網絡安全測評工作流程

1、網絡安全測評工作流程流程圖說明：網絡安全測評工作主要分為三大部分：業(yè)務和現(xiàn)狀調查，安全框架設計，風險控制一、業(yè)務和現(xiàn)狀調查工作小組成員首先進行風險評估，其中包括資產調查、業(yè)務系統(tǒng)UML建模、威脅評估、漏洞評估、風險分析等? 成果描述：-各系統(tǒng)建立了用例模型、用例流程、用例序列圖、用例協(xié)作圖、用例實現(xiàn)視 圖、用例圖、域模型圖、狀態(tài)圖 -所有系統(tǒng)的整體UML模型工作小組成員在各系統(tǒng)對于系統(tǒng)中的接口和服務進行了安全性分析? 作用和效果：-分析了各系統(tǒng)的服務和流程-各系統(tǒng)分析了數(shù)據(jù)流中服務的安全性最后工作小組成員對業(yè)務過程進行梳理和UML建模，輸出：a) XXX業(yè)務模型b) XXX業(yè)務流程重要性等級劃

2、分及關鍵流程識別而后工作小組成員進行各系統(tǒng)安全現(xiàn)狀評估和風險分析:? 主機系統(tǒng)安全現(xiàn)狀評估-評估方式：人工評估 & 工具掃描-輸出：主機掃描報告&主機人工報告? 網絡安全現(xiàn)狀評估：-評估方式：人工評估；-輸出：網絡架構報告? 數(shù)據(jù)庫安全現(xiàn)狀評估-評估方式：人工評估；-輸出：數(shù)據(jù)庫報告? 應用安全現(xiàn)狀評估：-評估方式：人工評估 &訪談；-輸出：應用安全報告? 策略和管理現(xiàn)狀評估：-評估方式：訪談(主管；運行維護；用戶)&查閱現(xiàn)有策略文檔-輸出：策略分析報告，安全管理評估報告? 各系統(tǒng)風險分析-分析方式：通過 UML建模對各系統(tǒng)的安全現(xiàn)狀進行分析-輸出：各系統(tǒng)風險分

3、析報告。? 綜合風險分析-分析方式：綜合各系統(tǒng)共性風險，摘出各系統(tǒng)個性風險，提出安全對策-輸出：綜合風險分析報告 1篇二、 工作小組成員進行安全框架設計 分別對以下問題進行分析檢查： 安全現(xiàn)狀評估和風險分析結果 資產 安全現(xiàn)狀評估和風險分析結果 威脅 安全現(xiàn)狀評估和風險分析結果 弱點 安全現(xiàn)狀評估和風險分析結果 風險 項目組首先進行安全域劃分，將客戶單位劃分為對外服務區(qū)和內部生產區(qū)： 而后項目組進行等級保護定級 工作小組成員進行安全需求分析：綜合安全評估階段發(fā)現(xiàn)的風險和等級保護列表篩選后的結果,整理得到現(xiàn)網的安全問題管理類安全問題 策略類安全問題技術類安全問題項目對 IT 資產進行全面調查，輸

4、出：a) 核心網各系統(tǒng)資產信息列表b) 核心網各系統(tǒng)詳細拓撲圖c) 核心網信息資產調查總結報告d) 核心網信息資產調查差異性調查報告 并且對電子政務網進行安全域劃分，輸出：a) 安全區(qū)域和等級劃分報告ITb) 核心網安全體系框架設計報告 根據(jù)已經建立的業(yè)務模型和業(yè)務等級，分析組織的 IT 技術架構和處理功能，形成過程的必要的控制目標，輸出：a) IT 過程定義及控制框架b）IT過程重要性等級劃分及的控制目標c）關鍵IT過程管理指南-CSF、KGI、KPI及CMM列表風險控制風險評估的過程是:a）對信息資產進行識別，并對資產賦值；b）對威脅進行分析，并對威脅發(fā)生的可能性賦值；c）識別信息資產的脆

5、弱性（弱點 偏洞），并對弱點的嚴重程度賦值；d）計算信息資產的風險值，得到信息資產的風險級別，并對風險進行處置,的控制措施。工作小組成員通過風險評估和等級保護差距分析，項目組確定安全問題存在于以下領域:? 信息安全方針和組織? IT規(guī)劃和建設安全? 信息資產安全管理? 信息安全風險管理? 系統(tǒng)安全維護? 信息安全審計? 安全事件響應? 安全意識和培訓工作小組成員通過分析得出安全解決方案建議安全加固與實施：系統(tǒng)服務加固注冊表加固帳號加固補丁升級安全策略加固數(shù)據(jù)庫加固 應用軟件升級調研各個系統(tǒng)應用需要使用的端口對防火墻的控制策略進行細化，遵循最小化原則風險評估主要實施階段，通過人工/工具的方法對全

6、網進行安全調研和分析, 成果文檔：a）安全風險評估方案b）威脅評估報告c）設備安全報告主機d）設備安全報告網絡設備e）應用安全分析報告f）數(shù)據(jù)庫安全分析報告g）核心網網絡結構安全分析報告選擇合適輸出系列h）安全策略分析報告i) 安全管理評估報告j)風險綜合評估和現(xiàn)狀報告安全規(guī)劃對風險控制措施的分析和論證包括：對安全風險控制措施進行相關性分析對每個安全風險控制措施進行緊迫性分析對每個安全風險控制措施進行可實施性分析對每個安全風險控制措施進行實施難易程度分析對每個安全風險控制措施進行預期效果分析 對每個安全風險控制措施進行綜合分析，形成二到三年的安全規(guī)劃。工作小組成員在此階段輸出：b) 安全建設規(guī)

7、劃建議報告 解決方案設計輸出系列安全管理和技術解決方案 ，其中包括：a) 網絡安全解決方案b) 安全事件報告和處理制度c) 安全應急計劃指南d) 安全組織體系e) 第三方保密協(xié)議f) 第三方接入安全審批流程g) 關鍵數(shù)據(jù)安全管理規(guī)定h) 介質安全管理規(guī)定i) 數(shù)據(jù)備份和恢復安全管理辦法j) 網絡接入管理辦法k) 網絡與信息安全管理辦法l) 網絡與信息安全監(jiān)控管理規(guī)定m) 系統(tǒng)安全配置管理規(guī)定n) 業(yè)務持續(xù)性規(guī)范o) 應用系統(tǒng)開發(fā)安全管理規(guī)定p) 組織人員安全管理制度q) SQL 安全配置標準r) WINDOWS 安全配置標準s) 防火墻安全配置標準t) 網絡設備安全標準u) 安全維護作業(yè)計劃( SQLSERVER )v) 安全維護作業(yè)計劃( Windows )w) 安全維護作業(yè)計劃(交換機路由器) 安全加固： 工作小組成員對 DMZ 區(qū)和資源共享區(qū)的主機設備實施安全加固，消除了絕大部分高風險的漏洞，并且輸出：a) 安全加固服務報告b) 安全維護手冊 (由系列安全配置標準和維護作業(yè)計劃構成)c) 災難恢復計劃 (此文檔包含在數(shù)據(jù)備份和恢復安全管理辦法中)d) 安全設備優(yōu)化調整實施方案e) 安全設備優(yōu)化調整實施報告為保證終端與補丁管理能夠保證主體(服務器、網絡設