【文章內(nèi)容簡(jiǎn)介】 ...................................................................... 82 . 評(píng)估步驟 ...................................................................................................................................... 82 . 評(píng)估內(nèi)容 ...................................................................................................................................... 83 . 報(bào)告整理 ...................................................................................................................................... 84 八 . 項(xiàng)目實(shí)施計(jì)劃 ............................................................................................................................................. 84 . 項(xiàng)目組結(jié)構(gòu) ........................................................................................................................................ 84 . 甲方項(xiàng)目組結(jié)構(gòu) ......................................................................................................................... 84 . 乙方 項(xiàng)目組結(jié)構(gòu) ......................................................................................................................... 85 . 項(xiàng)目小組聯(lián)系表 ............................................................................................................................... 86 . 甲方小組聯(lián)系表 ......................................................................................................................... 86 7 / 92 . 乙方小組聯(lián)系表 ......................................................................................................................... 86 . 項(xiàng)目進(jìn)度安排 .................................................................................................................................... 86 . 用戶配合 ............................................................................................................................................. 87 . 評(píng)估監(jiān)控 ............................................................................................................................................. 87 . 網(wǎng)頁(yè)監(jiān)控 ...................................................................................................................................... 87 . 系統(tǒng)監(jiān)控 ...................................................................................................................................... 88 . 評(píng)估風(fēng)險(xiǎn)的應(yīng)對(duì)措施 ...................................................................................................................... 88 . 評(píng)估風(fēng)險(xiǎn)應(yīng)急預(yù)案 ........................................................................................................................... 