【文章內(nèi)容簡介】 色、責任等內(nèi)容b) 工作計劃：包括工作內(nèi)容，工作形式，工作成果等內(nèi)容c) 項目進度：項目實施的時間進度安排 資產(chǎn)識別n 資產(chǎn)分類資產(chǎn)被劃分為不同的類別，在進行評估時可根據(jù)不同的資產(chǎn)分類使用不同的評估策略。依據(jù)資產(chǎn)的使用特點及部署方式，可將資產(chǎn)分為以下幾個類別：l 主機設備包括各類服務器、工作站、PC機等。主要針對主機設備上安裝的操作系統(tǒng)（如AIX、WINDOWS）、數(shù)據(jù)庫系統(tǒng)（如ORACLE、DB2）、應用服務軟件（如IIS、APACHE）及相關的配置信息進行評估。l 網(wǎng)絡設備包括路由器、交換機、四層交換設備、撥號設備等各種網(wǎng)絡設備。評估時主要對這些網(wǎng)絡設備的配置、部署方式、拓撲結(jié)構(gòu)等方面進行分析。l 安全產(chǎn)品包括各種安全設備，如防火墻、入侵檢測系統(tǒng)（IDS）、入侵防御系統(tǒng)（IPS）、安全審計系統(tǒng)、漏洞掃描系統(tǒng)、防病毒系統(tǒng)、安全隔離系統(tǒng)、防拒絕服務攻擊設備、VPN等安全設備及產(chǎn)品。評估時主要分析安全設備的配置參數(shù)及自身的安全性。l 應用系統(tǒng) 包括組織的核心業(yè)務和辦公系統(tǒng)，如業(yè)務管理系統(tǒng)、財務管理系統(tǒng)、辦公自動化系統(tǒng)等。n 資產(chǎn)調(diào)研資產(chǎn)調(diào)查利用了資產(chǎn)調(diào)查表，包括資產(chǎn)名稱、硬件型號、IP地址、操作系統(tǒng)及版本、應用程序及版本、部署位置、管理人員等信息。資產(chǎn)屬性說 明資產(chǎn)名稱記錄該資產(chǎn)的名稱用途描述描述該資產(chǎn)的主要功能及用途硬件型號資產(chǎn)的具體型號，如CISCO 6509IP地址資產(chǎn)的IP地址IP數(shù)量該資產(chǎn)同時具備的IP地址數(shù)量操作系統(tǒng)及版本填寫設備的OS或IOS版本號，如windows 2000 server應用程序及版本填寫該資產(chǎn)上運行的應用程序，包括數(shù)據(jù)庫和應用軟件安裝地點填寫該資產(chǎn)所屬的地理位置所屬業(yè)務填寫該資產(chǎn)所屬的業(yè)務所屬系統(tǒng)填寫該資產(chǎn)所屬的系統(tǒng)管理員填寫該資產(chǎn)的管理員備注其他需說明的問題，例如是否采用雙機熱備n 資產(chǎn)賦值通過分析資產(chǎn)的各種屬性，進而對資產(chǎn)進行安全價值分析。資產(chǎn)賦值是為資產(chǎn)及其支撐的業(yè)務系統(tǒng)從安全角度量化價值的行為。資產(chǎn)的價值可以從保密性、完整性、可用性等角度衡量?？蓞⒖嫉馁Y產(chǎn)賦值方法，如下表所示。級別定義保密性( C )完整性( I )可用性( A )5屬于絕密信息，完全不允許泄漏，只有組織高層可以接觸完全不允許出現(xiàn)變更，必須采用實時檢測機制基本不允許中斷，%4屬于機密信息，不允許泄漏，組織中層以上可以接觸不允許出現(xiàn)變更，應采用實時檢測機制可短時間中斷，%3屬于秘密信息，不允許泄漏，業(yè)務相關人員可以接觸不允許出現(xiàn)變更，應采用檢測機制中斷時間小于1天，%2屬于內(nèi)部信息，組織內(nèi)部人員可以接觸，可小范圍公開允許出現(xiàn)小范圍的不一致，并在短時間內(nèi)更正中斷時間小于1天，可靠性達到99%1屬于公開信息基本沒有要求，不一致時可在一定時間內(nèi)更正對故障時間基本沒有要求 威脅識別n 威脅分類依據(jù)下表分類標準對威脅進行分類。