快、與網(wǎng)絡(luò)的運行相對獨立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 為了充分了解客戶當(dāng)前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工 具、應(yīng)用軟件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲得的報告匯集成為一個當(dāng)前系統(tǒng)漏洞評估報告，同時根據(jù)漏洞情況提供加強(qiáng)網(wǎng)絡(luò)安全的建議。 為了保證客戶網(wǎng)絡(luò)的安全有效運行以及漏洞信息能夠更加完整和準(zhǔn)確， XXXXXX 公司還為客戶提供手工的安全評估服務(wù)，我們公司擁有 大量具有豐富經(jīng)驗的安全工程師，通過對客戶網(wǎng)絡(luò)主機(jī)的直接接觸，對 目標(biāo)進(jìn)行安全評估，達(dá)到及時發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全問題，保證網(wǎng)絡(luò)的安全性，同時對網(wǎng)絡(luò)系統(tǒng)性能不造成影響。 . 評估目標(biāo) 本期安全風(fēng)險評估項目，將通過管理上、技術(shù)上的等 多方面進(jìn)行，以實現(xiàn)以下安全評估目標(biāo)： ? 管理上 ? 審核安全策略的合理性 ? 審核安全管理文檔的完備程度 9 / 92 ? 完成資產(chǎn)識別、分類工作 ? 擬定體系及策略改進(jìn)計劃 ? 技術(shù)上 ? 識別被評估系統(tǒng)面臨的威脅 ? 識別被評估系統(tǒng)存在的脆弱性 ? 識別安全設(shè)施的有效性 ? 分析威脅發(fā)生的可能性 ? 分析威脅發(fā)生的后果 ? 評價安全風(fēng)險 ? 擬定風(fēng)險處理計劃 . 評估范圍 對于指定的信息系統(tǒng)必須首先進(jìn)行資產(chǎn)識別和分類，明確被保護(hù)的信息資產(chǎn)，對每一項資產(chǎn)進(jìn)行確認(rèn)和評估。在對信息資產(chǎn)進(jìn)行識別評估分析時，要根據(jù)系統(tǒng)遭受破壞后，對保密性、完整性和可用性造成的影響來決定信息資產(chǎn)的 價值。 XXXXX 目前擁有一個機(jī)房。 XXXXXX 將對個機(jī)房進(jìn)行安全評估和加固服務(wù)。主要從這個機(jī)房的管理層、技術(shù)層、操作層、物理層等多個層面進(jìn)行安全評估工作，以求能夠通過這次評估和加固工作達(dá)到要求的安全標(biāo)準(zhǔn)，大幅度提高 XXXXX 以及下屬機(jī)房的安全防御能力。 二 . 評估原則 為了確保安全項目成功實施，我們將遵循以下原則進(jìn)行： . 保密原則 對于安全項目，實施方首先應(yīng)做到的就是對用戶要求保密的信息遵守保密原則。 XXXXXX 公司和參加此次評估項目的所有項目組成員，都要與甲方簽署相關(guān)的保密協(xié)議和非侵害性協(xié)議。 10 / 92 . 標(biāo)準(zhǔn)性原則 依 據(jù)國際國內(nèi)標(biāo)準(zhǔn)開展工作是本次評估工作的指導(dǎo)原則，也是 XXXXXX 公司提供信息安全服務(wù)的一貫原則。 XXXXXX 公司在提供本次評估服務(wù)中，將會依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)進(jìn)行。這些標(biāo)準(zhǔn)包括： ? ISO 17799 ? BS77992 ? ISO 13335 ? AS/NZS 4360 ? ISO 15408 / GB18336 ? SSECMM XXXXXX 公司在提供本次評估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)之外，還要參考一些沒有成為國際和國內(nèi)標(biāo)準(zhǔn)，但是已經(jīng)成為業(yè)界事實上標(biāo)準(zhǔn)的一些規(guī)范和約定。 這些規(guī)范和約定包括： ? CVE 公共漏洞和暴露 ? PMI 項目管理方法學(xué) XXXXXX 公司在提供本次評估服務(wù)中，除了依據(jù)相關(guān)的國內(nèi)和國際標(biāo)準(zhǔn)之外，還根據(jù)本項目的需要，遵循 XXXXXX 公司自身的一些規(guī)范和要求。這些規(guī)范包括： ? XXXXXX 科技顧問服務(wù)項目管理規(guī)范 ? XXXXXX 科技信息安全顧問服務(wù)規(guī)范 ? XXXXXX 科技信息安全風(fēng)險評估標(biāo)準(zhǔn) ? XXXXXX 科技信息安全風(fēng)險評估服務(wù)規(guī)范 . 可控性原則 XXXXXX 公司將從多個方面配合甲方，以便達(dá)到甲方對評估工作的可控性。這 些可控性包括： ? 人員可控性 ? XXXXXX 公司項目組將確保項目組成員工作的連續(xù)性。 11 / 92 ? XXXXXX 公司將派遣有經(jīng)驗的顧問、評估師和工程師參加本項目的評估工作，同時還會安排有經(jīng)驗的項目管理人員、質(zhì)量保證人員、標(biāo)準(zhǔn)化審核人員等支持項目的工作。 ? XXXXXX 公司的人員安排將在顧問服務(wù)的工作說明中明確定義并得到雙方的同意、確認(rèn)和簽署。如果根據(jù)項目的具體情況，后期需要進(jìn)行人員調(diào)整時，必須經(jīng)過正規(guī)的項目變更程序，并得到雙方的正式認(rèn)可和簽署。 ? 工具可控性 ? XXXXXX 公司項目組所使用的所有技術(shù)工具都事先通告甲方。并且在必要時可以應(yīng)甲方要求，向甲方介紹主要工具的使用方法，并進(jìn)行一些實驗。 ? 項目過程可控性 ? 本評估項目的管理將依據(jù) PMI 項目管理方法學(xué)達(dá)到項目過程的可控性。 ? 為了保證 XXXXXX 公司的工作能夠按照工程進(jìn)度實施，甲方組成的評估小組的工作需要在雙方進(jìn)行評估之前舉行會議，予以討論，正式形成文字材料，即書面確定甲方評估小組的職責(zé)和義務(wù)。評估期間雙方將本著友好合作的態(tài)度完成各自的職責(zé)。 . 全面性原則 XXXXXX 公司將按照確定的評估范圍進(jìn)行全面的評估，從范圍上滿足甲方的要求。XXXXXX 公司實施的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用評估是對 xxxxx 的全面評估； XXXXXX 公司實施的人工分析也覆蓋了上述業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程和相互間的業(yè)務(wù)相關(guān)性和數(shù)據(jù)共享；XXXXXX 公司進(jìn)行的綜合分析和建議將結(jié)合 XXXXXX 公司長期的信息安全經(jīng)驗和相關(guān)的國際經(jīng)驗。 評估覆蓋信息的存儲、傳輸、處理全過程。 . 重點性原則 從用戶的業(yè)務(wù)期望出發(fā)，采用詳細(xì)的安全風(fēng)險評估方式對用戶指出的關(guān)鍵性業(yè)務(wù)系統(tǒng)進(jìn)行重點評估。