【正文】 表給出了評(píng)估過(guò)程中可能的風(fēng)險(xiǎn)與控制方式。這些影響包括信息泄漏、業(yè)務(wù)停頓或處理能力受損等。通過(guò)這些分析，讓客戶了解安全產(chǎn)品和應(yīng)用是否得到正確使用，也可以幫助客戶來(lái)分析一些安全產(chǎn)品（如防火墻、IDS等）的保護(hù)和紀(jì)錄情況。并且可以根據(jù)其中存在的缺陷，制定相應(yīng)的解決辦法。這7個(gè)方面將能夠充分體現(xiàn)系統(tǒng)目前的運(yùn)行和安全現(xiàn)狀。日志安全管理檢查系統(tǒng)或應(yīng)用的日志配置情況，是否有嚴(yán)格的日志配置或者日志服務(wù)器。評(píng)估目標(biāo)評(píng)估內(nèi)容補(bǔ)丁管理檢查系統(tǒng)、應(yīng)用的版本情況、補(bǔ)丁安裝情況最小服務(wù)原則 檢查系統(tǒng)、應(yīng)用的服務(wù)運(yùn)行配置情況，察看是否遵循最小服務(wù)原則最大安全性原則檢查系統(tǒng)是否進(jìn)行了安全配置或者是否采用了恰當(dāng)?shù)陌踩雷o(hù)機(jī)制。如果檢查到有被入侵的跡象，評(píng)估人員將立即向相關(guān)人員匯報(bào)，并提出安全防范建議。針對(duì)客戶部署的安全產(chǎn)品和應(yīng)用，比如防火墻、IDS以及身份認(rèn)證、VPN等，yyyy安全專家，將收集這些產(chǎn)品的相關(guān)信息，比如，應(yīng)用情況、自身配置情況、訪問(wèn)情況、部署狀況等。l 深層挖掘技術(shù)。比如針對(duì)Aix系統(tǒng)，yyyy開(kāi)發(fā)了自己的本地風(fēng)險(xiǎn)評(píng)估腳本工具，通過(guò)執(zhí)行該工具，就可以獲取系統(tǒng)的運(yùn)行信息；l 常見(jiàn)后門(mén)分析工具。yyyy的技術(shù)審計(jì)將首先應(yīng)用審計(jì)列表或者審計(jì)工具，在對(duì)象上收集相應(yīng)的信息。l 確定審計(jì)對(duì)象根據(jù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告及風(fēng)險(xiǎn)列表，為網(wǎng)管中心、數(shù)據(jù)中心、各市州分公司挑選出400臺(tái)需進(jìn)行安全優(yōu)化服務(wù)的設(shè)備作為本地風(fēng)險(xiǎn)評(píng)估的對(duì)象。l 人工審計(jì) 對(duì)抽樣設(shè)備和主機(jī)進(jìn)行人工審計(jì)，包括系統(tǒng)審計(jì)、應(yīng)用審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、網(wǎng)絡(luò)設(shè)備審計(jì)、日志審計(jì)、安全應(yīng)用審計(jì)等。n 分析網(wǎng)管網(wǎng)的網(wǎng)絡(luò)拓?fù)洹⒕W(wǎng)管網(wǎng)業(yè)務(wù)流程、各業(yè)務(wù)網(wǎng)管應(yīng)用。幫助客戶分析安全應(yīng)用的安全狀況。安全產(chǎn)品審計(jì)全面了解客戶部署的如防火墻、IDS等安全產(chǎn)品的運(yùn)行狀況，分析收集日志數(shù)據(jù)，了解安全產(chǎn)品部署本身存在的的安全問(wèn)題，以及通過(guò)這些安全產(chǎn)品日志分析了解客戶網(wǎng)絡(luò)中存在的安全威脅。這些應(yīng)用服務(wù)包括：WWW、Mail、DNS以及其他的應(yīng)用服務(wù)，包括客戶自身的特定應(yīng)用系統(tǒng)網(wǎng)絡(luò)設(shè)備審計(jì)全面了解各種網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況和安全狀況，采集并分析數(shù)據(jù)，評(píng)估存在的安全威脅和風(fēng)險(xiǎn)。包括各種操作系統(tǒng)：Windows、Linux、各種Unix等；數(shù)據(jù)庫(kù)審計(jì)全面了解數(shù)據(jù)庫(kù)系統(tǒng)的運(yùn)行狀況和安全狀況，采集并分析數(shù)據(jù)，評(píng)估存在的威脅和風(fēng)險(xiǎn)。對(duì)抽樣出的主機(jī)和設(shè)備通過(guò)人工審計(jì)的方法，在本地評(píng)估系統(tǒng)、應(yīng)用和設(shè)備的安全性。