信息安全咨询评估方案建议书

Lelewaswrittenin2021信息安全咨询评估 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 建议书XX集团信息安全咨询评估服务方案建议书目录TOC\o"1-3"\h\z\u需求分析背景分析XX的信息化建设正在朝着集中化和云化的方向发展，通过云计算技术的应用把原来分散于各医院和分支机构的业务系统进行整合，实现基于云平台的业务系统和数据集中部署，从而解决了长期存在的大量信息孤岛问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ，降低珍贵医疗数据和商业数据的流失风险，也为未来的集团医疗大数据分析和精准医疗服务打下扎实的基础。从原来分散式的信息孤岛到现在的云化集中部署，XX的信息化环境正在发生根本性的变化，带来节约人力成本、提高工作效率、减少管理漏洞、提高数据准确性等诸多的好处。当前，国内外数据安全事件层出不穷，网络信息安全环境日趋复杂，信息化环境的变化也同时带来了新的信息安全风险，总体来说包括以下几个方面：实现系统和数据的集中化部署后，等于把原来分散的信息安全风险也进行了集中，一旦发生信息安全事故，其影响将是全局性的。比如在原有的信息化环境下发生敏感数据泄漏，其泄漏范围只限于个别的医院或分支机构。而现在一旦发生数据泄漏，泄漏范围会是全集团所有医院和分支机构，直接和间接的损失不可同日而语。云计算是一种颠覆传统IT架构的前沿技术，它可以增强协作，提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低成本。这也意味着基于传统IT架构的信息安全技术和产品往往不能再为云端系统和数据提供足够的防护能力。系统和数据的集中部署、云计算技术应用都要求建立可靠的信息安全管理机制，改变原有的离散管理模型，从管理规范和工作流程上实现与现有集中模式的对接，降低因管理不当导致的信息安全风险。项目目标对XX当前的信息化环境从管理和技术上进行充分的信息安全风险评估，并依据风险评估结果制订相应的风险管控方案。具体建设内容包括：1.技术风险评估：1）对现有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权账号资产等进行安全风险评估；2）对核心业务系统进行WEB安全、数据安全、业务逻辑安全风险评估；3）对正在建设的云计算基础平台架构及承载的操作系统进行安全风险评估；4）渗透模拟黑客可能使用的攻击技术和漏洞发现技术，对业务系统进行授权渗透测试，对目标系统进行深入的探测，以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患。2.管理风险评估1）采用调查访谈并结合实地考察的形式，对数据中心和核心系统的安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 进行疏理和安全风险评估；2）对业务管控制度和流程进行安全风险评估，采用阅读流程资料和相关人员访谈的形式了解业务和系统内控制度和实现的业务流程，试用流程中涉及的软件，察看各个业务控制点是否都得到有效的实施，各个接口的处理是否妥当，监督检查办法是否健全；3.信息安全风险管控方案其于上述风险评估结果，针对具体的安全漏洞和风险设计管控方案，包括但不限于安全漏洞加固方案、信息安全管理规范优化提升方案、信息安全防护技术解决方案等。需求内容分析技术风险评估需求分析本项目对技术风险评估的内容要求主要是：资产评估资产评估对象不仅包括设备设施等物理资产，同时也包括敏感数据、特权账号等信息资产，其评估步骤如下：第一步：通过资产识别，对重要资产做潜在价值分析，了解其资产利用、维护和管理现状，并提交资产清单；第二步：通过对资产的安全属性分析和风险评估，明确各类资产具备的保护价值和需要的保护层次，从而使企业能够更合理的利用现有资产，更有效地进行资产管理，更有针对性的进行资产保护，最具策略性的进行新的资产投入。操作系统平台安全评估针对资产清单中重要和核心的操作系统平台进行安全评估，完整、全面地发现系统主机的漏洞和安全隐患。网络拓扑、网络设备安全评估针对资产清单中边界网络设备和部分核心网络设备，结合网络拓扑架构，分析存在的网络安全隐患。应用系统安全评估（渗透测试）：通过模拟黑客可能使用的攻击技术和漏洞发现技术，对XX集团授权渗透测试的目标系统进行深入的探测，以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患，并指导进行安全加固。管理风险评估需求分析1、安全管理制度审计：通过调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现有的安全措施等情况，并了解目前XX集团所实施的安全管理流程、制度和策略，分析目前XX集团在安全管理上存在的不合理制度或漏洞。