网络信息系统风险评估标准.doc

XXX网络信息系统分险评估及安全加固服务内容及进度表XXX于2009年进行网络改造，投入并使用了大量安全设备，目前已可保证网络的畅通性，并确保用户正常进行工作。从安全的设备角度来看，目前XXX已经使用了防火墙、入侵防御、安全审计、网络拓扑管理软件。所有网络设备、服务器等全部都趋于正常运行状态。在网络建成投入使用初期，很多网络设备与软件漏洞都不会轻易暴露，在使用过程中总是不断出现各种各样的问题，在已经发现的问题的解决过程中发现往往是由于人为调试失误或者设备自身BUG引起，轻则影响用户正常的工作，重则导致一系列的连锁反应。从安全的角度分析，隐藏的漏洞往往比已经暴露的危险更致命，这种漏洞在正常的运行中并不容易暴露，其危险性不言而喻。我们认为，在这时候最需要对网络做一次全面有效的评估。因此，特提出网络安全评估建议，对所有安全产品以后的升级和维护都能得到良好的解决。以下是整个XXX网络安全风险评估步骤：1、制定计划 项目范围和目标 背景资料 限制 参与项目各方的职务和职责 方式和方法 项目规模和进度安排2、收集资料 安全要求和目标 系统或网络的结构和基本设施，例如显示信息系统资产 配置和互连情况的网络图 向公众公开或网页上公布的资料 硬件设备等物理资产 操作系统、网络管理系统及其它系统 数据库、文件等信息内容 应用系统和服务器资料 网络支持的协议和提供的服务等资料 访问控制 程序 识别及认证机制 有关最低安全控制要求的政府法律和规程 成文或非正式政策和指南3、风险分析 资产识别与赋值 威胁分析 弱点分析 资产威胁弱点配对 影响及可能性评估 风险结果分析4、确定及选择安全保障措施常见安全保障措施类别 杜绝入侵途径：完全杜绝未授权者访问关键资源 巩固防御能力：使未授权者难以访问关键资源 系统监督：协助实时、准确地侦测和应付攻击5、监督与执行 应妥善地以文件记载风险评估结果 必要时应重新进行评估 明确界定、检查和分派操作员、系统开发人员、网络管理员、资料拥有人、安全主任及用户等相关人士的职务和职责，以配合选择及实施安全保障措施。1、步骤一：系统特征描述 信息收集2 调查问卷3 现场面谈4 文档检查5 使用自动扫描工具2、步骤二：威胁识别 威胁源识别 威胁源是（1）故意攻击弱点的企图和方法；或（2）可以偶然触发一个弱点的情形和方法 威胁源按照其性质一般可分为自然威胁、人为威胁和环境威胁三种 常见的威胁源 自然威胁：洪水、地震、飓风、泥石流、雪崩、电风暴及其它类似事件。 人为威胁：那些由人激发或引发的事件，比如无意识行为（疏忽的数据条目）或故意行为（基于网络的攻击、恶意软件上传、对保密信息未经授权的访问） 环境威胁：长时间电力故障，污染，化学，液体泄露等3、 步骤三：弱点识别脆弱性威胁源威胁行为离职员工的系统帐号没有从系统中注销 离职员工拨号进入政府网络，并访问的私有数据 防火墙允许进入方向的 telnet，并且在 XYZ服务器上允许 guest 帐号进入未经授权的用户（比如黑客、离职员工、计算机罪犯、恐怖分子）通过 telnet，用guest 帐号进入 XYZ 服务器，浏览系统文件 厂商在系统安全设计中存在为人所知的缺陷，但还没有补钉文件 未经授权的用户比如黑客、离职员工、计算机罪犯、恐怖分子） 基于已为人所知的系统弱点，未经授权地访问敏感的系统文件 数据中心使用洒水器来灭火，没有用防水油布来保护硬件和设备防水 火灾、人员疏忽大意 打开了数据中心的洒水器弱点源 被评估IT系统以前的风险评估文档 IT系统的审计报告、系统异常报告、安全查报告、系统测试和评价报告等； 