通過(guò)安全管理調(diào)查可以對(duì)技術(shù)弱點(diǎn)的安全管理根源進(jìn)行追蹤，評(píng)價(jià)**在安全組織、安全策略、安全管理和安全運(yùn)作方面存在的缺陷，通過(guò)制定安全策略建議和安全管理體系的規(guī)劃建設(shè)來(lái)實(shí)現(xiàn)安全的可管理。 本地風(fēng)險(xiǎn)評(píng)估內(nèi)容yyyy對(duì)將本地風(fēng)險(xiǎn)評(píng)估包括對(duì)**數(shù)據(jù)網(wǎng)和網(wǎng)管網(wǎng)的業(yè)務(wù)流程和拓?fù)浞治?、安全管理調(diào)查、人工審計(jì)。通過(guò)本地風(fēng)險(xiǎn)評(píng)估，我們了解到主機(jī)或者設(shè)備的安全現(xiàn)狀將包括：是否存在的安全弱點(diǎn)，這些安全弱點(diǎn)是否嚴(yán)重，系統(tǒng)配置是否滿足安全要求，是否被入侵或被破壞等。同時(shí)，yyyy本地風(fēng)險(xiǎn)評(píng)估服務(wù)，也可以分析安全產(chǎn)品以及安全應(yīng)用的部署和實(shí)施情況，幫助客戶了解安全產(chǎn)品和應(yīng)用是否得到了正確的使用。 進(jìn)行遠(yuǎn)程掃描之前對(duì)重要數(shù)據(jù)進(jìn)行備份 本地風(fēng)險(xiǎn)評(píng)估本地風(fēng)險(xiǎn)評(píng)估服務(wù)是安全評(píng)估服務(wù)體系中的一個(gè)重要模塊，屬于技術(shù)評(píng)估范圍，主要是通過(guò)采取技術(shù)手段，通過(guò)獲取系統(tǒng)配置和運(yùn)行狀態(tài)并進(jìn)行技術(shù)分析，以此了解系統(tǒng)的安全現(xiàn)狀。 提供遠(yuǎn)程掃描工作環(huán)境，包括可容納實(shí)施遠(yuǎn)程掃描工作人員的辦公位，用于實(shí)施掃描的工作用機(jī)，并提供網(wǎng)絡(luò)接口216。 提供被評(píng)估資產(chǎn)的列表，至少標(biāo)明IP地址和雙機(jī)熱備的主機(jī)216。 工程中合理溝通的保證在工程實(shí)施過(guò)程中，確定不同階段的測(cè)試人員以及客戶方的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過(guò)程中保持合理溝通。 系統(tǒng)備份和恢復(fù)手段l 系統(tǒng)備份為防止在遠(yuǎn)程掃描過(guò)程中出現(xiàn)的異常的情況，所有被評(píng)估系統(tǒng)均應(yīng)在被評(píng)估之前作一次完整的系統(tǒng)備份或者關(guān)閉正在進(jìn)行的操作，以便在系統(tǒng)發(fā)生災(zāi)難后及時(shí)恢復(fù)。216。216。遠(yuǎn)程掃描實(shí)施前策略選擇應(yīng)遵循以下原則：216。遠(yuǎn)程風(fēng)險(xiǎn)評(píng)估階段的最終報(bào)告為：《**遠(yuǎn)程風(fēng)險(xiǎn)評(píng)估報(bào)告》 遠(yuǎn)程掃描風(fēng)險(xiǎn)控制手段 遠(yuǎn)程掃描手段的選擇l 時(shí)間選擇根據(jù)雙方協(xié)商結(jié)果而定，在《遠(yuǎn)程掃描操作申請(qǐng)》里會(huì)具體說(shuō)明進(jìn)行遠(yuǎn)程掃描需要的時(shí)間段，對(duì)重要的服務(wù)器，為減輕遠(yuǎn)程掃描對(duì)網(wǎng)絡(luò)和主機(jī)的影響，遠(yuǎn)程掃描時(shí)間盡量安排在業(yè)務(wù)量不大的時(shí)段或晚上。l 最終報(bào)告通過(guò)人工分析最后形成遠(yuǎn)程掃描報(bào)告。 生成報(bào)告l 階段報(bào)告在掃描會(huì)話完成之后由工具輸出掃描報(bào)告。 風(fēng)險(xiǎn)規(guī)避根據(jù)業(yè)務(wù)、系統(tǒng)情況以及掃描對(duì)象類型制定風(fēng)險(xiǎn)規(guī)避措施，包括選用安全的掃描策略、系統(tǒng)備份和恢復(fù)。 遠(yuǎn)程評(píng)估流程遠(yuǎn)程掃描流程如下圖示： 客戶授權(quán)客戶書(shū)面授權(quán)委托，并同意實(shí)施方案是進(jìn)行遠(yuǎn)程掃描的必要條件。 遠(yuǎn)程評(píng)估范圍yyyy公司將針對(duì)**公司的等級(jí)保護(hù)定級(jí)備案信息系統(tǒng)，提供省網(wǎng)層面的遠(yuǎn)程風(fēng)險(xiǎn)評(píng)估服務(wù)。