1、 TITLE * MERGEFORMAT *信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估服務(wù)方案 文檔編號(hào) DOCPROPERTY 文檔編號(hào) * MERGEFORMAT NSF-XA-G-S-0801 密級(jí) DOCPROPERTY 密級(jí) * MERGEFORMAT 商業(yè)秘密 版本編號(hào)1.0 日期2008-8-7 DATE yyyy * MERGEFORMAT 2009 綠盟科技 版權(quán)聲明本文中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，除另有特別注明，版權(quán)均屬 DOCPROPERTY Company * MERGEFORMAT 綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個(gè)人、機(jī)構(gòu)未經(jīng) DOCPROP

2、ERTY Company * MERGEFORMAT 綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。 版本變更記錄時(shí)間版本說(shuō)明修改人2008-08-71.0文檔創(chuàng)建張晟 適用性聲明本文檔是北京神州綠盟科技有限公司（以下簡(jiǎn)稱：綠盟科技）為陜西省地方稅務(wù)局（以下簡(jiǎn)稱：*）所撰寫的安全評(píng)估服務(wù)方案書，僅供*相關(guān)項(xiàng)目人員參考。 目 錄 TOC h z t 附錄1（綠盟科技）,1,附錄2（綠盟科技）,2,附錄3（綠盟科技）,3,附錄4（綠盟科技）,4,標(biāo)題 1（綠盟科技）,1,標(biāo)題 2（綠盟科技）,2,標(biāo)題 3（綠盟科技）,3 HYPERLINK l _Toc205959847一. 項(xiàng)

3、目簡(jiǎn)介 PAGEREF _Toc205959847 h 1HYPERLINK l _Toc205959848二. 項(xiàng)目范圍 PAGEREF _Toc205959848 h 1HYPERLINK l _Toc205959849三. 方案設(shè)計(jì)原則與依據(jù) PAGEREF _Toc205959849 h 1HYPERLINK l _Toc2059598503.1 方案設(shè)計(jì)原則 PAGEREF _Toc205959850 h 1HYPERLINK l _Toc2059598513.2 方案設(shè)計(jì)依據(jù) PAGEREF _Toc205959851 h 2HYPERLINK l _Toc205959852 方案

4、設(shè)計(jì)理論模型 PAGEREF _Toc205959852 h 2HYPERLINK l _Toc205959853 方案設(shè)計(jì)依據(jù)標(biāo)準(zhǔn)及規(guī)范 PAGEREF _Toc205959853 h 3HYPERLINK l _Toc205959854四. 方案設(shè)計(jì)思路 PAGEREF _Toc205959854 h 4HYPERLINK l _Toc205959855五. 安全評(píng)估服務(wù)的范圍 PAGEREF _Toc205959855 h 5HYPERLINK l _Toc205959856六. 安全評(píng)估服務(wù)手段 PAGEREF _Toc205959856 h 6HYPERLINK l _Toc2059

5、598576.1 遠(yuǎn)程安全評(píng)估 PAGEREF _Toc205959857 h 6HYPERLINK l _Toc2059598586.2 人工安全檢查 PAGEREF _Toc205959858 h 7HYPERLINK l _Toc2059598596.3 網(wǎng)絡(luò)構(gòu)架分析 PAGEREF _Toc205959859 h 8HYPERLINK l _Toc2059598606.4 應(yīng)用系統(tǒng)調(diào)研 PAGEREF _Toc205959860 h 8HYPERLINK l _Toc205959861七. 安全評(píng)估服務(wù)流程 PAGEREF _Toc205959861 h 8HYPERLINK l _T

6、oc2059598627.1 明確評(píng)估范圍 PAGEREF _Toc205959862 h 9HYPERLINK l _Toc2059598637.2 評(píng)估前培訓(xùn) PAGEREF _Toc205959863 h 9HYPERLINK l _Toc2059598647.3 資產(chǎn)識(shí)別與估價(jià) PAGEREF _Toc205959864 h 9HYPERLINK l _Toc2059598657.4 系統(tǒng)業(yè)務(wù)流程調(diào)研 PAGEREF _Toc205959865 h 9HYPERLINK l _Toc2059598667.5 脆弱性評(píng)估 PAGEREF _Toc205959866 h 10HYPERLI

