安全检测方案Word下载.docx
- 文档编号:17673451
- 上传时间:2022-12-08
- 格式:DOCX
- 页数:14
- 大小:69.04KB
安全检测方案Word下载.docx
《安全检测方案Word下载.docx》由会员分享,可在线阅读,更多相关《安全检测方案Word下载.docx(14页珍藏版)》请在冰豆网上搜索。
选取在业务系统、网络服务、主机操作系统平台、网络规划与布局、数据库等方面作为安全评估的对象。
风险评估是网络安全重要的一环,在这里主要是以安全检测、扫描和风险评估技术来实现,以预先发现信息系统中存在的安全隐患,并及时解决问题。
评估能使网络系统具有预先识别和防范风险的功能。
风险评估系统用于评估和管理网络、防火墙、WEB服务器、应用服务器及数据库存在的安全风险和漏洞,企业安全管理员可以根据安全评估报告优化主机和网络设备的安全策略配置,进一步提高安全性。
3.1重点评估具体内容
1、网络规划与布局的安全性评估
✓网络拓扑规划分析
✓网络流量分析
✓网络逻辑结构分析
⏹子网/VLAN的合理划分分析
⏹域和工作组划分安全分析
⏹数据广播域分离分析
⏹IP地址规划分析
⏹共享资源架设效率分析
⏹网络访问控制分析
⏹VPN系统安全分析
2、网络基础设施安全性与稳定性评估
◆路由器安全配置
◆交换机安全配置
◆拨号服务器安全配置
◆防火墙安全配置
◆设备口令审计
◆设备开放服务安全审计
◆网管软件安全性审计
◆设备固件或OS安全分析
◆设备访问控制列表分析
◆设备稳定性测试分析(各种DoS拒绝服务测试)
3、服务器主机系统安全性与稳定性评估
◆服务器主机操作系统内核、版本及补丁审计
◆服务器主机操作系统通用/默认应用程序安全性审计
◆服务器主机后门检测
◆服务器主机漏洞检测
◆服务器主机安全配置审计
◆服务器主机用户权限审计
◆服务器主机口令审计
◆服务器主机文件系统安全性审计
4、数据库系统安全性评估
◆Oracle/MSSQL数据库系统用户权限审计
◆Oracle/MSSQL数据库系统口令审计
◆Oracle/MSSQL数据库系统数据同步或热备份机制可靠性审计
◆Oracle/MSSQL数据库系统存储进程安全机制审计
◆Oracle/MSSQL数据库日志审计分析
◆Oracle/MSSQL数据库系统灾难处理及预防安全机制审计
◆Oracle/MSSQL数据库系统与前台接口安全访问控制机制审计
5、边界防御设施与接入安全性评估
◆生产系统跨域访问需求分析
◆防火墙安全策略审计
◆(外网发起)生产网远程入侵整体测试
◆接入节点主机安全性测试
◆分支机构网络边界安全性模拟攻击测试
6.、业务系统安全性评估
◆业务系统支撑软件安全评估,如Apache、JBoss
◆业务系统重要部分代码检测
◆业务系统口令审计
◆业务系统数据传输保密性检测
◆业务系统权限划分
◆业务系统数据备份安全性
◆业务系统数据同步安全性
安全评估主要通过以下二种方式进行:
主要方式为工具扫描和人工分析。
下面列表介绍CNNS在平台层次实施过程中用到的部分工具和手段:
项目
内容
引用的专业安全检测软件
Ø
ISSInternetScanner
CNNS风险评估系统
Nmap
CNNS风险管理系统
NAISniffer
eEyeIrisSniffer
引用的人工服务项目
手工网络检测
远程渗透测试
应用软件、脚本代码脆弱性分析与攻击测试
数据库脆弱性手工分析
弱加密机制分析
高强度口令猜解(引用60万口令字字典)
管理脆弱性问题分析
通信安全性、网络监听分析
整合测试
报告输出与整理
安全统计分析
出具安全性评估报告结果
人工分析
安全检测的内容涉及:
远程越权存取
系统后门及木马程序
拒绝服务(DenialofService)
CGI(通用网关接口)或ASP、JSP和其它动态网页程序的安全性
防火墙(FireWall)设置
文件传输服务安全性
密码安全性
操作系统内核的安全性
网络协议和配置的安全性
用户管理的安全性
日志和审计系统的健全性
远程维护程序和管理策略的安全性
系统敏感信息的保密性
网络路由设备的安全性
代理服务和网关的安全配置
网络结构的合理性和安全性
合作伙伴系统的可信任度
已有安全产品和设备的有效性
3.2评估项目总体流程
售后服务
3.3具体流程举例
以平台层次的安全评估工作为例,下面列表介绍CNNS在实施过程中用到的具体流程:
评估检测流程
多套扫描软件逐项扫描
