系统程序漏洞扫描安全系统评估方案设计

目录一、项目概述TOC\o"1-5"\h\z\o"CurrentDocument"1.1评估范围2\o"CurrentDocument"1.2评估层次2\o"CurrentDocument"1.3评估方法2\o"CurrentDocument"1.4评估结果21.5风险评估手段31.5.1基于知识的分析方法31.5.2基于模型的分析方法31.5.3定星分析41.5.4定性分析.5\o"CurrentDocument"1.6评估标准5\o"CurrentDocument"二、网拓扑评估5\o"CurrentDocument"2.1拓扑合理性分析5\o"CurrentDocument"2.2可扩展性分析5\o"CurrentDocument"三、网络安全管理机制评估6\o"CurrentDocument"1调研访谈及数据采集6\o"CurrentDocument"2网络安全管理机制健全性检查7\o"CurrentDocument"3网络安全管理机制合理性检查7\o"CurrentDocument"3.4网络管理协议分析8\o"CurrentDocument"四、脆弱性严重程度评估8\o"CurrentDocument"1安全漏洞扫描8\o"CurrentDocument"4.2人工安全检查10\o"CurrentDocument"3安全策略评估11\o"CurrentDocument"4.4脆弱性识别12\o"CurrentDocument"五、网络威胁响应机制评估121远程渗透测试13\o"CurrentDocument"六、网络安全配置均衡性风险评估14\o"CurrentDocument"6.1设备配置收集14\o"CurrentDocument"6.2检查各项HA配置163设备日志分析17\o"CurrentDocument"七、风险级别认定18\o"CurrentDocument"八、项目实施规划18\o"CurrentDocument"九、项目阶段19十、交付的文档及报告20在项目中，安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描，从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户帐号/口令等安全对像目标存在的安全风险、漏洞和威胁。安全扫描项目包括如下内容：,信息探测类/网络设备与防火墙/RPC服务,Web服务,CGI问题,文件服务/域名服务/MaiI服务/Windows远程访问/数据库问题,后门程序/其他服务,网络拒绝服务（DOS）/其它问题从网络层次的角度来看，扫描项目涉及了如下三个层面的安全问题。（-）系统层安全该层的安全问题来自网络运行的操作系统：UNIX系列、Linux系列、Windows系列以及专用操作系统等。安全性问题表现在两方面：一是操作系统本身的不安全因素，主要包括身份认证、访问控制、系统漏洞等；二是操作系统的安全配置存在问题。身份认证：通过Telnet进行口令猜测等。访问控制：注册表普通用户可写，远程主机允许匿名FTP登录，FTP服务器存在匿名可写目录等。系统漏洞：Windows缓冲出溢出漏洞。安全配置问题：部分SMB用户存在弱口令，管理员帐号不需要密码等。（-）网络层安全该层的安全问题主要指网络信息的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入'路由系统的安全、入侵检查的手段等。网络资源的访问控制：检测到无线访问点。域名系统：ISCBINDSIG资源记录无效过期时间拒绝服务攻击漏洞，WindowsDNS拒绝服务攻击。路由器：ciscoIOSWeb配置接口安全认证可绕过，路由器交换机采用默认密码或弱密码等。（三）应用层安全该层的安全考虑网络对用户提供服务器所采用的应用软件和数据的安全性，包括：数据库软件、WEB服务、电子邮件、域名系统、应用系统、业务应用软件以及其它网络服务系统等。数据库软件：OracleTnslsnr没有配置口令，MSSQL2000sa帐号没有设置密码。WEB服务：SQL注入攻击、跨站脚本攻击、基于WEB的DOS攻击。电子邮件系统：SendmaiI头处理远程溢出漏洞，MicrosoftWindows2000SMTP服务认证错误漏洞。为了确保扫描的可靠性和安全性，首先制定扫描计划。