安全评估实施方案完整模板

1、XXXXXXXXXX 安全评估实施方案安全评估实施方案 20XX20XX 年年 X X 月月 北京北京 XXXXXXXXXXXX 公司公司 安全服务事业部安全服务事业部 文档信息文档信息 项目名称项目名称XXXXX 安全服务项目 文档编号文档编号 版本号版本号日期日期参与人员参与人员更新说明更新说明 1.0 1.0 分发控制分发控制 编号编号读者读者文档权限文档权限与文档的主要关系与文档的主要关系 1范卿编写，修 改 负责编制、修改 2XXXXX 项目组成 员 读取 审核 3XXXXX X 项目组 成员 读取 版权说明版权说明 本文件中出现的全部内容，除另有特别注明，版权均属北京 XXXXXX

2、 公司所有。任 何个人、机构未经北京 XXXXXX 公司的书面授权许可，不得以任何方式复制或引用文件 的任何片断。北京 XXXXXX 公司安全服务事业部负责对本文档的解释。 保密申明保密申明 本文件包含了来自北京 XXXXXX 的可靠、权威的信息，以及 XXXXX 网络系统的敏 感信息，接受这份文件表示同意对其内容保密并且未经北京 XXXXXX 公司书面请求和书 面认可，不得复制，泄露或散布这份文件。如果你不是有意接受者，请注意对这份文件内 容的任何形式的泄露、复制或散布都是被禁止的。 目 录 一一.背景背景.8 1.1.评估目标 .8 1.2.评估范围 .9 二二.评估原则评估原则.9 2.

3、1.保密原则 .9 2.2.标准性原则 .10 2.3.可控性原则 .10 2.4.全面性原则 .11 2.5.重点性原则 .11 2.6.最小影响原则 .12 三三.评估标准评估标准.12 3.1.信息安全标准 .12 3.1.1.BS7799 (ISO/IEC 17799).12 3.1.2.SSE-CMM .13 3.1.3.ISO/IEC 15408(GB/T18336) .13 3.1.4.ISO/IEC 13335.13 3.1.5.其他相关标准.14 3.2.组织安全策略 .14 3.2.1.相关法规和政策.14 3.2.2.行业管理规范.15 四四.资产调查与赋值资产调查与赋值

4、.15 4.1.需求调查 .15 4.1.1.调查对象.16 4.1.2.调查方式.17 4.1.3.调查内容.17 4.2.资产赋值 .18 4.2.1.基本概念.18 4.2.2.信息资产分类.19 4.2.3.信息资产赋值.22 五五.安全类别安全类别级评估内容级评估内容.24 5.1.安全技术评估 .25 5.1.1.物理安全.25 5.1.2.网络安全.26 5.1.3.节点安全.28 5.1.4.应用与数据安全.30 5.2.安全管理评估 .31 5.2.1.政策与制度.32 5.2.2.机构与人员.34 5.2.3.安全风险管理.38 5.2.4.工程建设管理.44 5.2.5.

5、运行与维护管理.49 5.2.6.业务连续性管理.60 5.2.7.其他管理要求.65 六六.扫描评估方案扫描评估方案.66 6.1.目标 .66 6.2.地点 .66 6.3.时间 .66 6.4.参与人员 .67 6.5.范围 .67 6.5.1.网络设备.67 6.5.2.应用系统.67 6.6.评估方法 .67 6.7.工具选择 .68 6.7.1.漏洞扫描工具.68 6.7.2.辅助工具.69 6.7.3.系统自带程序.73 6.8.评估的代价 .74 6.8.1.流量的代价.74 6.8.2.主机的代价.75 6.8.3.主机的潜在威胁.76 6.9.实施步骤 .76 6.9.1.

6、网络扫描.76 6.9.2.扫描策略.77 6.9.3.扫描操作.78 6.9.4.报告整理.82 七七.人工评估方案人工评估方案.82 7.1.目标 .82 7.2.地点 .82 7.3.时间 .83 7.4.参与人员 .83 7.5.范围 .83 7.5.1.网络设备.83 7.5.2.应用系统.83 7.6.评估方法 .83 7.7.实施步骤 .85 7.7.1.评估步骤.85 7.7.2.评估内容.86 7.7.3.报告整理.87 八八.项目实施计划项目实施计划.87 8.1.项目组结构 .87 8.1.1.甲方项目组结构.87 8.1.2.乙方项目组结构.88 8.2.项目小组联系表

