版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
实用文档实用文档XX集团信息安全咨询评估服务方案建议书目录TOC\o"1-5"\h\z需求分析 3\o"CurrentDocument"背景分析 3\o"CurrentDocument"项目目标 4\o"CurrentDocument"需求内容分析 4\o"CurrentDocument"技术风险评估需求分析 4管理风险评估需求分析 5\o"CurrentDocument"时间进度需求 6\o"CurrentDocument"考核要求 6\o"CurrentDocument"服务支撑需求 6\o"CurrentDocument"项目实施方案 6\o"CurrentDocument"技术安全风险评估 6\o"CurrentDocument"资产评估 6操作系统平台安全评估 8\o"CurrentDocument"网络安全评估 1 0\o"CurrentDocument"渗透测试 1 2\o"CurrentDocument"管理风险评估 1 6\o"CurrentDocument"安全管理制度审计 1 6\o"CurrentDocument"业务流程管控安全评估 1 7\o"CurrentDocument"评估工具 1 8\o"CurrentDocument"形成报告 1 9需求分析背景分析XX的信息化建设正在朝着集中化和云化的方向发展,通过云计算技术的应实现基于云平台的业务用把原来分散于各医院和分支机构的业务系统进行整合,实现基于云平台的业务系统和数据集中部署,从而解决了长期存在的大量信息孤岛问题,降低珍贵医疗数据和商业数据的流失风险,也为未来的集团医疗大数据分析和精准医疗服务打系统和数据集中部署,从而解决了长期存在的大量信息孤岛问题,降低珍贵医疗数据和商业数据的流失风险,也为未来的集团医疗大数据分析和精准医疗服务打下扎实的基础。下扎实的基础。从原来分散式的信息孤岛到现在的云化集中部署,XX从原来分散式的信息孤岛到现在的云化集中部署,XX的信息化环境正在发生根本性的变化,带来节约人力成本、提高工作效率、减少管理漏洞、提高数据生根本性的变化,带来节约人力成本、提高工作效率、减少管理漏洞、提高数据准确性等诸多的好处。当前, 国内外数据安全事件层出不穷,网络信息安全环境日趋复杂,信息化环境的变化也同时带来了新的信息安全风险,总体来说包括以准确性等诸多的好处。当前, 国内外数据安全事件层出不穷,网络信息安全环境日趋复杂,信息化环境的变化也同时带来了新的信息安全风险,总体来说包括以下几个方面:一、实现系统和数据的集中化部署后,等于把原来分散的信息安全风险下几个方面:一、实现系统和数据的集中化部署后,等于把原来分散的信息安全风险也进行了集中,一旦发生信息安全事故,其影响将是全局性的。比如在原有的信息化环境下发生敏感数据泄漏,其泄漏范围只限于个别的医院或分支机构。而现在一旦发生数据泄漏,泄漏范围会是全集团所也进行了集中,一旦发生信息安全事故,其影响将是全局性的。比如在原有的信息化环境下发生敏感数据泄漏,其泄漏范围只限于个别的医院或分支机构。而现在一旦发生数据泄漏,泄漏范围会是全集团所有医院和分支机构,直接和间接的损失不可同日而语。有医院和分支机构,直接和间接的损失不可同日而语。二、云计算是一种颠覆传统IT□□□□□□□,□□□□□□□,□□敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算二、云计算是一种颠覆传统IT□□□□□□□,□□□□□□□,□□敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算三、效率来降低成本。这也意味着基于传统IT架构的信息安全技术和产品往往不能再为云端系统和数据提供足够的防护能力。三、效率来降低成本。这也意味着基于传统IT架构的信息安全技术和产品往往不能再为云端系统和数据提供足够的防护能力。系统和数据的集中部署、云计算技术应用都要求建立可靠的信息安全管理机制,改变原有的离散管理模型,从管理规范和工作流程上实全管理机制,改变原有的离散管理模型,从管理规范和工作流程上实现与现有集中模式的对接,降低因管理不当导致的信息安全风险。项目目标对XX□□□□□□□□□□□□□□□□□□□□□□□□□□□□,并依据风险评估结果制订相应的风险管控方案。