7、NK l _Toc2059598677.6 風(fēng)險(xiǎn)分析 PAGEREF _Toc205959867 h 10HYPERLINK l _Toc2059598687.7 風(fēng)險(xiǎn)管理 PAGEREF _Toc205959868 h 10HYPERLINK l _Toc205959869八. 結(jié)束語(yǔ) PAGEREF _Toc205959869 h 11項(xiàng)目簡(jiǎn)介為了更好的發(fā)現(xiàn)并了解*信息系統(tǒng)的安全現(xiàn)狀，為日后保障陜西省地方稅務(wù)局的稅務(wù)信息系統(tǒng)安全投資的有效性，陜西省地方稅務(wù)局準(zhǔn)備啟動(dòng)本項(xiàng)目。綠盟科技針對(duì)*本次項(xiàng)目的具體要求，特制定本安全評(píng)估方案，通過(guò)安全風(fēng)險(xiǎn)評(píng)估幫助*系統(tǒng)的了解稅務(wù)信息系統(tǒng)的安全技術(shù)現(xiàn)狀與安

8、全管理現(xiàn)狀。項(xiàng)目范圍本次對(duì)*信息系統(tǒng)的安全評(píng)估范圍是涉及到陜西省地稅稅務(wù)信息系統(tǒng)的主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)以及管理運(yùn)行維護(hù)體系。本方案中，涉及的主要評(píng)估對(duì)象有：*省中心服務(wù)器主機(jī)系統(tǒng)*省中心服務(wù)器維護(hù)管理PC系統(tǒng)*省中心網(wǎng)絡(luò)設(shè)備*省中心信息安全設(shè)備*省中心信息系統(tǒng)的管理制度方案設(shè)計(jì)原則與依據(jù)在本方案中綠盟科技主要針對(duì)稅務(wù)信息系統(tǒng)的維護(hù)、管理方面進(jìn)行整體的評(píng)估方案的撰寫。方案設(shè)計(jì)原則綠盟科技安全評(píng)估服務(wù)將遵循以下相關(guān)原則，保障準(zhǔn)確的達(dá)到評(píng)估目的。標(biāo)準(zhǔn)性原則：綠盟科技安全評(píng)估服務(wù)的相關(guān)方案、文檔、內(nèi)容以及安全評(píng)估服務(wù)的實(shí)施將依據(jù)國(guó)內(nèi)或國(guó)際以及行業(yè)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。規(guī)范性原則：綠盟科技在項(xiàng)

9、目實(shí)施過(guò)程中，將嚴(yán)格按照相關(guān)質(zhì)量控制體系的規(guī)范進(jìn)行安全評(píng)估實(shí)施?？煽匦栽瓌t：綠盟科技的評(píng)估的工具、方法和過(guò)程將采用雙方確定、雙方認(rèn)可的方式進(jìn)行評(píng)估，評(píng)估服務(wù)的進(jìn)度安排將依照計(jì)劃進(jìn)行相關(guān)安全評(píng)估，保證*與綠盟科技對(duì)于評(píng)估工作的可控性。整體性原則：綠盟科技的安全評(píng)估方案設(shè)計(jì)中，遵照整體性原則進(jìn)行設(shè)計(jì)，根據(jù)該方案所設(shè)計(jì)的評(píng)估流程與評(píng)估內(nèi)容所產(chǎn)生的風(fēng)險(xiǎn)評(píng)估結(jié)果，具備較好的覆蓋性。最小影響原則：綠盟科技的評(píng)估工作采取盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行的方式進(jìn)行，盡可能不對(duì)正在的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)擁塞、服務(wù)中斷，如無(wú)法避免出現(xiàn)這些情況會(huì)在風(fēng)險(xiǎn)提示報(bào)告上詳細(xì)描述）。

