信息安全咨询评估方案建议书.doc
《信息安全咨询评估方案建议书.doc》由会员分享,可在线阅读,更多相关《信息安全咨询评估方案建议书.doc(20页珍藏版)》请在咨信网上搜索。
1、XX集团信息安全咨询评估服务方案建议书目录一需求分析31.1 背景分析31.2 项目目标41.3 需求内容分析41.3.1 技术风险评估需求分析41.3.2 管理风险评估需求分析51.4 时间进度需求61.5 考核要求61.6 服务支撑需求6二项目实施方案62.1 技术安全风险评估62.1.1 资产评估62.1.2 操作系统平台安全评估82.1.3 网络安全评估102.1.4 渗透测试122.2 管理风险评估162.2.1 安全管理制度审计162.2.2 业务流程管控安全评估172.3 评估工具182.4 形成报告19一 需求分析1.1 背景分析XX的信息化建设正在朝着集中化和云化的方向发展,
2、通过云计算技术的应用把原来分散于各医院和分支机构的业务系统进行整合,实现基于云平台的业务系统和数据集中部署,从而解决了长期存在的大量信息孤岛问题,降低珍贵医疗数据和商业数据的流失风险,也为未来的集团医疗大数据分析和精准医疗服务打下扎实的基础。从原来分散式的信息孤岛到现在的云化集中部署,XX的信息化环境正在发生根本性的变化,带来节约人力成本、提高工作效率、减少管理漏洞、提高数据准确性等诸多的好处。当前,国内外数据安全事件层出不穷,网络信息安全环境日趋复杂,信息化环境的变化也同时带来了新的信息安全风险,总体来说包括以下几个方面:一、 实现系统和数据的集中化部署后,等于把原来分散的信息安全风险也进行
3、了集中,一旦发生信息安全事故,其影响将是全局性的。比如在原有的信息化环境下发生敏感数据泄漏,其泄漏范围只限于个别的医院或分支机构。而现在一旦发生数据泄漏,泄漏范围会是全集团所有医院和分支机构,直接和间接的损失不可同日而语。二、 云计算是一种颠覆传统IT架构的前沿技术,它可以增强协作,提高敏捷性、可扩展性以及可用性。还可以通过优化资源分配、提高计算效率来降低成本。这也意味着基于传统IT架构的信息安全技术和产品往往不能再为云端系统和数据提供足够的防护能力。三、 系统和数据的集中部署、云计算技术应用都要求建立可靠的信息安全管理机制,改变原有的离散管理模型,从管理规范和工作流程上实现与现有集中模式的对
4、接,降低因管理不当导致的信息安全风险。1.2 项目目标对XX当前的信息化环境从管理和技术上进行充分的信息安全风险评估,并依据风险评估结果制订相应的风险管控方案。具体建设内容包括:1.技术风险评估:1)对现有的信息系统、机房及基础网络资产和网络拓扑、数据资产、特权账号资产等进行安全风险评估;2)对核心业务系统进行WEB安全、数据安全、业务逻辑安全风险评估;3)对正在建设的云计算基础平台架构及承载的操作系统进行安全风险评估;4)渗透模拟黑客可能使用的攻击技术和漏洞发现技术,对业务系统进行授权渗透测试,对目标系统进行深入的探测,以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患。2.管
5、理风险评估1)采用调查访谈并结合实地考察的形式,对数据中心和核心系统的安全管理制度进行疏理和安全风险评估;2)对业务管控制度和流程进行安全风险评估,采用阅读流程资料和相关人员访谈的形式了解业务和系统内控制度和实现的业务流程,试用流程中涉及的软件,察看各个业务控制点是否都得到有效的实施,各个接口的处理是否妥当,监督检查办法是否健全;3. 信息安全风险管控方案其于上述风险评估结果,针对具体的安全漏洞和风险设计管控方案,包括但不限于安全漏洞加固方案、信息安全管理规范优化提升方案、信息安全防护技术解决方案等。1.3 需求内容分析1.3.1 技术风险评估需求分析本项目对技术风险评估的内容要求主要是:1、