计划主要包括扫描开始时间、扫描对象、预计结束时间、扫描项目、预期影响、需要对方提供的支持等等。在实际开始评估扫描时，评估方会正式通知项目组成员。奥怡轩按照预定计划，在规定时间内进行并完成评估工作。如遇到特殊情况（如设备问题、停电、网络中断等不可预知的状况）不能按时完成扫描计划或致使扫描无法正常进行时，由双方召开临时协调会协商予以解决。4.2人工安全检查安全扫描是使用风险评估工具对绝大多数评估范围内主机、网络设备等系统环境进行的漏洞扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。路由器的安全检查主要考虑以下几个方面：,帐号口令/网络与服务/访问控制策略/日志审核策略/空闲端口控制交换机的安全检查主要考虑以下几个方面：/帐号口令,网络与服务/VLAN的划分主机的安全检查主要考虑以下几个方面：,补丁安装情况/帐号、口令策略,网络与服务检查,文件系统检查/日志审核检查/安全性检查1）安全扫描此阶段通过技术手段评估系统中的漏洞。对撑握整个被评估系统的安全状态提供重要数据。被扫描的系统有：/Windows系统/Linux系统,Unix客服热线系统在安全扫描阶段使用的主要工具有：/InternetScanner/NESSUS/AcunetixWebVulnerabiIityScanner扫描过程中可能会导致某些服务中断，双方应该事先做好协调工作，并做好应急处理方案，在发现问题后及时上报，并及时恢复系统的运行。4.3安全策略评估安全策略是对整个网络在安全控制、安全管理、安全使用等方面最全面、最详细的策略性描述，它是整个网络安全的依据。不同的网络需要不同的策略，它必须能回答整个网络中与安全相关的所有问题，例如，如何在网络层实现安全性、如何控制远程用户访问的安全性、在广域网上的数据传输如何实现安全加密传输和用户的认证等。对这些问题帮出详细回答,并确定相应的防护手段和实施方法，就是针对整个网络的一份完整的安全策略。策略一旦制度，应做为整个网络行为的准则。这一步工作，就是从整体网络安全的角度对现有的网络安全策略进行全局的评估，它也包含了技术和管理方面的内容，具体包括：（1）安全策略是否全面覆盖了整体网络在各方面的安全性描述；（2）在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效；（3）安全策略中的每一项内容是否都得到确认和具体落实。4.4脆弱性识别脆弱性赋值类型识别对象识别内容技术脆弱性物理环境从机房场地、防火、供配电、防静电、接地与防雷、电磁防护、通信线路的保护、区域防护、设备管理等方面进行识别网络结构从网络架构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护'用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别赋值标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略五、网络威胁响应机制评估防火墙称得上是安全防护的防线，防火墙对于企业网络的安全，已经无法实施100"的六、网络安全配置均衡性风险评估6.1设备配置收集1、核心层交换机目前的网络状态正常，在配置上也针对某些安全方面的问题进行布置,具体情况都做了详细的说明，以下是核心层交换机配置上的一些安全防护措施：(D核心交换机进入特权模式需要密码，对它进行了密文的设置。对核心交换机的虚拟线路进行密码的设置，远程登录需要输入密码。使用UDLD对某些端口进行链路的检测，以减少丢包的概率。在核心交换机上全局下关闭禁用HttpServer,防止非法入侵全局下开启Bpdu-Guard,因为核心交换机在全局下开启Portfast特性.2、核心层交换机的稳定性直接关系到整个网络数据流量能否正常通过，核心层交换机的安全性问题自然会影响到能否一直保持稳定的状态，起到至关的作用，保护好核心交换机的安全问题很大原因其实是在保护核心交换机的稳定性，做好安全防护工作，保护好核心交换机的稳定性成为我们规则的焦点，下面是对本核心层交换机的安全防护问题进行完善，从而提高核心层交换机的安全性。3、使用SSH来作为远程的登录，使用TELNET进行远程登录，Telnet会话中输入的每个字符都将会被明文发送，这将被像Sniffer这样的抓包软件获取它的用户名、密码等敏感信息。