2、业务管控安全评估：通过调研业务系统内控制度和实现的业务流程，试用流程中涉及的软件，察看各个业务控制点是否都得到有效的实施，各个接口的处理是否妥当，监督检查办法是否健全，从而改进内控制度和业务流程的合理性和数据流的安全性。时间进度需求项目的时间需按照整体时间要求完成全部工作，并且需提交阶段性工作成果。考核要求XX集团将对项目的交付成果和执行过程中的质量进行考核，考核结果将作为最终结算的依据。考核办法将由XX集团和项目服务提供方共同协商制定。服务支撑需求本项目的服务供应方需与XX集团项目组成员组成项目团队，并且共同完成该项目所有工作。项目团队采取紧密沟通的方式，分为每周例会定期沟通和重大问题共同讨论的沟通方式。该项目的办公时间为5天*8小时/周；值班电话须7天*24小时/周保持通话畅通。交付成果需求本项目在开展过程中需进行日报、周报、月报等相关 工作计划 幼儿园家访工作计划关于小学学校工作计划班级工作计划中职财务部门工作计划下载关于学校后勤工作计划 与总结的提交，并根据实际工作内容及时提交相应工作成果及报告。项目实施方案技术安全风险评估资产评估保护资产免受安全威胁是安全工程实施的根本目标。要做好这项工作，首先需要详细了解资产分类与管理的详细情况。项目名称资产识别简要描述采集资产信息，进行资产分类，划分资产重要级别；达成目标采集资产信息，进行资产分类，划分资产重要级别；进一步明确评估的范围和重点；主要内容采集资产信息，获取资产清单；进行资产分类划分；确定资产的重要级别；实现方式填表式调查《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件1-2人工作环境，2台Win2000PC，电源和网络环境，客户人员和资料配合工作结果资产类别、资产重要级别；参加人员依据现场状况，由XX集团提供现有资产清单，并由全体评估人员在XX相关技术和管理人员的配合下进行资产分类调查。项目名称风险评估简要描述评估资产的安全等级和应给予的安全保护等级达成目标评估资产的安全等级；评估资产应给予的安全保护等级；主要内容确定资产的安全等级；对安全保障进行等级分类；确定资产的应给予的保护级别；实现方式填表式调查：《资产调查表》，包含计算机设备、通讯设备、存储及保障设备、信息、软件等。交流审阅已有的针对资产的安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件2-3人工作环境，3台Win2000PC，电源和网络环境，客户人员和资料配合工作结果资产安全级别；资产应给予的安全保障级别；资产安全保障建议参加人员依据现场状况，由全体评估人员在XX集团相关技术和管理人员的配合下进行。操作系统平台安全评估工具扫描使用业界专业漏洞扫描软件，根据已有的安全漏洞知识库，模拟黑客的攻击方法， 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 主机操作系统存在的安全隐患和漏洞。1、主要检测内容：服务器主机操作系统内核、版本及补丁审计服务器主机操作系统通用/默认应用程序安全性审计服务器主机后门检测服务器主机漏洞检测服务器主机安全配置审计服务器主机用户权限审计服务器主机口令审计服务器主机文件系统安全性审计操作系统内核的安全性文件传输服务安全性2、扫描策略提供可定制扫描策略的策略编辑器。按照扫描强度，默认的扫描策略模板包括：高强度扫描中强度扫描低强度扫描按照扫描的漏洞类别，默认的扫描策略模板包括：NetBIOS漏洞扫描Web&CGI漏洞扫描主机信息扫描帐户扫描端口扫描数据库扫描在远程扫描过程中，将对远程扫描的目标按照操作系统类型和业务应用情况进行分类，采用定制的安全的扫描策略。人工分析对于主要的操作系统，安全专家将主要从下面几个方面来获取系统的运行信息：账号；资源；系统；网络；审核、日志和监控；这些信息主要包括：网络状况、网络配置情况、用户账号、服务配置情况、安全策略配置情况、文件系统情况、日志配置和纪录情况等。在技术审计过程中，安全服务专家将采用多种技术来进行信息收集，这些技术包括：审计评估工具：开发了自己的审计评估脚本工具，通过执行该工具，就可以获取系统的运行信息。常见后门分析工具：通过使用专业工具，检查系统是否存在木马后门深层挖掘技术：通过安全专家的深层挖掘，检查系统是否被安装了Rootkit等很难被发现的后门程序收集了系统信息之后，安全专家将对这些信息进行技术分析，审计的结果按照评估对象和目标对结果从补丁管理、最小服务原则、最大安全性原则、用户管理、口令管理、日志安全管理以及入侵管理七个方面进行归类处理并评分。评估目标评估内容补丁管理检查系统、应用的版本情况、补丁安装情况最小服务原则检查系统、应用的服务运行配置情况，察看是否遵循最小服务原则最大安全性原则检查系统是否进行了安全配置或者是否采用了恰当的安全防护机制。帐户安全管理检查系统或应用中账号的配置情况，是否存在默认账号或者不必要账号口令安全管理检查系统的账号口令配置情况，是否有账号是弱口令。