信息安全风险评估(运营商)-售前方案

Size: px

Start display at page:

Download "信息安全风险评估(运营商)-售前方案"

逸群古
5 years ago
Views:

1 信息安全风险评估 ( 运营商 ) 方案文档编号 SCS-RA-Pro(Tel) 密级版本编号 V1.0 - I -

2 目录一. 概述项目背景项目目的项目目标项目范围项目内容... 4 二. 系统安全现状描述业务系统概述业务系统安全现状分析... 5 三. 安全评估策略遵循原则遵循的标准安全评估模型安全关系模型安全工程模型架构体系模型等级化模型风险计算模型四. 评估方案首次安全评估过程确定评估范围资产识别与估价威胁评估脆弱性评估安全保障措施评估风险计算与分析风险处置与应对二次安全评估过程威胁评估脆弱性评估风险分析与比较风险控制与比较安全评估方法安全漏洞扫描 IDS 抽样分析网络架构分析人工安全检查 II -

3 4.3.5 远程渗透测试问卷调查顾问访谈安全管理审计安全策略评估五. 评估实施方案项目人员组织结构时间安排项目实施流程项目启动阶段首次评估实施阶段二次评估实施阶段项目验收阶段安全评估使用工具说明远程安全评估系统 (RSAS) 滕惟科技网络入侵检测系统 (ICEYE) 微软基准安全分析器 (MBSA) 滕惟科技安全本地评估套件 (LSAS) 风险规避措施数据采集过程风险处理安全评估前的数据备份安全评估方案的探讨确认综合分析阶段风险的控制项目成果文档及交付输出文档文档交付文档格式六. 项目工作配合相关资料技术资料管理资料日常维护资料人员配合场地环境七. 服务质量控制措施专职的质量控制人员项目质量控制措施配置管理变更控制管理项目沟通合同评审 III -

4 7.2.5 设计控制过程控制服务控制报告八. 验收验收内容阶段验收指标 IV -

5 表格索引表 3.1 安全管理体系内容 V -

6 插图索引图 3.1 安全风险关系模型图 3.2 DIEM 安全工程模型图 3.3 安全体系框架图 3.4 安全体系等级化模型图 3.5 风险计算模型图 4.1 安全评估流程图图 4.2 风险分析原理图图 5.1 项目实施人员组织结构 VI -

7 一. 概述 1.1 项目背景近年来, 以电信骨干网 IDC 及电信增值服务为目标的攻击行为呈显著上升趋势, 电信网络面临的安全威胁日益严重随着电信网络基础架构的 IP 化系统应用的增多系统终端的智能化, 电信网络面临的安全威胁威胁的主体及其动机和能力威胁的客体等方面都变得更加复杂和难于控制面对严峻的形势和严重的问题, 如何解决电信网络系统的信息安全问题, 成为摆在我国信息化建设人员面前的重大关键问题 2003 年, 中央办公厅国务院办公厅转发的国家信息化领导小组关于加强信息安全保障工作的意见 ( 简称 27 号文 ) 中, 分析了我国当前信息安全保障工作的基本状况的基础上, 为进一步提高信息安全保障工作的能力和水平, 维护公众利益和国家安全, 促进信息化建设健康发展, 提出了加强信息安全保障工作的总体要求和主要原则并对下一步信息安全保障工作做了全面部署, 特别强调了要重点保护基础信息网络和关系国家安全经济命脉社会稳定等方面的重要信息系统和积极防御综合防范的信息安全管理方针电信网和互联网作为基础信息网络, 是实施信息安全保障的重要对象根据国务院信息化工作办公室和国家公安部的政策指示,2006 到 2007 年各电信运营商都已经开始加强对等级保护相关工作的研讨与规划 1.2 项目目的作为主要电信运营商之一的中国 XXX, 增值业务系统平台是其重要的业务生产线, 是国家政策要求重点保护的基础信息网络特别是近几年由于网络系统的不断改造业务系统的增加, 使得中国 XXX 增值业务系统平台在网络系统应用和管理层面暴露出来的漏洞和缺陷不断出现, 而国内外竞争对手 XXX 外部和内部恶意人员的攻击入侵病毒蠕虫等安全威胁也越来越多如果不及时对现有的网络和系统进行安全加固, 整个系统平台所面临的安全风险将越来越高, 一旦由于某个环节的问题导致安全事件发生, 将对业务造成不可估量的损失因此, 中国 XXX 的增值业务系统急需通过安全风险评估发现安全问题, 通过有针对性的安全加固, 应对安全问题加强自身的安全性 - 1 -

8 公司 ( 以下简称滕惟科技 ) 作为国内专业的安全产品 / 服务 / 解决方案提供商, 一直以来以成为巨人背后的专家为己任, 不断的推出包括网络入侵检测漏洞扫描抗拒绝服务等多种类的安全产品安全评估和咨询服务和安全解决方案, 为运营商金融政府企业等用户的网络安全建设提供了强有力的支持本期项目中, 我们将为中国 XXX 增值业务平台及系统提供全面的安全风险评估提出安全加固建议对加固系统进行二次评估等服务内容, 通过整体性的安全建设来进一步提升中国 XXX 增值业务平台的安全防护能力我们相信, 凭借滕惟科技多年的安全技术积累和丰富的安全风险评估服务项目经验, 能够圆满的完成本次中国 XXX 增值业务网络及信息安全评估工程同时, 我们也希望能继续保持和中国 XXX 在网络安全项目上长期的合作, 共同为中国 XXX 的业务网络安全建设贡献力量 1.3 项目目标滕惟科技在本次中国 XXX 增值业务网络信息安全评估项目中将达到以下的目标 : 通过安全风险评估发现网络环境中的问题, 制定网络安全配置策略通过安全风险评估发现设备层中配置是否符合安全运行要求, 并确定主机安全策略通过安全风险评估发现应用系统中数据库业务平台等系统中的脆弱性问题通过安全风险评估发现应用系统中存在的后门和可能会造成的风险, 提前规避业务运营风险提出系统和网络的安全加固方案和相关产品的部署方案建议, 消除增值业务网络中存在的安全隐患通过系统安全加固后的二次评估分析和验证系统的安全性增强和加固成果通过各种安全培训提高增值业务系统自身人员的安全技术和安全管理水平, 加强安全防御能力 1.4 项目范围本期工程安全评估范围为总部机房所有增值系统, 评估内容涵盖管理层面网络层面主机 / 终端层面数据与应用层面以及物理层面 (1) 管理层面安全评估 - 2 -

9 管理层安全包括安全技术和设备的管理安全管理制度部门与人员的组织规则等管理的制度化极大程度地影响着整个网络的安全, 严格的安全管理制度明确的部门安全职责划分合理的人员角色配置都可以在很大程度上降低其它层次的安全漏洞由于管理层面涉及问题比较多, 在实施评估中主要根据 ISO27002 中所分的 11 大类问题进行评估分析, 管理层面评估的分类如下 : 信息安全的方针信息安全组织管理信息安全资产管理信息安全事件管理人力资源安全管理物理与环境安全管理系统访问控制管理通讯与操作管理系统建设开发与维护管理业务连续性保障管理对法规的符合性管理 (2) 网络层安全评估网络层安全是指包括路由器交换机通信线路等在内的信息系统网络环境的安全该层次的安全问题主要体现在网络方面的安全性, 包括网络层身份认证网络资源的访问控制数据传输的保密与完整性远程接入的安全域名系统的安全路由系统的安全入侵检测的手段及网络设施防病毒等本期工程安全评估通过分析安全隐患, 设计加固阶段所需要的网络配置调整和加固方案网络层评估的分类如下 : 网络建设的规范性网络的可靠性网络边界安全网络协议分析网络流量分析网络通信安全设备自身安全网络安全管理 - 3 -

10 (3) 主机 / 终端层安全评估主机层安全是指包括服务器终端 / 工作站网络设备以及安全设备 / 系统在内的所有计算机设备在操作系统及数据库系统层面的安全该层次的安全问题主要表现在三方面 : 一是操作系统本身的缺陷带来的不安全因素, 主要包括身份认证访问控制系统漏洞等 ; 二是对操作系统的安全配置问题 ; 三是病毒对操作系统的威胁具体对系统进行安全评估包括 : 帐号 / 口令策略检查补丁安装情况检网络与服务检查文件系统检查日志审核检查安全性增强检查等最终完成主机层面的安全评估结论 (4) 数据与应用层安全评估数据层安全是指业务应用系统中数据的采集传输处理和存储过程中的安全该层次的安全问题主要由提供服务所采用的应用软件和数据的安全性产生, 包括 Web 服务电子邮件系统 DNS 等此外, 还包括病毒对系统的威胁 (5) 物理层面安全物理层面主要针对物理环境方面的问题进行, 包括机房与办公环境安全, 系统运行环境的温湿度控制, 电源与线缆管理等 1.5 项目内容本工程对中国 XXX 增值业务网络及信息安全风险进行评估, 明确安全问题并指导安全加固, 并通过安全加固后的二次评估提高增值业务系统的整体安全水平和防护能力具体内容如下 : 对现有增值系统及网络进行安全风险评估, 分析安全问题并提出安全加固建议 ; - 4 -

11 根据评估结果提出网络及系统的安全加固建议方案, 包括远程登陆网络边界控制主机日志审计身份安全认证系统漏洞管理数据库日志管理安全事件监控等内容 ; 对加固后的网络和系统进行二次安全评估, 对建设加固提出要求, 并进行二次加固提供一套适用于 XXX 公司自评估的安全评估工具本工程对中国 XXX 增值业务网络及信息安全进行评估, 包括安全加固实施前的评估和安全加固后的二次评估二. 系统安全现状描述 2.1 业务系统概述随着电信业务市场改革开放不断的深入, 增值业务市场进入前所未有的高速成长时期, 中国 XXX 在增值业务领域取得了骄人的发展成绩业务系统安全现状分析三. 安全评估策略 3.1 遵循原则本次安全建设中, 滕惟科技将遵照以下原则开展安全建设的实施工作 : 1) 符合性原则符合国家 27 号文件指出的积极防御综合防范的方针和等级保护的原则 - 5 -

