网络风险评估方案.docx
《网络风险评估方案.docx》由会员分享,可在线阅读,更多相关《网络风险评估方案.docx(18页珍藏版)》请在第一文库网上搜索。
1、网络风险评估方案一、网络安全评估服务背景1.1 安全评估概念1.2 安全评估的目的1.3 目标现状描述二、风险评估内容说明2.1 风险等级分类2.2 评估目标分类2.3 评估手段2.4 评估步骤2.5 评估检测原则三、评估操作3.1 人员访谈&调查问卷3.2 人工评估&工具扫描3.3 模拟入侵四、项目实施计划4.1 项目实施4.2 项目文档的提交附录一:使用的工具简单介绍Nessusscanner3.2英文版Xscan-guiv3.3中文版辅助检测工具附录二:*信息技术有限公司简介1.1 网络安全服务理念1.2 网络安全服务特点一、网络安全评估服务背景1.1 风险评估概念信息安全风险评估是参照
2、风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISOI7799、国家标准信息系统安全等级评测准则等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。1.2 风险评估目的风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安
3、全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的:令找出目前的安全策略和实际需求的差距令获得目前信息系统的安全状态为制定组织的安全策略提供依据令提供组织网络和系统的安全解决方案为组织未来的安全建设和投入提供客观数据为组织安全体系建设提供详实依据此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范,为建立全面的安全防护层次提供了一套完整、规范的指导模型。13目标现状描述XXXXXXX省略XXXX二、风险评估内容说明2.1风险等级分类信息系统风险包括下表所示内容,本方案按照国家二级标准将对XX公司信息风险进行评估。
4、下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表:威胁严重程度(资产价值)划分表5很高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。2低一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解1很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。威胁可能性赋值表定义很高出现的频率很高(或21次/周);或在大多数情况下几乎不可避免;或可以证实高出现的
5、频率较高(或21次/月);或在大多数情况下很有可能会发生;或可以中出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经发生过。2低出现的频率较小;或一般不太可能发生;或没有被证实发生过。1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。对资产弱点进行赋值后,使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下:威胁可能性1234512101323121634111520451419225610162125然后根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定威胁的风险等级风险等级划分对照表1-67-1213-1819-2324-25风险等级12345最
6、后对资产威胁进行填表登记,获得资产风险评估报告。资产32.2评估目标分类根据信息系统安全等级评测准则,将评估目标划分为以下10个部分1)机房物理安全检测2)网络安全检测3)主机系统安全4)应用系统安全5)数据安全6)安全管理机构7)安全管理制度8)人员安全管理9)系统建设管理10)系统运维管理在实际的评估操作中,由于出于工作效率的考虑,将评估目标进行整合实施考察,评估完成后再根据评估信息对划分的10个部分进行核对,检查达标的项目。2.3评估手段安全评估采用评估工具和人工方式进行评估,即根据定制的扫描策略实施远程评估,根据评估工具的初步结果进行人工分析和本机控制台分析。风险评估项目1、网络安全评
7、估知识培训网络信息安全典型案例目的是为了让客户对网络安全有个清晰的认识,从而在评估前就引起其重视,方便网络安全评估流程培训目的是为了客户能理解我们的工作,从而获得客户的支持。3、威胁评估对物理安全进行评估访谈、查看相关文档,实地考察估访谈人事部门相关人员整体网络安全信息Xscan-gui进行全网安全扫描,获得全网的安全统计使用网络版杀毒杀毒软件对全网络的操作系统漏洞情况进行扫描统计使用工具共享资源扫描整个网络,同时演示给客户其暴露在内网中的敏感信息Nessus对服务器系统进行安全扫描使用自动化评估脚本对服务器安全信息进行收集根据check1ist对服务器进行本地安全检查使用密码强度测试工具请求
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 风险 评估 方案