弱点列表，比如CVE、CNCVE弱点数据库 厂商顾问 商业计算机事件/紧急响应小组和发布列表 系统软件安全分析 系统安全测试 自动化弱点扫描工具 系统测试和评价 渗透性测试 开发安全需求核对表 确定为IT系统所规定的、在系统特征描述中所收集的安全要求是否被现有的或所计划的安全控制满足4、步骤四：控制分析控制方法1 包括对技术和非技术方法的运用 技术类控制是那些融入到计算机硬件、软件、或固件中的保护措施（比如访问控制机制、标识和鉴别机制、加密方法、入侵检测软件等等） 非技术控制包括管理类和操作类控制，比如安全策略、操作流程、人员、物理、和环境安全2控制分类 预防类控制禁止试图对安全策略的冲突，包括访问控制、加密和鉴别； 检测类控制对安全策略的冲突或试图冲突发出警告，包括审计追踪、入侵检测方法和校验和。4 文档检查5 使用自动扫描工具5、 步骤五：可能性分析三个可能性级别6、步骤六：影响分析需要获得的信息1 系统使命（比如IT统运行的过程）； 系统和数据的关键性（系统对机构的价值和重要性）； 系统和数据的敏感性。2影响分析 完整性损失：指要求对信息进行保护，防止被不适当地 修改。如果对系统和数据进行了未经授权，完整性就遭 到了破坏。如果对系统或数据完整性损失不加以修正， 继续使用被污染的系统或被破坏的数据就可能导致不精 确性、欺诈、或错误的决定。此外，对完整性的冲突还 往往是对可用性和保密性进行成功攻击的第一步。因为 上述所有原因，完整性损失降低了IT系统的保证性。 可用性损失：如果任务关键型IT系统对其端用户是不可用的，那么机构的使命就受到了影响。系统功能和操作 有效性可能会损失生产时间，因此妨碍了端用户在支持 机构使命的功能发挥。 保密性损失：系统和数据的保密性是指对信息进行保 护，防止未经授权的泄露，对保密信息未经授权的泄露 影响可以是从破坏国家安全到泄露隐私法案数据。未经 授权的、非预期的、或故意地泄露可能导致公众信息的 损失、难堪、或针对机构的法律行动。7、步骤七：风险确定（计算方法）8、步骤八：控制建议考虑因素1 建议选项的有效性（如系统的兼容性） 法律法规 机构策略 操作影响 安全性和可靠性9、步骤九：结果文档提交文档1风险评估报告2风险加固报告3相关资产调查报表项目实施规模和进度安排服务分类服务名称实施描述时间进度备注一、网络风险评估风险评估主机设备扫描 Windows(/9x/NT/2000/2003)； Solaris;unix； Linux 等主流系统针对所有系统的脆弱性扫描及风险评估2应用系统扫描 WWW服务器 DNS服务器 资源服务器 MAIL服务器 数据库服务器 网管服务器 等服务器针对所有应用服务的脆弱性扫描及风险评估1网络设备扫描针对所有设备的脆弱性扫描及风险评估1网络拓扑分析 网络拓扑结构合理性、可扩展性分析评估及脆弱性扫描1服务分类服务名称实施描述时间进度备注二、网络安全加固风险评估业务系统 有无严格的口令策略。 有无设置不同粒度的访问控制。 日志管理策略。 审计策略，包括登录、退出、文件和对象、帐号管理、策略改变、启动和关机，进程跟踪等。 主要包括应用服务器、web服务器、办公OA、资源加工服务器等安全加固2安全管理设备 病毒升级及策略下发 snmp漏洞进行扫描 防火墙的访问控制策略 扫描安全设备节点的各种重要漏洞及bug信息 操作系统访问控制策略 其它访问控制策略，如认证等 安全设备的管理及策略1交换机路由器 检查信息系统主干设备目前所采用的路由协议，是否存在配置漏洞，冗余路由配置情况，路由协议的信任关系问题。 snmp漏洞进行扫描 扫描设