12 滕惟科技在项目过程中将严格贯彻国家信息化领导小组关于加强信息安全保障工作的意见 ( 中办发 [2003]27 号 ) 关于信息安全等级保护工作的实施意见 ( 公通字 [2004]66 号 ) 信息安全等级保护管理办法( 试行 ) ( 公通字 [2006]7 号 ) 等文件传达的各项精神滕惟科技将综合考虑网络与信息系统的重要性涉密程度和面临的信息安全风险等因素, 进行相应等级的安全建设和管理规划坚持积极防御综合防范的方针, 全面提高信息安全防护能力, 重点保障基础信息网络和重要信息系统安全, 创建安全健康的网络环境, 保障和促进信息化发展, 保护公众利益, 维护国家安全 2) 标准性原则工程方案的设计与实施将依据国内或国际的相关标准进行项目中将参考并遵循国际国内相关信息安全标准和行业规范 ISO15408 (GB/T18336) ISO27002(GB/T17916) ISO27001 ISO13335 SSE-CMM GB17859 风险管理指南风险管理规范信息安全风险评估指南信息安全风险评估规范等, 有效结合国际国内信息安全的最佳实践, 充分吸收先进同类行业的成功经验, 最大限度适应组织业务拓展的要求 3) 规范性原则工程实施厂商在工作中的过程和文档, 具有很好的规范性, 可以便于项目的跟踪和控制 ; 滕惟科技在提供本次安全服务中, 除了依据相关的国内和国际标准之外, 还根据本项目的需要, 遵循绿盟公司自身的一些规范和要求 NISF 安全体系架构模型 DIEM 安全工程过程模型 NSPS 安全服务规范 NSFOCUS 工程文档规范安全服务项目管理规范 4) 可控性原则工程实施的相关工具方法和过程要在双方认可的范围之内, 工程实施的进度要按照进度表的安排, 保证中国 XXX 对于工程实施的可控性滕惟科技将遵循中国 XXX 相关规范及自有项目管理规范, 从以下几个方面达到对整个服务项目的可控性, 主要包括 : - 6 -

13 人员可控性 : 滕惟科技将指定项目的专职人员实施现场各方面工作, 并在服务的工作说明中明确定义其职责, 并得到双方的同意确认和签署工具可控性 : 滕惟科技项目组所使用的所有技术工具都事先通告中国 XXX, 并且在必要时可以应中国 XXX 的要求, 向中国 XXX 介绍主要工具的使用方法, 并进行一些测试实验项目过程可控性 : 本评估项目的管理将依据 PMI 项目管理方法学滕惟科技公司的 DIEM 安全工程模型和 NSFOCUS 管理规范等项目管理方法特别是在项目管理中突出沟通管理, 达到项目过程的可控性 5) 整体性原则在安全评估阶段安全加固阶段和安全体系设计阶段的实施范围和内容应当整体全面, 包括安全涉及的各个层面 ( 应用系统网络管理制度人员等 ), 避免由于遗漏造成未来的安全隐患滕惟科技将按照中国 XXX 提供的项目范围进行全面的服务实施, 从范围深度上满足用户的要求项目实施包括安全涉及的各个层面, 避免由于遗漏造成未来的安全隐患, 保证各种评估和加固技术的全面性, 以及安全管理策略制度和流程建设的完整性 6) 最小影响原则安全工程实施过程中应尽可能小的影响系统和网络的正常运行, 不能对中国 XXX 各系统的正常运行产生影响 ( 包括系统性能明显下降网络拥塞服务中断, 如无法避免出现这些情况应在向用户详细描述 ) 滕惟科技会从项目管理和技术应用的层面, 将安全服务对系统和网络的正常运行所可能的影响降到最低程度, 不对当前运行的网络和业务系统产生显著影响 ( 包括系统性能明显下降网络拥塞服务中断 ), 同时在评估前做好备份和应急措施 7) 保密原则对工程实施的过程数据和结果数据严格保密, 未经授权不得泄露给任何单位和个人, 不得利用此数据进行任何侵害中国 XXX 网络的行为, 否则中国 XXX 有权追究集成商的责任中国 XXX 有权要求集成商在工程结束之后销毁所有和本工程有关的数据和文档滕惟科技所有参与本项目的项目组成员都将与中国 XXX 签署此项目特定的保密协议和非侵害协议, 对工作过程数据和结果数据严格保密, 未经授权不得泄露给任何单位和个人, 不会利用此数据进行任何侵害网络的行为滕惟科技项目组在进行数据交换时, 使用 PGP 高位数据加密软件, 防止明文数据共享带来的安全隐患滕惟科技将根据中国 XXX 的要求, 对相关文档数据资料设置保管生命周期, 在保管生命周期结束之后, 项目组成员将彻底销毁所有和项目有关的数据和文档资料, 并承诺不做任何恢复动作 - 7 -

14 3.2 遵循的标准滕惟科技采用国际信息安全管理标准 ISO27001 的 PDCA 思想作为贯穿整个项目过程的主要指导规范在风险等关键因素的评估及安全体系安全规划安全策略安全方案的建设等方面, 我们还参考了 SSE-CMM ISO15408 和 ISO13335 标准, 对中国 XXX 增值业务系统整体安全体系的建设提供了理论依据 1) ISO27002&ISO27001 ISO27002 是国内外现在比较流行的信息安全管理标准, 其安全模型主要是建立在风险管理的基础上, 通过风险分析的方法, 使信息风险的发生概率和后果降低到可接受水平, 并采取相应措施保证业务不会因安全事件的发生而中断这个标准中安全管理体系框架构建的过程也就是宏观上指导整个项目实施的过程这个标准中给出了 11 类需要进行控制的部分 : 安全策略安全组织资产分类与控制个人信息安全物理和环境安全通信和操作安全访问控制系统的开发和维护商业持续规划合法性要求等方面的安全风险评估和控制, 以及 133 项控制细则 2) 信息安全风险评估指南 & 信息安全风险评估规范信息安全风险评估指南和信息安全风险评估规范是国内风险评估的主要规范, 它在参考了国际风险评估理论的基础上建立了适用于中国国情的风险评估方法论, 无论是风险评估的流程还是风险计算模型都将为本次风险评估的具体实施提供指导 3) SSE-CMM SSE-CMM 是系统安全工程能力成熟模型的缩写系统安全工程旨在了解用户单位存在的安全风险, 建立符合实际的安全需求, 将安全需求转换为贯穿安全系统工程的实施指南系统安全工程需要对安全机制的正确性和有效性做出验证, 证明系统安全的信任度能够达到用户要求, 以及未在安全基线内仍存在的安全问题连带的风险在用户可容许或可控范围内 4) ISO/IEC 15408(GB/T18336) 信息技术安全性评估通用准则 ISO15408 已被颁布为国家标准 GB/T18336, 简称通用准则 (CC), 它是评估信息技术产品和系统安全性的基础准则该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求, 使各种相对独立的安全性评估结果具有可比性 5) ISO/IEC ISO13335 是信息安全管理方面的规范, 这个标准的主要目的就是要给出如何有效地实施 IT 安全管理的建议和指南 - 8 -

15 6) 等级保护相关标准为了落实信息安全等级保护管理办法 ( 试行 ), 协助中国 XXX 增值业务系统对信息系统进行安全等级保护的建设, 滕惟科技将严格遵循公安部颁布的计算机信息系统安全等级保护划分准则 (GB17859) 信息系统安全保护等级定级指南 ( 试用稿 ) 信息系统安全等级保护基本要求 ( 试用稿 ) 信息系统安全等级保护实施指南 ( 送审稿 ) 信息系统安全等级保护测评准则 ( 送审稿 ) 等相关规范, 以及工信部制定的系列安全防护要求防护检测文件 7) 其他相关标准在具体的安全风险评估操作及安全体系建设方面, 滕惟科技还将参考一些国际和国内的技术标准, 如 AS/NZS 4360: 1999 风险管理标准 GAO/AIMD 信息安全风险评估加拿大威胁和风险评估工作指南美国信息安全保障框架 IATF 等, 以此更加规范安全评估及体系建设的具体技术细节 3.3 安全评估模型安全关系模型为了更加清晰的描述中国 XXX 增值业务系统面临的安全风险, 以及造成风险的各个要素之间的关系, 我们根据相关国际和国内标准 (ISO27001 ISO 27002;ISO/IEC 13335; GB17589;GB18336 等 ) 建立中国 XXX 增值业务系统安全风险关系模型主要以风险为中心形象的描述了中国 XXX 增值业务系统所面临的风险漏洞威胁及其相应的资产价值安全需求安全控制安全影响等动态循环的复杂关系 - 9 -

图 3.1 安全风险关系模型该安全评估关系模型动态的表现了中国 XXX 增值业务系统所面临的安全风险与其它各个要素之间的内在关系下面从评估的角度分别对中国 XXX 增值业务系统进行描述, 来帮助更好的理解该模型内涵从评估的角度来说, 中国 XXX 增值业务系统面临很多威胁 ( 外部威胁内部威胁 ), 攻击者利用网络存在的漏洞 ( 物理环境网络结构流量分析网络服务网管系统主机系统

16 图 3.1 安全风险关系模型该安全评估关系模型动态的表现了中国 XXX 增值业务系统所面临的安全风险与其它各个要素之间的内在关系下面从评估的角度分别对中国 XXX 增值业务系统进行描述, 来帮助更好的理解该模型内涵从评估的角度来说, 中国 XXX 增值业务系统面临很多威胁 ( 外部威胁内部威胁 ), 攻击者利用网络存在的漏洞 ( 物理环境网络结构流量分析网络服务网管系统主机系统数据应用系统安全系统安全相关人员业务流程安全管理制度安全策略等等 ) 来攻击网络, 增加了中国 XXX 增值业务系统所面临的威胁, 攻击事件的成功导致资产的暴露或损失 ( 信息资产物质资产软件资产服务设备人员等 ), 造成安全风险的扩大 ; 同时资产的暴露 ( 如网络系统高级管理人员由于不小心而导致重要机密信息的泄露 ), 随着资产价值的大小而形成相应安全风险对中国 XXX 增值业务系统安全风险的分析, 迫切的提出了中国 XXX 增值业务系统的安全需求根据安全需求的级别制定中国 XXX 增值业务系统的整体安全策略完成安全体系规划安全解决方案, 进行安全控制措施的实施, 降低安全风险, 防范威胁安全工程模型为保障安全工程的系统性可控性, 需要在进行安全施工时引入成熟的安全工程实施体系作为专业的网络安全公司, 滕惟科技较早的引入了国外先进的安全系统实施体系 - 系统安全工程成熟度模型 (SSE-CMM) NSFOCUS 已经开始使用最新的 SSE-CMM 来指导 NSFOCUS 的系统安全工程的实施

17 SSE-CMM 模型本身并不是安全技术模型, 但它给出了系统安全工程需考虑的关键过程域, 可指导安全工程从单一的安全设备设置转向考虑系统地解决安全工程的管理组织和设计实施验证等该模型同时提供了安全工程过程能力的定义和能力成熟过程的方式安全维护过程安全设计过程监控态势定期维护行动安全策略规划风险评估方案设计持续循环安全保证过程检查实施安全实施过程建立保证验证安全技术实施服务实施图 3.2 DIEM 安全工程模型本项目涵盖整个 DIEM 安全工程模型的所有过程区, 滕惟科技将通过有效的项目管理和过程检查监控来保障整体的项目质量架构体系模型经过多年安全实践的总结和对国际安全保障的跟踪研究, 滕惟科技提出一套科学有效的信息安全体系框架 (NSFOCUS Information System Security Framework, 简称 N-ISSF) 来指导信息安全保障体系的规划设计实施和改进管理企业组织的业务不断变化,IT 架构与系统也变得更复杂, 安全体系也应随需而变在多年不断研究和实践的基础上, 滕惟科技提出了全新的安全体系框架