6、 资产评估资产评估对象不仅包括设备设施等物理资产,同时也包括敏感数据、特权账号等信息资产,其评估步骤如下:第一步:通过资产识别,对重要资产做潜在价值分析,了解其资产利用、维护和管理现状,并提交资产清单;第二步:通过对资产的安全属性分析和风险评估,明确各类资产具备的保护价值和需要的保护层次,从而使企业能够更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,最具策略性的进行新的资产投入。2、 操作系统平台安全评估针对资产清单中重要和核心的操作系统平台进行安全评估,完整、全面地发现系统主机的漏洞和安全隐患。3、 网络拓扑、网络设备安全评估针对资产清单中边界网络设备和部分核心网络设备
7、,结合网络拓扑架构,分析存在的网络安全隐患。4、 应用系统安全评估(渗透测试):通过模拟黑客可能使用的攻击技术和漏洞发现技术,对XX集团授权渗透测试的目标系统进行深入的探测,以发现系统最脆弱的环节、可能被利用的入侵点以及现网存在的安全隐患,并指导进行安全加固。1.3.2 管理风险评估需求分析1、安全管理制度审计:通过调研重要和核心资产管理、关键业务及数据、相关系统的基本信息、现有的安全措施等情况,并了解目前XX集团所实施的安全管理流程、制度和策略,分析目前XX集团在安全管理上存在的不合理制度或漏洞。2、业务管控安全评估:通过调研业务系统内控制度和实现的业务流程,试用流程中涉及的软件,察看各个业
8、务控制点是否都得到有效的实施,各个接口的处理是否妥当,监督检查办法是否健全,从而改进内控制度和业务流程的合理性和数据流的安全性。1.4 时间进度需求项目的时间需按照整体时间要求完成全部工作,并且需提交阶段性工作成果。1.5 考核要求XX集团将对项目的交付成果和执行过程中的质量进行考核,考核结果将作为最终结算的依据。考核办法将由XX集团和项目服务提供方共同协商制定。1.6 服务支撑需求本项目的服务供应方需与XX集团项目组成员组成项目团队,并且共同完成该项目所有工作。项目团队采取紧密沟通的方式,分为每周例会定期沟通和重大问题共同讨论的沟通方式。该项目的办公时间为5天*8小时/周;值班电话须7天*2
9、4小时/周保持通话畅通。交付成果需求本项目在开展过程中需进行日报、周报、月报等相关工作计划与总结的提交,并根据实际工作内容及时提交相应工作成果及报告。二 项目实施方案2.1 技术安全风险评估2.1.1 资产评估保护资产免受安全威胁是安全工程实施的根本目标。要做好这项工作,首先需要详细了解资产分类与管理的详细情况。项目名称资产识别简要描述采集资产信息,进行资产分类,划分资产重要级别;达成目标u 采集资产信息,进行资产分类,划分资产重要级别;u 进一步明确评估的范围和重点;主要内容u 采集资产信息,获取资产清单;u 进行资产分类划分;u 确定资产的重要级别;实现方式u 填表式调查资产调查表,包含计
10、算机设备、通讯设备、存储及保障设备、信息、软件等。u 交流 审阅已有的针对资产的安全管理规章、制度; 与高级主管、业务人员、网络管理员(系统管理员)等进行交流。工作条件1-2人工作环境,2台Win2000PC,电源和网络环境,客户人员和资料配合工作结果资产类别、资产重要级别;参加人员依据现场状况,由XX集团提供现有资产清单,并由全体评估人员在XX相关技术和管理人员的配合下进行资产分类调查。项目名称风险评估简要描述评估资产的安全等级和应给予的安全保护等级达成目标u 评估资产的安全等级;u 评估资产应给予的安全保护等级;主要内容u 确定资产的安全等级;u 对安全保障进行等级分类;u 确定资产的应给