具体建设内容包括:技术风险评估:1)对现有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权账号资产等进行安全风险评估;2)对核心业务系统进行 WEB□□□□□□□□□□□□□□□□□□;3)对正在建设的云计算基础平台架构及承载的操作系统进行安全风险评估;4)渗透模拟黑客可能使用的攻击技术和漏洞发现技术,对业务系统进行授权渗透测试,对目标系统进行深入的探测, 以发现系统最脆弱的环节、 可能被利用的入侵点以及现网存在的安全隐患。管理风险评估1)采用调查访谈并结合实地考察的形式,对数据中心和核心系统的安全管理制度进行疏理和安全风险评估;2)对业务管控制度和流程进行安全风险评估,采用阅读流程资料和相关人员访谈的形式了解业务和系统内控制度和实现的业务流程, 试用流程中涉及的软件,察看各个业务控制点是否都得到有效的实施, 各个接口的处理是否妥当,督检查办法是否健全;信息安全风险管控方案其于上述风险评估结果, 针对具体的安全漏洞和风险设计管控方案, 包括但不限于安全漏洞加固方案、 信息安全管理规范优化提升方案、 信息安全防护技术解决方案等。1.3需求内容分析技术风险评估需求分析本项目对技术风险评估的内容要求主要是:1、资产评估资产评估对象不仅包括设备设施等物理资产,同时也包括敏感数据、特权账号等信息资产,其评估步骤如下:第一步:通过资产识别,对重要资产做潜在价值分析,了解其资产利用、维护和管理现状,并提交资产清单;第二步:通过对资产的安全属性分析和风险评估,明确各类资产具备的保护价值和需要的保护层次,从而使企业能够更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,最具策略性的进行新的资产投入。2、操作系统平台安全评估针对资产清单中重要和核心的操作系统平台进行安全评估,完整、全面地发现系统主机的漏洞和安全隐患。3、网络拓扑、网络设备安全评估针对资产清单中边界网络设备和部分核心网络设备,结合网络拓扑架构,析存在的网络安全隐患。4、应用系统安全评估(渗透测试):通过模拟黑客可能使用的攻击技术和漏洞发现技术,对XX□□□□□□□试的目标系统进行深入的探测,以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患,并指导进行安全加固。1.3.2管理风险评估需求分析1、安全管理制度审计:通过调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、有的安全措施等情况,并了解目前XX□□□□□□□□□□□□□制度和策略,分析目前XX□□□□□□□□□□□□□□□□□□□□2、业务管控安全评估:通过调研业务系统内控制度和实现的业务流程,试用流程中涉及的软件,看各个业务控制点是否都得到有效的实施,各个接口的处理是否妥当,监督检查办法是否健全,从而改进内控制度和业务流程的合理性和数据流的安全性。1.4时间进度需求项目的时间需按照整体时间要求完成全部工作,并且需提交阶段性工作成果。1.5考核要求XX集团将对项目的交付成果和执行过程中的质量进行考核,考核结果将作为最终结算的依据。考核办法将由XX为最终结算的依据。考核办法将由XX□□□□□□□□□□□□□□□□□1.6服务支撑需求本项目的服务供应方需与XX本项目的服务供应方需与XX□□□□□□□□□□□□□,□□□□□□该项目所有工作。项目团队采取紧密沟通的方式,分为每周例会定期沟通和重大问题共同讨论项目团队采取紧密沟通的方式,分为每周例会定期沟通和重大问题共同讨论的沟通方式。该项目的办公时间为5天*8小时/周;值班电话须7天*24小时/周保持通话该项目的办公时间为5天*8小时/周;值班电话须7天*24小时/周保持通话畅通。交付成果需求本项目在开展过程中需进行日报、周报、月报等相关工作计划与总结的提交,本项目在开展过程中需进行日报、周报、月报等相关工作计划与总结的提交,并根据实际工作内容及时提交相应工作成果及报告。项目实施方案2.1技术安全风险评估2.1.1资产评估保护资产免受安全威胁是安全工程实施的根本目标。要做好这项工作,首先保护资产免受安全威胁是安全工程实施的根本目标。要做好这项工作,首先需要详细了解资产分类与管理的详细情况。项目名称资产识别简要描述□□□□□□,□□□□□□,□□□□□□□□;
