信息安全咨询评估方案建议书.pdf
《信息安全咨询评估方案建议书.pdf》由会员分享,可在线阅读,更多相关《信息安全咨询评估方案建议书.pdf(19页珍藏版)》请在三一文库上搜索。
1、XX集团 信息安全咨询评估服务 方案建议书 目录 一需求分析 3 1.1 背景分析 . 3 1.2 项目目标 . 4 1.3 需求内容分析 . 4 1.3.1 技术风险评估需求分析 4 1.3.2 管理风险评估需求分析 5 1.4 时间进度需求 . 6 1.5 考核要求 . 6 1.6 服务支撑需求 . 6 二项目实施方案 6 2.1 技术安全风险评估 . 6 2.1.1 资产评估 6 2.1.2 操作系统平台安全评估 8 2.1.3 网络安全评估 10 2.1.4 渗透测试 12 2.2 管理风险评估 . 16 2.2.1 安全管理制度审计 16 2.2.2 业务流程管控安全评估 17 2.
2、3 评估工具 . 18 2.4 形成报告 . 19 一需求分析 1.1 背景分析 XX 的信息化建设正在朝着集中化和云化的方向发展,通过云计算技术的应 用把原来分散于各医院和分支机构的业务系统进行整合,实现基于云平台的业务 系统和数据集中部署, 从而解决了长期存在的大量信息孤岛问题,降低珍贵医疗 数据和商业数据的流失风险, 也为未来的集团医疗大数据分析和精准医疗服务打 下扎实的基础。 从原来分散式的信息孤岛到现在的云化集中部署,XX 的信息化环境正在发 生根本性的变化,带来节约人力成本、提高工作效率、减少管理漏洞、提高数据 准确性等诸多的好处。 当前,国内外数据安全事件层出不穷,网络信息安全环
3、境 日趋复杂,信息化环境的变化也同时带来了新的信息安全风险,总体来说包括以 下几个方面: 一、 实现系统和数据的集中化部署后,等于把原来分散的信息安全风险 也进行了集中, 一旦发生信息安全事故, 其影响将是全局性的。 比如 在原有的信息化环境下发生敏感数据泄漏,其泄漏范围只限于个别的 医院或分支机构。 而现在一旦发生数据泄漏, 泄漏范围会是全集团所 有医院和分支机构,直接和间接的损失不可同日而语。 二、 云计算是一种颠覆传统IT 架构的前沿技术,它可以增强协作,提高 敏捷性、可扩展性以及可用性。 还可以通过优化资源分配、 提高计算 效率来降低成本。这也意味着基于传统IT 架构的信息安全技术和产
4、 品往往不能再为云端系统和数据提供足够的防护能力。 三、 系统和数据的集中部署、云计算技术应用都要求建立可靠的信息安 全管理机制,改变原有的离散管理模型, 从管理规范和工作流程上实 现与现有集中模式的对接,降低因管理不当导致的信息安全风险。 1.2 项目目标 对 XX当前的信息化环境从管理和技术上进行充分的信息安全风险评估,并 依据风险评估结果制订相应的风险管控方案。具体建设内容包括: 1. 技术风险评估: 1)对现有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权 账号资产等进行安全风险评估; 2)对核心业务系统进行WEB 安全、数据安全、业务逻辑安全风险评估; 3) 对正在建设的云
5、计算基础平台架构及承载的操作系统进行安全风险评估; 4)渗透模拟黑客可能使用的攻击技术和漏洞发现技术,对业务系统进行授 权渗透测试, 对目标系统进行深入的探测,以发现系统最脆弱的环节、 可能被利 用的入侵点以及现网存在的安全隐患。 2. 管理风险评估 1)采用调查访谈并结合实地考察的形式,对数据中心和核心系统的安全管 理制度进行疏理和安全风险评估; 2)对业务管控制度和流程进行安全风险评估,采用阅读流程资料和相关人 员访谈的形式了解业务和系统内控制度和实现的业务流程,试用流程中涉及的软 件,察看各个业务控制点是否都得到有效的实施,各个接口的处理是否妥当, 监 督检查办法是否健全; 3. 信息安