因此，使用安全性更高的SSH加密无疑比使用Telnet更加安全。4、在虚拟线路中对远程登录的最大连接数进行限制，默认，一般情况下网络设备会开放5-15个虚拟的连接线路，不过，不同厂商，不同型号，所开放的虚拟线路连接数也都不一样，可以通过登录到此设备，可以用远程登陆或本地登陆，在该设备上对配置进行查看，再根据实际情况进行修改；一般情况下，很多人都没有对远程登陆范围进行限制，这样使得每个人都有机会去TELNET,这多少给了恶意用户提供攻击的机会，比如可以使用SYNFlood攻击；它伪造一个SYN报文，伪造一个源地址或者不存在的地址，通过向服务器发起连接，服务器在收到报文后用SYN-ACK应答，而此应答发出去后，服务器就等待源发个ACK的确认包过来后以完成三次握手，建立起连接，但是，攻击者使用的源是一个不存在或是伪造的地址,服务器将永远不会收到攻击者发送过来的ACK报文，这样将造成一个半连接。如果攻击者发送大量这样的报文，会在被攻击主机上出现大量的半连接，消耗所有的资源，使得正常的用信息进行宣告出去，整网中所有交换机的原来VLAN信息全被删除，都学习到SERVER交换机发送过来的最新VLAN信息流。这两种方式都直接导致网络流量的导向，使得网络中交换机所学到的VLAN信息不全，网络资源的浪费，网络部分业务的中断，甚至网络的环路，为了防范以上的问题，需要布置根防护，当根网桥在启用根防护的端口上接收到其他交换机发送过来的BPDU,不管修订版本号是多高，根网桥不对此包作处理，直接端将口进入”不一致"的STP状态，并且交换机不会从这个端口转发流量；这种方法能够有效地巩固根网桥的位置，还能够有效的避免第2层环路，它能将接口强制为指定端口，进而能够防止周围的交换机成为根交换机。当新交换机接入网络时，先将交换机的模式设置为透明模式，再把它改为客户模式，从而保证不会出现以上所说的情况。6.2检查各项HA配置1、核心层交换机上开启了HSRP协议，在汇聚层华为设备上配置了VRRP协议，因为HSRP是思科私有，所以华为只能使用业界的VRRP,在两台核心交换机上，对VLAN的SVI口进行配置；HSRP是一种热备份路由网关协议，具有很高的可靠性，它通过双方预先设定好的虚拟IP地址，发送HELLO数据包，经过一系列的状态比较，最终协商出谁是Active谁是Standby,HSRP相当于是台虚拟的路由器，有自己的虚拟IP地址及MAC地址，终端用户将这虚拟的IP地址作为网关；默认情况下，只有Active路由器在工作，Standby路由器一直处在空闲状态之中，双方每3S会发送HELLO去侦测对方以确定对方是否存在，当10S过后，还没收到对方发送过来的HELLO包，Standby会认为对方设备出现故障或者对方已经不存在，这时它会把自己的状态从standby变为active.这对于终端的用户是透明的，保证终端用户数据能得到可靠的传输，当一台设备链路出现问题，HSRP只需要经过一个邻居状态standby-active,能快速的切换到另一台设备，用户的可用性得到保障；HSRP还可以对整个网络进行负载分担。VRRP是业界定义的一种类似于HSRP的网关冗余协议，功能与作用基本与HSRP相同，区别在于VRRP可以使用物理的IP地址作为虚拟IP地址，VRRP的状态机相比起HSRP减少很多等。2、通过对核心交换机HSRP协议的配置进行分析，HSRP全都是在VLAN的SVI接口里进行配置，在主核心交换机中设定一个共同的虚拟IP地址，并对它的优先级进行设定，开启七、风险级别认定网络安全管理是一项系统工程，要从根本上去规避安全风险，则必须对整个网络安全体系进行系统化的分析，从管理和技术两大方面入手，双管齐下，必须变被动为主动，提早发现问题，解决问题，尽可能杜绝安全管理上的漏洞。通过将现有制度按体系分层归类，找出现有制度及运作的存在问题，和国际标准IS017799进行对比，提出修补意见。根据现有的制度，建立安全管理指导的框架，方便各中心根据自身实际形成必要的安全指导制度。