风险评估方案v2.1
密 级: 机密 文档编号: 001 项目代号: 001
网络风险评估方案
V1.0
2009年4月
*****信息技术有限公司
目 录
一、 网络安全评估服务背景 ............................................................................................................. 3 1.1 安全评估概念 ..........................................................................................错误!未定义书签。 1.2安全评估的目的 .......................................................................................错误!未定义书签。 1.3目标现状描述 ............................................................................................................................. 3 二、 风险评估内容说明 ..................................................................................................................... 4 2.1风险等级分类 ............................................................................................................................. 4 2.2 评估目标分类 ............................................................................................................................ 5 2.3 评估手段 .................................................................................................................................... 7 2.4 评估步骤 .................................................................................................................................... 8 2.5 评估检测原则 ............................................................................................................................ 9 三、评估操作...................................................................................................................................... 10 3.1 人员访谈&调查问卷 ................................................................................................................ 10 3.2 人工评估&工具扫描 ................................................................................................................ 10 3.3 模拟入侵 .................................................................................................................................. 12 四、 项目实施计划 ........................................................................................................................... 14 4.1 项目实施 .................................................................................................................................. 14 4.2 项目文档的提交 ...................................................................................................................... 15 附录一:使用的工具简单介绍 ......................................................................................................... 17 Nessus scanner 3.2 英文版 ........................................................................................................ 17 Xscan-gui v3.3 中文版 .............................................................................................................. 18 辅助检测工具 .................................................................................................................................. 18 附录二: *****信息技术有限公司简介 ......................................................................................... 19 1.1网络安全服务理念 .................................................................................................................... 19 1.2网络安全服务特点 .................................................................................................................... 19
一、网络安全评估服务背景
1.1风险评估概念
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、
薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT 领域时,就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1.2风险评估目的
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的:
✧ 找出目前的安全策略和实际需求的差距 ✧ 获得目前信息系统的安全状态 ✧ 为制定组织的安全策略提供依据 ✧ 提供组织网络和系统的安全解决方案 ✧ 为组织未来的安全建设和投入提供客观数据 ✧ 为组织安全体系建设提供详实依据
此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范,为建立全面的安全防护层次提供了一套完整、规范的指导模型。
1.3目标现状描述
XXXXXXX 省略XXXX
二、 风险评估内容说明
2.1风险等级分类
信息系统风险包括下表所示内容,本方案按照国家二级标准将对XX 公司信息风险进行评估。 下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表:
威胁严重程度(资产价值)划分表
威胁可能性赋值表
对资产弱点进行赋值后,使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下:
然后根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定威胁的风险等级
风险等级划分对照表
最后对资产威胁进行填表登记,获得资产风险评估报告。
2.2 评估目标分类
根据《信息系统安全等级评测准则》,将评估目标划分为以下10个部分
1) 机房物理安全检测 2) 网络安全检测 3) 主机系统安全 4) 应用系统安全 5) 数据安全
6) 安全管理机构 7) 安全管理制度 8) 人员安全管理 9) 系统建设管理 10) 系统运维管理
在实际的评估操作中,由于出于工作效率的考虑,将评估目标进行整合实施考察,评估完成后再根据评估信息对划分的10个部分进行核对,检查达标的项目。
安全评估采用评估工具和人工方式进行评估,即根据定制的扫描策略实施远程评估,根据评估工具的初步结果进行人工分析和本机控制台分析。
2.5 评估检测原则
2.5.1 标准性原则
依据国际国内标准开展工作是本次评估工作的指导原则,也是*****信息技术有限公司提供信息安全服务的一贯原则。在提供的评估服务中,依据相关的国内和国际标准进行。这些标准包括:
《信息安全风险评估指南》
《信息系统安全等级保护测评准则》 《信息系统安全等级保护基本要求》
《信息系统安全保护等级定级指南》(试用版v3.2) 《计算机机房场地安全要求》(GB9361-88)
《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002) 《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002) 《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002) 《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002) 《计算机信息系统安全等级保护管理要求》(GA/T391-2002) 《计算机信息系统安全等级保护划分准则》(GB/T17859-1999) 2.5.2 可控性原则
人员可控性:将派遣数名经验丰富的工程师参加本项目的评估工作,有足够的经验应付评
估工程中的突发事件。
工具可控性:在使用技术评测工具前都事先通告。并且在必要时可以应客户要求,介绍主
要工具的使用方法,并进行一些实验。
2.5.3 完整性原则
将按照提供的评估范围进行全面的评估,从范围上满足的要求。实施的远程评估将涉及全部外网可以访问到的设备;实施的本地评估将全面覆盖安全需求的各个点。 2.5.4 最小影响原则