種類威脅子類軟硬件故障設備硬件故障、傳輸設備故障、存儲媒體故障、系統(tǒng)軟件故障、應用軟件故障、數(shù)據(jù)庫軟件故障等物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、蟲害、電磁干擾、火災、地震等無作為或操作失誤維護錯誤、操作失誤等管理不到位管理制度和策略不完善、管理規(guī)程缺失、職責不明確等惡意代碼病毒、木馬、蠕蟲、惡意軟件等越權(quán)或濫用非授權(quán)訪問網(wǎng)絡資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置等網(wǎng)絡攻擊網(wǎng)絡探測和信息采集、漏洞探測、嗅探等物理攻擊物理接觸、物理破壞、盜竊等泄密內(nèi)部信息泄露、外部信息泄露等篡改篡改網(wǎng)絡配置信息、篡改系統(tǒng)配置信息等抵賴原發(fā)抵賴、接受抵賴、第三方抵賴等n 威脅賦值根據(jù)經(jīng)驗或有關統(tǒng)計來判斷威脅出現(xiàn)的頻率，從以下三個方面來考慮：a) 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；b) 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；c) 近一兩年來國際組織發(fā)布的對于整個社會或特定行業(yè)的威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預警。對威脅出現(xiàn)的頻率進行等級量化處理，不同等級分別代表威脅出現(xiàn)的頻率高低，等級數(shù)值越大，威脅出現(xiàn)的頻率越高。等級標識定義5很高出現(xiàn)頻率很高，或在大多數(shù)情況下幾乎不可避免；或可證實經(jīng)常發(fā)生過4高出現(xiàn)頻率較高，或在大多數(shù)情況下很有可能發(fā)生，或可以證實多次發(fā)生過3中等出現(xiàn)的頻率中等，或在某種情況下可能會發(fā)生，或被正式曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小，或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生 脆弱性識別n 脆弱性識別類型識別對象識別內(nèi)容技術脆弱性物理環(huán)境從機房場地、防火、配電、防靜電、電磁防護等方面識別網(wǎng)絡結(jié)構(gòu)從網(wǎng)絡結(jié)構(gòu)設計、邊界防護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡設備安全配置等方便識別系統(tǒng)軟件從補丁安裝、物理保護、用戶賬戶、口令策略、資源共享、事件審計、訪問控制等方面識別應用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面識別應用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術管理從物理和環(huán)境安全、通信與操作管理、訪問空知、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別組織管理從策略安全、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別n 脆弱性賦值等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中等如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略 已有安全措施確認對已有的安全措施進行確認，包括預防性安全措施及保護性安全措施。 風險分析我司的風險定義及風險分類方法主要參考ISO 17799：2005，個別分類的名稱進行了調(diào)整，風險級別定義標準參考ISO 13335，風險計算矩陣參考AS/NZS 4360：2004。根據(jù)ISO 13335的定義，風險指的是特定威脅利用某一資產(chǎn)或一組資產(chǎn)的脆弱性，從而對組織產(chǎn)生損害的可能性。因此，為了確定風險級別，首先需要創(chuàng)建不同級別影響（損害）和可能性的定義，然后基于不同級別的影響和可能性定義，創(chuàng)建不同級別的風險定義。