网络风险评估报告范文

大成天下风险评估服务技术白皮书V1.0深圳市大成天下信息技术有限公司ShenZhenUnnooInformationTech.,Inc.二〇〇六年二月声明：本文档是深圳市大成天下信息技术有限公司(简称大成科技)解决方案的一部分，版权归大成科技所有，任何对文档的修改、发布、传播等行为都需获得大成科技书面授权，大成科技保留对违反以上声明的组织或个人追究责任，直至诉诸法律的权力。未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第2页共22页版权说明©版权所有2004-2006，深圳市大成天下信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深圳市大成天下信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经深圳市大成天下信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。商标信息大成天下、大成科技、游刃、铁卷等是深圳市大成天下信息技术有限公司注册商标，受商标法保护。未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第3页共22页文档信息文档名称大成天下风险评估服务技术白皮书保密级别内部公开文档版本编号V1.0制作人吴鲁加制作日期2006-02-03复审人黄鑫复审日期2006-02-04适用范围本文件是深圳市大成天下信息技术有限公司（简称大成科技）系列白皮书的一部份，供需要风险评估服务的客户、合作伙伴决策参考。分发控制编号读者文档权限与文档的主要关系1大成科技项目组创建、修改、读取项目组成员，负责编制、修改、审核本文件2王娟批准项目的负责人，负责本文档的批准程序3吴鲁加标准化审核项目标准化负责人，对文档进行标准化审核版本控制时间版本说明修改人吴鲁加V1.0文档创建2006-02-04未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第4页共22页1.摘要深圳市大成天下信息技术有限公司是一家专业从事网络安全产品与服务的高科技公司。凭借多年的从业经验，大成科技聚集了一批优秀的专业人才，在华南信息安全领域中具有独到的地位。目前，大成科技的研究人员通过多年的专业安全服务经验，开发出包括游刃基线安全（漏洞扫描）系统、铁卷电子文档保护系统等多款产品，涉及的研究领域涵盖安全评估、内容安全、接入安全等多方面，并取得多项科研技术成果。作为专业信息安全技术与产品提供商，大成天下致力于利用自身的信息安全专业知识和经验，以帮助客户成功保障他们的资产安全。本白皮书描述了大成天下安全服务体系中的一个重要部分——风险评估服务。本文主要面向企业的技术决策者、安全维护人员和基础结构工程人员。2.风险评估概述2.1.风险评估简介风险评估是风险管理的重要组成部分，要想更好地理解风险评估，首先要了解风险管理。风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动，通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转移或降至一个可被接受的水平。2.2.评估目的进行风险评估的目的通常包括以下几个方面：z了解组织的管理、网络和系统安全现状；z确定可能对资产造成危害的威胁，包括入侵者、罪犯、不满员工、恐怖分子和自然灾害；z通过对历史资料和专家的经验确定威胁实施的可能性；未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第5页共22页z对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的；z对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏；z明晰组织的安全需求，指导组织建立安全管理框架，提出安全建议，合理规划未来的安全建设和投入。2.3.评估内容评估内容包括如下方面：z通过网络弱点检测，识别信息系统在技术层面存在的安全弱点。