10、保密原則：綠盟科技安全評(píng)估工作將進(jìn)行嚴(yán)格的信息保密制度，綠盟科技將對(duì)信息安全評(píng)估的內(nèi)容、評(píng)估的結(jié)果以及相關(guān)內(nèi)容進(jìn)行嚴(yán)格保密，并簽署相應(yīng)的保密協(xié)議。方案設(shè)計(jì)依據(jù)方案設(shè)計(jì)理論模型依照信息系統(tǒng)風(fēng)險(xiǎn)管理的具體要求，信息安全建設(shè)的過(guò)程必須從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等各個(gè)方面進(jìn)行全方位的保護(hù)。因此一個(gè)有效的安全評(píng)估過(guò)程也同樣需要對(duì)信息系統(tǒng)安全的各個(gè)方面全方位考慮。因此，綠盟科技在進(jìn)行安全評(píng)估的方案設(shè)計(jì)時(shí)，主要通過(guò)了以下的模型與思想，進(jìn)行安全評(píng)估的方案指導(dǎo)設(shè)計(jì)。安全需求安全目標(biāo)OTPAPTRAPDR機(jī)構(gòu)建設(shè)人員管理制度管理資產(chǎn)管理物理管理技術(shù)管理風(fēng)險(xiǎn)管理安全評(píng)估安全防護(hù)入侵檢測(cè)應(yīng)急恢復(fù)組織體系管理體系技

11、術(shù)體系信息系統(tǒng)安全體系架構(gòu)Information System Security Framework整體安全保障體系建設(shè)模型綠盟科技在進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估方案設(shè)計(jì)時(shí)，嚴(yán)格遵循信息安全保障體系幾建設(shè)模型，從組織體系、管理體系、技術(shù)體系多方面來(lái)進(jìn)行信息系統(tǒng)現(xiàn)狀的調(diào)研、分析，根據(jù)稅務(wù)稅務(wù)信息系統(tǒng)的業(yè)務(wù)特點(diǎn)，安全特點(diǎn)進(jìn)行細(xì)致的分析。另外，綠盟科技在進(jìn)行安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，貫徹等級(jí)化思想，針對(duì)不同業(yè)務(wù)系統(tǒng)的安全需求等級(jí)，來(lái)確定某一安全區(qū)域的安全機(jī)制是否服務(wù)該安全等級(jí)的要求。通過(guò)等級(jí)化思想，可以良好的避免安全體系建設(shè)中投資的浪費(fèi)，提高安全投資的有效性。方案設(shè)計(jì)依據(jù)標(biāo)準(zhǔn)及規(guī)范任何信息系統(tǒng)的安全建設(shè)均需要符合

12、所處行業(yè)的相關(guān)標(biāo)準(zhǔn)，因此，綠盟科技在設(shè)計(jì)本方案時(shí)，依照了目前國(guó)際、國(guó)內(nèi)對(duì)信息安全評(píng)估的主要要求，以及在行業(yè)內(nèi)部對(duì)信息安全的整體建設(shè)思路進(jìn)行安全評(píng)估方案的設(shè)計(jì)。綠盟科技在本次安全評(píng)估方案設(shè)計(jì)時(shí)主要遵循了以下的一些標(biāo)準(zhǔn)：信息安全管理標(biāo)準(zhǔn)ISO17799（GB/T19716）、ISO27001信息安全管理指南ISO 13335（GB/T19715)信息安全通用準(zhǔn)則ISO 15408（GB/T18336） 系統(tǒng)安全工程能力成熟模型SSE-CMM 國(guó)家信息中心風(fēng)險(xiǎn)評(píng)估指南國(guó)家信息中心風(fēng)險(xiǎn)管理指南計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB17859）計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)相關(guān)規(guī)范（GB/T 20269 、G

13、B/T 20270 、GB/T 20271 、GB/T 20272 、GB/T 20273 等）國(guó)家稅務(wù)總局關(guān)于加強(qiáng)稅務(wù)信息系統(tǒng)安全風(fēng)險(xiǎn)管理工作的意見(jiàn)（國(guó)稅函【2008】308號(hào)）其他相關(guān)標(biāo)準(zhǔn)（AS/NZS 4360，GAO/AIMD-00-33， GAO/AIMD-98-68， BSI PD3000 ，GB/T17859，IATF）方案設(shè)計(jì)思路在本方案設(shè)計(jì)中，綠盟科技的主要設(shè)計(jì)思路是為了更好的發(fā)現(xiàn)*網(wǎng)絡(luò)信息系統(tǒng)所存在的安全問(wèn)題，以及發(fā)現(xiàn)安全威脅的可能性。從標(biāo)準(zhǔn)化的安全管理要求中，滿足信息系統(tǒng)的安全風(fēng)險(xiǎn)的發(fā)現(xiàn)、定量、定性的評(píng)估。并最終根據(jù)通用的優(yōu)化標(biāo)準(zhǔn)，為*提出合理化的安全建議。本方案所選擇的