手工网络检测
远程渗透测试
各项脆弱分析攻击测试
本地检测
报告整理
安全统计分析
出具报告和解决方案
项目经理检查报告
CTO审核/发行
五.双方项目组成人员
表5.1甲方人员
姓名
项目角色
联系电话
邮箱
职责
表5.2乙方人员
六.项目实施质量控制
6.1过程控制
为了保证服务质量,****将对安全服务的过程进行严格的控制,具体工程过程如下:
1)****的项目经理在每次的任务实施前2天提交具体的每日工作详细实施计划表,表格如下:
安全服务项目实施计划表
实施日期
实施地点
工程内容
步骤
实施人员
配合事项
提交文档
2)在每次的安全服务实施前,召开30分钟的实施准备会议,总结前一次的工作和讨论当次的工作注意事项;
3)每天项目实施完成填写工程实施记录表。
七.项目实施时间进度表
工程实施时间安排是该项工程实施的时间进度计划,是工程控制的基本依据之一。
网络服务安全项目工期是六月中旬~八月上旬。
评估实施内容、时间进度表
标识号
任务名称
子任务
开始时间
备注
1
安全检测
评估协调会议
六月中旬
与甲方工程师配合,就这次评估进行讨论。
2
远程评估
在实施过程中注意保证网络正常动作。
4
本地评估
在实施过程中注意保证网络正常工作。
5
安全修复方案讨论
讨论修复方案
6
安全修复
与甲方工程师一起修复
7
运行观察
8
七月上旬
9
在实施过程中注意保证络正常动作。
10
11
12
不合格项的整改
与甲方工程师一起整改
13
验收
提交安全检测验收报告
提交工作总结及评估验收报告
八.项目管理文档模版
8.1会议纪要模版
会议主题
时间
地点
参加人员
会议纪要
会议纪要双方确认人:
安络:
甲方负责人:
8.2工程开工通知单模版
开工通知单
收件人:
项目负责人
发件人:
****项目主管
抄送:
项目组成员
日期:
年月日
项目负责人:
根据贵公司和****有限公司双方签定的合同的要求,决定从年月日开始此工程的实施,具体内容请参见《项目实施计划》。
****项目负责人签字:
客户项目负责人签字:
2006年月日
8.3事故记录表模版
事故记录单
事故描述:
时间:
机器:
现象:
事故原因:
事故处理过程:
事故处理结果:
8.4工程实施记录表
工程实施记录表
编号:
客户名称:
服务时间:
年月日
客户公司地址:
服务地点:
客户联系人姓名:
客户联系电话:
客户联系email地址:
工程内容:
具体工作进程:
工作结果及下步工作安排:
安络工程师签名:
以下栏由客户填写:
为了提高安络公司的服务质量和服务水平,请提出您宝贵的意见:
您对我们的服务的满意度:
1)有待改进2)一般3)满意
您认为我们应在哪些方面提高服务水平:
1)服务态度2)技术水平3)工作流程4)与客户协调
谢谢您的宝贵意见,请您签名:
九.项目文档管理要求
1)文档分类规范:
****对此次项目的所有工程文档分为工程管理类和工程技术类两大类文档,主要有:
编号
工程管理类文档名
工程技术类文档名
1
项目实施计划
主机系统检测报告
2
项目协调会议记录
3
项目开工通知单
4
项目阶段工作会议记录
5
项目总结工作会议记录
评估检测文档
2)文档编号规范:
此次项目的文档编号采用如下格式:
CNNS-PG–GL-0801-001
说明:
GL指管理类;
0801指年月;
001指文档顺序号;
CNNS-PG–JS-0802-001
JS指技术类;
文档编号由项目经理统一分发。
3)文档归档要求:
此次项目的所有文档由项目主管统一归档,****的项目参与工程师的所有的电子文档在项目阶段性结束后必须把自己的所有与此项目相关的文档必须删除。
4)文档密级划分:
此次项目的所有文档都属于保密文档,严格按照****的文档管理制度进行管理。
十.工程验收
工程验收的任务及过程:
目的是对该安全项目工程中的服务、执行过程、组织进行全面的检验,保障该工程达到方案设计的标准。
工程验收既是工程质量控制过程,又是工程实施过程的最后阶段。
10.1正式验收要项
―验收组织:
安全项目组
1)进行工程质量核定
2)办理工程档案资料移交
3)签发工程验收证书
10.2验收流程
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 检测 方案
![提示](https://static.bdocx.com/images/bang_tan.gif)