信息安全服务方案文档格式.docx
《信息安全服务方案文档格式.docx》由会员分享,可在线阅读,更多相关《信息安全服务方案文档格式.docx(29页珍藏版)》请在冰豆网上搜索。
1.1.1.2差距分析※
通过差距分析,可以明确客户信息系统的现状,确定不符合的安全项,明确安全建设需求。
Ø
差距分析准备
本公司咨询顾问根据与客户确认的计划,做现场检查测试前的准备,主要包括准备差距分析表,明确现场访谈的对象(部门和人员),准备相应的网络设备、安全设备和主机设备的配置检查表和相关测试工具。
在整理差距分析表时,本公司咨询顾问会根据系统所确定的安全等级从基本要求中选择相应等级的基本安全要求,根据客户信息系统分析结果及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求,一般来说,差距分析表包括安全技术、安全管理两个方面内容分析系统现有的安全措施和安全要求之间的差距,根据这些差距提出安全建议:
✓安全技术差距分析
✓安全管理差距分析
现场差距分析
现场差距分析阶段,本公司咨询顾问依据差距分析表中的各项安全要求,对比现状和安全要求之间的差距,确定不满足要求的安全项。
现场差距分析工作内容
现场工作阶段,本公司咨询顾问可分为管理检查组和技术检查组,在客户方人员的配合下,分工如下:
管理检查组负责安全管理和物理安全类文档资料分析、现场访谈、现场检查,并填写差距分析表的相关部分;
技术检查组负责安全技术类文档分析、现场访谈、现场检查,并填写差距分析表的相关部分。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料/数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改和安全建设。
✓查看制度和记录
为了获取和分析业务系统现有的安全控制措施,需要查看安全策略文档(例如政策法规、指导性文档)、管理制度(例如运维管理规定、机房管理制度等)
和其它相关文档(例如定级报告)等。
✓人员访谈
本公司咨询顾问与客户组织内有关的管理、技术和一般员工进行逐个沟通。
根据客户的回答,获得相应信息,并可验证之前收集到的资料,从而提高其准确度和完整性。
通过访谈管理和技术人员,项目组成员可以收集到业务系统相关的物理、环境、安全组织结构、操作习惯等大量有用的信息,也可以了解到被访谈者的安全意识和安全技能等自身素质。
由于访谈的互动性,不同于调查表,项目组成员可以广泛提问,从多个角度获得多方面的信息。
✓现场检查
本公司咨询顾问也可对客户办公环境和机房内设备作现场检查,或观察人员的行为或环境状况,观察制度的执行情况及技术要求落实情况。
根据现场勘查的结果,获得相应咨询信息。
1.1.1.3脆弱性检测技术方案※
差距分析的主要手段就是对信息系统的各个方面进行脆弱性检测。
通过检测系统的脆弱性,分析出与等级保护之间的差别,从而输出《差距分析报告》。
脆弱性检测主要从物理脆弱性,系统脆弱性,网络脆弱性,应用脆弱性和管理脆弱性这几个方面展开。
物理脆弱性检测
✓设备脆弱性检测
●检测目的
检测应用系统内的物理设备存在的脆弱性。
●检测内容
包括设备的标签、标记、位置及周边环境;
设备的安全管控措施。
●检测方式
问卷调查、顾问访谈、现场查看。
●检测对象
应用系统内的主机、网络设备、网络安全设备及环境设施等。
✓存储介质脆弱性检测
检测应用系统内的存储设备、存储介质应用中的脆弱性。
信息存储设备、介质的使用、保管和销毁等管控措施。
问卷调查、顾问访谈、现场查看
应用系统内使用的磁盘阵列、磁带机、U盘、活动硬盘等。
网络脆弱性检测
✓网络结构及边界脆弱性检测
检测应用系统内拓扑结构、网络边界与外部连接存在的脆弱性。
对应用系统内的网络拓扑结构、网络边界等信息进行探测识别与分析。
重点是发现可能存在的边界安全问题,包括与外部网的连接、与内部网的连接。
现场查看、顾问访谈、技术检测
应用系统内的网络拓扑结构和网络边界。
✓网络设备的脆弱性检测
检测应用系统内所用的路由器、交换机等网络设备存在的脆弱性。
路由器的安全检测内容主要包括三个方面:
操作系统、配置和抵御拒绝服务攻击。
其中,操作系统方面,主要检测路由器操作系统是否存在安全漏洞,补丁是否安装及时;
配置方面,检测端口开放、访问控制表和配置文件备份等情况;
抵御拒绝服务攻击方面,则主要检测路由器能否抵御拒绝服务和分布式拒绝服务攻击,以及关键位置路由器是否有热备份。