14、安全評(píng)估服務(wù)模塊主要從物理網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理五個(gè)方面，對(duì)稅務(wù)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。物理上，主要了解目前*信息系統(tǒng)在防塵、防靜電、防火、防漏水等多個(gè)方面進(jìn)行評(píng)估，了解目前*稅務(wù)信息系統(tǒng)的具體安全狀況。網(wǎng)絡(luò)上，通過(guò)網(wǎng)絡(luò)設(shè)備的手工檢查了解目前網(wǎng)絡(luò)設(shè)備的信息、了解信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備在系統(tǒng)漏洞、系統(tǒng)配置上是否存在安全問(wèn)題；另外通過(guò)網(wǎng)絡(luò)構(gòu)架分析了解網(wǎng)絡(luò)在業(yè)務(wù)連續(xù)性、數(shù)據(jù)存儲(chǔ)、傳輸?shù)陌踩赃M(jìn)行系統(tǒng)的安全評(píng)估。在系統(tǒng)方面，綠盟科技安全專家采用遠(yuǎn)程安全評(píng)估、人工安全檢查等多個(gè)方面進(jìn)行系統(tǒng)的安全評(píng)估，了解系統(tǒng)在配置、使用以及系統(tǒng)自身的脆弱性上進(jìn)行細(xì)致的安全評(píng)估。應(yīng)用上主要通過(guò)人工安全檢查了解應(yīng)用中各個(gè)信息系

15、統(tǒng)的整體安全狀況，另外，根據(jù)信息系統(tǒng)的業(yè)務(wù)調(diào)研和訪談過(guò)程，了解應(yīng)用中所涉及到的各個(gè)安全狀況、安全解決方式方法。管理上，主要中ISO17799的11個(gè)方面對(duì)*的安全現(xiàn)狀進(jìn)行分析。通過(guò)對(duì)*的具體安全管理策略與安全措施的了解，分析出*在管理方面所存在的安全漏洞與潛在風(fēng)險(xiǎn)，管理上采用的主要方式為管理問(wèn)卷調(diào)查、訪談、管理文檔分析。安全評(píng)估服務(wù)的范圍依照*目前的網(wǎng)絡(luò)狀況，建議*在進(jìn)行安全評(píng)估中，采用多期分網(wǎng)絡(luò)層次的安全評(píng)估服務(wù)，即在進(jìn)行安全評(píng)估服務(wù)時(shí)，采用分節(jié)點(diǎn)、分層次的進(jìn)行信息安全評(píng)估。依照目前*的網(wǎng)絡(luò)現(xiàn)狀，綠盟科技建議在一期階段，針對(duì)省中心進(jìn)行安全評(píng)估，而后續(xù)再分別正對(duì)地市中心以及縣中心進(jìn)行安全評(píng)估。

16、省中心網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示：依照綠盟科技建議，本次評(píng)估將直接針對(duì)*的省中心網(wǎng)絡(luò)進(jìn)行安全評(píng)估，包括了省中心的Internet接入?yún)^(qū)、稅務(wù)內(nèi)網(wǎng)辦公網(wǎng)以及Intranet節(jié)點(diǎn)。內(nèi)部辦公網(wǎng)絡(luò)服務(wù)器區(qū)、小型機(jī)區(qū)。安全評(píng)估服務(wù)手段在安全評(píng)估中，所采取的評(píng)估方式針對(duì)不同的評(píng)估方式，將直接影響到評(píng)估結(jié)果，綠盟科技將采用以下的評(píng)估方式進(jìn)行安全評(píng)估，發(fā)現(xiàn)目前*稅務(wù)信息系統(tǒng)的安全狀況。遠(yuǎn)程安全評(píng)估為了充分了解*稅務(wù)信息系統(tǒng)當(dāng)前存在的安全隱患，保障進(jìn)一步提供*各個(gè)業(yè)務(wù)主機(jī)系統(tǒng)的具體安全漏洞情況，綠盟科技將采用“極光”遠(yuǎn)程安全評(píng)估系統(tǒng)對(duì)*相關(guān)設(shè)備、服務(wù)器系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行掃描，并檢查網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)和其上提供的服務(wù)的