遠(yuǎn)程掃描的范圍限制于經(jīng)過(guò)客戶以書(shū)面形式進(jìn)行授權(quán)的主機(jī)、網(wǎng)絡(luò)系統(tǒng)，使用的手段也經(jīng)過(guò)客戶的書(shū)面同意。掃描的方式可以采用工具進(jìn)行網(wǎng)絡(luò)掃描。例如，在券商網(wǎng)和互聯(lián)網(wǎng)中，對(duì)于普通話音業(yè)務(wù)，可以要求網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商通過(guò)災(zāi)難備份及恢復(fù)工作，保證在災(zāi)難發(fā)生后單一地區(qū)災(zāi)難不影響災(zāi)難發(fā)生地理范圍以外地區(qū)的業(yè)務(wù)，并且發(fā)生災(zāi)難地區(qū)的話音業(yè)務(wù)能夠通過(guò)有效災(zāi)難恢復(fù)計(jì)劃的實(shí)施，在最短時(shí)間（由主管部門(mén)給出具體指標(biāo)要求，指標(biāo)應(yīng)與災(zāi)難級(jí)別對(duì)應(yīng)）內(nèi)恢復(fù)通信。如圖5所示，災(zāi)難備份及恢復(fù)工作應(yīng)根據(jù)安全等級(jí)保護(hù)確定的安全等級(jí)以及安全風(fēng)險(xiǎn)分析的相關(guān)結(jié)果進(jìn)行需求分析，制定、實(shí)現(xiàn)相應(yīng)的災(zāi)難備份及恢復(fù)策略，并構(gòu)建災(zāi)難恢復(fù)預(yù)案，這是一個(gè)循環(huán)改進(jìn)的過(guò)程。 災(zāi)難備份及恢復(fù)評(píng)估券商網(wǎng)和互聯(lián)網(wǎng)災(zāi)難備份及恢復(fù)工作利用技術(shù)、管理手段以及相關(guān)資源，確保已有的券商網(wǎng)和互聯(lián)網(wǎng)在災(zāi)難發(fā)生后，在確定的時(shí)間內(nèi)可以恢復(fù)和繼續(xù)運(yùn)行。 技術(shù)評(píng)估通過(guò)調(diào)查或查閱資料等方式，確定具體進(jìn)行安全等級(jí)保護(hù)工作的對(duì)象，包括整體對(duì)象（如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等）和具體對(duì)象（如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等）；獲得券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的信息，包括技術(shù)和管理方面的信息，技術(shù)方面包括物理環(huán)境、網(wǎng)絡(luò)、設(shè)備、數(shù)據(jù)、業(yè)務(wù)/應(yīng)用等信息，管理方面包括安全管理機(jī)構(gòu)、安全管理制度、人員管理、網(wǎng)絡(luò)建設(shè)和運(yùn)維管理等信息。由于是已經(jīng)存在的券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，工作的重點(diǎn)是在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上，根據(jù)安全等級(jí)保護(hù)要求，在安全規(guī)劃設(shè)計(jì)階段如何制定滿足要求的補(bǔ)充的安全建設(shè)方案，在安全實(shí)施階段如何保證在不影響現(xiàn)有業(yè)務(wù)/應(yīng)用的情況下，分步驟分階段分目標(biāo)地使各類安全補(bǔ)救措施可以順利落實(shí)。在啟動(dòng)階段，應(yīng)該仔細(xì)分析和合理劃分各個(gè)券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)，確定各個(gè)券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)，定級(jí)過(guò)程也可能在設(shè)計(jì)階段；在設(shè)計(jì)階段，應(yīng)該根據(jù)各個(gè)券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)，進(jìn)行安全規(guī)劃設(shè)計(jì)；在實(shí)施階段，應(yīng)在券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)建設(shè)的同時(shí)，同步進(jìn)行安全措施的實(shí)施；在運(yùn)維階段，應(yīng)按照本系列標(biāo)準(zhǔn)文件中安全等級(jí)保護(hù)的要求進(jìn)行安全運(yùn)維；在廢棄階段，應(yīng)對(duì)廢棄的設(shè)備、信息或存儲(chǔ)介質(zhì)等資產(chǎn)進(jìn)行有效的安全管理。