11、予的保护级别; 实现方式u 填表式调查:资产调查表,包含计算机设备、通讯设备、存储及保障设备、信息、软件等。u 交流 审阅已有的针对资产的安全管理规章、制度; 与高级主管、业务人员、网络管理员(系统管理员)等进行交流。工作条件2-3人工作环境,3台Win2000PC,电源和网络环境,客户人员和资料配合工作结果u 资产安全级别;u 资产应给予的安全保障级别;u 资产安全保障建议参加人员依据现场状况,由全体评估人员在XX集团相关技术和管理人员的配合下进行。2.1.2 操作系统平台安全评估2.1.2.1 工具扫描使用业界专业漏洞扫描软件,根据已有的安全漏洞知识库,模拟黑客的攻击方法,检测主机操作系统
12、存在的安全隐患和漏洞。1、主要检测内容:u 服务器主机操作系统内核、版本及补丁审计u 服务器主机操作系统通用/默认应用程序安全性审计u 服务器主机后门检测u 服务器主机漏洞检测u 服务器主机安全配置审计u 服务器主机用户权限审计u 服务器主机口令审计u 服务器主机文件系统安全性审计u 操作系统内核的安全性u 文件传输服务安全性2、扫描策略提供可定制扫描策略的策略编辑器。按照扫描强度,默认的扫描策略模板包括:高强度扫描中强度扫描低强度扫描按照扫描的漏洞类别,默认的扫描策略模板包括:NetBIOS漏洞扫描Web&CGI漏洞扫描主机信息扫描帐户扫描端口扫描数据库扫描在远程扫描过程中,将对远程扫描的目
13、标按照操作系统类型和业务应用情况进行分类,采用定制的安全的扫描策略。2.1.2.2 人工分析对于主要的操作系统,安全专家将主要从下面几个方面来获取系统的运行信息:u 账号;u 资源;u 系统;u 网络;u 审核、日志和监控;这些信息主要包括:网络状况、网络配置情况、用户账号、服务配置情况、安全策略配置情况、文件系统情况、日志配置和纪录情况等。在技术审计过程中,安全服务专家将采用多种技术来进行信息收集,这些技术包括:u 审计评估工具:开发了自己的审计评估脚本工具,通过执行该工具,就可以获取系统的运行信息。u 常见后门分析工具:通过使用专业工具,检查系统是否存在木马后门u 深层挖掘技术:通过安全专
14、家的深层挖掘,检查系统是否被安装了Rootkit等很难被发现的后门程序收集了系统信息之后,安全专家将对这些信息进行技术分析,审计的结果按照评估对象和目标对结果从补丁管理、最小服务原则、最大安全性原则、用户管理、口令管理、日志安全管理以及入侵管理七个方面进行归类处理并评分。评估目标评估内容补丁管理检查系统、应用的版本情况、补丁安装情况最小服务原则 检查系统、应用的服务运行配置情况,察看是否遵循最小服务原则最大安全性原则检查系统是否进行了安全配置或者是否采用了恰当的安全防护机制。帐户安全管理检查系统或应用中账号的配置情况,是否存在默认账号或者不必要账号口令安全管理检查系统的账号口令配置情况,是否有
15、账号是弱口令。日志安全管理检查系统或应用的日志配置情况,是否有严格的日志配置或者日志服务器。入侵管理检查系统的安全漏洞情况,以及是否被入侵等。这7个方面将能够充分体现系统目前的运行和安全现状。通过数字分数的形式,并结合资产的重要性,将能够很直观地表现出系统的情况。并且可以根据其中存在的缺陷,制定相应的解决办法。2.1.3 网络安全评估2.1.3.1 网络拓扑分析对XX集团网络结构进行全面的分析,发现网络结构存在的风险和安全问题以及对提供相应的调整建议。项目名称网络拓扑分析简要描述网络拓扑的风险评估是针对用户的网络结构进行分析,根据客户的安全需求查找相应的安全脆弱性,最终提交详尽的报告和相应的建
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 咨询 评估 方案 建议书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。