达成目标♦□□□□□□,□□□□□□,□□□□□□□□;♦□□□□□□□□□□□□□;主要内容♦□□□□□□,□□□□□□;□□□□□□□□;□□□□□□□□□;实现方式♦□□□□□□□□□□□□ ,□□□□□□□□□□□□□□□□□□□□□□□□□□□□♦交流/□□□□□□□□□□□□□□□□□□□;/□□□□□□□□□□□□□□□□□□□□□□□□□行交流。工作条件1-2□□□□□, 2台Win2000PC,电源和网络环境,客户人员和资料配合工作结果□□□□□□□□□□□;参加人员□□□□□□,□ XX□□□□□□□□□□,□□□□□□□□在XX□□□□□□□□□□□□下□□□□□□□□□项目名称风险评估简要描述□□□□□□□□□□□□□□□□□□□□达成目标♦□□□□□□□□□;♦□□□□□□□□□□□□□□;主要内容♦□□□□□□□□□;♦□□□□□□□□□□□;♦□□□□□□□□□□□□□;实现方式♦□□□□□:□□□□□□□ ,□□□□□□□□□□□□□□□□□□□□□□□□□□□□♦交流
/□□□□□□□□□□□□□□□□□□□;/□□□□□□□□□□□□□□□□□□□□□□□□□行交流。工作条件2-3人工作环境, 3台Win2000PC,电源和网络环境,客户人员和资料配合工作结果♦□□□□□□;♦□□□□□□□□□□□□;♦□□□□□□□□参加人员□□□□□□, □□□□□□□□ XX□□□□□□□□□□□□□□□□□□2.1.2操作系统平台安全评估工具扫描使用业界专业漏洞扫描软件, 根据已有的安全漏洞知识库, 模拟黑客的攻击方法,检测主机操作系统存在的安全隐患和漏洞。、主要检测内容:□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□ /□□□□□□□□□□□服务器主机后门检测服务器主机漏洞检测服务器主机安全配置审计服务器主机用户权限审计服务器主机口令审计服务器主机文件系统安全性审计操作系统内核的安全性文件传输服务安全性2、扫描策略提供可定制扫描策略的策略编辑器。按照扫描强度,默认的扫描策略模板包提供可定制扫描策略的策略编辑器。按照扫描强度,默认的扫描策略模板包括:高强度扫描中强度扫描低强度扫描按照扫描的漏洞类别,默认的扫描策略模板包括:NetBIOS漏洞扫描Web&CGI漏洞扫描主机信息扫描帐户扫描端口扫描数据库扫描在远程扫描过程中, 将对远程扫描的目标按照操作系统类型和业务应用情况进行分类,采用定制的安全的扫描策略。2.1.2.2人工分析对于主要的操作系统, 安全专家将主要从下面几个方面来获取系统的运行信息:账号;资源;系统;网络;审核、日志和监控;这些信息主要包括:网络状况、网络配置情况、用户账号、服务配置情况、安全策略配置情况、文件系统情况、日志配置和纪录情况等。在技术审计过程中, 安全服务专家将采用多种技术来进行信息收集, 这些技术包括:审计评估工具:开发了自己的审计评估脚本工具,通过执行该工具,就可以获取系统的运行信息。♦常见后门分析工具:通过使用专业工具,检查系统是否存在木马后门
♦□□□□□□:□□□□□□□□□□□,□□□□□□□□□□Rootkit等很难被发现的后门程序收集了系统信息之后, 安全专家将对这些信息进行技术分析, 审计的结果按照评估对象和目标对结果从补丁管理、 最小服务原则、最大安全性原则、用户管理、口令管理、日志安全管理以及入侵管理七个方面进行归类处理并评分。评估目标评估内容补丁管理□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□服务原则□□□□□□则□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□入侵管理□□□□□□□□□□□,□□□□□□□□□这7个方面将能够充分体现系统目前的运行和安全现状。 通过数字分数的形式,并结合资产的重要性, 将能够很直观地表现出系统的情况。 并且可以根据其中存在的缺陷,制定相应的解决办法。2.1.3网络安全评估网络拓扑分析对XX集□□□□□□□□□□□□,□□□□□□□□□□□和安全□□以及对提供相应的调整建议。项目名称□□□□□□
简要描述□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□的建议。达成目标□□□□□□□□□□□,□□□□□□□□□□□□□□□□♦□□□□□□♦□□□□□□主要内容♦♦□□□□□□□□□□□□□□□□□□□□□♦□□□□□□□□□□□□♦□□□□□□□□□♦信息收集实现方式♦♦调查分析交流♦现场查看工作条件1-2人工作环境, 2台WindowsPC,电源和网络环境,客户人□□□□□□工作结果□□□□□□□□参加人员评估小组, XX□□□□□□□□□□□□□□□□□□□□理人员网络设备安全评估对网络设备(路由、交换、防火墙等)的安全评估,是对网络设备的功能、设置、管理、环境、弱点、漏洞等进行全面的评估。1、评估条件评估前需要明确以下内容:□□□□□□;□□□□□□□□□□□□□□□□□ IP地址;□□□□□□□□□□□□□□□□□□□□□□ IP和邻近设备);2、评估内容