安全等級(jí)保護(hù)工作可分為：對(duì)新建券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)和對(duì)已建券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全等級(jí)保護(hù)，兩者在券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期中的切入點(diǎn)是不同的，但是安全等級(jí)保護(hù)工作的主要活動(dòng)基本相同，其安全等級(jí)保護(hù)過(guò)程與券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)生命周期的關(guān)系如下圖所示。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的生命周期包括五個(gè)階段，即啟動(dòng)階段、設(shè)計(jì)階段、實(shí)施階段、運(yùn)維階段和廢棄階段。通過(guò)對(duì)券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行持續(xù)改進(jìn)，確保券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力滿足相應(yīng)等級(jí)安全要求和自身特殊的安全需求，確保安全等級(jí)保護(hù)工作的有效性。l 改進(jìn)方案制定和實(shí)施根據(jù)安全檢查結(jié)果對(duì)券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)進(jìn)行持續(xù)改進(jìn)，確定安全改進(jìn)的策略，分為如下幾種情況：1） 如果涉及安全等級(jí)的變化，則應(yīng)進(jìn)入安全等級(jí)保護(hù)的一個(gè)新的循環(huán)過(guò)程；2） 如果安全等級(jí)不變i. 如果調(diào)整內(nèi)容較多、涉及范圍較大，則應(yīng)對(duì)安全改進(jìn)項(xiàng)目進(jìn)行立項(xiàng)，重新開(kāi)始安全實(shí)施過(guò)程；ii. 如果調(diào)整內(nèi)容較小，則制定安全改進(jìn)方案進(jìn)行局部補(bǔ)充或局部調(diào)整，確定安全改進(jìn)的工作方法、工作內(nèi)容、人員分工、時(shí)間計(jì)劃、管理內(nèi)容的調(diào)整和技術(shù)內(nèi)容的調(diào)整等。風(fēng)險(xiǎn)評(píng)估可以作為安全檢查的一種手段。通過(guò)安全狀態(tài)檢查，為券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的持續(xù)改進(jìn)過(guò)程提供依據(jù)和建議，確保券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的安全保護(hù)能力滿足其相應(yīng)等級(jí)的基本安全要求和自身特殊的安全需求。（5） 評(píng)估工具: 利用工具盡可能多地收集、分析和整理券商網(wǎng)和互聯(lián)網(wǎng)的相關(guān)信息，在此基礎(chǔ)上形成準(zhǔn)確的券商網(wǎng)和互聯(lián)網(wǎng)總體描述文件。（2） 調(diào)查問(wèn)卷：調(diào)查問(wèn)卷是提供一套關(guān)于管理或操作控制的問(wèn)題表格，供技術(shù)或管理人員填寫(xiě)；（3） 人員訪談：與有關(guān)人員訪談，了解系統(tǒng)發(fā)射故障對(duì)國(guó)家安全、社會(huì)秩序、公民法人的合法權(quán)益的影響程度。 等級(jí)保護(hù)評(píng)估方法（1） 文檔查詢：閱讀有關(guān)網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，主要的硬件、軟件及其承載的數(shù)據(jù)和信息、管理、維護(hù)和使用的人員等文檔。l 通過(guò)評(píng)估獲得**重要信息系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告，形成風(fēng)險(xiǎn)列表。