7、 .89 8.2.1.甲方小组联系表.89 8.2.2.乙方小组联系表.89 8.3.项目进度安排 .90 8.4.用户配合 .90 8.5.评估监控 .90 8.5.1.网页监控.91 8.5.2.系统监控.91 8.6.评估风险的应对措施 .91 8.7.评估风险应急预案 .92 附录一：甲方项目组联系表附录一：甲方项目组联系表.94 附录二：乙方项目组联系表附录二：乙方项目组联系表.95 附录三：项目进度计划附录三：项目进度计划.96 一一. 背景背景 企业对信息技术和服务的依赖意味着自身更容易受到安全威胁的攻击。为保证企业富 有竞争力，保持现金流顺畅和赢利，以及维护企业的良好商业形象，

8、信息安全的三要素保 密性、完整性和可用性都是至关重要的。 对于一个特定的网络，为了实现其网络安全的目标，就是要在网络安全风险评估的基 础上，明确系统中所存在的各种安全风险，并制订相应的安全策略，通过网络安全管理和 各种网络安全技术的实施，从而达到网络安全的目标。 安全评估是网络安全防御中的一项重要技术，其原理是根据已知的安全漏洞知识库， 对目标可能存在的安全隐患进行逐项检查。目标可以包括工作站、服务器、交换机、路由 器、数据库等各种网络对象和应用对象。然后根据扫描结果向系统管理员提供周密可靠的 安全性分析报告，为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，安 全扫描工具花费低、效

9、果好、见效快、与网络的运行相对独立、安装运行简单，可以大规 模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。 为了充分了解客户当前的网络安全威胁状况，需要利用一些常用的扫描工具、应用软 件以及人工分析的等方式获得客户中重要服务器的各类数据。在扫描之后，将扫描系统获 得的报告汇集成为一个当前系统漏洞评估报告，同时根据漏洞情况提供加强网络安全的建 议。 为了保证客户网络的安全有效运行以及漏洞信息能够更加完整和准确，XXXXXX 公 司还为客户提供手工的安全评估服务，我们公司拥有大量具有丰富经验的安全工程师，通 过对客户网络主机的直接接触，对目标进行安全评估，达到及时发现网络存在的安

10、全问题， 保证网络的安全性，同时对网络系统性能不造成影响。 1.1.评估目标评估目标 本期安全风险评估项目，将通过管理上、技术上的等多方面进行，以实现以下安全评 估目标： 管理上 审核安全策略的合理性 审核安全管理文档的完备程度 完成资产识别、分类工作 拟定体系及策略改进计划 技术上 识别被评估系统面临的威胁 识别被评估系统存在的脆弱性 识别安全设施的有效性 分析威胁发生的可能性 分析威胁发生的后果 评价安全风险 拟定风险处理计划 1.2.评估范围评估范围 对于指定的信息系统必须首先进行资产识别和分类，明确被保护的信息资产，对每一 项资产进行确认和评估。在对信息资产进行识别评估分析时，要根据系

11、统遭受破坏后，对 保密性、完整性和可用性造成的影响来决定信息资产的价值。 XXXXX 目前拥有一个机房。XXXXXX 将对个机房进行安全评估和加固服务。主要从 这个机房的管理层、技术层、操作层、物理层等多个层面进行安全评估工作，以求能够通 过这次评估和加固工作达到要求的安全标准，大幅度提高 XXXXX 以及下属机房的安全防 御能力。 二二. 评估原则评估原则 为了确保安全项目成功实施，我们将遵循以下原则进行： 2.1.保密原则保密原则 对于安全项目，实施方首先应做到的就是对用户要求保密的信息遵守保密原则。 XXXXXX 公司和参加此次评估项目的所有项目组成员，都要与甲方签署相关的保密 协议和非

12、侵害性协议。 2.2.标准性原则标准性原则 依据国际国内标准开展工作是本次评估工作的指导原则，也是 XXXXXX 公司提供信 息安全服务的一贯原则。 XXXXXX 公司在提供本次评估服务中，将会依据相关的国内和国际标准进行。这些 标准包括： ISO 17799 BS7799-2 ISO 13335 AS/NZS 4360 ISO 15408 / GB18336 SSE-CMM XXXXXX 公司在提供本次评估服务中，除了依据相关的国内和国际标准之外，还要 参考一些没有成为国际和国内标准，但是已经成为业界事实上标准的一些规范和约定。这 些规范和约定包括： CVE 公共漏洞和暴露 PMI 项目管理

13、方法学 XXXXXX 公司在提供本次评估服务中，除了依据相关的国内和国际标准之外，还根 据本项目的需要，遵循 XXXXXX 公司自身的一些规范和要求。这些规范包括： XXXXXX 科技顾问服务项目管理规范 V1.0 XXXXXX 科技信息安全顾问服务规范 V1.0 XXXXXX 科技信息安全风险评估标准 V1.1 XXXXXX 科技信息安全风险评估服务规范 V1.1 2.3.可控性原则可控性原则 XXXXXX 公司将从多个方面配合甲方，以便达到甲方对评估工作的可控性。这些可 控性包括： 人员可控性 XXXXXX 公司项目组将确保项目组成员工作的连续性。 XXXXXX 公司将派遣有经验的顾问、评