17、安全脆弱性，識(shí)別被攻擊者可能用來(lái)非法進(jìn)入網(wǎng)絡(luò)的漏洞，主動(dòng)發(fā)現(xiàn)安全問(wèn)題。在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費(fèi)低、效果好、見(jiàn)效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)獨(dú)立、安裝運(yùn)行簡(jiǎn)單，可以大規(guī)模減少安全管理員的手工勞動(dòng)。安全掃描技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上的風(fēng)險(xiǎn)與漏洞，而后者則是通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其他主機(jī)的安全風(fēng)險(xiǎn)與漏洞。在本項(xiàng)目中，安全掃描主要是通過(guò)評(píng)估工具以遠(yuǎn)程掃描的方式對(duì)評(píng)估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進(jìn)行安全掃描，來(lái)查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)和用戶賬號(hào)/口令等安全對(duì)象目標(biāo)存在的安全風(fēng)險(xiǎn)、漏洞和威脅。從網(wǎng)絡(luò)層次的角度來(lái)看，掃描涉及了如下三個(gè)層面的安全問(wèn)題。1系

18、統(tǒng)層安全：該層的安全問(wèn)題來(lái)自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNIX系列、Linux系列、Windows NT系列以及專用操作系統(tǒng)等。安全性問(wèn)題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問(wèn)題。身份認(rèn)證：通過(guò)telnet進(jìn)行口令猜測(cè)訪問(wèn)控制：注冊(cè)表 HKEY_LOCAL_MACHINE 普通用戶可寫，遠(yuǎn)程主機(jī)允許匿名FTP登錄，ftp服務(wù)器存在匿名可寫目錄系統(tǒng)漏洞：System V系統(tǒng)Login遠(yuǎn)程緩沖區(qū)溢出漏洞，Microsoft Windows Locator服務(wù)遠(yuǎn)程緩沖區(qū)溢出漏洞安全配置問(wèn)題：部分SMB用戶存在薄弱口令，試圖使用rsh

19、登錄進(jìn)入遠(yuǎn)程系統(tǒng)2網(wǎng)絡(luò)層安全：該層的安全問(wèn)題主要指網(wǎng)絡(luò)信息的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問(wèn)控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全，入侵檢測(cè)的手段等。域名系統(tǒng)：ISC BIND SIG資源記錄無(wú)效過(guò)期時(shí)間拒絕服務(wù)攻擊漏洞，Microsoft Windows NT DNS拒絕服務(wù)攻擊路由器：Cisco IOS Web配置接口安全認(rèn)證可被繞過(guò)，Nortel交換機(jī)/路由器缺省口令漏洞，華為網(wǎng)絡(luò)設(shè)備沒(méi)有設(shè)置口令3應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫(kù)軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應(yīng)

20、用網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。數(shù)據(jù)庫(kù)軟件：Oracle tnslsnr沒(méi)有設(shè)置口令，Microsoft SQL Server 2000 Resolution服務(wù)多個(gè)安全漏洞Web服務(wù)器：Apache Mod_SSL/Apache-SSL遠(yuǎn)程緩沖區(qū)溢出漏洞，Microsoft IIS 5.0 .printer ISAPI遠(yuǎn)程緩沖區(qū)溢出，Sun ONE/iPlanet Web服務(wù)程序分塊編碼傳輸漏洞電子郵件系統(tǒng)：Sendmail頭處理遠(yuǎn)程溢出漏洞，Microsoft Windows 2000 SMTP服務(wù)認(rèn)證錯(cuò)誤漏洞防火墻及應(yīng)用網(wǎng)管系統(tǒng)：Axent Raptor防火墻拒絕服務(wù)漏洞