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；而脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度等。在券商網(wǎng)和互聯(lián)網(wǎng)的安全風(fēng)險(xiǎn)評(píng)估工作中，應(yīng)首先進(jìn)行相關(guān)工作的準(zhǔn)備，通過(guò)安全風(fēng)險(xiǎn)分析計(jì)算券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的風(fēng)險(xiǎn)值，進(jìn)而確定其風(fēng)險(xiǎn)等級(jí)和風(fēng)險(xiǎn)防范措施。通過(guò)檢查評(píng)估，主管部門(mén)可以督促網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商時(shí)刻保持安全防護(hù)意識(shí)，完善安全防護(hù)體系建設(shè)，保證券商網(wǎng)和互聯(lián)網(wǎng)的安全和有效運(yùn)行。檢查評(píng)估由主管部門(mén)發(fā)起，由主管部門(mén)或具有安全防護(hù)檢測(cè)服務(wù)資質(zhì)的檢測(cè)機(jī)構(gòu)進(jìn)行實(shí)施。自評(píng)估可在主管部門(mén)相關(guān)管理規(guī)定指導(dǎo)下，由網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商實(shí)施或委托主管部門(mén)授權(quán)的具有安全防護(hù)檢測(cè)服務(wù)資質(zhì)的檢測(cè)機(jī)構(gòu)實(shí)施。安全等級(jí)確定可能不是一個(gè)過(guò)程就可以完成的，可能需要經(jīng)過(guò)定級(jí)要素賦值、定級(jí)、定級(jí)結(jié)果調(diào)整的循環(huán)過(guò)程，最終才能確定出較為科學(xué)、準(zhǔn)確的安全等級(jí)。券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性賦值表所提供服務(wù)的重要性定義賦值券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性一般，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生較小的影響1券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性較高，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生較大的影響2券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性很高，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生很大的影響3券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)所提供服務(wù)的重要性非常高，無(wú)法提供服務(wù)對(duì)網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)營(yíng)商產(chǎn)生非常大的影響4c）券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的服務(wù)用戶數(shù)券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的服務(wù)用戶數(shù)表示其服務(wù)的用戶數(shù)多少，券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的服務(wù)用戶數(shù)賦值如下表所示。對(duì)券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)的社會(huì)影響力賦值表社會(huì)影響力定義賦值券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較小1券商網(wǎng)和互聯(lián)網(wǎng)及相關(guān)系統(tǒng)無(wú)法提供有效服務(wù)對(duì)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)、公共利益的影響較大