图 3.3 安全体系框架信息安全体系与组织的安全战略一致安全战略是保障组织的 IT 系统稳定顺畅运行, 并与组织业务发展相一致的计划和策略安全体系为安全战略服务, 保障组织安全战略目标的达成安全体系包含安全组织体系安全管理体系安全技术体系 1) 安全组织体系中, 要建立组织明确职责提高人员安全技能重视雇用期间的安全要与绩效结合常见的组织架构分为三层 : 领导层管理层

18 图 3.3 安全体系框架信息安全体系与组织的安全战略一致安全战略是保障组织的 IT 系统稳定顺畅运行, 并与组织业务发展相一致的计划和策略安全体系为安全战略服务, 保障组织安全战略目标的达成安全体系包含安全组织体系安全管理体系安全技术体系 1) 安全组织体系中, 要建立组织明确职责提高人员安全技能重视雇用期间的安全要与绩效结合常见的组织架构分为三层 : 领导层管理层执行层, 由上至下和同一层的协调关系职责授权需要确定 2) 在安全管理体系中, 以安全策略为主线, 落实安全制度和流程, 对记录存档滕惟科技从最佳安全实践出发, 将安全管理体系中的过程动态化持续化, 包含风险评估程序企业安全计划安全项目管理运行维护监控安全审计程序持续改进计划等, 真正与企业的安全建设和安全保障过程结合起来表 3.1 安全管理体系内容活动说明

19 风险评估程序企业安全计划安全项目管理运行维护监控安全审计程序持续改进计划风险评估程序的目的是为了在企业组织内部建立一套适合自身具体情况的风险评估机制, 明确风险评估谁来做怎么做做什么应注意什么分析什么重点解决什么等问题风险评估是一个长期的工作, 只有认真坚持下去, 才能真正了解有哪些威胁会对企业 / 组织真正造成影响风险接收水平该如何确定企业安全计划是在风险评估的基础上, 结合公司的安全战略与现实情况得出的, 它明确了做什么及什么时候做无论安全工作是内部人员来完成还是与合作厂商协作来完成, 每一项工作都可以视为一个安全项目, 管理好这些安全项目是很重要的, 应充分考虑项目管理的各个阶段 ( 发起启动计划执行控制收尾 ) 需要关注的问题和可能存在的风险运行维护监控过程大部分是程序化和其他一些琐碎的工作, 需要注意的是要保持风险预警意识, 而并非被动的执行命令查看参数填写表单安全审计程序的目的也是建立一个机制, 明确定期检查独立审计内部评审管理评审等内容为了应对不断变化的威胁和不断严格的合规要求, 从根上解决安全问题, 企业组织需要对信息安全过程方法程序操作指南持续改进 3) 在安全技术体系中, 将多种安全技术相结合, 包含准备预防检测保护响应监控评价等面对不断出现的新兴威胁, 需要多种安全技术的协调与融合滕惟科技深知安全体系的落实不易, 多年的经验告诉我们, 安全体系的有效落实取决于多个关键成功因素, 如领导层批准多部门参与协调沟通定期检查独立审计内部报告外部报告等这些工作都将有力的推动安全体系的落实与不断完善

3.3.4 等级化模型随着 27 号文对等级保护政策要求的颁布,66 号文 25 号文等一系列等级保护的具体政策陆续出台在国标 GB/T17859 的基础上, 四部局又联合签发信息安全等级保护管理办法 ( 试行 ) (7 号文 ), 公安部也在 2006 年初开始全国范围内开展基于等级保护的各行业企业信息系统的基础信息调研工作无论是从国家的政策来看还是从用户的实际需求来看,

20 3.3.4 等级化模型随着 27 号文对等级保护政策要求的颁布,66 号文 25 号文等一系列等级保护的具体政策陆续出台在国标 GB/T17859 的基础上, 四部局又联合签发信息安全等级保护管理办法 ( 试行 ) (7 号文 ), 公安部也在 2006 年初开始全国范围内开展基于等级保护的各行业企业信息系统的基础信息调研工作无论是从国家的政策来看还是从用户的实际需求来看, 等级化管理势在必行根据最新的信息系统安全保护等级定级指南信息系统安全等级保护基本要求信息系统安全等级保护实施指南信息系统安全等级保护测评准则等规范, 安全管理已经作为等级化管理的重要组成部分等级保护的这些规范中对安全技术和安全管理机制的要求根据不同等级的要求进行不同强度指标的区分因此, 在安全体系规划建设时, 滕惟科技将引入等级化思想, 既要考虑安全体系建设的广度 ( 安全机制 ), 又要考虑安全体系建设的深度 ( 安全等级 ) 根据用户业务信息系统的实际安全需求确定安全体系建设的内容, 根据该业务信息系统的安全保护等级确定安全体系建设的强度, 以实现不同业务信息系统的等级管理分类管理重点管理, 参见图 4-4 图 3.4 安全体系等级化模型

3.3.5 风险计算模型用数学的方法分析中国 XXX 增值业务系统安全评估数据, 是一种科学理性的处理方式, 我们主要采用 AS/NZS 4360: 1999 风险管理标准中的定性分析 (FMECA) 和定量分析 (Historical Analysis) 相结合的方法, 综合计算中国 XXX 增值业务系统风险列表图 3.

21 3.3.5 风险计算模型用数学的方法分析中国 XXX 增值业务系统安全评估数据, 是一种科学理性的处理方式, 我们主要采用 AS/NZS 4360: 1999 风险管理标准中的定性分析 (FMECA) 和定量分析 (Historical Analysis) 相结合的方法, 综合计算中国 XXX 增值业务系统风险列表图 3.5 风险计算模型定量分析是依据统计出来的数据, 建立数学模型, 并用数学模型计算出分析对象的各项指标及其数值的一种方法定性分析则是主要凭分析者的直觉经验, 凭分析对象过去和现在的延续状况及最新的信息资料, 对分析对象的性质特点发展变化规律做出判断的一种方法相比而言, 前一种方法更加科学, 但需要较高深的数学知识, 而后一种方法虽然较为粗糙, 但在数据资料不够充分或分析者数学基础较为薄弱时比较适用必须指出, 两种分析方法对数学知识的要求虽然有高有低, 但并不能就此把定性分析与定量分析截然划分开来事实上, 现代定性分析方法同样要采用数学工具进行计算, 而定量分析则必须建立在定性预测基础上, 二者相辅相成, 定性是定量的依据, 定量是定性的具体化, 二者结合起来灵活运用才能取得最佳效果定性分析方法 (FMECA):Failure Mode, Effects and Criticality Analysis (FMECA or FMEA), 是一个完整的定性分析方法, 通过检测一个系统中潜在的发生故障的条件来决定影响系统的严重程度利用这种方法可以用可能性和结果的乘积建立风险级别矩阵

22 定量分析方法 (Historical Analysis): 通过检测过去发生过的事件发生的频率来决定该事件再次发生的概率在中国 XXX 增值业务系统安全风险评估中采用该方法, 主要通过统计分析安全专家提供的攻击事件库, 来得出世界上各种典型攻击事件发生的概率四. 评估方案 4.1 首次安全评估过程安全风险评估方案是安全风险模型的体现, 因此首次评估的过程可以分为以下几个阶段 ( 参见下图 ):

23 一确定评估范围阶段评估对象范围和内容确定评估要求及范围二资产识别与估价阶段信息资产识别与赋值信息资产评估报告三安全威胁评估阶段安全威胁评估威胁评估报告四脆弱性评估阶段安全扫描人工检查问卷调查技术管理组织渗透测试文档审查顾问访谈实地勘察脆弱性评估报告五安全措施评估阶段安全保障措施识别与分析安全措施评估报告六风险计算与分析阶段数据整理风险计算与分析安全风险评估报告七风险处置与应对阶段风险处置决策风险应对计划图 4.1 安全评估流程图安全风险评估报告第一阶段确定评估范围阶段, 调查并了解中国 XXX 增值业务网络系统业务的流程和运行环境, 确定评估范围的边界以及范围内的所有网络系统 ; 第二阶段是资产的识别和估价阶段, 对评估范围内的所有资产进行识别, 并调查资产破坏后可能造成的影响大小, 根据影响的大小为资产进行相对赋值 ; 第三阶段是安全威胁评估阶段, 即评估资产所面临的每种威胁发生的可能性 ; 第四阶段是脆弱性评估阶段, 包括从组织管理技术方面进行的脆弱程度检查, 特别是技术方面, 以远程和本地两种方式进行系统扫描和人工检查的评估 ;

24 第五阶段安全措施评估阶段, 对防火墙 IDS 防病毒等各种安全技术保障措施进行识别和评估 ; 对各种管理流程中已有的安全控管措施进行识别和评估第六阶段是风险的分析阶段, 即通过分析上面所评估的数据, 进行风险值计算区分和确认高风险因素 ; 第七阶段是风险的管理阶段, 这一阶段主要是总结整个风险评估过程, 制定相关风险控制策略, 建立风险评估报告, 实施某些紧急风险控制措施确定评估范围正式进行具体安全评估首先进行的工作就是业务调查, 通过调查中国 XXX 增值业务系统上运行的所有业务和应用, 了解主要业务的流程, 清楚的掌握支持业务运行的网络系统基本结构和安全现状, 收集评估所需的资产属性信息结合业务调查的同时, 还要对安全评估的评估范围进行分析界定在这个阶段, 一个明确定义了边界的系统对于防止不必要的工作及改进评估的质量都是很重要的评估范围具体内容一般包括 : 评估的业务或应用信息资产 ( 如硬件软件数据 ) 人员 ( 如项目组成员及联系方式 ) 环境 ( 如建筑设备位置 ) 活动 ( 如对资产进行的操作相关的权限等 ) IP 地址信息 ( 如 IP 范围网段信息等 ) 资产识别与估价安全风险评估的对象是一个机构组织或部门中风险评估范围内的所有资产这些资产容易受到安全威胁的侵害, 给机构组织或部门造成不同程度的损害因此正确地管理这些资产对于一个机构或组织部门来说是非常重要的, 它也是所有级别安全管理的责任之所在由此可见, 为了进行风险评估, 就必须对评估范围内的相关资产进行识别鉴定, 根据资产在业务和应用流程中的作用进行估价首先在划定的评估范围内, 按照网络拓扑结构图的业务系统为主线, 列出所有网络上的物理资产软件资产和数据资产在识别出所有信息资产后, 接着是为每项资产赋予价值资产估价是一个主观的过程, 资产价值不是以资产的账面价格来衡量的, 而是指其相对价值在对资产进行估价时, 不仅要考虑资产的成本价格, 更重要的是考虑资产对于组织的商