21、其它網(wǎng)絡(luò)服務(wù)系統(tǒng)：Wingate POP3 USER命令遠(yuǎn)程溢出漏洞，Linux系統(tǒng)LPRng遠(yuǎn)程格式化串漏洞人工安全檢查僅僅通過(guò)掃描是不能夠及時(shí)的發(fā)現(xiàn)目前網(wǎng)絡(luò)中各個(gè)主機(jī)、網(wǎng)絡(luò)設(shè)備的具體安全狀況。因此需要通過(guò)其他的輔助手段對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備的安全狀況進(jìn)行更為細(xì)致的判斷。人工安全檢查采用人工方式對(duì)被評(píng)估主機(jī)、網(wǎng)絡(luò)設(shè)備以及安全產(chǎn)品進(jìn)行配置信息獲取，并對(duì)信息進(jìn)行詳細(xì)的分析，了解被評(píng)估系統(tǒng)的脆弱點(diǎn)與安全風(fēng)險(xiǎn)。人工安全檢查的主要內(nèi)容為：路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的配置是否最優(yōu)，是否配置了安全參數(shù)；主機(jī)系統(tǒng)的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強(qiáng)；終端設(shè)備的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強(qiáng);對(duì)防火墻

22、、入侵檢測(cè)、SUS、SMS等安全產(chǎn)品安全策略及其日志進(jìn)行分析。網(wǎng)絡(luò)構(gòu)架分析網(wǎng)絡(luò)構(gòu)架分析是綠盟科技在進(jìn)行安全評(píng)估時(shí)，針對(duì)網(wǎng)絡(luò)構(gòu)架、網(wǎng)絡(luò)體系等進(jìn)行細(xì)致的分析，網(wǎng)絡(luò)構(gòu)架分析的目的是檢查網(wǎng)絡(luò)整體的構(gòu)架是否存在缺陷，是否存在導(dǎo)致信息安全事件發(fā)生的隱患。在網(wǎng)絡(luò)構(gòu)架分析中，所涉及的檢查項(xiàng)目為：網(wǎng)絡(luò)建設(shè)的規(guī)范性：網(wǎng)絡(luò)安全規(guī)劃、設(shè)備命名規(guī)范性、網(wǎng)絡(luò)架構(gòu)安全性。網(wǎng)絡(luò)的可靠性：網(wǎng)絡(luò)設(shè)備和鏈路冗余、設(shè)備選型及可擴(kuò)展性。網(wǎng)絡(luò)邊界安全：網(wǎng)絡(luò)設(shè)備的ACL、防火墻、隔離網(wǎng)閘、物理隔離、VLAN（二層ACL）等。網(wǎng)絡(luò)協(xié)議分析：路由、交換、組播 、IGMP、CGMP、IPv4、IPv6等協(xié)議。網(wǎng)絡(luò)流量分析：帶寬流量分析、異常流量

23、分析、QOS配置分析、抗拒絕服務(wù)能力。網(wǎng)絡(luò)通信安全：通信監(jiān)控、通信加密、VPN分析等。設(shè)備自身安全：SNMP、口令、設(shè)備版本、系統(tǒng)漏洞、服務(wù)、端口等。網(wǎng)絡(luò)安全管理：網(wǎng)管系統(tǒng)、客戶端遠(yuǎn)程登陸協(xié)議、日志審計(jì)、設(shè)備身份驗(yàn)證等。應(yīng)用系統(tǒng)調(diào)研針對(duì)稅務(wù)信息系統(tǒng)，綠盟科技將會(huì)針對(duì)稅務(wù)信息系統(tǒng)的開(kāi)發(fā)與管理人員進(jìn)行人工訪談以及人工檢查。通過(guò)人工訪談，能夠從系統(tǒng)設(shè)計(jì)思路上做出信息系統(tǒng)安全的依據(jù)，了解設(shè)計(jì)思路是否存在安全隱患與缺陷。人工檢查的作用是通過(guò)人工安全檢查了解目前應(yīng)用系統(tǒng)本身的安全性內(nèi)容，了解設(shè)計(jì)中的安全思想是否能夠準(zhǔn)確的表達(dá)與使用。安全評(píng)估服務(wù)流程安全評(píng)估服務(wù)需要一個(gè)標(biāo)準(zhǔn)的服務(wù)流程才能充分保障服務(wù)的效果，