*****信息技术有限公司会从项目管理层面和工具使用层面,将评估工作对系统和网络正常运行的可能影响降低到最低限度,不会对现有运行业务产生显著影响。
2.5.5保密原则
*****信息技术有限公司和参加此次评估项目的所有项目组成员,都要与签署相关的保密协议。
三、评估操作
3.1 人员访谈&调查问卷
为了检查XXXX 安全现状,主要在安全管理方面进行一个安全状况的调查和摸底,我们采取安全审计的方法,主要依据国家等级安全标准的要求,*****向XXXX 提交了详细的问题清单,针对管理层、技术人员和普通员工分别进行面对面的访谈。
通过人员访谈的形式,大范围地了解XXXX 在信息安全管理方面的各项工作情况和安全现状,作为安全弱点评估工作中的一个重要手段。 过程描述
此阶段主要通过提出书面的问题审计清单,安全工程师进行问题讲解,和XXXX 相关人员共同回答,并询问相关背景和相关证据的工作方式,以此来了解XXXX 的关于信息安全各方面的基本情况。
此访谈包括的内容为:物理安全规范、人员安全规范、数据安全规范、安全管理制度规范、安全管理机构规范、系统建设管理规范、系统运维管理规范。
3.2 人工评估&工具扫描
此内容评估采用扫描工具和人工方式(仿黑客攻击手段)进行评估,即根据定制的扫描策略实施远程评估,根据评估工具的初步结果进行人工分析和本机控制台分析。
工具扫描过程描述
由于评估可实际操作的时间有限,我们对该网络安全评估制定以下评估步骤: 网关设备的安全扫描评估,其内容包括:
◆ 用Nessus 扫描网关设备,获取设备的操作系统漏洞信息,开启的服务信息以及开
放的多余端口信息等,工具自动生成扫描报告;
应用服务器的安全扫描评估,评测内容为:
◆ 用nessus 扫描各个服务器,获取操作系统的漏洞信息,开启的服务信息和暴露出
来的敏感信息等,工具自动生成扫描报告。
整体网络扫描探测,评测内容为:
◆ 使用xscan-gui 扫描网络内的共享资源、并根据评估人员总结的密码列表进行常用
密码猜解;如果时间充足将考虑进行共享资源、弱口令的利用演示,让客户了解该威胁的严重性。
◆ 使用客户自有的网络版杀毒软件控制中心漏洞扫描功能对用户电脑进行漏洞检
测;(如果客户未部署网络版杀毒软件,则不操作此项。)
人工评估过程描述
网关设备的人工评估,其内容包括:
◆ 登录设备分析router 、 firewall 、switch 等网关设备的配置; ◆ 根据checklist 对网络设备进行手工检测; ◆ 对网络设备密码进行强度测试; 应用服务器的人工评估,其内容包括:
◆ 使用自动化评估脚本进行信息收集; ◆ 根据checklist 对服务器进行手工检测; ◆ 对服务器密码进行强度测试;
◆ 对服务器日志进行审计,获取服务器的安全状况;(有一定难度,选做)
整体网络安全的人工评估,其内容包括:
◆ 分析网络拓扑图是否具备一定的攻击防范、重要设备冗余等信息; ◆ 分析整体网络的网段划分、IP 地址规划是否合理;
最后分析工具扫描、人工评估中收集到的所有数据,并做出加固建议报告:
◆ 分析所有扫描日志及人工评估记录,做出安全分析报告; ◆ 针对出现的安全威胁做出加固建议报告。
3.3 模拟入侵
在获得客户授权的情况下,对路由器、firewall 、网站进行远程模拟入侵,在指定时间,我公司工程师将完全模拟外部入侵者的身份以一切可行的入侵方式,做到对网络无伤害的攻击,完全从黑客的角度发现受检系统的所有安全漏洞或安全隐患;
3.3.1入侵过程描述
a .远程模拟入侵将突破口暂定为公司对外网站、路由器设备、vpn 设备等几个出口。 b .如能远程从这三个的Internet 出口找出可入侵的突破口,将继续寻找其他隐患试图向骨干网深入。
c .找到突破口后,尝试利用漏洞提权,获取WEB shell。
3.3.2 安全弱点的探测方法
a) 自编程序:对某些产品或者系统,已经发现了一些安全漏洞,但并不一定及时对这些
漏洞的打上“补丁”程序。通过这些漏洞进入目标系统。
b) 利用商业的软件:例如nessus 等网络安全分析软件,可以对目标进行扫描,寻找规则
库中的安全漏洞。
c) 手工分析:结合*****信息技术有限公司的网络安全工程师的工作经验,对目标服务器
进行手工提交的方式(SQL 注入等方式)模拟入侵。
当我们取得需要的信息以后。将建立一个类似攻击对象的模拟环境,然后对模拟目标机进行一系列的入侵。
3.3.3意外解决办法
如我公司工程师在入侵测试工作中成功突破Web 服务器或其它相关主机并可接触到应用程序段或数据库段,我公司将立即以文档或口头方式告之项目负责人。并在次日与项目负责人
会面并商讨下一步入侵检测工作计划,如发生入侵检测工作影响到网站及其它服务器正常服务情况。我公司工程师将在第一时间通知相关技术人员,并以最快的速度赶往现场协助相关技术人员处理相关问题。
四、 项目实施计划
针对网络安全评估项目,我们定制如下的工作流程:
4.1 项目实施
4.2 项目文档的提交
提交评估报告:
◆ 网络安全评估报告(领导参阅版) ◆ 整体网络安全评估报告(技术人员参阅版)
◆ 网络安全加固实施方案 ◆ 渗透测试报告
附录一:使用的工具简单介绍
Nessus scanner 3.2 英文版
Nessus 被认为是目前全世界最多安全技术人员使用的系统弱点扫描与分析软件。总共有超过75,000个机构使用 Nessus 作为扫描该机构电脑系统的软件。
1998年, Nessus 的创办人 Renaud Deraison 展开了一项名为 "Nessus" 的计划,其计划目的是希望能位因特网社群提供一个免费、威力强大、更新频繁并简易使用的远端系统安全扫瞄程式。经过了数年的发展, 包括 CERT 与 SANS 等著名的网络安全相关机构皆认同此工具软件的功能与可用性。