14、估师和工程师参加本项目的评估工 作，同时还会安排有经验的项目管理人员、质量保证人员、标准化审核人员 等支持项目的工作。 XXXXXX 公司的人员安排将在顾问服务的工作说明中明确定义并得到双方 的同意、确认和签署。如果根据项目的具体情况，后期需要进行人员调整时， 必须经过正规的项目变更程序，并得到双方的正式认可和签署。 工具可控性 XXXXXX 公司项目组所使用的所有技术工具都事先通告甲方。并且在必要 时可以应甲方要求，向甲方介绍主要工具的使用方法，并进行一些实验。 项目过程可控性 本评估项目的管理将依据 PMI 项目管理方法学达到项目过程的可控性。 为了保证 XXXXXX 公司的工作能够按照工

15、程进度实施，甲方组成的评估小 组的工作需要在双方进行评估之前举行会议，予以讨论，正式形成文字材料， 即书面确定甲方评估小组的职责和义务。评估期间双方将本着友好合作的态 度完成各自的职责。 2.4.全面性原则全面性原则 XXXXXX 公司将按照确定的评估范围进行全面的评估，从范围上满足甲方的要求。 XXXXXX 公司实施的网络、系统和应用评估是对 xxxxx 的全面评估；XXXXXX 公司实施 的人工分析也覆盖了上述业务系统的业务流程和相互间的业务相关性和数据共享； XXXXXX 公司进行的综合分析和建议将结合 XXXXXX 公司长期的信息安全经验和相关的 国际经验。 评估覆盖信息的存储、传输、

16、处理全过程。 2.5.重点性原则重点性原则 从用户的业务期望出发，采用详细的安全风险评估方式对用户指出的关键性业务系统 进行重点评估。 2.6.最小影响原则最小影响原则 XXXXXX 公司会从项目管理层面和工具技术层面，将评估工作对甲方系统和网络正 常运行的可能影响降低到最低限度，不会对现有网络的运行和业务的正常提供产生显著影 响。系统评估我们选择对业务连续性影响较小的主机进行。数据库评估和网络评估，我们 选择业务最小的时段进行，一般在半夜 12 点以后进行，在评估前作好数据备份。 三三. 评估标准评估标准 XXXXXX 公司采用国际信息安全管理标准 BS 7799 的风险管理思想作为贯穿整个

17、风险 评估过程的主要指导规范。另外，在风险等关键因素的评估方面，我们还参考了 SSE- CMM、ISO15408 和 ISO13335 标准。同时，SSE-CMM 在这次项目的安全工程实施， ISO15408、ISO13335 在安全评估方案的制定等方面都提供了规范化的指导。 其中在评估过程中涉及到的一些技术细节问题，我们严格遵循和执行有关国家的法律 法规和行业的管理规范。 3.1.信息安全标准信息安全标准 3.1.1. BS7799 (ISO/IEC 17799) BS 7799 是国内外现在比较流行的信息安全管理标准，其安全模型主要是建立在风险 管理的基础上，通过风险分析的方法，使信息风险

18、的发生概率和后果降低到可接受水平， 并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中风险管理框架的构建 过程也就是宏观上指导整个安全风险评估的过程。 这个标准中给出了 10 类需要进行控制的部分：安全策略、安全组织、资产分类与控制、 个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业 持续规划、合法性要求等方面的安全风险评估和控制，以及 127 项控制细则。 3.1.2. SSE-CMM SSE-CMM 是“系统安全工程能力成熟模型”的缩写。系统安全工程旨在了解用户单 位存在的安全风险，建立符合实际的安全需求，将安全需求转换为贯穿安全系统工程的实 施指南

19、。系统安全工程需要对安全机制的正确性和有效性做出验证，证明系统安全的信任 度能够达到用户要求，以及未在安全基线内仍存在的安全问题连带的风险在用户可容许、 或可控范围内。 SSE-CMM 将一个安全事件分为了三个组成部分：威胁、脆弱性和影响，并且提供了 影响、风险、威胁和脆弱性的具体评估方法和过程，进一步为安全风险评估的实施提供了 指导。 作为更主要的作用，我们应用 SSE-CMM 模型把整个安全风险评估工程划分为如下几 个阶段：安全需求分析阶段、安全系统规划阶段、安全系统实施阶段、安全系统确认阶段 和安全需求验证阶段。在安全工程的整个生命周期过程中，我们都将严格按照 SSE-CMM 的要求进行