《技术性的系统安全扫描报告》《技术性的系统安全加固方案》《关键系统基线检查报告》《远程渗透测试报告》《IS027001差距分析》《网络安全机制评估报告》八、项目实施规划表1项目实施规划序号工作名称详细1项目准备项目启动会安全评估前的培训2安全评估使用扫描工具进行安全扫描远程渗透测试对系统进行基线检查对系统相关人员进行访谈对管理制度进行审查3企业安全现状分析技术上的工具扫描结果、远程渗透测试、基线检查结果分析管理层面的漏洞分析差距分析，与IS027001做比较4安全加固在技术层面上使用技术手段对系统进行安全加固在管理层面上制定合理的管理制度TOC\o"1-5"\h\z\o"CurrentDocument"1中间评估文档21\o"CurrentDocument"10.2最终报告21\o"CurrentDocument"十一、安全评估具体实施内容22\o"CurrentDocument"11.1网络架构安全状况评估221.1内容描述2211.1.2过程任务2311.1.3输入指导2311.1.4输出成果2312.2系统安全状态评估232.1内容描述2311.2.2过程任务26输入指导2811.2.4输出成果28\o"CurrentDocument"11.3策略文件安全评估283.1内容描述28过程任务293.3输入指导303.4输出成果30\o"CurrentDocument"11.4最终评估结果305评估结束后的培训针对当前企业存在的安全问题做一次有针对性的培训6项目后期的宣传工作通过FLASH、海报等方式加强安全方面的宣传教育工作。九、项目阶段第一阶段：前期准备阶段•项目计划•需求调研•确定项目目标和详细范围•完成详细方案设计•项目前期沟通与培训第二阶段：评估实施•技术评估•策略文档及规范审查第三阶段：评估报告和解决方案数据整理和综合分析安全现状报告安全解决方案第四阶段：支持和维护•系统加固安全培训定期回复•抽样远程二次评估实施安全评估的整个过程如下图所示10.1中间评估文档《网络架构整体安全分析评估报告》《系统漏洞扫描报告》（包括服务器、网络设备、PC机、安全设备等）《技术性弱点综合评估报告》《安全策略文档体系评估报告》10.2最终报告《安全评估整体结果报告》;《安全整体解决方案建议》;《系统安全加固建议方案》。十一、安全评估具体实施内容11.1网络架构安全状况评估内容描述网络架构安全评估主要涉及到以下几个方面的内容：网络拓扑和协议：拓扑结构合理性分析、可扩展性分析；对周边接入的全面了解，安全域划分的级别，信任网络或者不信任网络之间是否有控制，控制本身带来的安全程度以及是否有可以绕过控制的途径；所采用的路由协议，是否存在配置漏洞，冗余路由配置情况，路由协议的信任关系；对网络管理相关协议的分析整理；对业务应用相关协议的分析整理；各网络节点（包括接入节点）的安全保障措施。网络安全管理机制：网络的安全策略是否存在，以及是否和业务系统相互吻合，有无合理的安全制度作为保障;网络体系架构是如何进行管理的，是否有良好的机制和制度保障网络架构本身不被改变,没有非法的不符合安全策略的架构改变；网络设备BUG的检查处理机制，即系统管理人员接收到或者发现网络设备存在BUG的时候，是否有一个流程可以处理；网络安全事件紧急响应措施；网络防黑常用配置的资料整理、分类和准备；网络故障的分析手段的资料整理、分类和准备；针对网络架构、协议和流量的安全审计制度和实施情况调查。网络认证与授权机制：网络服务本身提供的密码和身份认证手段，系统是否还要其它密码和身份认证体系；在相关的网络隔离点，是否有恰当的访问控制规则设立，是否被有效的执行；是否有集中的网络设备认证管理机制，是否被正确的配置和执行；网络加密与完整性保护机制：数据加密传输；完整性校验的实现。网络对抗与响应机制：是否有漏洞的定期评估机制和入侵检测和记录系统的机制；网络建设中是否良好的考虑了网络的高可用性和可靠性问题，是否被正确使用和良好的配置,是否有机制保障不被修改。网络安全配置均衡性分析：安全机制本身配置是否不合理或者存在脆弱性。扫描Echo,Time,Chargen等不必要的服务UNIX/Linux扫描后门Trinoo,…扫描SMTP版本及各种漏洞扫描对Rcommand(rsh.rlogin,rexec),teInet的BruteforceAttack•扫描FTP,TFTP服务器的各种漏洞SNMP漏洞扫描(CommunityName,读/写)扫描DNS服务(bind)的漏洞扫描RPC服务的各种漏洞，NFS共享/NIS等扫描xWindow服务器远程漏洞扫描Echo,Time,Chargen等不必要的服务,还有Finger,Gopher,POP3,SSH等危险服务网络设备扫描通讯设备(Router,SwitchingHub,F/W)等的安全状况扫描SNMP漏洞(CommunityName,读/写)扫描ICMP漏洞(TimeStamp等)扫描测试各种StealthPort扫描默认密码的BruteForce攻击应用系统扫描Web服务器、FTP服务器等应用系统IIS,Netscape等服务器漏洞RDS,Unicode等漏洞各种CGI漏洞扫描WebProxy服务器扫描数据库Oracle,MS-SQL,MySQL服务器漏洞各种默认密码扫描登录后，可否执行各种StoredProcedure扫描网络设备网络设备配置策略网络设备特定漏洞在自动化漏洞扫描基础上，奥怡轩技术顾问会对目标系统进行渗透测试。