25 务的重要性, 即根据资产损失所引发的潜在的商务影响来决定为确保资产估价时的一致性和准确性, 中国 XXX 增值业务系统应按照上述原则, 建立一个资产价值尺度 ( 资产评估标准 ), 以明确如何对资产进行赋值资产的赋值将首先根据前面资产的调查结果对资产属性进行权值定义, 然后对同资产进行影响分析影响就是由人为或突发性因素引起的安全事件对资产破坏的后果这一后果可能毁灭某些资产, 危及信息系统并使其丧失机密性完整性可用性, 最终还会导致经济损失市场份额或公司形象的损失特别重要的是, 即使每一次影响引起的损失并不大, 但长期积累的众多意外事件的影响总和则可造成严重损失一般情况下, 影响主要从以下几方面来考虑 : (1) 违反了有关法律或 ( 和 ) 规章制度 (2) 影响了业务执行 (3) 造成了信誉声誉损失 (4) 侵犯了个人隐私 (5) 造成了人身伤害 (6) 对法律实施造成了负面影响 (7) 侵犯了商业机密 (8) 造成了经济损失 (9) 破坏了业务活动 (10) 危害了公共安全威胁评估在这一过程中, 首先要对组织需要保护的每一项关键资产进行威胁识别在威胁识别过程中, 应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断, 一项资产可能面临着多个威胁, 同样一个威胁可能对不同的资产造成影响识别出威胁由谁或什么因素引发以及威胁影响的资产是什么, 即确认威胁的主体和客体威胁可能源于意外的, 或有预谋的事件用于威胁评估的信息能够从信息安全管理的有关人员, 以及相关的商业过程中获得, 这些人可能是人事部的职员设备策划和 IT 专家, 也包括组织内部负责安全的人员接着要做的是对每种威胁的严重性和发生的可能性进行分析, 最终为其赋一相对等级值威胁的严重性是威胁本身的一个重要因素, 因为在风险的分析时这个因素由资产的相对价值体现出来, 所以在这一阶段并不对威胁的严重性进行详细评估评估确定威胁发生的可

26 能性是这一阶段的重要工作, 评估者应根据经验和 ( 或 ) 有关的统计数据来判断威胁发生的频率或者发生的概率其中, 威胁发生的可能性受下列因素影响 : (1) 资产的吸引力 ; (2) 资产转化成报酬的容易程度 ; (3) 威胁的技术力量 ; (4) 脆弱性被利用的难易程度在本项目中, 滕惟科技将通过问卷调查 IDS 在线取样分析顾问访谈等方式, 结合收集的中国 XXX 增值业务系统的历史安全事件等记录, 对中国 XXX 增值业务系统面临的非法用户合法用户系统组件物理环境等各方面威胁进行评估脆弱性评估脆弱性是指资产或资产组中能被威胁所利用的弱点, 它包括物理环境组织机构业务流程人员管理硬件软件及通讯设施等各个方面, 这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统这些表现出来的各种安全薄弱环节自身并不会造成什么危害, 它们只有在被各种安全威胁利用后才可能造成相应的危害那些没有安全威胁的弱点可以不需要实施安全保护措施, 但它们必须记录下来以确保当环境条件有所变化时能随之加以改变需要注意的是不正确的起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节信息安全是一个动态的系统工程, 即使在系统建设时满足了预定的安全需求, 但随着网络设备的升级网络服务的增加以及应用系统更新等环境的变化, 对信息安全的威胁也会不断增长只有对信息系统进行长期的精心维护和科学管理, 才可能保持信息系统的安全系数稳定为了掌握网络信息系统的安全状况, 检查发现系统中的安全隐患, 需要从策略管理和技术三个角度对网络系统进行综合性评估分析在分析过程中, 要时刻把握多角度多层次的原则, 首先要根据相关政策法规, 查找被分析对象在管理上的疏忽和漏洞, 如备份与恢复方案应急响应机制等 ; 再从技术层面评测网络系统的安全性, 如通信加密用户访问控制安全认证体系攻击监控等在这一阶段, 滕惟科技将针对每一项需要保护的信息资产, 找出每一种威胁所能利用的脆弱性, 并对脆弱性的严重程度进行评估, 换句话说, 就是对脆弱性被威胁利用的可能性进行评估, 最终为其赋相对等级值在进行脆弱性评估时, 提供的数据应该来自于这些资产的拥有者或使用者, 来自于相关业务领域的专家以及软硬件信息系统方面的专业人员

27 在本项目中, 滕惟科技将从组织管理和技术三个方面进行脆弱性评估组织脆弱性评估方面主要是对组织的结构岗位设置人员配置人员胜任能力及培训等角度进行评估, 管理脆弱性评估方面主要是按照 ISO 的安全管理要求对现有的安全管理制度及其执行情况进行检查, 发现其中的管理漏洞和不足 ; 技术脆弱性评估主要是通过远程和本地两种方式进行系统扫描对网络设备和主机等进行适当的人工抽查对关键外网服务主机进行远程渗透测试以及安全顾问访问, 以保证技术脆弱性评估的全面性客观性准确性和有效性另外, 还要从公司治理的高度对其安全策略进行评估, 对安全策略与业务战略 IT 战略安全战略的一致性进行分析, 并与最佳实践标准相比较脆弱性评估所采用的方法主要为 : 问卷调查顾问访谈工具扫描手动检查文档审查渗透测试等安全保障措施评估安全保障措施包括技术保障措施和行政保障措施从策略防护检测响应取证恢复等几个方面, 参照信息安全技术体系的最佳实践, 对防火墙 IDS 防病毒等各种安全技术保障措施进行识别, 并对其防护范围安全策略防护效果管理情况进行评估按照 ISO27002 SOX404 条款以及中国 XXX 现有的安全管理规定办法等, 对各种行政管理措施进行评估风险计算与分析风险是指由于系统存在的脆弱性, 人为或自然的威胁导致安全事件发生的可能性及其造成的影响它由安全事件发生的可能性及其造成的影响来衡量在完成资产威胁和脆弱性及安全措施的评估后, 会进入安全风险的计算和量化分析阶段在这个过程中, 滕惟科技将根据上面评估的结果, 选择适当的风险度量方法度量尺度, 确定风险的大小与风险等级, 即对信息系统安全管理范围内的每一信息资产因遭受泄露修改不可用和破坏所带来的任何影响做出一个风险控制的列表, 以便识别与选择适当和正确的安全控制方式, 这也是信息安全管理体系建设的重要步骤风险一般由安全事件发生的可能性和安全事件的损失来确定风险大小在对风险进行分析时, 首先分析资产脆弱性威胁的属性, 明确其可能的组合 ; 其次通过简便的方式简化风险计算, 即由威胁和脆弱性确定安全事件发生可能性, 由资产和脆弱性确定安全事件的损失, 以及由安全事件发生的可能性和安全事件的损失确定风险值

28 威胁识别威胁出现的频率安全事件的可能性脆弱性识别脆弱性的严重程度风险值安全事件造成的损失资产识别资产价值图 4.2 风险分析原理图在本项目中, 滕惟科技将根据国内风险评估规范, 结合自己多年的研究和实践经验, 为中国 XXX 增值业务系统进行风险计算在对风险量化计算完毕后, 滕惟科技将对风险按照等级进行排序, 并进行多角度多层面的分析, 明确风险产生的主要原因威胁的主要方式, 为风险处置提供决策数据风险处置与应对 1) 风险处置决策通过上面的风险评估分析, 可以明显看出评估的信息系统中某种资产对应各种风险情况因此, 在这一过程中, 滕惟科技将根据中国 XXX 增值业务系统的需求, 描述本次评估需要进行控制的风险范围, 并详细确定每一业务或应用所要达到的安全级别以及每类风险的处理方式 ( 如降低转移拒绝接受风险 ), 以便于后面风险控制策略的制定和实施 2) 制定风险应对计划滕惟科技按照中国 XXX 增值业务系统的需求, 选出某个范围内的所有风险, 并找到与这些风险相关的资产威胁和脆弱性, 制定相应的风险控制目标和措施这些控制措施的正确实施, 可以检测风险事件的发生, 阻止或减小风险事件发生可能性, 最小化或转移风险的影响制定相应的风险应对计划的主要过程如下 : 确定风险控制目标根据组织的风险接受准则及法律法规和合同要求, 综合考虑需要抵御的威胁待弥补的脆弱性应减少的影响, 确定风险控制目标风险控制目标一般从管理和技术两个方面描述管理方面一般可以参照 ISO27001 ISO27002 的相关规定进行描述技术方面一般可以通过物理网络系统应用数据等分层模型逐步细化描述鉴别已有措施

29 首先滕惟科技将进一步鉴别那些已经存在的或已经有计划但还没有完成的安全控制措施, 并分析判断其与既定安全目标的一致性, 修正或改进其安全策略部署方式等对那些不太适合的已经存在或计划好但没有完成的安全措施的鉴定也是有好处的, 这样可以决定是否取消或是用其它的措施来替换这些安全措施, 因为不适合的安全措施本身就可能引入新的安全漏洞控制措施选择基于安全控制目标, 可以初步选定安全控制措施然后, 通过对各种安全控制措施的综合分析, 进行优化设计信息系统的安全涉及两个平衡, 一个是安全与性能的平衡, 另一个是安全投资与收益的平衡滕惟科技选择的安全技术既要充分保证信息系统的安全, 又不能影响整个系统的性能同时, 滕惟科技将综合考虑风险控制成本 ( 包括产品成本教育培训成本运维成本等 ) 和预期收益指标来平衡预算, 确定最价的安全解决方案安全加固方案滕惟科技对那些严重的安全问题将制定安全加固方案并在允许的情况下进行实施安全加固通产是一种快速高效廉价的安全控制措施, 其可以有效的堵塞漏洞降低风险安全加固完成后, 再次对这些问题进行评估扫描, 验证是否问题已经解决, 提交实施和验证报告制定实施规划综合考虑不同控制措施的相互依赖关系对风险的控制效果和可行性条件, 明确不同风险控制目标和控制措施的重要等级急迫程度, 制定安全实施计划 4.2 二次安全评估过程二次安全评估是对前一阶段的安全加固成果进行验证的过程, 通过二次评估发现加固过程没有解决的安全问题, 二次评估是通过对威胁和系统脆弱性的再次评估, 分析对比一二次评估的风险改善情况, 提出进一步的安全管理方案第一阶段是安全威胁二次评估阶段, 即评估资产所面临的每种威胁发生的可能性 ; 第二阶段是脆弱性二次评估阶段, 包括从技术管理策略方面进行的脆弱程度检查, 特别是技术方面, 以远程和本地两种方式进行系统扫描和人工检查的评估 ; 第三阶段是风险分析与比较阶段, 即通过分析上面所评估的数据, 进行风险值计算区分和确认高风险因素 ; 比较两次评估中系统安全的变化, 评价安全加固的效果