20、实施，以保证整个项目工程的质量。 3.1.3. ISO/IEC 15408(GB/T18336) 信息技术安全性评估通用准则 ISO15408 已被颁布为国家标准 GB/T18336，简称通用 准则（CC） ，它是评估信息技术产品和系统安全性的基础准则。该标准针对在安全性评估 过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求，使各种相对 独立的安全性评估结果具有可比性。 ISO15408 同样对本次项目的安全风险评估模型及关键风险因素有着指导意义，但更重 要的是它能比较好的指导我们对系统安全功能的各方面进行安全检查和分析，保证了安全 风险评估的全面性和完整性，也使得信息系统在

21、技术上能够符合国家的安全测评认证的要 求。最后，我们可以根据这个标准生成针对信息系统安全的规范化的安全评估方案，或者 更确切叫信息系统安全规范。 3.1.4. ISO/IEC 13335 ISO13335 是信息安全管理方面的规范，这个标准的主要目的就是要给出如何有效地实 施 IT 安全管理的建议和指南。 ISO13335 首先为风险评估提供了方法上的支持，并且它所定义的安全概念更加全面化 了安全风险评估考虑的问题，使得最终生成的安全评估方案不但在技术方面完整而且从管 理的角度看也很全面。 3.1.5. 其他相关标准其他相关标准 这些标准包括国际和国内的一些涉及具体安全技术方面的标准，如 GB

22、9361-88 计算机 场地安全要求、GB2887-89 计算机站场地技术条件等，以便为安全评估的具体技术细节作 指导。 3.2.组织安全策略组织安全策略 3.2.1. 相关法规和政策相关法规和政策 信息系统的建设是国家信息化的一个组成部分，在促进国民经济发展和社会稳定方面 具有越来越重要的作用。随着计算机应用的进一步普及和发展，计算机信息系统安全问题 日益社会化、严重化，国家有必要运用行政法律手段来进行有效的管理，维护社会的稳定 和发展。这些相关的政策法规包括了可能约束信息系统在进行安全体系建立和使用信息的 安全方面的国家法律法规和政策。这些政策法规主要有： 中华人民共和国保守国家秘密法 （

23、1988 年 9 月 5 日中华人民共和国主席令 第 6 号公布） 中华人民共和国保守国家秘密法实施办法 （国家保密局文件 国保发 1990 1 号） 中华人民共和国国家安全法 （主席令 68 号，1993 年 2 月 22 日第七届全国人民代 表大会常务委员会第三十次会议通过） 中华人民共和国计算机信息系统安全保护条例 （国务院令 147 号） 计算机信息系统保密管理暂行规定 （国家保密局文件 国保发1998 1 号） 计算机信息系统国际联网保密管理规定 （国家保密局文件 国保发1999 1 号） 中华人民共和国计算机信息网络国际联网管理暂行规定 （国务院令 195 号） 中华人民共和国计算

24、机信息网络国际联网管理暂行规定实施办法 （1997 年 12 月 8 日国务院信息化工作领导小组审定） 计算机病毒防治管理办法 （2000 年 4 月 26 日中华人民共和国公安部 第 51 号令） 计算机信息网络国际联网安全保护管理办法 （1997 年 12 月 11 日国务院批准， 1997 年 12 月 30 日公安部发布） 计算机信息系统安全专用产品分类原则 （1997 年 4 月公安部发布） 计算机信息系统安全保护等级划分准则 （1999 年 9 月国家技术监督局发布） 互联网电子公告服务管理规定 （信息产业部 2000 年 10 月 8 日第 4 次部务会议通过） 互联网站从事登载

25、新闻业务管理暂行规定 （国务院新闻办公室和信息产业部 11 月 7 日联合发布） 计算机信息系统安全等级保护划分准则 （GB/T17859-1999） 计算机信息系统安全等级保护网络技术要求 （GA/T387-2002） 计算机信息系统安全等级保护操作系统技术要求 （GA/T388-2002） 计算机信息系统安全等级保护数据库管理系统技术要求 （GA/T389-2002） 计算机信息系统安全等级保护通用技术要求 （GA/T390-2002） 计算机信息系统安全等级保护管理要求 （GA/T391-2002） 计算机机房场地安全要求 （GB9361-88） 上述国家政策法规对信息系统安全等级标准、机房场地与设施、通信和信息保密信息、 安全产品和安全系统开发商、电子商务安全以及有关技术标准等方面提出了具体要求。 3.2.2. 行业管理规范行业管理规范 行业管理规范是指各行业的主管机构对整个行业信息系统安全所作的针对行业特点的 具体规范和要求，这些行业包括证券、银行、电信、政府部门等众多的机构和组织。这些 要求成为安全风险评估的基本安全需求和尺度，因此在评估中应当严格遵循这些要求。 四四. 资产调查与赋值资产调查与赋值 4.1.需求调查