渗透测试，是在授权情况下，利用安全扫描器和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备（包括服务器、交换机、防火墙等）进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率，不能发现高层次、复杂的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的脆弱性。在获得必要的访问权限条件下，奥怡轩依据专家经验，定制人工评估CHECKLIST,对重点系统进行本地登录并做逐项安全检查。对UNIX系统的人工评估内容包括但不限于以下内容：系统安全补丁是否最新；对于远程登录的管理，包括登录方式和登录用户；系统开放的服务，是否存在不必要服务；系统允许的网络连接，是否启用信任主机方式，是否对网络连接设置访问控制；系统中用户管理与口令策略；系统文件管理，是否以安全模式加载文件系统，文件系统的访问权限设置是否安全；系统审计设置，是否使尝试登录失败记录有效，是否配置成不接受其他机器发送的日志信息等；系统抗攻击能力，是否做TCP序列号预测攻击防护，是否限定系统禁止堆栈缓存溢出，是否对TCP/IP网络参数进行安全配置；对登录用户是否设置超时退出参数；是否修改系统的banner信息，防止系统泄漏信息。对数据库的人工评估包括但不限于以下内容：检查系统及数据库版本检查数据库补丁检查数据库配置信息检查安全的密码策略检查帐号策略检查数据库配置文件权限检查权限检查数据库调试和开发环境是否分开认证审计检查是否建立良好的日志管理策略检查备份策略过程任务确定评估范围，获得目标系统信息，包括ip地址段等;获得必要的系统访问权限；安装部属扫描设备和工具；进行自动漏洞扫描；进行渗透测试；进行重点系统的本地登录，做安全审查；分析扫描评估结果和数据；编写技术评估报告。自动工具评估流程如下图所示：

漏洞扫描流程自动扫描评估之后，评估人员会登录到重点系统，在系统本地进行更细致和更有针对性的人工评估。实施人工评估时，鉴于项目进度控制，将根据抽样原则，有选择性地对典型的服务器、桌面系统、网络设备、安全设备进行人工评估。抽样原则如下：各系统被评估的网络设备和主机系统的数量与该系统总数量成正比；选择业务特点具有代表性的主机和网络设备进行评估，例如应用于某类业务系统的Solaris的主机可以只评估其中一台。人工评估流程如下图所示:

人工评估流程输入指导人工评估流程■系统描述的信息■■网络拓扑、ip地址■网络拓扑、■网络拓扑、ip地址（段）■必要的系统登录和访问权限输出成果《系统漏洞扫描报告》（包括服务器、网络设备、pc机、安全设备等）《技术性弱点综合评估报告》11.3策略文件安全评估内容描述根据BS7799标准定义，一个机构要建立起有效的信息安全管理体系，必须是以完善的策略文档体系为依托的,这种文档系统是组织实现风险控制、评价和改进信息安全管理体系、实现持续改进不可缺少的依据。因此在建立完整有效的安全策略文档体系之前，应先对现有的文档体系进行系统周密的分析评估，有助于发掘不足和问题，明确真正需求，从而有针对一、项目概述1.1评估范围针对网络、应用、服务器系统进行全面的风险评估。1.2评估层次评估层次包括网络系统、主机系统、终端系统相关的安全措施，网络业务路由分配安全，管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备及相关网络配置信息和技术文件；主机系统包括各类UNIX、Windows等应用服务器；终端系统设备。