6、全风险管控方案 其于上述风险评估结果, 针对具体的安全漏洞和风险设计管控方案,包括但 不限于安全漏洞加固方案、 信息安全管理规范优化提升方案、信息安全防护技术 解决方案等。 1.3 需求内容分析 1.3.1 技术风险评估需求分析 本项目对技术风险评估的内容要求主要是: 1、资产评估 资产评估对象不仅包括设备设施等物理资产,同时也包括敏感数据、 特权账 号等信息资产,其评估步骤如下: 第一步:通过资产识别,对重要资产做潜在价值分析,了解其资产利用、维 护和管理现状,并提交资产清单; 第二步:通过对资产的安全属性分析和风险评估,明确各类资产具备的保护 价值和需要的保护层次, 从而使企业能够更合理的
7、利用现有资产,更有效地进行 资产管理,更有针对性的进行资产保护,最具策略性的进行新的资产投入。 2、操作系统平台安全评估 针对资产清单中重要和核心的操作系统平台进行安全评估,完整、全面地发 现系统主机的漏洞和安全隐患。 3、网络拓扑、网络设备安全评估 针对资产清单中边界网络设备和部分核心网络设备,结合网络拓扑架构, 分 析存在的网络安全隐患。 4、应用系统安全评估(渗透测试): 通过模拟黑客可能使用的攻击技术和漏洞发现技术,对XX集团授权渗透测 试的目标系统进行深入的探测, 以发现系统最脆弱的环节、 可能被利用的入侵点 以及现网存在的安全隐患,并指导进行安全加固。 1.3.2管理风险评估需求分
8、析 1、安全管理制度审计: 通过调研重要和核心资产管理、关键业务及数据、 相关系统的基本信息、 现 有的安全措施等情况, 并了解目前 XX集团所实施的安全管理流程、 制度和策略, 分析目前 XX集团在安全管理上存在的不合理制度或漏洞。 2、业务管控安全评估: 通过调研业务系统内控制度和实现的业务流程,试用流程中涉及的软件, 察 看各个业务控制点是否都得到有效的实施,各个接口的处理是否妥当, 监督检查 办法是否健全,从而改进内控制度和业务流程的合理性和数据流的安全性。 1.4 时间进度需求 项目的时间需按照整体时间要求完成全部工作,并且需提交阶段性工作成 果。 1.5 考核要求 XX 集团将对项
9、目的交付成果和执行过程中的质量进行考核,考核结果将作 为最终结算的依据。考核办法将由XX 集团和项目服务提供方共同协商制定。 1.6 服务支撑需求 本项目的服务供应方需与XX 集团项目组成员组成项目团队, 并且共同完成 该项目所有工作。 项目团队采取紧密沟通的方式, 分为每周例会定期沟通和重大问题共同讨论 的沟通方式。 该项目的办公时间为5 天*8 小时/周;值班电话须 7 天*24 小时/周保持通话 畅通。交付成果需求 本项目在开展过程中需进行日报、 周报、 月报等相关工作计划与总结的提交, 并根据实际工作内容及时提交相应工作成果及报告。 二项目实施方案 2.1 技术安全风险评估 2.1.1
10、 资产评估 保护资产免受安全威胁是安全工程实施的根本目标。要做好这项工作, 首先 需要详细了解资产分类与管理的详细情况。 项目名称资产识别 简要描述采集资产信息,进行资产分类,划分资产重要级别; 达成目标 采集资产信息,进行资产分类,划分资产重要级别; 进一步明确评估的范围和重点; 主要内容 采集资产信息,获取资产清单; 进行资产分类划分; 确定资产的重要级别; 实现方式 填表式调查 资产调查表,包含计算机设备、通讯设备、存储及保障设备、 信息、软件等。 交流 ?审阅已有的针对资产的安全管理规章、制度; ?与高级主管、业务人员、网络管理员(系统管理员)等进 行交流。 工作条件 1-2 人工作环