30 第四阶段是风险控制与比较阶段, 这一阶段主要是总结整个风险评估过程, 制定相关风险控制策略, 建立风险评估报告, 实施某些紧急风险控制措施威胁评估在本项目中, 滕惟科技将通过第二次的问卷调查 IDS 在线取样分析顾问访谈等方式, 结合收集的中国 XXX 增值业务系统的历史安全事件等记录, 安全加固成果, 对中国 XXX 增值业务系统面临的非法用户合法用户系统组件物理环境等各方面威胁进行二次评估脆弱性评估在本项目中, 滕惟科技将从技术管理和策略三个方面进行脆弱性二次评估其中在技术方面主要是通过远程和本地两种方式进行系统扫描对网络设备和主机等进行适当的人工抽查, 以保证二次技术脆弱性评估的全面性和有效性 ; 策略脆弱性评估方面主要是从整体网络安全的角度对现有的网络安全策略进行全局性的评估, 它也包含了技术和管理方面的内容脆弱性二次评估所采用的方法主要为 : 问卷调查顾问访谈工具扫描手动检查文档审查等风险分析与比较在本项目中, 滕惟科技将根据国内风险评估规范, 结合自己多年的研究和实践经验, 为中国 XXX 增值业务系统进行二次评估风险计算结果与第一次评估进行比较, 发现安全加固后系统残存的安全风险风险控制与比较根据分析的数据结果得出更进一步的二次评估结论, 这需要公司安全专家进行总结对结果进行分析时将所得到的结果与以前的结果进行比较, 或者与其他信息系统的评估结果进行比较, 与有关的标准进行比较严格的比较有助于为信息系统的安全性定级因此, 参照物的选择很关键在比较之后, 通过总体的权衡, 给出整个系统安全性的概述说明, 并将结论与测试结果生成书面报告

31 4.3 安全评估方法对于任何一个组织来讲, 有了好的安全风险评估模型并不意味着就能做好安全风险评估工作, 安全风险评估很重要的一步工作就是要找到好的评估方法, 因为对信息系统所有组成部分都进行非常详细的安全评估分析是没有效率的, 也是不必要的下面阐述了七种在不同的信息系统环境下经常采用的评估方法供组织在选择安全风险评估方法时进行参考安全漏洞扫描在网络安全体系的建设中, 安全扫描工具花费低效果好见效快与网络的运行相对独立安装运行简单, 可以大规模减少安全管理员的手工劳动, 有利于保持全网安全政策的统一和稳定, 是进行风险分析的有力工具在本项目中, 安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描, 从内网和外网两个角度来查找网络结构网络设备服务器主机数据和用户账号 / 口令等安全对象目标存在的安全风险漏洞和威胁安全扫描项目包括如下内容 : 信息探测类文件服务后门程序网络设备与防火墙域名服务其他服务 RPC 服务 Mail 服务网络拒绝服务 (DOS) Web 服务 Windows 远程访问其他问题 CGI 问题数据库问题从网络层次的角度来看, 扫描项目涉及了如下三个层面的安全问题 1. 系统层安全 : 该层的安全问题来自网络运行的操作系统 :UNIX 系列 Linux 系列 Windows NT 系列以及专用操作系统等安全性问题表现在两方面 : 一是操作系统本身的不安全因素, 主要包括身份认证访问控制系统漏洞等 ; 二是操作系统的安全配置存在问题身份认证 : 通过 telnet 进行口令猜测, 访问控制 : 注册表 HKEY_LOCAL_MACHINE 普通用户可写, 远程主机允许匿名 FTP 登录,ftp 服务器存在匿名可写目录, 系统漏洞 :System V 系统 Login 远程缓冲区溢出漏洞,Microsoft Windows Locator 服务远程缓冲区溢出漏洞,

32 安全配置问题 : 部分 SMB 用户存在薄弱口令, 试图使用 rsh 登录进入远程系统, 2. 网络层安全 : 该层的安全问题主要指网络信息的安全性, 包括网络层身份认证, 网络资源的访问控制, 数据传输的保密与完整性远程接入域名系统路由系统的安全, 入侵检测的手段等网络资源的访问控制 : 检测到无线访问点, 域名系统 :ISC BIND SIG 资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows NT DNS 拒绝服务攻击, 路由器 :Cisco IOS Web 配置接口安全认证可被绕过,Nortel 交换机 / 路由器缺省口令漏洞, 华为网络设备没有设置口令, 3. 应用层安全 : 该层的安全考虑网络对用户提供服务所采用的应用软件和数据的安全性, 包括 : 数据库软件 Web 服务电子邮件系统域名系统交换与路由系统防火墙及应用网管系统业务应用软件以及其它网络服务系统等数据库软件 :Oracle tnslsnr 没有设置口令,Microsoft SQL Server 2000 Resolution 服务多个安全漏洞, Web 服务器 :Apache Mod_SSL/Apache-SSL 远程缓冲区溢出漏洞,Microsoft IIS 5.0.printer ISAPI 远程缓冲区溢出,Sun ONE/iPlanet Web 服务程序分块编码传输漏洞, 电子邮件系统 :Sendmail 头处理远程溢出漏洞,Microsoft Windows 2000 SMTP 服务认证错误漏洞, 防火墙及应用网管系统 :Axent Raptor 防火墙拒绝服务漏洞, 其它网络服务系统 :Wingate POP3 USER 命令远程溢出漏洞,Linux 系统 LPRng 远程格式化串漏洞, 为了确保扫描的可靠性和安全性, 滕惟科技将根据中国 XXX 增值业务系统评估业务情况, 与中国 XXX 增值业务系统一起确定扫描计划计划主要包括扫描开始时间扫描对象预计结束时间扫描项目预期影响需要对方提供的支持等等滕惟科技将与中国 XXX 增值业务系统评估项目组一起协商具体需要扫描的项目比如, 为了防止对系统和网络的正常运行造成影响, 滕惟科技将修改配置一定的扫描审计策略使资源消耗降低至最

33 小, 限制或不采用拒绝服务模块进行扫描滕惟科技仅在可控环境下, 对非重要服务的主机设备进行拒绝服务扫描对那些危险的模块和重要主机则主要采用手动检查的方式另外, 滕惟科技将在评估前将协助评估节点进行必要的系统备份, 并检查本地的应急恢复计划是否合理在实际开始评估扫描时, 滕惟科技会正式通知中国 XXX 增值业务系统评估项目组成员滕惟科技将按照预定计划, 在规定时间内进行并完成评估工作如遇到特殊情况 ( 如设备问题停电网络中断等不可预知的状况 ) 不能按时完成扫描计划或致使扫描无法正常进行时, 由双方召开临时协调会协商予以解决 IDS 抽样分析为了充分了解中国 XXX 增值业务系统面临的网络安全威胁, 需要利用入侵检测系统的对系统内可能存在的安全威胁进行实时采样收集, 对象包括各类主机系统网络设备数据库应用等在网络中传输的数据, 采样结果将作为安全风险评估的一个重要参考依据大多数传统入侵检测系统 (IDS) 采取基于网络或基于主机的办法来辨认并躲避攻击在任何一种情况下, 该工具都要寻找攻击标志, 即一种代表恶意或可疑意图攻击的模式当 IDS 在网络中寻找这些模式时, 它是基于网络的而当 IDS 在记录文件中寻找攻击标志时, 它是基于主机的每种方法都有其优势和劣势, 两种方法互为补充这里主要讨论基于网络的入侵检测技术基于网络的入侵检测系统使用原始网络包作为数据源基于网络的 IDS 通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务它的攻击辩识模块通常使用四种常用技术来识别攻击标志 : 模式表达式或字节匹配频率或穿越阀值安全事件的相关性规统学意义上的非常规现象检测一旦检测到了攻击行为,IDS 的响应模块就提供多种选项以通知报警并对攻击采取相应的反应通常都包括通知管理员中断连接并且 / 或为法庭分析和证据收集而做的会话记录 IDS 只是监控复制的一份网络流量, 不改变网络拓扑, 不增加网络流量, 对现有网络基本没有影响可能有的影响是 IDS 系统所连的网络交换机的一个端口配置 Port Monitor 功能后, 效能会有很小程度的下降从 Cisco 的交换机原理来讲, 一个包也会经过同一条总线

34 ( 模块化交换机的同一板卡总线 ) 广播到所有端口, 但只有目标 MAC 地址正确的包被接受所以复制包的过程对效能没有损耗, 只不过 Port Monitor 的端口流量传输过程要耗费些资源根据滕惟科技公司的以往经验, 对 Cisco 的 6509 以上型号的交换机, 配置一个 100M 端口 Port Monitor 同模块另一个 100M 端口的情况下, 在这个端口流量小于 30M 时, 对 CPU 占有率和背板占用率没有影响端口流量大于 70M 时, 对背板占用率没有影响, 对 CPU 占有率影响不超过 2% 对其他型号的交换机影响不超过 5% 网络架构分析网络架构分析是通过对公司评估范围内信息系统的网络拓扑及网络层面细节架构的评估, 主要从以下几个方面进行分析 : 网络建设的规范性 : 网络安全规划设备命名规范性网络架构安全性 ; 网络的可靠性 : 网络设备和链路冗余设备选型及可扩展性 ; 网络边界安全 : 网络设备的 ACL 防火墙隔离网闸物理隔离 VLAN( 二层 ACL) 等 ; 网络协议分析 : 路由交换组播 IGMP CGMP IPv4 IPv6 等协议 ; 网络流量分析 : 带宽流量分析异常流量分析 QOS 配置分析抗拒绝服务能力 ; 网络通信安全 : 通信监控通信加密 VPN 分析等 ; 设备自身安全 :SNMP 口令设备版本系统漏洞服务端口等; 网络安全管理 : 网管系统客户端远程登陆协议日志审计设备身份验证等人工安全检查安全扫描是利用安全评估工具对绝大多数评估范围内的主机网络设备等系统环境进行的漏洞扫描但是, 评估范围内的网络设备安全策略的弱点和部分主机的安全配置错误等并不能被扫描器全面发现, 因此有必要对评估工具扫描范围之外的系统和设备进行人工安全检查系统的网络设备和主机的安全性评估应主要考虑以下几个方面 : 是否最优的划分了 VLAN 和不同的网段, 保证了每个用户的最小权限原则 ; 内外网之间重要的网段之间是否进行了必要的隔离措施 ; 路由器交换机等网络设备的配置是否最优, 是否配置了安全参数 ;

35 安全设备的接入方式是否正确, 是否最大化的利用了其安全功能而又占系统资源最小, 是否影响业务和系统的正常运行 ; 主机服务器的安全配置策略是否严谨有效同时, 许多安全设备如防火墙入侵检测等设备也是人工评估的主要对象因为这些安全系统的作用是为网络和应用系统提供必要的保护, 其安全性也必然关系到网络和应用系统的安全性是否可用可控和可信目前还没有针对安全系统进行安全评估的系统和工具, 只能通过手工的方式进行安全评估安全系统的安全评估内容主要包括 : 安全系统是否配置最优, 实现其最优功能和性能, 保证网络系统的正常运行 ; 安全系统自身的保护机制是否实现 ; 安全系统的管理机制是否安全 ; 安全系统为网络提供的保护措施, 且这些措施是否正常和正确 ; 安全系统是否定期升级或更新 ; 安全系统是否存在漏洞或后门远程渗透测试渗透测试是指在获取用户授权后, 通过真实模拟黑客使用的工具分析方法来进行实际的漏洞发现和利用的安全测试方法这种测试方法可以非常有效的发现最严重的安全漏洞, 尤其是与全面的代码审计相比, 其使用的时间更短, 也更有效率在测试过程中, 用户可以选择渗透测试的强度, 例如不允许测试人员对某些服务器或者应用进行测试或影响其正常运行通过对某些重点服务器进行准确全面的测试, 可以发现系统最脆弱的环节, 以便对危害性严重的漏洞及时修补, 以免后患滕惟科技技术人员进行渗透测试都是在业务应用空闲的时候, 或者在搭建的系统测试环境下进行另外, 滕惟科技采用的测试工具和攻击手段都在可控范围内, 并同时准备充分完善的系统恢复方案渗透测试只有真正高水平, 有经验和富有职业道德的测试人员才能达到良好的测试效果滕惟科技拥有这样的安全技术人员, 并能够提供最专业的渗透测试服务, 在尽可能短的时间内发现安全问题至今, 滕惟科技已经为包括电信金融政府大型企业等多个重要客户提供了此项服务并得到了良好的效果和评价

