风险评估方案v2.1

密级：机密文档编号：001项目代号：001网络风险评估方案V1.02009年4月*****信息技术有限公司成功源于诚信专注造就专业息技术有限公司目录一、网络安全评估服务背景.....................................................................................................31.1安全评估概念............................................................................................错误!未定义书签。1.2安全评估的目的.........................................................................................错误!未定义书签。1.3目标现状描述.............................................................................................................................3二、风险评估内容说明.............................................................................................................42.1风险等级分类.............................................................................................................................42.2评估目标分类............................................................................................................................52.3评估手段....................................................................................................................................72.4评估步骤....................................................................................................................................82.5评估检测原则............................................................................................................................9三、评估操作............................................................................................................................103.1人员访谈&调查问卷................................................................................................................103.2人工评估&工具扫描................................................................................................................103.3模拟入侵..................................................................................................................................12四、项目实施计划..................................................................................................................144.1项目实施..................................................................................................................................144.2项目文档的提交......................................................................................................................15附录一：使用的工具简单介绍..................................................................................................17Nessusscanner3.2英文版........................................................................................................17Xscan-guiv3.3中文版..............................................................................................................18辅助检测工具..................................................................................................................................18附录二：*****信息技术有限公司简介...................................................................................191.1网络安全服务理念....................................................................................................................191.2网络安全服务特点....................................................................................................................19成功源于诚信专注造就专业息技术有限公司一、网络安全评估服务背景1.1风险评估概念信息安全风险评估是参照风险评估标准和管理规范，对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析，判断安全事件发生的概率以及可能造成的损失，提出风险管理措施的过程。当风险评估应用于IT领域时，就是对信息安全的风险评估。风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作，逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法，充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。1.2风险评估目的风险评估的目的是全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。具有以下目的：找出目前的安全策略和实际需求的差距获得目前信息系统的安全状态为制定组织的安全策略提供依据提供组织网络和系统的安全解决方案为组织未来的安全建设和投入提供客观数据为组织安全体系建设提供详实依据此外还可以通过选择可靠的安全产品通过合理步骤制定适合具体情况的安全策略及其管理规范，为建立全面的安全防护层次提供了一套完整、规范的指导模型。1.3目标现状描述XXXXXXX省略XXXX成功源于诚信专注造就专业息技术有限公司二、风险评估内容说明2.1风险等级分类信息系统风险包括下表所示内容，本方案按照国家二级标准将对XX公司信息风险进行评估。下面列出了根据弱点威胁严重程度与弱点发生的可能性的赋值表：威胁严重程度（资产价值）划分表等级标识描述5很高一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织的正常经营，经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大。2低一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决。1很低一旦发生造成的影响几乎不存在，通过简单的措施就能弥补。威胁可能性赋值表等级标识定义5很高出现的频率很高（或≥1次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过。4高出现的频率较高（或≥1次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过。3中出现的频率中等（或1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过。2低出现的频率较小；或一般不太可能发生；或没有被证实发生过。1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生。对资产弱点进行赋值后，使用矩阵法对弱点进行风险等级划分。风险评估中常用的矩阵表格如下：成功源于诚信专注造就专业息技术有限公司威胁可能性12345资产价值12461013235912163471115204581419225610162125然后根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定威胁的风险等级风险等级划分对照表风险值1-67-1213-1819-2324-25风险等级12345最后对资产威胁进行填表登记，获得资产风险评估报告。资产威胁名称严重程度可能性风险等级资产1资产2资产32.2评估目标分类根据《信息系统安全等级评测准则》，将评估目标划分为以下10个部分1)机房物理安全检测2)网络安全检测3)主机系统安全4)应用系统安全5)数据安全成功源于诚信专注造就专业息技术有限公司6)安全管理机构7)安全管理制度8)人员安全管理9)系统建设管理10)系统运维管理在实际的评估操作中，由于出于工作效率的考虑，将评估目标进行整合实施考察，评估完成后再根据评估信息对划分的10个部分进行核对，检查达标的项目。成功源于诚信专注造就专业息技术有限公司2.3评估手段安全评估采用评估工具和人工方式进行评估，即根据定制的扫描策略实施远程评估，根据评估工具的初步结果进行人工分析和本机控制台分析。成功源于诚信专注造就专业息技术有限公司2.4评估步骤风险评估项目描述备注1、网络安全评估知识培训网络信息安全典型案例培训目的是为了让客户对网络安全有个清晰的认识，从而在评估前就引起其重视，方便后面动作的开展。网络安全评估流程培训目的是为了客户能理解我们的工作，从而获得客户的支持。2、资产评估收集信息完成《资产信息登记表》可以远程操作3、威胁评估对物理安全进行评估参照《物理