查看网络设备的配置、环境、和运行情况。至少包括以下几个方面:□□□□□□□□□□□□;□□□□□□□□□□□;对网络设备实施攻击测验,以测验网络设备的真实安全性。这需要最谨慎从事;3、评估结果提供策略变更建议提供日志管理建议提供审计服务2.1.4渗透测试2.1.4.1测试流程XX□□□□□□□□□□XX□□□□□□□□□□行渗透性测试:制定实施方案客户确认信息收集分析内部计划制定客户确认客户确认取得权限、提升权限取得权限、提升权限生成报告生成报告渗透性测试步骤与流程图1、内部计划制定、二次确认根据XX□□□□□□□□□,□□□□□□□□□□□□□□□□□□□活情况、网络拓扑情况以及扫描得到的服务开放情况、 漏洞情况制定内部的详细实施计划。具体包括每个地址下一步可能采用的测试手段, 详细时间安排。并将□□□□□□□□□□□□□□□ XX□□□□□□□2、取得权限、提升权限通过初步的信息收集分析, 存在两种可能性, 一种是目标系统存在重大的安全弱点,测试可以直接控制目标系统;另一种是目标系统没有重大的安全弱点,但是可以获得普通用户权限, 这时可以通过该普通用户权限进一步收集目标系统信息。 接下来尽最大努力取得超级用户权限、 收集目标主机资料信息, 寻求本地权限提升的机会。 这样不停地进行信息收集分析、 权限提升的结果形成了整个的渗透性测试过程。2.1.4.2测试内容和方法1、测试内容通过采用适当测试手段, 发现测试目标在系统认证及授权、 代码审查、 被信任系统的测试、文件接口模块、应急流程测试、信息安全、报警响应等方面存在的安全漏洞, 并现场演示再现利用该漏洞可能造成的损失, 并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。2、测试方法渗透测试的方法比较多,主要包括端口扫描,漏洞扫描,拓扑发现,口令破解,本地或远程溢出以及脚本测试等方法。 这些方法有的有工具, 有的需要手工操作,和具体的操作人员习惯管理比较大。□□□,□□□□□□□□□□□□□□□□□□□ XX集团同意后,具体的渗透性测试过程将按照以下渗透性测试技术流程图进行。实施计划确认信息收集、分析T是.—.一二:存在远程控制弱点一是去也制系统.否否 2 :存在远程普通弱点』j是信息收集、分析""否—否—:二获取本地普通权限,j是本地信息收集、分析亍否…本地权限提升「控.一■■■■■----制系统.j是 、信息收集、分析卜 j二生成报告渗透性测试技术流程图信息的收集和分析伴随着每一个渗透性测试步骤, 每一个步骤又有三个组成部分:操作、响应和结果分析。(1)网络信息搜集信息收集是每一步渗透攻击的前提, 通过信息收集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率, 同时可以有效地降低攻击测试对系统正常运行造成地不利影响。□□□□□□□□ PingSweep、DNSSweep、DNSzonetransfer、操作系统指纹判别、应用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件 (如,天镜等),免费安全检测工具(如,NMAP、NESSUS等)。操作系统内置的许多功能(如 ,TELNET、NSLOOKUP、IE等)也可以作为信
息收集的有效工具。(2)端口扫描□□□□□□□ TCP/UDP□□□□,□□□□□□□□□□□□□□□,这是所有渗透性测试的基础。 通过端口扫描,可以基本确定一个系统的基本信息,结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点, 为进行深层次的渗透提供依据。(3)远程溢出这是当前出现的频率最高、 威胁最严重,同时又是最容易实现的一种渗透方法,一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险, 只要对跨接防火墙内外的一台主机攻击成功,那么通过这台主机对防火墙内的主机进行攻击就易如反掌。(4)口令猜测口令猜测也是一种出现概率很高的风险, 几乎不需要任何攻击工具, 利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。