36 4.3.6 问卷调查根据组织部门岗位人员等具体情况, 设计相应的问卷进行抽样调查, 可以较为客观准确的了解组织在安全管理方面的情况调查问卷与顾问访谈是相辅相承的调查问卷是大范围调研的一种形式, 顾问访问是针对特定对象更深入的调研形式调查问卷与顾问访谈的调研内容是基本相同的调查问卷更侧重于调查一下方面 : 人员的安全知识安全意识状况安全管理技术的使用情况安全事件发生情况安全管理制度的落实情况等顾问访谈顾问访谈可以基于客户业务管理和 IT 技术应用的实际状况, 结合专家的经验, 对组织业务流程组织架构管理体系信息系统现有防护体系等进行深入的了解和多层次多角度的分析, 并通过相关人员的沟通确认, 充分客观准确的获得组织在技术管理方面存在业务安全风险通常, 顾问访谈仅限于对组织内相关领导系统开发管理维护人员, 有时也对普通员工进行抽样访谈顾问访谈主要内容包括 : 1) 业务方面业务使命详细的业务流程数据流路径贯穿业务流程的关键业务处理活动数据产生传输处理存储情况相关的人员岗位角色业务辅助及支撑流程情况业务流程间的相关性业务流程的发展演变趋势

37 历史业务安全事件业务异常处理业务流程性能要求 2) 技术方面信息 / 通信系统的总体架构应用结构技术开发语言安全功能部署方法等网络拓扑 IP 地址分配 VLAN 划分访问控制等网络传输线路等系统管理方式实现等业务数据管理数据存储数据等 3) 管理方面 ( 主要依据 ISO27001 ISO27002) 信息安全政策安全组织资产分类及管理人员安全设备及运行环境的信息安全管理通讯和操作过程管理系统访问控制信息系统开发与维护安全事件管理持续运营管理法律符合性 4) 安全控制措施系统的安全域划分和防护现有安全产品的部署配置及安全策略安全产品的维护管理和使用情况安全管理

38 4.3.8 安全管理审计安全管理机制定义了如何管理和维护网络的安全保护机制, 确保这些安全保护机制正常且正确地发挥其应有的作用本次评估遵循 ISO27001 信息安全管理标准的要求, 通过人工检查的方式对安全管理方面的脆弱性进行评估 ISO27002 是国内外现在比较流行的信息安全管理标准, 这个标准中给出了 11 类需要进行控制的部分 : 安全策略安全组织资产分类与控制个人信息安全物理和环境安全通信和操作安全访问控制系统的开发和维护商业持续规划合法性要求等方面的安全风险评估和控制, 以及 133 项控制细则 ISO27002 标准宏观全面地指导了信息系统安全管理方面的应作的工作评估时, 滕惟科技将对中国 XXX 增值业务系统现有的安全管理制度以及部分控制响应等安全措施的处理流程与 ISO27002 中的要求进行审计, 查出管理中疏忽和遗漏的部分, 以便在后面对其完善和补充另外, 通过问卷调查结合顾问访谈两种方式对现有安全管理的执行情况进行调查, 评估出管理方面的脆弱情况安全策略评估安全策略是对整个网络在安全控制安全管理安全使用等最全面最详细的策略性描述, 它是整个网络安全的依据不同的网络需要不同的策略, 它必须能回答整个网络中与安全相关的所有问题, 例如, 如何在网络层实现安全性? 如何控制远程用户访问的安全性在广域网上的数据传输实现安全加密传输和用户的认证, 等等对这些问题做出详细回答, 并确定相应的防护手段和实施办法, 就是针对整个网络的一份完整的安全策略策略一旦制订, 应当作为整个网络安全行为的准则这一步工作, 就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估, 它也包含了技术和管理方面的内容, 具体包括 : 安全策略是否全面覆盖了整体网络在各方各面的安全性描述 ; 在安全策略中描述的所有安全控制管理和使用措施是否正确和有效 ; 安全策略中的每一项内容是否都得到确认和具体落实

39 五. 评估实施方案 5.1 项目人员组织结构滕惟科技将针对 XXX 增值业务系统安全建设项目实际需求组建项目组, 其中骨干项目组结构如下 : 项目总体管理委员会项目总负责人客户经理质量专家组商务合作项目经理培训组支持中心厂商支持技术评估组管理评估组安全加固组图 5.1 项目实施人员组织结构项目总体管理委员会 : 中国 XXX 增值业务网安全负责人滕惟科技安全服务部总监对项目进度工程质量进行宏观指导 ; 重要阶段评审 ; 对项目出现的重大问题进行协调和指导项目经理 :XXX

40 控制项目的总体实施进度 ; 负责项目组之间的协调和沟通 ; 定期召开审查会议, 及时解决关键问题 ; 定期地向项目委员会报告项目的实施进度有效安排资源, 组织协调实施组成员的工作 ; 技术评估组 :XXX XXX XXX 接受项目经理分配的任务 ; 按时保质完成安全数据的收集工作 ; 在工程现场提供必要的现场技术培训 ; 将工程中出现的问题及时反映项目经理 ; 详细记录安全数据的内容, 形成必要的工程文档安全加固组 :XXX XXX 接受项目经理分配的任务 ; 按时保质完成安全加固的工作 ; 在工程现场提供必要的现场技术培训 ; 将工程中出现的问题及时反映项目经理 ; 详细记录安全数据的内容, 形成必要的工程文档管理评估组 :XXX XXX 接受项目经理分配的任务 ; 按时保质完成安全数据的收集工作 ; 按时保质完成管理评估工作 ; 按时保质完成业务应用系统评估工作 ; 将工程中出现的问题及时反映项目经理 ; 详细记录安全数据的内容, 形成必要的工程文档质量专家组 :XXX 负责文档设计归档质量控制 ; 负责对各实施小组的安全评估质量进行监督和促进 ; 负责对售后服务小组进行服务质量监督 ; 负责项目的内部验收 ;

41 保障质检结果不受外界干扰培训组 :XXX XXX 负责对用户实施人员提供所有的课堂培训技术支持 :XXX XXX 对项目中的技术问题进行远程和现场支持 ; 负责提供实施过程中技术疑难问题的及时准确解决负责项目验收后的技术支持售后服务工作商务合作 :XXX 负责与用户的商务合作协调 ; 负责与第三方厂商支持合作的协调 5.2 时间安排项目风险评估第一阶段计划从 200X 年 XX 月 XX 日启动,200X 年 XX 月 XX 日阶段验收, 共计 XX 个自然日项目二次评估阶段计划从 200X 年 XX 月 X 日启动,200X 年 XX 月 XX 日阶段验收, 共计 XX 个自然日具体每个阶段的工作内容实施计划及参与的人员安排如下所示 : ( 略 ) 5.3 项目实施流程项目启动阶段项目启动协调会阶段此阶段是项目的启动和协调阶段, 是项目执行阶段的开始, 对项目后期的发展方向非常重要此阶段的参加人员为 : 滕惟科技的技术专家和安全顾问, 本项目的项目各组组长 ; 中国 XXX 增值业务系统的相关领导和项目成员

42 在此阶段的主要工作是 : 召开项目启动会议 ; 分配工作界面, 双方就项目组的组织架构和工作计划进行沟通和确认 ; 双方对项目实施中已知风险作解决规避和接受方式方法确认 ; 双方对项目实施中未知风险作解决规避和接受方式方法确认评估前培训阶段此阶段是评估方法培训让项目参与人员了解整个项目的工作流程, 工作方法和使用的工具, 为项目过程中双方的良好沟通奠定坚实的基础此阶段的参加人员为 : 滕惟科技的培训组中的技术专家中国 XXX 增值业务系统项目范围内各系统管理员评估配合人员及相关人员在此阶段的主要工作是 : 介绍安全评估的流程 ; 介绍信息安全评估涉及的内容 ; 介绍安全风险评估的概念方法和流程介绍 ; 介绍评估工具的使用介绍首次评估实施阶段评估范围确定阶段本阶段由中国 XXX 增值业务系统进行业务系统和网络拓扑的介绍, 作为滕惟科技公司项目组成员在评估开始之前对中国 XXX 增值业务系统各业务系统详细了解的重要阶段本阶段将对用户业务系统网络进行的描述进行, 主要针对网络设备类型主机类型操作系统类型版本操作人员及管理人员管理制度业务系统物理环境已有安全措施详细情况策略文档情况管理制度能够提交供评估使用的策略文档清单等内容进行了解, 作为人工评估和工具评估的重要基础此阶段的参加人员为 : 滕惟科技项目经理与管理评估组成员 ; 中国 XXX 增值业务系统的项目成员 ;

43 中国 XXX 增值业务系统各个业务系统的系统网络管理员资产界定调查与赋值阶段首先和中国 XXX 增值业务系统评估小组相关人员协商, 界定信息资产和重点按照保密等级和业务类型等因素分成若干资产类通过问卷调查的方式进行资产调查, 列出包含在资产类和子类中的所有重要的信息资产, 主要包括几种资产类型, 包括数据, 软件, 硬件, 服务, 设备和文档等资产赋值是对其机密性完整性和可用性方面的价值分别赋予价值等级进行资产估价此阶段的参加人员为 : 滕惟科技项目经理与技术评估组管理评估组成员 ; 中国 XXX 增值业务系统的项目成员安全威胁调查阶段通过在业务网段部署 IDS 进行采样问卷调查和对技术人员做顾问访谈的方式收集评估对象面临的安全威胁信息在威胁识别的基础上进行威胁赋值, 对威胁发生的严重性和可能性分别划分等级和赋值, 进行综合分析此阶段的参加人员为 : 滕惟科技项目经理与技术评估组管理评估组成员 ; 中国 XXX 增值业务系统的项目成员脆弱性调查阶段 1) 管理脆弱性调查通过对管理人员和业务系统技术负责人做管理问卷调查安全顾问访谈以及对现有安全策略做审计的方式进行管理的脆弱性调查 2) 技术脆弱性调查通过远程安全扫描工具中国 XXX 增值业务系统的所有主机和终端设备进行安全漏洞扫描 ; 根据一定抽样原则对全网主机和网络设备进行网络架构分析人工安全检查, 对必要的设备进行远程渗透测试