11、境, 2 台 Win2000PC,电源和网络环境,客户人员和 资料配合 工作结果资产类别、资产重要级别; 参加人员 依据现场状况,由 XX集团提供现有资产清单,并由全体评估人员 在 XX 相关技术和管理人员的配合下进行资产分类调查。 项目名称风险评估 简要描述评估资产的安全等级和应给予的安全保护等级 达成目标 评估资产的安全等级; 评估资产应给予的安全保护等级; 主要内容 确定资产的安全等级; 对安全保障进行等级分类; 确定资产的应给予的保护级别; 实现方式 填表式调查: 资产调查表,包含计算机设备、通讯设备、存储及保障设备、 信息、软件等。 交流 ?审阅已有的针对资产的安全管理规章、制度;
12、?与高级主管、业务人员、网络管理员(系统管理员)等进 行交流。 工作条件 2-3 人工作环境, 3 台 Win2000PC,电源和网络环境,客户人员和 资料配合 工作结果 资产安全级别; 资产应给予的安全保障级别; 资产安全保障建议 参加人员 依据现场状况, 由全体评估人员在 XX集团相关技术和管理人员的 配合下进行。 2.1.2操作系统平台安全评估 2.1.2.1工具扫描 使用业界专业漏洞扫描软件, 根据已有的安全漏洞知识库, 模拟黑客的攻击 方法,检测主机操作系统存在的安全隐患和漏洞。 1、主要检测内容: 服务器主机操作系统内核、版本及补丁审计 服务器主机操作系统通用/默认应用程序安全性审
13、计 服务器主机后门检测 服务器主机漏洞检测 服务器主机安全配置审计 服务器主机用户权限审计 服务器主机口令审计 服务器主机文件系统安全性审计 操作系统内核的安全性 文件传输服务安全性 2、扫描策略 提供可定制扫描策略的策略编辑器。按照扫描强度, 默认的扫描策略模板包 括: ?高强度扫描 ?中强度扫描 ?低强度扫描 按照扫描的漏洞类别,默认的扫描策略模板包括: ?NetBIOS 漏洞扫描 ?Web&CGI 漏洞扫描 ?主机信息扫描 ?帐户扫描 ?端口扫描 ?数据库扫描 在远程扫描过程中, 将对远程扫描的目标按照操作系统类型和业务应用情况 进行分类,采用定制的安全的扫描策略。 2.1.2.2人工分
14、析 对于主要的操作系统, 安全专家将主要从下面几个方面来获取系统的运行信 息: 账号; 资源; 系统; 网络; 审核、日志和监控; 这些信息主要包括:网络状况、网络配置情况、用户账号、服务配置情况、 安全策略配置情况、文件系统情况、日志配置和纪录情况等。 在技术审计过程中, 安全服务专家将采用多种技术来进行信息收集,这些技 术包括: 审计评估工具:开发了自己的审计评估脚本工具,通过执行该工具,就 可以获取系统的运行信息。 常见后门分析工具:通过使用专业工具,检查系统是否存在木马后门 深层挖掘技术:通过安全专家的深层挖掘,检查系统是否被安装了 Rootkit 等很难被发现的后门程序 收集了系统信
15、息之后, 安全专家将对这些信息进行技术分析,审计的结果按 照评估对象和目标对结果从补丁管理、最小服务原则、 最大安全性原则、 用户管 理、口令管理、日志安全管理以及入侵管理七个方面进行归类处理并评分。 评估目标评估内容 补丁管理检查系统、应用的版本情况、补丁安装情况 最小服务原则 检查系统、应用的服务运行配置情况,察看是否遵循最小 服务原则 最大安全性原 则 检查系统是否进行了安全配置或者是否采用了恰当的安全 防护机制。 帐户安全管理 检查系统或应用中账号的配置情况,是否存在默认账号或 者不必要账号 口令安全管理检查系统的账号口令配置情况,是否有账号是弱口令。 日志安全管理 检查系统或应用的日
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 咨询 评估 方案 建议书
链接地址:https://www.31doc.com/p-5629444.html