89 附錄一：甲方項(xiàng)目組聯(lián)系表 ............................................................................................................................. 90 附錄二：乙方項(xiàng)目組聯(lián)系表 ............................................................................................................................. 91 附錄三：項(xiàng)目進(jìn)度計(jì)劃 ...................................................................................................................................... 92 8 / 92 一 . 背景 企業(yè)對(duì)信息技術(shù)和服務(wù)的依賴意味著自身更容易受到安全威脅的攻擊。為保證企業(yè)富有競(jìng)爭(zhēng)力，保持現(xiàn)金流順暢和贏利，以及維護(hù)企業(yè)的良好商業(yè)形象，信息安全的三要素保密性、完整性和可用性都是至關(guān)重要的。 對(duì)于一個(gè)特定的網(wǎng)絡(luò)，為了實(shí)現(xiàn)其網(wǎng)絡(luò)安全的目標(biāo)，就是要在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，明確系統(tǒng)中所存在的各種安全風(fēng)險(xiǎn)，并制訂相應(yīng)的安全策略，通過網(wǎng)絡(luò)安全管理和各種網(wǎng)絡(luò)安全技術(shù)的實(shí)施，從而達(dá)到網(wǎng)絡(luò)安全的目標(biāo)。 安全 評(píng)估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識(shí)庫(kù)，對(duì)目標(biāo)可能存在的安全隱患進(jìn)行逐項(xiàng)檢查。目標(biāo)可以包括工作站、服務(wù)器、交換機(jī)、路由器、數(shù)據(jù)庫(kù)等各種網(wǎng)絡(luò)對(duì)象和應(yīng)用對(duì)象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好、見效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 為了充分了解客戶當(dāng)前的網(wǎng)絡(luò)安全威脅狀況，需要利用一些常用的掃描工 具、應(yīng)用軟件以及人工分析的等方式獲得客戶中重要服務(wù)器的各類數(shù)據(jù)。在掃描之后，將掃描系統(tǒng)獲得的報(bào)告匯集成為一個(gè)當(dāng)前系統(tǒng)漏洞評(píng)估報(bào)告，同時(shí)根據(jù)漏洞情況提供加強(qiáng)網(wǎng)絡(luò)安全的建議。 為了保證客戶網(wǎng)絡(luò)的安全有效運(yùn)行以及漏洞信息能夠更加完整和準(zhǔn)確， XXXXXX 公司還為客戶提供手工的安全評(píng)估服務(wù)，我們公司擁有 大量具有豐富經(jīng)驗(yàn)的安全工程師，通過對(duì)客戶網(wǎng)絡(luò)主機(jī)的直接接觸，對(duì) 目標(biāo)進(jìn)行安全評(píng)估，達(dá)到及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)存在的安全問題，保證網(wǎng)絡(luò)的安全性，同時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)性能不造成影響。 . 評(píng)估目標(biāo) 本期安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目，將通過管理上、技術(shù)上的等 多方面進(jìn)行，以實(shí)現(xiàn)以下安全評(píng)估目標(biāo)： ? 管理上 ? 審核安全策略的合理性 ? 審核安全管理文檔的完備程度 9 / 92 ? 完成資產(chǎn)識(shí)別、分類工作 ? 擬定體系及策略改進(jìn)計(jì)劃 ? 技術(shù)上 ? 識(shí)別被評(píng)估系統(tǒng)面臨的威脅 ? 識(shí)別被評(píng)估系統(tǒng)存在的脆弱性 ? 識(shí)別安全設(shè)施的有效性 ? 分析威脅發(fā)生的可能性 ? 分析威脅發(fā)生的后果 ? 評(píng)價(jià)安全風(fēng)險(xiǎn) ? 擬定風(fēng)險(xiǎn)處理計(jì)劃 . 評(píng)估范圍 對(duì)于指定的信息系統(tǒng)必須首先進(jìn)行資產(chǎn)識(shí)別和分類，明確被保護(hù)的信息資產(chǎn)，對(duì)每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和評(píng)估。在對(duì)信息資產(chǎn)進(jìn)行識(shí)別評(píng)估分析時(shí)，要根據(jù)系統(tǒng)遭受破壞后，對(duì)保密性、完整性和可用性造成的影響來決定信息資產(chǎn)的 價(jià)值。 XXXXX 目前擁有一個(gè)機(jī)房。 XXXXXX 將對(duì)個(gè)機(jī)房進(jìn)行安全評(píng)估和加固服務(wù)。