CFCA技术安全评估内容.doc

CFCA技术安全评估内容中国金融认证中心2010年10月 中国金融认证中心目 录1安全风险分析41.1资产统计风险分析41.2脆弱性安全风险分析41.2.1网络安全风险分析41.2.2物理脆弱风险分析41.2.3安全漏洞扫描风险分析51.2.4人工评估安全风险分析51.2.5渗透测试风险分析61.3性能测试62项目实施计划7第 7 页 共 7 页1 安全风险分析1.1 资产统计风险分析根据被评估单位业务的归类及依据信息安全风险评估规范中的资产统计分类方法，将被评估单位系统的信息系统资产统计分为主机设备、存储设备、网络设备及安全设备、其它。这样的分类方法是我们能更容易获得被评估单位系统的信息资产状况，也为安全评估服务提供了更客观的信息资产状况。1.2 脆弱性安全风险分析1.2.1 网络安全风险分析网络安全风险分析采用了网络架构评估和网络设备评估；网络设备评估使用安全扫描分析和查看配置的方式进行风险分析评估；网络架构评估分别从网络基础架构、高可用性、网络协议、访问控制、网络流量、安全审计、加密认证、安全策略和安全制度执行状况分析。网络设备安全评估采用了安全扫描和人工评估的方式对设备进行脆弱性评估分析。1.2.2 物理脆弱风险分析物理环境脆弱风险评估依据GB/T 9361-2000 计算机场地安全要求从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行评估识别，通过问卷访谈调查和人工现场核查等方式，对被评估单位的物理环境脆弱进行评估。1.2.3 安全漏洞扫描风险分析为了充分了解系统当前的网络和主机安全漏洞状况，需要利用扫描分析评估工具从防火墙内、外对主机操作系统存在的问题进行扫描，以获得各类数据。在扫描之后，将生成系统安全扫描报告，阐述当前主机操作系统的漏洞状况。利用网络扫描工具，检查路由器、Web服务器、Windows服务器和UNIX主机系统的弱点，从而识别能被入侵者用来非法进入网络的漏洞。生成网络扫描评估报告，提交检测到的漏洞信息。这样就允许管理员侦测和管理安全风险信息。扫描包括但不限于以下内容： 是否能够获得目标系统的指纹信息； 系统开放的端口号； 系统中存在的安全漏洞； 是否存在弱口令。1.2.4 人工评估安全风险分析人工评估是对工具评估的一种补充, 它不需要在被评估目标系统上安装任何软件，对目标系统的运行和状态没有任何影响，在不允许安装软件进行检查的重要主机上显得非常有用。CFCA公司将在*相关工作人员授权并现场监督的前提下，安全专家对包括交易主机系统，Windows服务器，业务系统，路由器，交换机，数据库，防火墙，入侵监测设备，病毒网关，以及各种应用服务器在内的目标系统进行人工评估。将从保密性，完整性，有效性三个方面对系统进行评估： 是否安装最新补丁。 是否使用服务最小化原则，是否开启了不必要的服务和端口。 防火墙配置策略是否正确。 入侵监测设备配置策略是否正确。 各种设备配置中是否存在不安全因素。 是否存在不必要的账户。 权限分配是否正确。 是否有完善的日志审计策略。 是否有完善的备份/恢复策略。1.2.5 渗透测试风险分析渗透测试（Penetration Test）是指安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络/主机/系统/应用的安全性做深入的探测，发现系统最脆弱的环节的过程。渗透测试能直观的让管理人员知道自己网络所面临的问题。1.3 性能测试l 性能测试场景设置：调查用户的性能指标和实际使用量，结合用户系统的特点，设计出满足用户需求的性能测试场景；l 用户系统并发能力测试：测试多个用户同时访问同一个应用程序、同一个模块或数据记录时是否存在死锁或其他性能问题；l 用户系统压力测试：对系统不断施加压力的测试，是通过确定一个系统的瓶颈或不能接受用户请求的性能点，来获得系统能提供的最大服务级别的测试；l 用户系统稳定性测试：给系统加载一定业务压力的情况下，使系统运行一段时间，以此检查系统是否稳定。l 性能测试总体结论：根据性能测试结果，在调研被评估单位业务人员的业务指标的情况下，确定其系统是否能满足日常的业务要求。l 性能调整建议：根据性能测试结果，针对性能瓶颈提出具体的改进建议。2项目实施计划序号任务名称实施时间人员数量实施地点2资产统计分析0.5天1现场3网络基础架构分析和网络设备评估1天1现场4人工评估分析1天1现场5安全扫描分析1天1现场6物理环境脆弱评估0.5天1现场7系统渗透测试5天3非现场8系统初步性能测试1天2现场9系统并发能力测试2天2现场10系统压力瓶颈测试1天2现场11系统稳定性测试2天2现场12项目总结汇报1天6非现场13编写报告等5天6非现场整个项目需要