1.3评估方法安全评估工作内容：/管理体系审核；/安全策略评估；/顾问访谈；/安全扫描；/人工检查；,远程渗透测试；/遵循性分析；1.4评估结果通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评估，形成安全评估报告，其中应包含评估范围中信息系统环境的安全现状'存在安全问题、潜在威胁和改进措施。协助对列出的安全问题进行改进或调整，提供指导性的建设方案：《安全现状分析报告》《安全解决方案》性地开展后续工作。文档审核是针对清现有的信息安全策略文档体系，通过对所有与信息系统、信息管理、信息安全相关的策略、规章制度、工作流程、培训教材等各个文档内容的深入分析，结合现场问询和实地观察等方法，以信息安全管理标准(IS017799等)的要求和业界有效的管理经验作为参照，分析评估目标文档体系的完整性、有效性和符合性。过程任务初步设定项目实施方法和计划安排；了解纳入评估范围的各个部门的业务活动和信息系统运行管理情况；取得现有的信息安全相关策略文件；文件和资料进行初步分析，必要时带着问题进行现场调查，以确认前期的发现；对各种途径得到的数据进行综合分析，以BS7799标准要求为参照，最终评估现有的信息安全策略文档体系的完整性、有效性和符合性；提出改进建议。实施策略文件评估的流程如下图所示:12.3.3输入指导企业介绍，企业管理结构图，主要业务系统描述，企业的短期和长期发展目标，在信息系统建设和应用方面的短期和长期发展目标描述,对于信息安全系统建设的短期和长期发展目标描述所有与信息系统、信息管理、信息安全相关的策略、规章制度、工作流程、培训教材、用户手册、网络拓扑等各种文字资料和图表12.3.4输出成果《安全策略文档体系评估报告》11.4最终评估结果经过技术评估、管理评估、策略文件审查、专业培训、数据分析等几个阶段之后，对通过各种途径采集到的各类信息进行综合性分析与判断，除了提交各个阶段特有的一些报告和结果之外，还会提交一些综合性的评估报告及改进建议，包括：《安全评估整体结果报告》;《安全整体解决方案建议》;《系统安全加固建议方案》。1.5风险评估手段在风险评估过程中，可以采用多种操作方法，包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其影响，以及目前安全水平与组织安全需求之间的差距。基于知识的分析方法在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：会议讨论；对当前的信息安全策略和相关文档进行复查；制作问卷，进行调查；对相关人员进行访谈；•进行实地考察；为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最终的推荐报告。基于模型的分析方法2001年1月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了—名为CORAS的项目，即PlatformforRiskAnalysisofSecurityCriticalSystemso该项目的目的是开发一个基于面向对象建模特别是UML技术的风险评估框架，它的评估对象是对安全要求很高的一般性的系统，特别是IT系统的安全oCORAS考虑到技术、人员以及所有与组织安全相关的方面，通过CORAS风险评估，组织可以定义、获取并维护IT系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似，CORAS风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的模型来进行的。CORAS的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的效率；等等。定量分析进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性分析的方法。定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额，当度量风险的所有要素(资产价值'威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试图从数字上对安全风险进行分析评估的一种方法。定量风险分析中有几个重要的概念：暴露因子(ExposureFactor,EF)特定威胁对特定资产造成损失的百分比，或者说损失的程度。