日志安全管理检查系统或应用的日志配置情况，是否有严格的日志配置或者日志服务器。入侵管理检查系统的安全漏洞情况，以及是否被入侵等。这7个方面将能够充分体现系统目前的运行和安全现状。通过数字分数的形式，并结合资产的重要性，将能够很直观地表现出系统的情况。并且可以根据其中存在的缺陷，制定相应的解决办法。网络安全评估网络拓扑分析对XX集团网络结构进行全面的分析，发现网络结构存在的风险和安全问题以及对提供相应的调整建议。项目名称网络拓扑分析简要描述网络拓扑的风险评估是针对用户的网络结构进行分析，根据客户的安全需求查找相应的安全脆弱性，最终提交详尽的报告和相应的建议。达成目标通过网络结构的风险评估，可以知悉当前网络结构的安全脆弱性主要内容调查安全需求分析网络结构当前网络结构的安全脆弱性可能存在的安全风险网络结构中需要改进的方面网络安全域评估分析实现方式信息收集调查分析交流现场查看工作条件1-2人工作环境，2台WindowsPC，电源和网络环境，客户人员和资料配合工作结果网络结构分析结果参加人员评估小组，XX集团网络管理人员、系统管理人员、数据库管理人员网络设备安全评估对网络设备（路由、交换、防火墙等）的安全评估，是对网络设备的功能、设置、管理、环境、弱点、漏洞等进行全面的评估。1、评估条件评估前需要明确以下内容：网络设备配置；网络设备及周围设备在网络上的名字和IP地址；网络设备网络连接情况（网络设备每个网络界面的IP和邻近设备）；2、评估内容查看网络设备的配置、环境、和运行情况。至少包括以下几个方面：网络设备的操作系统及版本；检查网络设备的规则检查；对网络设备实施攻击测验，以测验网络设备的真实安全性。这需要最谨慎从事；3、评估结果提供策略变更建议提供日志管理建议提供审计服务渗透测试测试流程本次项目，将按照以下渗透性测试步骤及流程对XX集团授权的应用系统进行渗透性测试：渗透性测试步骤与流程图1、内部计划制定、二次确认根据XX集团委托范围和时间，并结合前一步初步的信息收集得到的设备存活情况、网络拓扑情况以及扫描得到的服务开放情况、漏洞情况制定内部的详细实施计划。具体包括每个地址下一步可能采用的测试手段，详细时间安排。并将以下一步工作的计划和时间安排与XX集团进行确认。2、取得权限、提升权限通过初步的信息收集分析，存在两种可能性，一种是目标系统存在重大的安全弱点，测试可以直接控制目标系统；另一种是目标系统没有重大的安全弱点，但是可以获得普通用户权限，这时可以通过该普通用户权限进一步收集目标系统信息。接下来尽最大努力取得超级用户权限、收集目标主机资料信息，寻求本地权限提升的机会。这样不停地进行信息收集分析、权限提升的结果形成了整个的渗透性测试过程。测试内容和方法1、测试内容通过采用适当测试手段，发现测试目标在系统认证及授权、代码审查、被信任系统的测试、文件接口模块、应急流程测试、信息安全、报警响应等方面存在的安全漏洞，并现场演示再现利用该漏洞可能造成的损失，并提供避免或防范此类威胁、风险或漏洞的具体改进或加固措施。2、测试方法渗透测试的方法比较多，主要包括端口扫描，漏洞扫描，拓扑发现，口令破解，本地或远程溢出以及脚本测试等方法。这些方法有的有工具，有的需要手工操作，和具体的操作人员习惯管理比较大。本次项目，根据获取的信息制定渗透性测试计划并取得XX集团同意后，具体的渗透性测试过程将按照以下渗透性测试技术流程图进行。渗透性测试技术流程图信息的收集和分析伴随着每一个渗透性测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。（1）网络信息搜集信息收集是每一步渗透攻击的前提，通过信息收集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效地降低攻击测试对系统正常运行造成地不利影响。信息收集的方法包括PingSweep、DNSSweep、DNSzonetransfer、操作系统指纹判别、应用判别、账号扫描、配置判别等。信息收集常用的工具包括商业网络安全漏洞扫描软件（如，天镜等），免费安全检测工具（如，NMAP、NESSUS等）。操作系统内置的许多功能（如,TELNET、NSLOOKUP、IE等）也可以作为信息收集的有效工具。（2）端口扫描通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透性测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在以及被利用的安全弱点，为进行深层次的渗透提供依据。（3）远程溢出这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。对于在防火墙内的系统存在同样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。