z通过采集本地安全信息，获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息，并进行相应的分析。z通过对组织的人员、制度等相关安全管理措施的分析，了解组织现有的信息安全管理状况。z通过对以上各种安全风险的分析和汇总，形成组织安全风险评估报告。z根据组织安全风险评估报告和安全现状，提出相应的安全建议，指导下一步的信息安全建设。2.4.风险评估技术操作z拓扑分析分析整体的网络拓扑结构安全隐患，准确把握网络拓扑上的安全隐患，重点是网络边界面临的安全隐患。z漏洞扫描使用漏洞扫描工具从局域网内部进行远程漏洞检查，使用最性的漏洞检测库，发现最新的安全隐患。z人工审计通过现场分析，发现远程自动扫描工具无法发现的安全隐患。通过现场调查分析的方法进行。z渗透测试未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第6页共22页由安全工程师模拟黑客的行为模式，采用黑客最可能采用的漏洞发现技术和尽可能多的攻击方法，对目标网络系统的安全性进行深入分析，发现网络中存在的脆弱环节，并且提供相关报告，为网络管理员了解自己网络所面临的威胁提供最直观的依据。z安全优化根据安全需求，通过各种防护手段提高设备的安全性(例如修改网络设备、操作系统、数据库的配置等)，确保满足可以性和管理要求。3.技术评估与系统优化3.1.技术评估3.1.1.漏洞扫描评估项目名称漏洞扫描评估简要描述利用扫描工具检查整个客户网络系统的主机系统与数据库系统的漏洞情况达成目标发掘客户网络系统的安全漏洞，提出漏洞修补建议主要内容以大成科技游刃基线管理（漏洞扫描）产品为主，采用多种漏洞扫描工具实施大规模的漏洞扫描实现方式以大成科技游刃基线管理（漏洞扫描）产品为主，采用多种漏洞扫描工具实施大规模的漏洞扫描工作条件2-3人工作环境，2台笔记本电脑(分别安装Windows与Linux系统)，电源和网络环境，客户人员和资料配合工作结果客户网络系统网络漏洞列表，扫描评估结果报告，所需时间3-5工作日参加人员大成科技信息安全评估小组，客户网络管理人员、系统管理人员、数据库管理人员3.1.2.人工审计项目名称人工审计未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第7页共22页简要描述作为漏洞扫描的辅助手段，登陆系统控制台检查系统的安全配置情况达成目标检测系统的安全配置情况，发掘配置隐患主要内容—操作系统控制台审计—数据库系统控制台审计实现方式—操作系统控制台审计—数据库系统控制台审计工作条件2-3人工作环境，2台笔记本电脑(分别安装Windows与Linux系统)，电源和网络环境，客户人员和资料配合工作结果客户网络系统抽样控制台审计报告所需时间3工作日参加人员大成科技信息安全评估小组，客户网络管理人员、系统管理人员、数据库管理人员3.1.3.渗透测试项目名称渗透测试简要描述由安全工程师模拟黑客的行为模式，采用黑客最可能采用的漏洞发现技术和尽可能多的攻击方法，对目标网络系统的安全性进行深入分析达成目标检查通过不同的攻击路径，判断恶意攻击者是否有可能完成对服务器的攻击。主要内容—缓冲区溢出—防火墙规则探测—弱口令发掘—应用脆弱性发掘等实现方式—端口扫描及防火墙规则探测—应用渗透工作条件2-3人工作环境，2台笔记本电脑(分别安装Windows与Linux系统)，电源和网络环境，客户人员和资料配合工作结果客户网络系统渗透测试报告所需时间2工作日参加人员大成科技信息安全评估小组，客户网络管理人员、系统管理人员、数据库管理人员未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第8页共22页3.2.安全加固与优化3.2.1.技术加固安全基线本节描述的技术加固安全基线将成为网络和系统评估加固过程中的基本轮廓。原则上，每个加固过程都要考虑基线的所有部分。在实际的评估加固过程中，特定的系统和网络类型会对应基线中的一个部分。3.2.1.1.补丁加载修补系统安全漏洞类补丁修补系统BUG类补丁3.2.1.2.服务与端口最小化服务最小化服务端口3.2.1.3.