单一损失期望(SingleLossExpectancy,SLE)或者称作SOC(SingleOccuranceCosts),即特定威胁可能造成的潜在损失总量。年度发生率(AnnuaIizedRateofOccurrence,ARO)即威胁在一年内估计会发生的频率。年度损失期望(AnnualizedLossExpectancy,ALE)或者称作EAC(EstimatedAnnualCost),表示特定资产在一年内遭受损失的预期值。考察定量分析的过程，从中就能看到这几个概念之间的关系：(D首先，识别资产并为资产赋值；通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即EF(取值在0%~100%之间)；计算特定威胁发生的频率，即ARO；计算资产的SLE：SLE=AssetValueXEF计算资产的ALE：ALE=SLEXARO定性分析定性分析方法是目前采用最为广泛的一种方法，它带有很强的主观性，往往需要凭借分析者的经验和直觉，或者业界的标准和惯例，为风险管理诸要素(资产价值，威胁的可能性,弱点被利用的容易度，现有控制措施的效力等)的大小或高低程度定性分级，例如“高”、“中”、“低”三级。定性分析的操作方法可以多种多样，包括小组讨论(例如Delphi方法)、检查列表(CheckIist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析操作起来相对容易，但也可能因为操作者经验和直觉的偏差而使分析结果失准。与定量分析相比较，定性分析的准确性稍好但精确性不够，定量分析则相反；定性分析没有定量分析那样繁多的计算负担，但却要求分析者具备一定的经验和能力；定量分析依赖大量的统计数据，而定性分析没有这方面的要求；定性分析较为主观，定量分析基于客观；此外，定量分析的结果很直观，容易理解，而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。1.6评估标准1、《计算机网络安全管理》2、IS015408《信息安全技术评估通用准则》3、GB17859-1999《计算机信息系统安全保护等级划分准则》4、相关各方达成的协议二、网拓扑评估2.1拓扑合理性分析目前网络都基本采取传统的三层架构，核心、汇聚与接入，其他设备都围绕着这三层进行扩展，各设备之间的线路基本采用千兆光纤接入方式，实现高速数据传输，降低延时，减少干扰，设备间存在冗余，从而保证各数据间传输的可靠性，各业务之间的稳定性。2.2可扩展性分析核心设备、汇聚设备是否都存在部分空模板、空接口，可以满足未来几年内的扩展核心设备的背板带宽在高峰期间业务流量能正常通过，从中可看出目前核心设备的带宽完全能承载当前的流量；背板带宽越大，各端口所分配到的可用带宽越大，性能越高，处理能力越快。三、网络安全管理机制评估3.1调研访谈及数据采集1、整网对于核心层设备、汇聚层设备以及接入楼层设备，进行远程登录方式、本地登录模式、特权模式的用户名与密码配置，密码都是以数字、大小写字母和字符一体化，防止非法用户的暴力破解，即便通过其它方式获取到配置清单，也无法知道这台设备的密码，密码都是以密文的形式显示在配置清单里，这样，无论是合法用户还是恶意用户，只要没有设备的用户名和密码都不能登录到该设备，自然也无法对设备的内容等相关配置信息进行修改，相当于给设备安装了一层保护墙，从而保护了设备的最基本的安全性。2、整个网络采用一种统一的安全制度对网络设备、服务器集进行有效的检查，管理，实时发现网络中是否存在的一些问题，如果发现问题的存在，都会采取制定的流程及时给予解决，使得网络设备能一直正常运行，可用性得到提高，业务流量保持稳定性状态，以下是安全制度管理的部分选项。(D定期扫描漏洞：定期对整网服务器进行扫描，检查是否有漏洞的存在，数据的来源，事件的分析，主机服务信息，是否存在高危险性事件，主机流量分析等，以确保网络的安全性。检查版本升级：定期对整网服务器进行检查，各主机的系统版本是否最新，各主机的软件，特别是杀毒软件、防火墙、辅助软件有没及时的更新，特征库当前是否为最新。策略：定期对整网服务器的密码进行检查，查看是否开启密码策略、帐户锁定策略、本地审核策略，并作了相应的设置。关闭用户：定期对整网服务器进行周密的检查，是否对GUEST用户、长期未登录用户进行关闭。关闭服务：定期对整网服务器进行松紧，是否对一些