（4）口令猜测口令猜测也是一种出现概率很高的风险，几乎不需要任何攻击工具，利用一个简单的暴力攻击程序和一个比较完善的字典，就可以猜测口令。对一个系统账号的猜测通常包括两个方面：首先是对用户名的猜测，其次是对密码的猜测。（5）本地溢出所谓本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户的密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。（6）脚本测试脚本测试专门针对Web服务器进行。根据最新的技术统计，脚本安全弱点为当前Web系统尤其存在动态内容的Web系统存在的主要比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web系统，脚本测试将是必不可少的一个环节。风险控制措施本次项目，为了保证渗透性测试不对XX集团AGIS网络和系统造成不必要的影响，建议本次渗透性测试采取以下方式进行风险控制。1、工具选择为防止造成真正的攻击，本次渗透性测试项目，会严格选择测试工具，杜绝因工具选择不当造成的将病毒和木马植入的情况发生。2、时间选择为减轻渗透性测试对XX集团网络和系统的影响，本次渗透性测试项目，建议在晚上业务不繁忙时进行。3、策略选择为防止渗透性测试造成XX集团网络和系统的服务中断，建议在渗透性测试中不使用含有拒绝服务的测试策略。4、有效沟通本次项目，建议：在工程实施过程中，确定不同阶段的测试人员以及客户方的配合人员，建立直接沟通的渠道，并在工程出现难题的过程中保持合理沟通。评估团队的高级安全专家在客户可控的范围内，完成对目标系统的渗透测试工作，并做出详细的记录，最终形成《渗透测试报告》。报告对渗透测试过程中发现的脆弱性进行细致的分析、描述脆弱性对整个系统造成的潜在危害以及基本的修补建议等等。管理风险评估安全管理制度审计项目名称安全管理制度审计简要描述通过对信息安全管理策略的分析，发现制度缺陷。达成目标调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现有的安全措施等情况，并了解目前业务支持中心系统所实施的安全管理流程、制度和策略；分析目前业务支持中心系统在安全管理上存在的不合理制度或漏洞并提出整改意见；主要内容调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现有的安全措施等情况，形成安全现状报告；收集安全管理制度，形成安全策略清单；分析安全管理制度缺陷；分析报告提交整改意见；实现方式收集向各业务单元收集信息安全管理制度并提交风险评估小组。评审分析安全管理规章、制度；与高级主管、业务人员、网络管理员（系统管理员）等进行交流。工作条件2-3人工作环境，2台桌面电脑(WINDOWS操作系统)，电源和网络环境，客户人员和资料配合工作结果安全管理策略缺陷分析报告和整改意见；参加人员XX集团安全管理人员、安全评估小组成员。业务流程管控安全评估项目名称业务流程管控安全评估简要描述通过对业务流程管控的分析，评估内控制度和业务流程的过程是否合理，发现流程缺陷，保障数据流安全。达成目标通过调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现有的安全措施等情况，并了解目前业务支持中心系统所实施的安全管理流程、制度和策略，分析目前业务支持中心系统在安全管理上存在的不合理制度或漏洞并提出整改意见；主要内容调研了解XX集团业务系统内控制度调研了解业务流程、控制点、接口等；收集整理流程管控和检查制度；分析业务流程管控制度缺陷；分析报告提交业务流程管控整改意见；实现方式收集向各业务单元收集业务流程管控资料并提交风险评估小组。访谈与高级主管、业务人员、安全管理员等进行交流。工作条件2-3人工作环境，2台桌面电脑(WINDOWS操作系统)，电源和网络环境，客户人员和资料配合工作结果安全管理策略缺陷分析报告和整改意见；参加人员XX集团安全管理人员、安全评估小组成员。评估工具工具自动评估指的是用各种商用安全评估系统或扫描器，根据其内置的评估内容、测试方法、评估策略及相关数据库信息，从系统内部对主机系统进行一系列的设置检查，使其可预防潜在安全风险问题，如易猜出的密码、用户权限、用户设置、关键文件权限设置、路径设置、密码设置、网络服务配置、应用程序的可信性、服务器设置以及其他含有攻击隐患的可疑点等。它也可以找出黑客攻破系统的迹象，并提出修补建议。此类产品的评估对象是操作系统。本地安全自动评估产品的优点在于能够明显降低安全评估的工作量，自动化程度高，报表功能较为强大，有的还具备一定的智能分析和数据库升级功能。形成报告最终提交的文档包括：《XX集团信息资产安全评估报告》《XX集团主机操作系统安全评估报告》《XX集团网络结构安全现状报告》《XX集团网络设备安全评估报告》《XX集团应用系统渗透测试报告》《XX集团安全管理制度风险评估报告》《XX集团业务流程管控安全风险评估报告》