鉴别和认证口令：在所有的系统入口处采用严格的口令策略身份：在所有的系统入口处采用严格的身份认证策略3.2.1.4.访问控制网络层访问控制：在网络边界处部署防火墙，对正常业务外的网络流量加以屏蔽，并对业务相关的网络访问进行最小化网络设备访问控制：对网络设备本身的访问地址和用户进行最小化操作系统访问控制：部署主机访问控制系统，对于用户和文件权限进行最小化。应用系统访问控制：部署主机访问控制系统，对于用户和使用权限进行最小化。未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第9页共22页3.2.1.5.审计和跟踪日志：在操作系统、路由器、防火墙、入侵检测等设备上开启日志记录功能，保存并定期分析日志入侵检测：在重要部位部署网络入侵检测系统，对网络流量和可能的入侵行为进行监控和报警漏洞扫描和评估：采用先进的漏洞扫描系统对网络设备和主机进行扫描评估3.2.1.6.内容安全加密：对业务敏感采用强加密方式，包括链路加密和负载加密防病毒：部署全网统一的防毒体系，实现统一升级和管理VPN加密信道：对VPN隧道上传输的封装后的IP数据包进行加密和认证处理，保证数据在传递过程的机密性、完整性和真实性3.2.1.7.冗余和恢复HA技术：对网络核心层设备采用负载均衡，双机备份技术链路冗余：对骨干线路采用备份链路，保证业务连续性数据备份和恢复技术：制订合理的备份和灾难恢复策略并严格执行3.2.2.修补加固内容3.2.2.1.针对网络设备的修补加固技术基线网络设备修补加固的范围重要程度补丁加载IOS升级高服务与端口Finger服务，cdp，HTTP等高口令加密方式高鉴别认证Snmp字串符问题高telnet,设置ACL高访问控制Snmp设置ACL高未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第10页共22页保留地址过滤中等：在边界设备上配置审计跟踪日志设置，ACL过滤日志及其重要高内容安全telnet连接SSH加密重要冗余与恢复主要线路是否采用链路冗余重要：建议为主其他安全问题如何防御蠕虫病毒，DDOS攻击高3.2.2.2.针对WINDOWS操作系统的加固技术基线WINDOWS系统需要加固范围重要程度补丁加载漏洞补丁高：Windows系统漏洞补丁对于系统安全性极其重要ipc空连接等高服务与端口比如：端口135，139，445等高鉴别认证密码策略高访问控制修改部分文件目录权限高日志（文件大小，保留天数等）高审计跟踪安全审计（策略设置）检查防病毒软件是否升级内容安全IPSEC应用高冗余和恢复备份系统使用的配置文件，注册表，制作紧急故障修复盘。高IIS安全设置高其他安全问题注册表安全设置和优化高：适当设置注册表可以提高系统抗DDOS攻击的能力3.2.2.3.针对UNIX类操作系统的加固技术基线UNIX系统，linux系统需要加固的范围重要程度补丁加载修补各种漏洞，RPC,SENDMAIL等高服务与端口服务高未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第11页共22页端口高鉴别认证一次性口令认证高配置安全的系统访问方式，制定安全的系统访问策略确保对系统的访问都是通过安全加密的方式进行高访问控制从应用层次配置访问控制系统，提供更高层次的用户访问控制。审计跟踪设置日志服务器高3.2.2.4.针对防火墙的加固技术基线防火墙需要加固的范围重要程度鉴别认证口令强度高基本服务过滤策略已知攻击过滤策略高：合适的ACL策略，决定防火墙的实际作用访问控制防火墙访问控制高日志服务设置中等审计跟踪日志内容设置高冗余与恢复配置备份重要3.2.2.5.数据库服务加固技术基线数据库需要的加固范围重要程度补丁加载漏洞补丁修正程序服务与端口SA端口高鉴别认证高强度口令等用户身份识别高访问控制控制主体对客体的访问高审计跟踪数据库系统的可审计性中等冗余与恢复数据备份和恢复未知驱动探索专注成就专业深圳市大成天下信息技术有限公司第12页共22页3.2.3.修补加固流程常规安全修复和加固服务主要依据以下流程：网络整体风险评估和审计结果分析风险漏洞列表分类系统修补加固方案签字验收实施结果报告基础设施实施报告操作系统实施