主要從這個(gè)機(jī)房的管理層、技術(shù)層、操作層、物理層等多個(gè)層面進(jìn)行安全評(píng)估工作，以求能夠通過這次評(píng)估和加固工作達(dá)到要求的安全標(biāo)準(zhǔn)，大幅度提高 XXXXX 以及下屬機(jī)房的安全防御能力。 二 . 評(píng)估原則 為了確保安全項(xiàng)目成功實(shí)施，我們將遵循以下原則進(jìn)行： . 保密原則 對(duì)于安全項(xiàng)目，實(shí)施方首先應(yīng)做到的就是對(duì)用戶要求保密的信息遵守保密原則。 XXXXXX 公司和參加此次評(píng)估項(xiàng)目的所有項(xiàng)目組成員，都要與甲方簽署相關(guān)的保密協(xié)議和非侵害性協(xié)議。 10 / 92 . 標(biāo)準(zhǔn)性原則 依 據(jù)國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)開展工作是本次評(píng)估工作的指導(dǎo)原則，也是 XXXXXX 公司提供信息安全服務(wù)的一貫原則。 XXXXXX 公司在提供本次評(píng)估服務(wù)中，將會(huì)依據(jù)相關(guān)的國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)進(jìn)行。這些標(biāo)準(zhǔn)包括： ? ISO 17799 ? BS77992 ? ISO 13335 ? AS/NZS 4360 ? ISO 15408 / GB18336 ? SSECMM XXXXXX 公司在提供本次評(píng)估服務(wù)中，除了依據(jù)相關(guān)的國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)之外，還要參考一些沒有成為國(guó)際和國(guó)內(nèi)標(biāo)準(zhǔn)，但是已經(jīng)成為業(yè)界事實(shí)上標(biāo)準(zhǔn)的一些規(guī)范和約定。 這些規(guī)范和約定包括： ? CVE 公共漏洞和暴露 ? PMI 項(xiàng)目管理方法學(xué) XXXXXX 公司在提供本次評(píng)估服務(wù)中，除了依據(jù)相關(guān)的國(guó)內(nèi)和國(guó)際標(biāo)準(zhǔn)之外，還根據(jù)本項(xiàng)目的需要，遵循 XXXXXX 公司自身的一些規(guī)范和要求。這些規(guī)范包括： ? XXXXXX 科技顧問服務(wù)項(xiàng)目管理規(guī)范 ? XXXXXX 科技信息安全顧問服務(wù)規(guī)范 ? XXXXXX 科技信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ? XXXXXX 科技信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)規(guī)范 . 可控性原則 XXXXXX 公司將從多個(gè)方面配合甲方，以便達(dá)到甲方對(duì)評(píng)估工作的可控性。這 些可控性包括： ? 人員可控性 ? XXXXXX 公司項(xiàng)目組將確保項(xiàng)目組成員工作的連續(xù)性。 11 / 92 ? XXXXXX 公司將派遣有經(jīng)驗(yàn)的顧問、評(píng)估師和工程師參加本項(xiàng)目的評(píng)估工作，同時(shí)還會(huì)安排有經(jīng)驗(yàn)的項(xiàng)目管理人員、質(zhì)量保證人員、標(biāo)準(zhǔn)化審核人員等支持項(xiàng)目的工作。 ? XXXXXX 公司的人員安排將在顧問服務(wù)的工作說明中明確定義并得到雙方的同意、確認(rèn)和簽署。如果根據(jù)項(xiàng)目的具體情況，后期需要進(jìn)行人員調(diào)整時(shí)，必須經(jīng)過正規(guī)的項(xiàng)目變更程序，并得到雙方的正式認(rèn)可和簽署。 ? 工具可控性 ? XXXXXX 公司項(xiàng)目組所使用的所有技術(shù)工具都事先通告甲方。并且在必要時(shí)可以應(yīng)甲方要求，向甲方介紹主要工具的使用方法，并進(jìn)行一些實(shí)驗(yàn)。 ? 項(xiàng)目過程可控性 ? 本評(píng)估項(xiàng)目的管理將依據(jù) PMI 項(xiàng)目管理方法學(xué)達(dá)到項(xiàng)目過程的可控性。 ? 為了保證 XXXXXX 公司的工作能夠按照工程進(jìn)度實(shí)施，甲方組成的評(píng)估小組的工作需要在雙方進(jìn)行評(píng)估之前舉行會(huì)議，予以討論，正式形成文字材料，即書面確定甲方評(píng)估小組的職責(zé)和義務(wù)。評(píng)估期間雙方將本著友好合作的態(tài)度完成各自的職責(zé)。 . 全面性原則 XXXXXX 公司將按照確定的評(píng)估范圍進(jìn)行全面的評(píng)估，從范圍上滿足甲方的要求。XXXXXX 公司實(shí)施的網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用評(píng)估是對(duì) xxxxx 的全面評(píng)估； XXXXXX 公司實(shí)施的人工分析也覆蓋了上述業(yè)務(wù)系統(tǒng)的業(yè)務(wù)流程和相互間的業(yè)務(wù)相關(guān)性和數(shù)據(jù)共享；XXXXXX 公司進(jìn)行的綜合分析和建議將結(jié)合 XXXXXX 公司長(zhǎng)期的信息安全經(jīng)驗(yàn)和相關(guān)的國(guó)際經(jīng)驗(yàn)。 評(píng)估覆蓋信息的存儲(chǔ)、傳輸、處理全過程。 . 重點(diǎn)性原則 從用戶的業(yè)務(wù)期望出發(fā)，采用詳細(xì)的安全風(fēng)險(xiǎn)評(píng)估方式對(duì)用戶指出的關(guān)鍵性業(yè)務(wù)系統(tǒng)進(jìn)行重點(diǎn)評(píng)估。