2002年时, Renaud 与 Ron Gula, Jack Huffard 创办了一个名为 Tenable Network Security 的机构。在第三版的Nessus 释出之时, 该机构收回了 Nessus 的版权与程式源代码 (原本为开放源代码), 并注册了 nessus.org 成为该机构的网站。 目前此机构位于美国马里兰州的哥伦比亚。
Nessus 的特色
✧ 提供完整的电脑弱点扫描服务, 并随时更新其弱点数据库。
✧ 提供不同于传统的弱点扫描软件, Nessus 可同时在本机或远端上摇控, 进行系统的弱
点分析扫描。
✧ 其运作效能能随着系统的资源而自行调整。如果将主机加入更多的资源(例如加快CPU
速度或增加内存大小), 其效率表现可因为丰富资源而提高。 ✧ 可自行定义外嵌软件(Plug-in) ✧ 完整支持 SSL (Secure Socket Layer)。
✧ 自从1998年开发至今已谕十年, 故为一架构成熟的软件。
Xscan-gui v3.3 中文版
X-Scan 是国内最著名的综合扫描器之一,其界面支持中文和英文两种语言、包括图形界面和命令行方式。主要由国内著名的民间入侵者组织“安全焦点”(http://www.xfocus.net)完成,从2000年的内部测试版X-Scan V0.2到目前的最新版本X-Scan 3.3都凝聚了国内众多入侵者的心血。最值得一提的是,X-Scan 把扫描报告和安全焦点网站相连接,对扫描到的每个漏洞进行“风险等级”评估,并提供漏洞描述、漏洞溢出程序,方便网管测试、修补漏洞建议等。
辅助检测工具
密码强度测试器 Sql 注入渗透测试工具 评估自动化脚本 阿D 注入工具v2.3
附录二: *****信息技术有限公司简介
*****信息技术有限公司成立于2006年,作为网络安全服务商,公司主要为客户提供计算机安全风险评估、安全等级评估、安全检查、安全培训、网上信息安全审计、病毒防治和安全应急处理等服务,并依托自身强大的技术实力为客户提供全面的网络安全解决方案和网络安全服务。
1.1网络安全服务理念
根据客户需求定制相应的安全解决方案是*****信息技术有限公司的安全服务理念。“及时 准确 完善”是*****信息技术有限公司的服务作风。
1.2网络安全服务特点
● 第三方安全服务提供商
*****信息技术有限公司主要对外提供如下的特色网络安全服务: 网络安全顾问服务
*****信息技术有限公司作为专业的网络安全服务提供商,在以往的网络安全项目和日常工作中积累了大量的网络安全项目规划实施经验和专业的网络安全知识,可以为客户提供实用、可靠的网络安全顾问服务,服务主要包括以下几点:
1. 信息化建设或网络安全建设项目前期的需求分析和安全规划; 2. 日常运维过程中的安全技术指导和安全制度定制; 3. 新系统、新业务的安全性、可靠性分析; 4. 网络安全培训;
网络安全项目验收期安全评估服务
网络安全项目实施成功与否最好的判断方法就是模拟攻击者对网络的内外层面做全面的模拟入侵。一轮全面的模拟入侵之后,立刻可以对网络安全项目实施的结果做出明确判断。*****信息技术有限公司有资质和有能力承担网络安全项目验收期安全评估服务。根据我们的评估结果,督促客户的安全提供商不断的修改安全系统。最终达到项目的安全需求和国家的网络安全要求,可为客户提供技术依据、划分安全责任。 安全评估
安全评估是对现有系统整个或单个进行全方位的评估,包括桌面主机系统,服务器系统,应用服务系统以及网络设备系统等。通过全方位的评估,以期发现安全建设
中潜在的风险和威胁,最终完成评估报告;为网络安全的建设提供现实依据,为安全保障工作提供技术指导。 安全检查和加固
安全是一个计划、建设、检查的循环过程,没有一层不变的威胁,也没有一劳永逸的安全;要保证网络的高度安全,须定期或不定期的对整个安全架构或单个应用系统进行检查,及时发现存在的漏洞,进而对漏洞进行修补和安全加固。*****信息技术有限公司可以为客户提供全面的安全检查,包括以下内容:
1. WINDOWS 2000/2003/2008 SERVER系统检查和加固 2. LINUX/UNIX SERVER 系统检查和加固 3. WINDOWS 桌面系统检查和加固
4. 应用服务检查和加固,包括MSSQL ,MYSQL ,IIS ,APACHE 等 5. 网络设备检查和加固,包括路由器,交换机,防火墙等网关设备
网络系统日常安全维护、应急处理服务
保证网络的安全是一项长期的工作,并不能单独依靠配备安全设备而完全解决安全问题,必须在整个系统的运维过程中考虑到网络安全的维护。由于安全技术本身的专业性和网络提供商基于产品售后服务的针对性,使得很多客户在日常维护中无法实现网络安全的长期维护机制。*****信息技术有限公司作为专业的网络安全服务提供商,可以为客户提供全面的网络安全运维服务,服务内容包括:
1. 日常网络安全评估; 2. 日常网络安全修复; 3. 日常病毒防治;
4. 网上信息安全审计预警; 5. 7X24小时应急响应;
*****信息技术有限公司提供的日常安全运维服务主要以人工手段为主,配合各个安全厂商提供的安全评估工具和自身的安全服务经验,可以在日常运维过程中督促、协助系统集成商和网络安全提供商不断完善系统安全。 网络案件技术取证和追踪服务
目前网络犯罪已经成为一个社会性问题,网上诽谤、网上诈骗、煽动、黑客攻击、破坏等犯罪行为逐年上升。预防、破获网络犯罪不单单是个技术问题,还必须配合行政手段。当网络犯罪发生时,如果无法追踪到肇事源头,那么将永远无法解决此犯罪
成功源于诚信 专注造就专业 息技术有限公司
行为带来的影响。
完整的安全解决方案提供商
*****信息技术有限公司作为专业的第三方安全服务提供商,可以为各个行业用户提供解决方案。针对不同客户的不同需求,我们可以提供符合客户要求的解决方案。从服务到产品,从评估到加固,从咨询顾问到培训辅导,中、小型企业,IT 企业非IT 企业都可以在*****信息技术有限公司找到适合自己的安全解决方案。