l 影響級別定義根據(jù)我司的最佳實踐，最終確定影響級別定義如下：影響級別影響描述5因缺乏相應的措施，導致該風險發(fā)生時，對XXX的業(yè)務及運營具有極其嚴重的影響。4因缺乏相應的措施，導致該風險發(fā)生時，對XXX的業(yè)務及運營具有嚴重的影響。3因缺乏相應的措施，導致該風險發(fā)生時，對XXX的業(yè)務及運營具有一定的影響。2因缺乏相應的措施，導致該風險發(fā)生時，對XXX的業(yè)務及運營具有輕微影響。1因缺乏相應的措施，導致該風險發(fā)生時，對XXX的業(yè)務及運營基本沒有影響。l 可能性級別定義可能性級別定義如下：可能性級別可能性描述5幾乎肯定發(fā)生：預期在大多數(shù)情況下發(fā)生，不可避免；或者可以證實經(jīng)常發(fā)生。4非常有可能發(fā)生：在大多數(shù)情況下，很有可能會發(fā)生；或者可以證實發(fā)生過。3發(fā)生的可能性較大：在某些情況下，很可能會發(fā)生。2有可能發(fā)生：在某種情況下或某個時間，可能會發(fā)生。1基本不可能發(fā)生：發(fā)生的可能性很小，不太可能。l 風險級別矩陣基于以上定義，創(chuàng)建的風險級別矩陣如下圖所示。影響可能性123455中高高極高極高4中中高高極高3低低中高高2極低低低中高1極低極低低中高（來源參考：AS/NZS 4360: 2004） 輸出成果網(wǎng)絡安全評估的輸出成果如下：l 《XXX網(wǎng)絡安全評估報告》l 《XXX網(wǎng)絡設備資產(chǎn)表》l 《XXX網(wǎng)絡設備漏洞掃描報告》l 《XXX網(wǎng)絡設備配置分析報告》 安全巡檢服務信息安全是動態(tài)的，隨著時間的變化會不斷暴露出新的安全漏洞、惡意軟件、攻擊手段，新些將打打破現(xiàn)有信息安全的平衡。安全風險管理是一個持續(xù)性的過程，安全巡檢服務是安全風險管理過程中的重要組成部分。迪普科技的安全巡檢服務，是指定期對用戶網(wǎng)站進行的安全檢測，檢測完成后提供全面的巡檢服務報告，給出存在的安全風險并提供對應的修復建議。我們的安全巡檢服務，包括安全漏洞評估、安全基線核查、安全日志審計。 服務內(nèi)容 安全漏洞評估采用迪普科技Scanner設備及國際上著名的漏洞掃描工具，對XXX網(wǎng)站進行漏洞掃描，查找網(wǎng)站上存在的安全漏洞，完成后給出詳細的漏洞掃描報告，報告中包括漏洞修復建議。 安全基線核查采用迪普科技的Scanner設備，對XXX網(wǎng)站進行安全基線核查，查找網(wǎng)站操作系統(tǒng)層面的安全配置隱患、安全配置風險，完成后給出詳細的安全基線核查報告，報告中包括安全配置建議。 安全日志審計對防火墻、IPS、WAF等產(chǎn)生的安全日志進行收集，綜合對這些日志進行關聯(lián)分析，從多個維度對目標的運行狀態(tài)進行分析，得出一段時間內(nèi)目標系統(tǒng)及相關設備的安全運行狀態(tài)。 輸出成果安全巡檢服務的主要輸出成果如下：l 《XXX安全巡檢服務報告》l 《XXX網(wǎng)站漏洞掃描報告》l 《XXX網(wǎng)站基線核查報告》l 《XXX網(wǎng)站日志分析報告》 服務收益安全巡檢服務，可為XXX帶來如下收益：l 有效發(fā)現(xiàn)網(wǎng)站中存在的安全漏洞、安全配置隱患、安全風險，為安全加固提供事實依據(jù)。l 周期性檢查，促進ISMS信息安全管理體系和PDCA在實際工作中的執(zhí)行，確保設備和系統(tǒng)的持續(xù)、安全、穩(wěn)定運行。 服務頻率對XXX網(wǎng)站的安全巡檢，建設每季度1次，全年共4次。 安全加固服務為了有效保障網(wǎng)絡的安全運行，在對操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、安全設備進行安全檢測后，需要對發(fā)現(xiàn)的安全風險進行修復。安全加固服務，是指根據(jù)安全加固列表，對目標系統(tǒng)的安全漏洞對進行修復、配置隱患進行優(yōu)化的過程。