对一个系统账号的猜测通常包括两个方面: 首先是对用户名的猜测, 其次是对密码的猜测。(5)本地溢出所谓本地溢出是指在拥有了一个普通用户的账号之后, 通过一段特殊的指令代码获得管理员权限的方法。 使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明,在经过前期的口令猜测阶段获取的普通账号登录系统之后,对系统实施本地溢出攻击, 就能获取不进行主动安全防御的系统的控制管理权限。(6)脚本测试□□□□□□□ Web□□□□□□ □□□□□□□□□, □□□□□□□当前Web系统尤其存在动态内容的 Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限, 重则将有可能取得系统的控制权限。因此对于含有动态页面的Web得系统的控制权限。因此对于含有动态页面的Web系统,□□□□□□□□□□的一个环节。的一个环节。2.1.4.3风险控制措施本次项目,为了保证渗透性测试不对XX集团AGIS□□□□□□□□□□□本次项目,为了保证渗透性测试不对XX集团AGIS□□□□□□□□□□□影响,建议本次渗透性测试采取以下方式进行风险控制。1、工具选择为防止造成真正的攻击,本次渗透性测试项目,会严格选择测试工具,杜绝为防止造成真正的攻击,本次渗透性测试项目,会严格选择测试工具,杜绝因工具选择不当造成的将病毒和木马植入的情况发生。2、时间选择为减轻渗透性测试对XX□□□□□□□□□□,□□□□□□□□□,建为减轻渗透性测试对议在晚上业务不繁忙时进行。3、策略选择为防止渗透性测试造成XX为防止渗透性测试造成XX□□□□□□□□□□□□,□□□□□□□□中不使用含有拒绝服务的测试策略。4、有效沟通本次项目,建议:在工程实施过程中,确定不同阶段的测试人员以及客户方本次项目,建议:在工程实施过程中,确定不同阶段的测试人员以及客户方的配合人员,建立直接沟通的渠道,并在工程出现难题的过程中保持合理沟通。评估团队的高级安全专家在客户可控的范围内,完成对目标系统的渗透测试工作,并做出详细的记录,最终形成《渗透测试报告》。报告对渗透测试过程中发现的脆弱性进行细致的分析、描述脆弱性对整个系统造成的潜在危害以及基本评估团队的高级安全专家在客户可控的范围内,完成对目标系统的渗透测试工作,并做出详细的记录,最终形成《渗透测试报告》。报告对渗透测试过程中发现的脆弱性进行细致的分析、描述脆弱性对整个系统造成的潜在危害以及基本的修补建议等等。2.2管理风险评估安全管理制度审计项目名称□□□□□□□□简要描述□□□□□□□□□□□□□□,□□□□□□□
达成目标♦□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□□□□□□□□□□□□□□□□□□□□□□;♦□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□;主要内容♦□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□,□□□□□□□□;□□□□□□□□,□□□□□□□□;□□□□□□□□□□;□□□□□□□□□□;实现方式♦收集/□□□□□□□□□□□□□□□□□□□□□□□□□□♦评审/□□□□□
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 期末综合测试卷(试卷)2025-2026学年五年级道德与法治下册部编版(含答案)
- 初考计算机试题及答案
- 2026苏教版六年级数学上册第一单元第2课时《积的近似值》教案
- 护理课件:护理科研设计与方法
- 护理服务流程解析
- 护理用药管理与监测
- 护理诊断与评估
- 护理服务:护理教育与人才培养
- 大肠癌患者的姑息治疗与护理支持
- 国外护理课件软件应用盘点
- 医学伦理学在临床实践中的思考
- ai写作与公文写作培训课件
- T/CI 448-2024电动垂直起降航空器通用技术要求
- 高校保密教育培训材料
- 模具费返还合同范本
- 2025四川成都诸葛资本投资有限责任公司招聘高级投资经理等岗位5人考试笔试参考题库附答案解析
- 2025江西景德镇珠山区招聘社区工作者225人笔试考试参考题库及答案解析
- GB/T 2414.2-2025压电陶瓷材料性能试验方法长条横向长度伸缩振动模式
- 2026届四川省达州市高三上学期“零诊”模拟考试历史试题(解析版)
- 八年级上册新版英语单词表
- 高压隔离开关检修课件
评论
0/150
提交评论