业务系统评估工作方法及流程v1.docx
- 文档编号:5977455
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:8
- 大小:970.79KB
业务系统评估工作方法及流程v1.docx
《业务系统评估工作方法及流程v1.docx》由会员分享,可在线阅读,更多相关《业务系统评估工作方法及流程v1.docx(8页珍藏版)》请在冰豆网上搜索。
业务系统评估工作方法及流程v1
密级:
内部
文档编号:
项目代号:
业务系统评估
--工作方法及流程
Ver:
1.0
二零零五年三月
安氏互联网安全系统(中国)有限公司
业务系统评估
--工作方法流程
拟制:
章新斌
审核:
批准:
会签:
标准化:
版本控制
版本
日期
参与人员
更新说明
1.0
2005.3.22
章新斌
创建、修改
1需要完成的工作和完成工作的方式
1.1业务系统评估的目标
全方位的提供一个业务系统中的安全可见性,包括
1业务系统的功能组成流程中安全的设计和实现
2已采取的安全措施
3仍存在的风险
4提供的解决方案
1.2业务系统的划分
一个公司的业务通常可以划分为几个主要的业务系统,如移动可以划分为网管BOSSOA等,网管又可以划分为短信gprs智能彩铃等,但主要还是按照功能来划分.
工作方式:
专家经验(对行业的了解)公司高层领导的访谈和会议
1.3业务系统的定义介绍包括:
功能流程
业务的功能介绍:
如gprs(generalpackageradioservice)业务系统完成的功能为:
1使用无线网络完成数据分组的传输,2业务系统的维护,3计费数据的产生和发送.
工作方式:
厂商介绍文档收集(厂商)专家经验(对系统的了解)
1.4业务系统的范围的确定
一个业务系统范围的确定就要根据其功能及组成,具体到相关部门的具体单元(如网络设备主机应用程序维护人员管理人员),依据和业务系统联系的紧密性而划分到那个业务系统
如gprs系统:
(跨部门浦东运维中心钦州数据中心和多个厂商爱立信nokia)
如短信系统:
短信中心短信网管各类短信网关划为一个业务系统?
人员的协调?
工作方式:
会议包括公司中层领导和系统维护人员资料收集(厂商客户)评估确认
行业性的问题如gprs的用户认证方式,是否是行业标准?
1.5和其他业务系统的相关性分析:
业务系统的接口分析:
如gprs业务系统的接口有:
到ss7(七号信令网)cmnet计费的接口
接口的明确定义:
计费信息是采用什么样的方式发送给boss的,分组数据是如何转发到cmnet的.
业务系统和其他业务系统共享资源:
共享通讯子网如共享一个核心交换机共享一个维护人员
接口方式和共享方式的信任关系可能会带来的风险
工作方式:
厂商介绍会议:
公司中层领导和系统维护人员资料收集(厂商客户)专家经验(对系统的了解)评估确认
1.6安氏业务系统评估方法介绍
分层的方法将业务系统分为
业务系统=支撑系统+应用系统+数据流+操作+管理
支撑系统为通信子网和主机层和其他部分如ss7(和以前的安全评估兼容,并为以后保留一定的可扩展性)是确定范围相关性的关键
应用系统为应用系统的开发过程应用系统体系结构,在设计和实现中对安全性的考虑应用系统在支撑系统上的实现确定接口的关键
数据流分析数据流在支撑系统应用系统上如何产生传输处理保存共享销毁的,在设计和实现中对安全性的考虑确定接口的关键
操作+管理各类规章制度是否健全,是否按照规章制度执行
1.6.1支撑系统的评估
1.6.1.1业务系统的物理拓扑图
确认gprs的接口共享和内部结构(具体到每一条链路?
)
工作方式:
资料收集(客户)专家确认
1.6.1.2业务系统的逻辑拓扑图
如gprs业务系统通常划为3个vlan:
分组数据转发,计费,维护,在具体实现时可能就会划分为更多的vlan,如果有路由通过划分为不同的子网和路由来确定
工作方式:
资料收集(客户)专家确认
1.6.1.3主机的评估
评估信息必须准确完整,包括拓扑图中的每一台设备?
工作方式:
资料收集(客户)专家确认
(如果没有做过可以启动一个新的主机评估项目)
1.6.2应用系统评估
1.6.2.1应用系统的开发
应用系统生命周期开发文档测试文档实现文档等的确认
工作方式:
厂商介绍资料收集(厂商)专家确认
1.6.2.2应用系统的体系结构
体系结构介绍,可分成多少个组件
应用系统设计和实现时对安全性的考虑:
认证访问控制审计加密
设计:
认证信息以明文的形式保存在主机中
实现:
西门子gprs维护主机使用的web存在问题
工作方式:
厂商介绍资料收集(厂商)专家确认
1.6.2.3应用系统的实现
应用系统在支撑系统中的分布,使用的进程端口用户(需要的进程端口用户)
当一台主机存在风险时,我们就能知道风险对应用系统的影响从而推出对业务系统的影响
如gprs业务系统中的一台ftp服务器受到入侵会造成的影响,不会影响到计费,因为是独立网段,但如果和dns服务器在一个网段,作为跳板攻击dns服务器,使得sgsn就会得不到ggsn的ip就中断了数据分组的传输.
工作方式:
厂商介绍资料收集(厂商客户)专家确认
1.6.3数据流程的评估
数据流:
主要数据流辅助数据流
如gprs业务系统:
分组数据的转发数据流
计费数据流?
cg如何采集计费信息并发送给boss
维护数据流?
数据在何处产生传输处理保存共享销毁
在设计和实现中对安全性的考虑,
如计费信息数据流的输入是否进行过确认和审计,传输使用了加密?
保存(保存1年,对存储介质的保护)
工作方式:
厂商介绍资料收集(厂商客户)专家确认
1.6.4操作和管理
各类管理文档的收集:
维护管理规定,应急响应流程
已往的事件处理记录值班日志
工作方式:
资料收集(客户)专家确认
bs7799的安全管理
资产的管理配置管理变更管理发布管理
1.7已有的安全措施
已有的安全措施:
安区域的划分部署了防火墙IDS杀毒软件补丁管理软件统一的认证,其具体设计和实现,以及具体对支撑系统应用系统数据流操作管理的保护和支持.
工作方式:
厂商介绍资料收集(厂商客户)专家确认
1.8依然存在的风险
1.9解决方案
2完成工作的方式顺序风险控制方法
2.1工作方式和要完成的工作:
会议:
业务系统的划分业务系统的范围的确定和其他业务系统的相关性分析包括启动会议例会等
厂商介绍:
业务系统的定义,介绍包括:
功能流程应用系统的体系结构
资料收集(厂商):
应用系统的开发应用系统的体系结构应用系统的实现数据流程
资料收集(客户):
物理拓扑图逻辑拓扑图主机的评估操作和管理已有的安全措施
专家确认:
使用多种方法对收集到的信息进行分析检查并确认
评估确认:
通过使用上述多种方式收集信息并深入分析后得到
2.2工作顺序
第一阶段项目启动和准备阶段
第二阶段项目定义和蓝图阶段
第三阶段安全评估阶段
第四阶段全网评估综合分析和输出阶段
2.3风险控制
对客户和厂商配合的要求
可能会出现的问题,资料收集中出现问题,导致不能进行专家确认,如无法提供确切的物理拓扑图逻辑拓扑图应用系统在支撑系统的实现如何处理?
如何维护客户的商业机密?
由于业务系统的规模和复杂性对业务系统评估周期成本的控制
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 业务 系统 评估 工作 方法 流程 v1