44 此阶段的参加人员为 : 滕惟科技评估技术评估组管理评估组成员 ; 中国 XXX 增值业务系统的项目成员安全措施评估阶段通过对管理人员和业务系统技术负责人做管理问卷调查安全顾问访谈, 以及对已有安全措施的部署位置安全策略进行人工检查风险分析阶段滕惟科技将在数据采集阶段之后, 就采集的数据进行有效性准确性校验, 然后展开具体分析, 进而依照这些采集的数据, 形成安全评估成果和相应的报告此阶段的参加人员为 : 滕惟科技评估技术评估组管理评估组成员 ; 中国 XXX 增值业务系统的项目成员风险管理阶段滕惟科技将在风险分析的基础上确定风险控制范围制定风险控制策略建立风险评估报告并提出主机和网络设备的优化和加固方案提出安全建议, 形成安全评估成果和相应的报告此阶段的参加人员为 : 滕惟科技项目经理与技术评估组管理评估组成员评估后培训阶段滕惟科技将在评估之后进行培训, 主要使用中国 XXX 增值业务系统的相关人员了解本项目的主要过程和主要的输出, 并对将来的工作起到指导作用, 让项目的相关输出报告在后续的工作中发挥作用分析评估结果, 举例说明漏洞修补建议使安全管理员了解修补设备和服务器上的漏洞的方法, 提高整个系统的安全性和抗攻击性的知识此阶段的参加人员为 : 滕惟科技的培训组中的技术专家

45 中国 XXX 增值业务系统项目范围内各系统管理员评估配合人员及相关人员二次评估实施阶段安全威胁调查阶段通过在业务网段部署 IDS 进行采样问卷调查和对技术人员做顾问访谈的方式收集评估对象面临的安全威胁信息在威胁识别的基础上进行威胁赋值, 对威胁发生的严重性和可能性分别划分等级和赋值, 进行综合分析此阶段的参加人员为 : 滕惟科技项目经理与技术评估组管理评估组成员 ; 中国 XXX 增值业务系统的项目成员脆弱性调查阶段管理脆弱性调查通过对管理人员和业务系统技术负责人做管理问卷调查安全顾问访谈以及对现有安全策略做审计的方式进行管理的脆弱性调查技术脆弱性调查通过远程安全扫描工具中国 XXX 增值业务系统的所有主机和终端设备进行安全漏洞扫描 ; 根据一定抽样原则对全网主机和网络设备进行网络架构分析人工安全检查, 对必要的设备进行远程渗透测试此阶段的参加人员为 : 滕惟科技评估技术评估组管理评估组成员 ; 中国 XXX 增值业务系统的项目成员

46 5.3.4 项目验收阶段项目验收评审会召开评审会对提交的安全评估成果和报告, 进行数量内容质量等方面的评审, 评审分两个层面, 第一层面是综合评审, 综合评审的目标是安全评估项目的成果初验里程碑 ; 第二层面是专家评审, 通过聘请业内安全专家, 对本次安全评估项目提出意见, 同时查验评估成果的有效性可行性等, 是安全评估项目的终验里程碑此阶段的参加人员为 : 滕惟科技的技术专家和安全顾问, 本项目的项目经理与项目组组长 ; 中国 XXX 增值业务系统的相关领导和项目成员 ; 第三方安全专家在此阶段的主要工作是 : 召开项目评审会议 ; 汇报安全评估过程, 评估方法, 数据采集方法等, 验证其准确和有效性, 同时评审在安全评估中操作的规范性和质量控制 ; 汇报安全评估发现的问题, 提交的成果及其内容, 校验具有权威性专业性全面性 ; 研讨评估过程的不足和存在的问题 ; 研讨安全评估后安全风险处置办法 ; 签署项目初验里程碑备忘文件 ; 签署项目终验里程碑备忘文件, 为项目关闭做准备工作 5.4 安全评估使用工具说明滕惟科技在本期信达公司网络安全评估项目中使用如下安全评估工具 : 远程安全评估系统 (RSAS) 微软基准安全分析器 (MBSA) 滕惟科技安全本地评估套件 (LSAS) 滕惟科技网络入侵检测系统 (ICEYE)

47 5.4.1 远程安全评估系统 (RSAS) 滕惟科技将使用自有的极光远程安全评估系统针对信达公司本次评估范围内的非重要业务设备进行远程扫描, 以发现设备的安全漏洞信息滕惟科技网络入侵检测系统 (ICEYE) 滕惟科技公司适用自主研发的网络入侵检测系统 (ICEYE), 作为信达公司在线分析工具通过实时侦听网络上数据自身的安全可靠性, 发现违规操作和恶意破坏行为, 为安全评估寻找安全威胁源, 从而确定不同信息资产不同等级安全域风险的大小微软基准安全分析器 (MBSA) 微软基准安全分析器 (Microsoft Baseline Security Analyzer, 简称 MBSA) 是微软专门为 Windows 2000 和 Windows XP 准备的安全分析工具由于 Windows 2000 和 Windows XP 被广泛应用于许多互联网上的站点, 而且系统环境比较复杂, 最容易受到蠕虫及黑客的侵袭, 因此微软特意为这两种系统准备了 MBSA 目前该工具最新版本为 1.0 版, 可以运行于 Windows 2000 或 Windows XP 系统上, 能够对系统进行基础性的安全测试, 并且在未来的版本将支持.Net 服务器所谓基础性的安全测试, 包括检查系统内已知漏洞是否已经正确修正 ; 是否有多余的服务程序在运行 ; 用户及管理员的权限和口令是否安全 ; 注册表和共享资源的设置是否正确 ; 系统内 IE 浏览器 Microsoft Office 互联网信息服务(Internet Information Services, 简称 IIS) SQL 等软件的设置是否正确 ; 已知漏洞是否已经被修正等方面能够通过测试的系统, 就可以认为是达到了初步的安全标准而对于不能够通过测试的项目, 分析工具会提示不能通过的原因, 并且给出修正的方法系统需求和测试对象 : 首先, 需要一台安装了 Windows 2000 或 Windows XP 的计算机, 用以运行微软基准安全分析器而且系统内必需安装 IE 5.01 或以上的浏览器,MSXML 3.0 SP2 或以上的 XML 解析器另外, 如果准备远程测试 IIS 系统的安全, 还需要系统内有 IIS 的文件而被测试的对象除了需要使用上面所说的操作系统外, 对被测试的软件也有一定的要求 : 浏览器需要 IE5.01 或以上版本 ;IIS 需要 4.0 或以上版本 ;SQL 服务器软件 7.0 以上版本,Office 2000 以上版本 ; 另外, 远程测试对象需要运行远程注册表服务 (Remote Registry service), 而作为执行测试任务的用户, 需要在本地和被测试的其他远程计算机系统上拥有管理员权限通常, 以上的需求都很容易满足, 最多只缺一个 XML 解析器

48 下载地址如下 : FILES/027/001/772/msdncompositedoc.xml 滕惟科技安全本地评估套件 (LSAS) 滕惟科技本评估套件是专门由专业服务部门开发的本地安全检查工具涵盖了主流的各个 unix 系统平台, 如 solaris,hpux,aix,linux 等 LSAS 主要对系统和应用的错误配置进行检查和信息收集, 加快了进行本地脆弱性检查的速度和准确度, 并避免了大量手工操作可能带来的操作失误或者遗漏在滕惟科技的所有评估项目中, 都使用了这一套件进行工作 5.5 风险规避措施数据采集过程风险处理这里的数据采集过程风险只要指扫描过程人工审计过程渗透测试过程的风险进行数据采集前, 滕惟科技项目经理需要提前向工作界面中的中国 XXX 增值业务系统的项目经理提交当前工作计划, 经过双方确认后, 双方共同为数据采集做好相应风险规避措施, 再进行数据的采集这样不但能够保证双方合作时间上的可靠, 同时可以防止因为采集数据 ( 从网络设备主机服务器上 ), 造成影响设备业务系统正常运行的可能当前工作计划完成后, 数据采集人员需要提交工作确认单, 经过双方确认数据采集工作后, 开展下一步工作可以通过工作确认, 保证数据采集的有效性准确性, 防止进行重复性工作, 同时避免工作的遗漏安全评估前的数据备份强烈建议中国 XXX 增值业务系统在对系统进行人工安全检查前对系统上的重要业务数据进行备份 : 系统包括但不限于数据库系统涉密信息存储系统重要业务应用系统网络设备等 ; 备份数据包括但不限于数据库表重要文档应用配置信息主机设备配置文件网络设备 IOS 网络设备配置信息安全设备配置信息等;

49 建议在业务闲时对重要业务数据进行备份 ; 备份完成后建议测试备份介质及其数据的可用性 ; 安全评估方案的探讨确认在人工安全检查实施前, 针对于重要业务系统, 安全服务顾问都会与系统管理员针对安全服务方案进行探讨, 描述每个步骤可能带来的风险及规避方法, 提出滕惟科技的建议并由中国 XXX 增值业务系统的管理员确认最终的安全服务方案综合分析阶段风险的控制综合分析阶段主要是对已经采集的数据, 进行综合整理和分析, 完成相应的工作成果和报告这个过程需要与中国 XXX 增值业务系统项目组保持更畅通的沟通渠道, 对项目实施过程中可能存在的工作遗漏或不足, 确认补救措施对分析出的威胁系统弱点等, 需要结合具体业务赋予相应权值, 为风险的定量分析做充分铺垫 5.6 项目成果文档及交付输出文档在风险评估的不同阶段, 将产生不同的输出, 并交付于甲方详细内容如下 : 1. 评估阶段最终报告中国 XXX 增值业务系统风险评估报告中国 XXX 增值业务系统安全现状分析报告中国 XXX 增值业务系统安全建议方案 2. 评估过程报告中国 XXX 增值业务系统主机设备安全漏洞扫描报告中国 XXX 增值业务系统终端设备安全漏洞扫描报告中国 XXX 增值业务系统网络设备人工安全检查报告中国 XXX 增值业务系统主机设备人工安全检查报告中国 XXX 增值业务系统远程渗透测试报告

50 中国 XXX 增值业务系统网络设备安全加固方案中国 XXX 增值业务系统主机设备安全加固方案中国 XXX 公司增值业务系统管理文档与安全策略分析 3. 二次评估过程报告中国 XXX 增值业务系统主机设备安全漏洞扫描对比分析报告中国 XXX 增值业务系统终端设备安全漏洞扫描对比分析报告中国 XXX 增值业务系统网络设备人工安全检查对比分析报告中国 XXX 增值业务系统主机设备人工安全检查对比分析报告 4. 项目管理报告滕惟科技项目组项目实施进展周报文档交付滕惟科技在文档编写整理完毕后, 将通过电子邮件或可移动存储介质交付给甲方文档格式输出文档将以数字媒体的形式交付, 所使用的文档格式包括 MS Word 和 PDF 两种对于具体文档, 滕惟科技将根据实际情况使用其中的一种六. 项目工作配合 6.1 相关资料中国 XXX 增值业务系统应协助在项目服务各阶段提供 : 技术资料每个系统业务的设计文档 ; 系统各种业务应用网络拓扑 ( 电子版 );