加固內(nèi)容包括但不限于系統(tǒng)補丁、防火墻、防病毒、危險服務、共享、自動播放、密碼安全。安全加固是保證設備和系統(tǒng)安全運行的關鍵防護措施，通常情況下，操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)絡設備、安全設備，都需要進行安全加固。 加固內(nèi)容 操作系統(tǒng)加固內(nèi)容我司可進行安全加固的操作系統(tǒng)包括Windows、Linux、AIX、HPUnix、Solaris。操作系統(tǒng)的加固內(nèi)容如下表所示，詳細的加固列表可參見我司的操作系統(tǒng)安全加固規(guī)范。序號加固大項加固小項1賬號管理和認證授權(quán)賬號、口令、授權(quán)、關機設置2協(xié)議安全配置IP協(xié)議安全、防火墻、SYN攻擊防護3服務和共享配置系統(tǒng)服務、默認共享、共享權(quán)限4日志安全配置日志審核策略、日志文件設置5其它安全配置空閑超時設置、自動播放、啟動項、數(shù)據(jù)執(zhí)行保護 數(shù)據(jù)庫安全加固我司可進行安全加固的數(shù)據(jù)庫系統(tǒng)包括Oracle、SQL Server、DB2。數(shù)據(jù)庫的加固內(nèi)容如下表所示，詳細的加固列表可參見我司的數(shù)據(jù)庫安全加固規(guī)范。序號加固大項加固小項1賬號管理和認證授權(quán)賬號、口令2通信協(xié)議安全網(wǎng)絡數(shù)據(jù)傳輸安全、信任IP設置3日志安全配置數(shù)據(jù)庫審核策略、數(shù)據(jù)庫日志文件設置4其它安全配置連接超時設置、監(jiān)聽器密碼 中間件安全加固我司可進行安全加固的中間件系統(tǒng)包括Tomcat、Apache、WebLogic、WebSphere。中間件系統(tǒng)的加固內(nèi)容如下表所示，詳細的加固列表可參見我司的中間件安全加固規(guī)范。序號加固大項加固小項1賬號管理和認證授權(quán)賬號、口令2通信協(xié)議安全啟用傳輸、更改tomcat默認端口3日志安全配置日志記錄設置4其它安全配置登錄超時、錯誤重定向、禁止顯示文件 網(wǎng)絡設備安全加固我司可進行安全加固的網(wǎng)絡設備包括主流廠商的路由器、交換機。網(wǎng)絡設備的加固內(nèi)容如下表所示，詳細的加固列表可參見我司的網(wǎng)絡設備安全加固規(guī)范。序號加固大項加固小項1賬號管理和認證授權(quán)賬號管理、登錄安全要求、認證授權(quán)2通信協(xié)議安全SNMP協(xié)議安全、路由協(xié)議安全、IP協(xié)議安全3日志安全配置日志記錄設置4其它安全配置關閉不必要的服務、端口 安全設備安全加固我司可進行安全加固的安全設備是主流廠商的防火墻，如Juniper、天融信、Cisco ASA等。安全設備的加固內(nèi)容如下表所示，具體的加固列表可參見我司的安全設備安全加固規(guī)范。序號加固大項加固小項1賬號管理和認證授權(quán)賬號、口令、授權(quán)2訪問控制安全安全策略、遠程管理3日志安全配置啟用本地日志、啟用遠程日志4增強安全要求限定管理IP、更改默認Banner、設備自身安全設置 加固流程 前期準備l 成立項目組成立由多方人員組成的安全加固項目組，協(xié)調(diào)處理本項目的開展和實施。項目組成員包括：l 我公司安全加固人員l 用戶方安全管理員l 用戶方系統(tǒng)管理員l 系統(tǒng)設備維護廠商l 加固目標確認確認本次安全加固項目的目標、范圍、IP地址和其他相關信息。l 加固目標信息收集確認加固目標后，收集加固目標的以下信息，為評估安全加固的風險做準備。l 加固目標的操作系統(tǒng)類型，補丁升級情況；l 加固目標的應用環(huán)境，包括應用系統(tǒng)及相關權(quán)限；l 加固目標的運行環(huán)境，包括網(wǎng)絡環(huán)境及其它訪問關系；l 加固目標的重要系統(tǒng)配置文件、配置信息。