系统程序漏洞扫描安全评估方案

系统程序漏洞扫描安全评估方案

ID:1364933

大小:596.00 KB

页数:31页

时间:2017-11-10

系统程序漏洞扫描安全评估方案_第1页
系统程序漏洞扫描安全评估方案_第2页
系统程序漏洞扫描安全评估方案_第3页
系统程序漏洞扫描安全评估方案_第4页
系统程序漏洞扫描安全评估方案_第5页
资源描述:

《系统程序漏洞扫描安全评估方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、目录一、项目概述01.1评估范围01.2评估层次01.3评估方法01.4评估结果01.5风险评估手段11.5.1基于知识的分析方法11.5.2基于模型的分析方法11.5.3定量分析21.5.4定性分析31.6评估标准3二、网拓扑评估32.1拓扑合理性分析32.2可扩展性分析3三、网络安全管理机制评估43.1调研访谈及数据采集43.2网络安全管理机制健全性检查53.3网络安全管理机制合理性检查53.4网络管理协议分析6四、脆弱性严重程度评估64.1安全漏洞扫描64.2人工安全检查84.3安全策略评估94.4脆弱性识别10五、网络威胁响应机制评估105.1

2、远程渗透测试11六、网络安全配置均衡性风险评估126.1设备配置收集126.2检查各项HA配置146.3设备日志分析15七、风险级别认定16八、项目实施规划16九、项目阶段17十、交付的文档及报告1810.1中间评估文档1910.2最终报告19十一、安全评估具体实施内容2011.1网络架构安全状况评估2011.1.1内容描述2011.1.2过程任务2111.1.3输入指导2111.1.4输出成果2112.2系统安全状态评估2111.2.1内容描述2111.2.2过程任务2411.2.3输入指导2611.2.4输出成果2611.3策略文件安全评估2611

3、.3.1内容描述2611.3.2过程任务2712.3.3输入指导2812.3.4输出成果2811.4最终评估结果28一、项目概述1.1评估范围针对网络、应用、服务器系统进行全面的风险评估。1.2评估层次评估层次包括网络系统、主机系统、终端系统相关的安全措施,网络业务路由分配安全,管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备及相关网络配置信息和技术文件;主机系统包括各类UNIX、Windows等应用服务器;终端系统设备。1.3评估方法安全评估工作内容:ü管理体系审核;ü安全策略评估;ü顾问访谈;ü安全扫描;ü人工检查;

4、ü远程渗透测试;ü遵循性分析;1.4评估结果通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评估,形成安全评估报告,其中应包含评估范围中信息系统环境的安全现状、存在安全问题、潜在威胁和改进措施。协助对列出的安全问题进行改进或调整,提供指导性的建设方案:《安全现状分析报告》《安全解决方案》1.5风险评估手段在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,

5、共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。1.5.1基于知识的分析方法在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择

6、安全措施,最终达到消减和控制风险的目的。基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括:l会议讨论;l对当前的信息安全策略和相关文档进行复查;l制作问卷,进行调查;l对相关人员进行访谈;l进行实地考察;为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的推荐报告。1.5.2基于模型的分析方法2001年1月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS的项目,即PlatformforRiskAn

7、alysisofSecurityCriticalSystems。该项目的目的是开发一个基于面向对象建模特别是UML技术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统,特别是IT系统的安全。CORAS考虑到技术、人员以及所有与组织安全相关的方面,通过CORAS风险评估,组织可以定义、获取并维护IT系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。与传统的定性和定量分析类似,CORAS风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象的模型来进行的。CORAS

8、的优点在于:提高了对安全相关特性描述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。