51 每个相关系统的业务流程, 例如网管系统故障处理流程, 公众服务系统提供服务方式等 ; 安全产品配备情况, 当前已使用的安全产品及使用情况, 配置情况 ; 特别的安全策略应用系统特殊运行的环境必须开放的端口服务等 ; 中国 XXX 增值业务系统的其它有必要提醒和说明的技术资料管理资料现有的信息系统安全体系框架 ; 信息系统安全管理制度 ; 遵循的行业法规或规范 ; 系统维护手册或制度等 ; 人员密码资料等管理方法 ; 安全管理策略文档日常维护资料网络负载利用率网络质量等网络维护统计资料 ; 安全事件发生成功或未成功统计数据文档 ; 安全信息资料, 包括签名备份日志安全审计安全产品日志备份等 6.2 人员配合在评估期间希望中国 XXX 增值业务系统人员能够 : 相关项目负责人配合实施管理性工作, 如确定评估范围对系统相关人员分发调查问卷提供系统网络管理员名单各业务系统相应管理员名单等 ; 需要相关厂商系统集成商提供必要的支持和一些确认工作 ; 需要中国 XXX 增值业务系统相关技术人员全程配合或协调工作 ; 扫描过程中需要扫描目标网络中管理员的配合 ; 相关人员协助评估, 回答有关调查问卷和问题, 参加确认协调会, 对每一阶段评估结果书面确认

52 6.3 场地环境在评估期间希望中国 XXX 增值业务系统提供 : 提供必要的电源接入及被评估网段的网络接入方式 ; 提供被评估网段的空闲 IP 地址网络掩码网关等配置信息 ; 相关管理员提供本地脆弱性评估系统的访问权限 ; 相关管理员提供适当的网络环境和权限供远程评估 ; 提供互联网接入端口, 以方便下载临时补丁查询相关资料等七. 服务质量控制措施滕惟科技作为国内首家专业的安全服务提供商, 一直以来的服务宗旨是为客户创造价值滕惟科技项目管理遵循 ISO9000 的作业标准, 有明确的程序和质量保证体系滕惟科技将根据工程的实施流程, 建立质量保证体系, 对工程进行检查, 跟踪质量保证体系运作过程和分析造成不良工程的主要因素, 制定相应的措施和制度, 明确质检和整改责任人, 使工程的质量一直处于闭环控制状态 7.1 专职的质量控制人员质量专家质量责任主要是, 贯彻公司质量方针目标, 执行质量体系文件的各项有关规定和要求, 确保设计工作始终处于受控状态项目助理配合项目经理开展工作, 其主要职责和权利是 : 制订本项任务的质量工作计划, 并贯彻实施 ; 负责对工程任务的全过程的质量活动进行监督检查, 参与设计评审和其他重要的质量活动, 其质量业务工作受滕惟科技 QC 的指导监督项目实施人员项目实施人员应贯彻公司的质量方针目标执行质量体系文件的有关规定和要求, 熟练掌握本岗位的工作技能, 严格按照项目设计要求及有关标准进行实施工作, 对其实施质量负责, 并负责有关设备的日常维护工作

53 本项目的质量专家组专门负责本次风险评估服务的质量管理工作, 指导监督检查和评审评估服务的实施过程质量内容包括但不限于项目实施计划评审实施过程质量和过程结果控制现状分析结果评审风险分析评审安全建议评审等等 7.2 项目质量控制措施配置管理在项目进程中, 在项目经理的指导下, 支持服务组将维护项目相关的各种合同规定声明备忘录其它用户输入规范方法论工具软硬件版本和型号以及各种输出的基线 (Baseline) 保证项目各服务内容中所用到的知识基础和工具等都是一致的和最新的所有文档的版本修改和更新将在配置管理的版本控制和变更控制之下所有产品的软件版本和硬件型号也将得到全程配置管理的有效控制变更控制管理不受控制的项目变更, 包括目标变更范围变更人员变更环境变更文档修改等是对项目质量的重大威胁但是, 期望实施过程中不出现变更也是不现实的客观上, 项目可能需要随时修改自己的计划调整资源分配等以适应项目的最新情况变更控制的关键在于使得变更的出现和接受被置于项目双方的严格管理中项目中由专门的质量保证工程师负责全程监管项目中随时可能出现的变更情况, 保证不同层次的变更能够得到相应的适当的处理, 所有重要的修改都经过项目双方的认真讨论和确认在确认接受变更的情况下, 项目双方可能需要重新审定工期资源目标甚至商务等相关条文, 并且通过配置管理保证所有人员和基线相关条目都得到了更新项目沟通项目中将采用正式项目沟通程序和日常沟通相结合的方式, 来保证参与项目的各方能够保持对项目的了解和支持这些管理和沟通措施将对项目过程的质量和结果的质量具有重要的作用正式的项目沟通包括项目启动会议阶段评审会议项目协调会议验收会议等, 这些沟通通常提供书面的会议纪要双方签字作为记录日常沟通的主要渠道包括 : 非正式会议电话电子邮件传真等

54 7.2.4 合同评审合同评审的控制要求 : 合同的各项要求明确, 并形成文件 ; 合同规定的要求合理, 符合国家有关法律法规, 双方的风险和利益适宜 ; 任何与投标不一致的合同要求或双方不一致的意见都已得到解决 ; 公司已具备满足合同要求的能力设计控制 1) 对设计工作策划的控制要求对每一项工程任务制定设计开发计划, 划分设计阶段, 规定每一阶段的设计任务, 应开展的质量活动及控制措施和验证方法等 ; 编制的设计开发计划可确保前一阶段的活动未达到要求, 不能转入下一阶段 ; 设计人员应按相应的设计, 实验规范开展设计实验工作, 并依此作为控制和评价设计工作的准则 ; 设计人员应运用优化设计和可靠性可维护性技术, 开展设计工作 ; 应执行设计文档和技术文件的审查制度, 保证设计质量满足规定要求 2) 对设计评审的控制要求在设计的适当阶段, 应有计划地对设计结果进行正式评审, 评审结果应形成文件并予以保存 ; 应根据项目的功能级别和管理级别, 实施分级分阶段设计评审合同要求时, 应邀请用户方或其他代表参加评审 ; 每次评审的参加者包括与被评审的设计阶段有关的所有职能部门的代表, 需要时也包括其他专家过程控制过程控制的实施要点是, 制定并执行文件化的过程控制程序, 对系统质量形成过程的 4M1E 五个基本要素实施全面控制与管理, 一旦发生偏离能够立即发现和纠正, 确保过程输出质量符合规定要求 4M1E 五个要素是指 : 人 (Man) 机(Machine) 物 (Matter) 料(Material) 环境(Environment) 鼓励项目参加各方在项目进行过程中随时对相关问题进行沟通所有重要的有主题的日常沟通活动都应留下记录或形成备忘录通常这些记录或备忘录需要双方的签字以作为备案项目经理有责任将项目中出现重大变更重要事件进展以及其它与项目密切相关的内容进行记录, 从项目启动到项目终验, 最终形成完整的项目日志

55 7.2.7 服务控制服务内容和服务质量已成为客户非常关心的重要内容, 能否提供优良丰富的技术支持服务, 已成为衡量安全服务商能力和水平的重要标准服务控制要求 : 在规定有服务要求时, 各有关部门应执行程序文件的规定与要求, 制定服务实施计划, 配备必要的资源, 认真负责地做好所需要的服务工作 ; 对用户方反映的意见和质量问题应及时处理, 并将有关信息处理的结果报质量部门备案 ; 质量部门对用户方反映的质量问题进行归口管理和统计, 并及时向总裁及其它有关部门和领导汇报报告各种类型的报告是项目各方互相沟通的最正式的渠道和证据报告包括一些通常不可缺少的报告以及其它双方认为必要的报告通常必备的项目报告包括 : 项目计划和进展报告 ; 项目总结报告 ; 在各个阶段输出的项目成果文本等八. 验收滕惟科技根据历年安全工程验收方面积累的丰富经验, 在此提出进一步的验收方法以供参考滕惟科技使用的验收标准参照了 SSE-CMM 中保证过程的过程域中的相应要求, 这些过程域也是滕惟科技验收的理论依据 DIEM 安全工程模型的安全保证 (Ensure) 过程部分是专门的验收过程, 采用规范的安全工程验收方法, 滕惟科技将配合中国 XXX 增值业务项目组, 严格按照这一过程中定义的实施过程和文档进行

56 8.1 验收内容 1. 一次评估阶段验收内容及交付文档清单 A. 完成安全普及培训 B. 一次评估阶段最终报告中国 XXX 增值业务系统风险评估报告中国 XXX 增值业务系统安全现状分析报告中国 XXX 增值业务系统安全建议方案 C. 一次评估过程报告中国 XXX 增值业务系统主机设备安全漏洞扫描报告中国 XXX 增值业务系统终端设备安全漏洞扫描报告中国 XXX 增值业务系统网络设备人工安全检查报告中国 XXX 增值业务系统主机设备人工安全检查报告中国 XXX 增值业务系统远程渗透测试报告中国 XXX 增值业务系统网络设备安全加固方案中国 XXX 增值业务系统主机设备安全加固方案 D. 项目管理报告滕惟科技项目组项目实施进展周报 2. 一次评估阶段验收内容及交付文档清单 A. 完成安全高级技术培训和安全高级管理培训 B. 二次评估报告中国 XXX 增值业务系统主机设备安全漏洞扫描对比分析报告中国 XXX 增值业务系统终端设备安全漏洞扫描对比分析报告中国 XXX 增值业务系统网络设备人工安全检查对比分析报告中国 XXX 增值业务系统主机设备人工安全检查对比分析报告 C. 项目管理报告滕惟科技项目组项目实施进展周报

57 本项目最终验收的主要报告参照清单所列内容实际验收时, 最终验收报告中的每一份报告都将有详细的原始数据和附属报告 8.2 阶段验收指标安全服务范围内节点没有遗漏评估方案中规定的被服务客体 ; 提交的汇总评估报告无遗漏内容规定的文件已交付所有规定的文件经中国 XXX 增值业务系统的网络与信息安全管理员签字认可阶段安全培训工作完成

第期曹源等形式化方法在列车运行控制系统中的应用

第期曹源等形式化方法在列车运行控制系统中的应用第卷第期年月交通运输工程学报曹源唐涛徐田华穆建成为了确保列车运行控制系统设计和开发的正确性比较了仿真测试和形式化种能够验证系统设计正确性的方式根据列车运行控制系统对安全的苛求性提出了个与系统安全相关的重要特性即实时性混成性分布并发性反应性并分析了与这些特性相关的具体形式化方法通过对每种形式化方法的数学基础和应用范围的分析和归类给出了各种方法的优势和不足