【正文】 ........................ 79 . 目標 ..................................................................................................................................................... 79 . 地點 ..................................................................................................................................................... 80 . 時間 ..................................................................................................................................................... 80 . 參與人員 ............................................................................................................................................. 80 . 范圍 ..................................................................................................................................................... 80 . 網(wǎng)絡設備 ...................................................................................................................................... 80 . 應用系統(tǒng) ...................................................................................................................................... 80 . 評估方法 ............................................................................................................................................. 81 . 實施步驟 ............................................................................................................................................. 82 . 評估步驟 ...................................................................................................................................... 82 . 評估內容 ...................................................................................................................................... 83 . 報告整理 ...................................................................................................................................... 84 八 . 項目實施計劃 ............................................................................................................................................. 84 . 項目組結構 ........................................................................................................................................ 84 . 甲方項目組結構 ......................................................................................................................... 84 . 乙方 項目組結構 ......................................................................................................................... 85 . 項目小組聯(lián)系表 ............................................................................................................................... 86 . 甲方小組聯(lián)系表 ......................................................................................................................... 86 7 / 92 . 乙方小組聯(lián)系表 ......................................................................................................................... 86 . 項目進度安排 .................................................................................................................................... 86 . 用戶配合 ............................................................................................................................................. 87 . 評估監(jiān)控 ............................................................................................................................................. 87 . 網(wǎng)頁監(jiān)控 ...................................................................................................................................... 87 . 系統(tǒng)監(jiān)控 ...................................................................................................................................... 88 . 評估風險的應對措施 ...................................................................................................................... 88 . 評估風險應急預案 ........................................................................................................................... 89 附錄一：甲方項目組聯(lián)系表 ............................................................................................................................. 90 附錄二：乙方項目組聯(lián)系表 ............................................................................................................................. 91 附錄三：項目進度計劃 ...................................................................................................................................... 92 8 / 92 一 . 背景 企業(yè)對信息技術和服務的依賴意味著自身更容易受到安全威脅的攻擊。 對于一個特定的網(wǎng)絡，為了實現(xiàn)其網(wǎng)絡安全的目標，就是要在網(wǎng)絡安全風險評估的基礎上，明確系統(tǒng)中所存在的各種安全風險，并制訂相應的安全策略，通過網(wǎng)絡安全管理和各種網(wǎng)絡安全技術的實施，從而達到網(wǎng)絡安全的目標。目標可以包括工作站、服務器、交換機、路由器、數(shù)據(jù)庫等各種網(wǎng)絡對象和應用對象。在網(wǎng)絡安全體系的建設中，安全掃描工具花費低、效果好、見效快、與網(wǎng)絡的運行相對獨立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。在掃描之后，將掃描系統(tǒng)獲得的報告匯集成為一個當前系統(tǒng)漏洞評估報告，同時根據(jù)漏洞情況提供加強網(wǎng)絡安全的建議。 . 評估目標 本期安全風險評估項目，將通過管理上、技術上的等 多方面進行，以實現(xiàn)以下安全評估目標： ? 管理上 ? 審核安全策略的合理性 ? 審核安全管理文檔的完備程度 9 / 92 ? 完成資產(chǎn)識別、分類工作 ? 擬定體系及策略改進計劃 ? 技術上 ? 識別被評估系統(tǒng)面臨的威脅 ? 識別被評估系統(tǒng)存在的脆弱性 ? 識別安全設施的有效性 ? 分析威脅發(fā)生的可能性 ? 分析威脅發(fā)生的后果 ? 評價安全風險 ? 擬定風險處理計劃 . 評估范圍 對于指定的信息系統(tǒng)必須首先進行資產(chǎn)識別和分類，明確被保護的信息資產(chǎn)，對每一項資產(chǎn)進行確認和評估。 XXXXX 目前擁有一個機房。主要從這個機房的管理層、技術層、操作層、物理層等多個層面進行安全評估工作，以求能夠通過這次評估和加固工作達到要求的安全標準，大幅度提高 XXXXX 以及下屬機房的安全防御能力。 XXXXXX 公司和參加此次評估項目的所有項目組成員，都要與甲方簽署相關的保密協(xié)議和非侵害性協(xié)議。 XXXXXX 公司在提供本次評估服務中，將會依據(jù)相關的國內和國際標準進行。 這些規(guī)范和約定包括： ? CVE 公共漏洞和暴露 ? PMI 項目管理方法學 XXXXXX 公司在提供本次評估服務中，除了依據(jù)相關的國內和國際標準之外，還根據(jù)本項目的需要，遵循 XXXXXX 公司自身的一些規(guī)范和要求。這 些可控性包括： ? 人員可控性 ? XXXXXX 公司項目組將確保項目組成員工作的連續(xù)性。 ? XXXXXX 公司的人員安排將在顧問服務的工作說明中明確定義并得到雙方的同意、確認和簽署。 ? 工具可控性 ? XXXXXX 公司項目組所使用的所有技術工具都事先通告甲方。 ? 項目過程可控性 ? 本評估項目的管理將依據(jù) PMI 項目管理方法學達到項目過程的可控性。評估期間雙方將本著友好合作的態(tài)度完成各自的職責。XXXXXX 公司實施的網(wǎng)絡、系統(tǒng)和應用評估是對 xxxxx 的全面評估； XXXXXX 公司實施的人工分析也覆蓋了上述業(yè)務系統(tǒng)的業(yè)務流程和相互間的業(yè)務相關性和數(shù)據(jù)共享；XXXXXX 公司進行的綜合分析和建議將結合 XXXXXX 公司長期的信息安全經(jīng)驗和相關的國際經(jīng)驗。 . 重點性原則 從用戶的業(yè)務期望出發(fā)，采用詳細的安全風險評估方式對用戶指出的關鍵性業(yè)務系統(tǒng)進行重點評估。系統(tǒng)評估我們選擇對業(yè)務連續(xù)性影響較小的主機進行。 三 . 評估標準 XXXXXX 公司采用國際信息安全管理標準 BS 7799 的風險管理思想作為貫穿整個風險評估過程的主要指導規(guī)范。同時， SS