交换机特别三层交换机操作系统的安全性,是否存在安全漏洞,补丁的安装情况;
交换机VLAN的划分,以及各VLAN间的访问控制策略;
交换机配置文件的备份;
交换机抗拒绝服务攻击的能力。
对负载均衡设备的检测内容主要也是三个方面:
一是其操作系统是否安全,例如是否存在安全漏洞,补丁是否正确及时安装;
二是配置是否正确,与安全策略一致;
三是是否能够抵御拒绝服务攻击。
问卷调查、登录查看和技术检测。
应用系统内的路由器、交换机和负载均衡设备。
✓网络安全设备脆弱性检测
检测应用系统内网络的安全防护设备存在的脆弱性。
对应用系统内网络的安全设备的配置有效性和运行安全性进行检测。
问卷调查、登录查看、技术检测
应用系统内的网络安全设备。
系统脆弱性检测
✓操作系统脆弱性检测
检测应用系统内使用的操作系统存在的脆弱性。
操作系统是否达到与网络相适应的安全级别,是否存在安全漏洞,补丁程序安装情况,是否开启了不必要的服务,系统配置是否正确等。
调查问卷、登录查看、技术检测。
应用系统内使用的操作系统。
✓数据库脆弱性检测
检查应用系统内数据库的脆弱性。
检测数据库系统是否存在漏洞;
检测数据库管理的安全性;
检测数据库口令设置的复杂度;
检测数据库数据的机密性和完整性。
登录查看、问卷调查、技术检测。
各类数据库。
应用脆弱性检测
✓网络服务脆弱性检测
对系统的网络服务应用和某些专用应用系统进行脆弱性检测。
检测WWW、电子邮件等网络服务程序的安全性,包括安全配置、补丁程序、日志审计及辅助安全措施;
对应用系统内专用业务系统的口令认证、访问控制、系统脆弱性等方面进行安全检测。
应用系统内的网络服务应用。
✓主机防护脆弱性检测
主机防护脆弱性检测包括单机版防火墙、主机入侵检测、主机漏洞扫描、恶意代码与病毒防御和文件完整性检测。
a)单机版防火墙
检测单机版防火墙存在的脆弱性。
检测应用系统内的重要主机是否安装了单机版防火墙及其防护有效性。
调查问卷、登录查看和技术检测。
应用系统内中的重要主机。
b)主机入侵检测
检测主机入侵检测存在的脆弱性。
检测应用系统内的重要主机是否具有基于主机的入侵检测措施,以及这些措施的防护有效性。
调查问卷、登录查看。
c)主机漏洞扫描
检测主机漏洞扫描存在的脆弱性。
检测应用系统内的重要主机是否具有基于主机的漏洞扫描措施,以及这些措施的运行有效性。
d)恶意代码与病毒防御
检测主机恶意代码与病毒防御系统的脆弱性。
检测应用系统内的重要主机是否具有基于主机的恶意代码与病毒防御措施,以及这些措施的运行有效性,包括检测清除、升级更新、数据备份等。
应用系统内的所有主机。
管理脆弱性检测
✓机构、制度和人员
a)机构
检测应用系统内的管理机构是否存在脆弱性。
为确保网络信息系统安全运行而建立的安全管理组织体系,例如设置安全管理领导机构,安全管理技术部门或小组等,安全管理职责划分是否合理,是否具有安全审计机构。
调查问卷、顾问访谈。
应用系统内的组织机构。
b)制度
检测应用系统内的管理制度是否存在脆弱性。
网络信息系统安全管理部门是否制定了确保安全的各项规章制度,例如安全管理制度、保密管理制度、系统运行维护制度、物理访问控制制度和内部审计制度。
调查问卷、顾问访谈、现场查看。
应用系统内的管理制度。
c)人员
检测应用系统内的人员及人员管理方式是否存在脆弱性。
网络安全管理人员的鉴别和政策,确保管理人员安全;
安全管理人员履历的核查,他(她)所声称的理论、专业资格证书等的核查;
是否与网络管理部门签署了保密协议。
调查问卷、顾问访谈和现场查看。
应用系统内的相关人员。
✓安全策略
检测应用系统内的安全策略是否存在脆弱性。
应用系统内的总体安全策略,包括访问控制策略、身份鉴别策略、脆弱性自检测策略、应急响应策略、数据备份策略、审计策略和监测策略等,安全策略是否与网络信息系统安全需求相一致。
应用系统内的安全策略。
✓检测与响应
a)入侵事件处理
检测应用系统内入侵事件处理中是否存在脆弱性。
检测应用系统内在网络入侵事件处理的五个阶段——告警、检测、特征抽取、响应和调查的处理能力水平。
问卷调查、现场访谈、技术检测。
应用系统内的入侵检测事件处理体系。
b)脆弱性自检测
检测应用系统内脆弱性自检测中存在的脆弱性。
检测应用系统内的脆弱性自检测能力,自检测周期,自检测后的脆弱性修复能力。
应用系统内的脆弱性自检测体系。
c)审计日志分析
检测应用系统内