24、本次*的主要目標(biāo)是依照國(guó)家稅務(wù)總局的要求，做好網(wǎng)上營(yíng)業(yè)廳的信息安全風(fēng)險(xiǎn)管理工作。依照*本次評(píng)估的范圍和目標(biāo)，綠盟科技設(shè)計(jì)實(shí)施安全評(píng)估服務(wù)的主要流程如下：明確評(píng)估范圍在評(píng)估工作正式開(kāi)始前，需要針對(duì)被評(píng)估的系統(tǒng)進(jìn)行準(zhǔn)確的范圍確定，其中，范圍不僅僅包括信息系統(tǒng)的邏輯范圍，還包含了信息系統(tǒng)維護(hù)、管理體系，規(guī)章制度等方面的內(nèi)容。為保障后續(xù)實(shí)施評(píng)估的可控性，綠盟科技在進(jìn)行安全評(píng)估過(guò)程之前，需要針對(duì)具體的安全評(píng)估范圍進(jìn)行明確的確定與劃分。評(píng)估前培訓(xùn)為了保障評(píng)估的質(zhì)量，以及提高各個(gè)管理維護(hù)人員對(duì)信息安全評(píng)估的理解，綠盟科技建議在評(píng)估前，對(duì)*的主要網(wǎng)管維護(hù)人員進(jìn)行評(píng)估前的培訓(xùn)，培訓(xùn)內(nèi)容包括了信息系統(tǒng)安全建設(shè)的基

25、礎(chǔ)理論，信息安全評(píng)估的目的以及本次評(píng)估的主要作用與目的。由于信息安全評(píng)估工作的特殊性，在評(píng)估時(shí)，部分員工會(huì)認(rèn)為是進(jìn)行檢查工作，潛意識(shí)中對(duì)信息安全評(píng)估會(huì)產(chǎn)生一定的抵觸情緒，因此，在進(jìn)行信息安全評(píng)估之前，需要對(duì)主要參與人員以及配合人員將信息安全評(píng)估的重要性，信息安全評(píng)估的目的、內(nèi)容進(jìn)行明確。降低抵觸情緒。因此在明確完成評(píng)估范圍的確定后，對(duì)*相關(guān)項(xiàng)目參與、配合人員進(jìn)行安全評(píng)估前的培訓(xùn)，保障評(píng)估效果達(dá)到最佳。資產(chǎn)識(shí)別與估價(jià)信息安全建設(shè)的基礎(chǔ)是信息資產(chǎn)，因此通過(guò)對(duì)信息資產(chǎn)的識(shí)別與估價(jià)，能夠有準(zhǔn)確的了解被評(píng)估系統(tǒng)的基礎(chǔ)信息，并根據(jù)基礎(chǔ)信息，確定具體的安全評(píng)估的操作步驟。依照本次安全評(píng)估的目標(biāo)，綠盟科技將針對(duì)稅務(wù)信息系統(tǒng)的硬件、軟件資產(chǎn)進(jìn)行識(shí)別，根據(jù)識(shí)別結(jié)果，確定后續(xù)的安全評(píng)估的工作的具體開(kāi)展方式。在評(píng)估過(guò)程中，綠盟科技針對(duì)具體的資產(chǎn)內(nèi)容，列出資產(chǎn)清單列表，在經(jīng)過(guò)業(yè)務(wù)訪談后，將根據(jù)資產(chǎn)的重要性，從完整性、可用性、機(jī)密性三個(gè)方面對(duì)其進(jìn)行賦值。系統(tǒng)業(yè)務(wù)流程調(diào)研在結(jié)束資產(chǎn)識(shí)別與估價(jià)后，綠盟科技針對(duì)*的稅務(wù)信息系統(tǒng)的具體業(yè)務(wù)流程進(jìn)行調(diào)研，通過(guò)調(diào)研了解業(yè)務(wù)數(shù)據(jù)的具體工作流程與內(nèi)容。系統(tǒng)業(yè)務(wù)流程調(diào)研的主要目的通過(guò)對(duì)業(yè)務(wù)流的梳理，了解各個(gè)業(yè)務(wù)流中各個(gè)信息安全關(guān)鍵點(diǎn)，并根據(jù)此內(nèi)容制定后期的評(píng)估重點(diǎn)，設(shè)計(jì)具體的評(píng)估技術(shù)手段。脆弱性評(píng)估脆弱性評(píng)估是了解信息系統(tǒng)的網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用