優(yōu)質(zhì)文本網(wǎng)絡安全測評工作流程優(yōu)質(zhì)文本網(wǎng)絡安全測評工作流程流程圖說明：網(wǎng)絡安全測評工作主要分為三大部分：業(yè)務和現(xiàn)狀調(diào)查，安全框架設計，風險控制業(yè)務和現(xiàn)狀調(diào)查工作小組成員首先進行風險評估，其中包括資產(chǎn)調(diào)查、業(yè)務系統(tǒng)建模、威脅評估、漏洞評估、風險分析等成果描述：各系統(tǒng)建立了用例模型、用例流程、用例序列圖、用例協(xié)作圖、用例實現(xiàn)視圖、用例圖、域模型圖、狀態(tài)圖.所有系統(tǒng)的整體模型工作小組成員在各系統(tǒng)對于系統(tǒng)中的接口和服務進行了安全性分析作用和效果：分析了各系統(tǒng)的服務和流程各系統(tǒng)分析了數(shù)據(jù)流中服務的安全性最后工作小組成員對業(yè)務過程進行梳理和建模，輸出：《業(yè)務模型》《業(yè)務流程重要性等級劃分與關(guān)鍵流程識別》而后工作小組成員進行各系統(tǒng)安全現(xiàn)狀評估和風險分析：網(wǎng)絡安全測評工作流程全文共5頁，當前為第1頁。主機系統(tǒng)安全現(xiàn)狀評估網(wǎng)絡安全測評工作流程全文共5頁，當前為第1頁。評估方式：人工評估&工具掃描輸出：主機掃描報告&主機人工報告 網(wǎng)絡安全現(xiàn)狀評估：評估方式：人工評估；輸出：網(wǎng)絡架構(gòu)報告數(shù)據(jù)庫安全現(xiàn)狀評估評估方式：人工評估；輸出：數(shù)據(jù)庫報告應用安全現(xiàn)狀評估：評估方式：人工評估&訪談；輸出：應用安全報告策略和管理現(xiàn)狀評估：評估方式：訪談（主管；運行維護；用戶）&查閱現(xiàn)有策略文檔輸出：策略分析報告，安全管理評估報告各系統(tǒng)風險分析分析方式：通過建模對各系統(tǒng)的安全現(xiàn)狀進行分析輸出：各系統(tǒng)風險分析報告。綜合風險分析分析方式：綜合各系統(tǒng)共性風險，摘出各系統(tǒng)個性風險，提出安全對策輸出：綜合風險分析報告1篇工作小組成員進行安全框架設計分別對以下問題進行分析檢查：安全現(xiàn)狀評估和風險分析結(jié)果—資產(chǎn)安全現(xiàn)狀評估和風險分析結(jié)果—威脅安全現(xiàn)狀評估和風險分析結(jié)果—弱點安全現(xiàn)狀評估和風險分析結(jié)果—風險項目組首先進行安全域劃分，將客戶單位劃分為對外服務區(qū)和內(nèi)部生產(chǎn)區(qū)：而后項目組進行等級保護定級工作小組成員進行安全需求分析：綜合安全評估階段發(fā)現(xiàn)的風險和等級保護列表篩選后的結(jié)果,整理得到現(xiàn)網(wǎng)的安全問題:管理類安全問題策略類安全問題技術(shù)類安全問題項目對資產(chǎn)進行全面調(diào)查，輸出：《核心網(wǎng)各系統(tǒng)資產(chǎn)信息列表》《核心網(wǎng)各系統(tǒng)詳細拓撲圖》《核心網(wǎng)信息資產(chǎn)調(diào)查總結(jié)報告》《核心網(wǎng)信息資產(chǎn)調(diào)查差異性調(diào)查報告》并且對電子政務網(wǎng)進行安全域劃分，輸出：《安全區(qū)域和等級劃分報告》《核心網(wǎng)安全體系框架設計報告》根據(jù)已經(jīng)建立的業(yè)務模型和業(yè)務等級，分析組織的技術(shù)架構(gòu)和處理功能，形成過程的必要的控制目標，輸出：網(wǎng)絡安全測評工作流程全文共5頁，當前為第2頁?！哆^程定義與控制框架》網(wǎng)絡安全測評工作流程全文共5頁，當前為第2頁?！哆^程重要性等級劃分與的控制目標》《關(guān)鍵過程管理指南、、與列表》風險控制風險評估的過程是：a) 對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；b) 對威脅進行分析，并對威脅發(fā)生的可能性賦值；c) 識別信息資產(chǎn)的脆弱性（弱點/漏洞），并對弱點的嚴重程度賦值；d) 計算信息資產(chǎn)的風險值，得到信息資產(chǎn)的風險級別，并對風險進行處置，選擇合適的控制措施。工作小組成員通過風險評估和等級保護差距分析，項目組確定安全問題存在于以下領(lǐng)域：信息安全方針和組織規(guī)劃和建設安全信息資產(chǎn)安全管理信息安全風險管理系統(tǒng)安全維護信息安全審計安全事件響應安全意識和培訓工作小組成員通過分析得出安全解決方案建議安全加固與實施：系統(tǒng)服務加固注冊表加固帳號加固補丁升級安全策略加固數(shù)據(jù)庫加固應用軟件升級調(diào)研各個系統(tǒng)應用需要使用的端口對防火墻的控制策略進行細化，遵循最小化原則風險評估主要實施階段，通過人工/工具的方法對全網(wǎng)進行安全調(diào)研和分析，輸出系列成果文檔：《安全風險評估方案》《威脅評估報告》《設備安全報告－主機》《設備安全報告－網(wǎng)絡設備》《應用安全分析報告》《數(shù)據(jù)庫安全分析報告》《核心網(wǎng)網(wǎng)絡結(jié)構(gòu)安全分析報告》網(wǎng)絡安全測評工作流程全文共5頁，當前為第3頁。《安全策略分析報告》網(wǎng)絡安全測評工作流程全文共5頁，當前為第3頁?！栋踩芾碓u估報告》《風險綜合評估和現(xiàn)狀報告》安全規(guī)劃對風險控制措施的分析和論證包括： 對安全風險控制措施進行相關(guān)性分析 對每個安全風險控制措施進行緊迫性分析 對每個安全風險控制措施進行可實施性分析 對每個安全風險控制措施進行實施難易程度分析 對每個安全風險控制措施進行預期效果分析 對每個安全風險控制措施進行綜合分析，形成二到三年的安全規(guī)劃。工作小組成員在此階段輸出：《安全建設規(guī)劃建議報告》解決方案設計輸出《系列安全管理和技術(shù)解決方案》，其中包括：《網(wǎng)絡安全解決方案》《安全事件報告和處理制度》《安全應急計劃指南》《安全組織體系》《第三方保密協(xié)議》《第三方接入安全審批流程》《關(guān)鍵數(shù)據(jù)安全管理規(guī)定》《介質(zhì)安全管理規(guī)定》《數(shù)據(jù)備份和恢復安全管理辦法》《網(wǎng)絡接入管理辦法》《網(wǎng)絡與信息安全管理辦法》《網(wǎng)絡與信息安全監(jiān)控管理規(guī)定》《系統(tǒng)安全配置管理規(guī)定》《業(yè)務持續(xù)性規(guī)范》《應用系統(tǒng)開發(fā)安全管理規(guī)定》《組織人員安全管理制度》《安全配置標準》《安全配置標準》《防火墻安全配置標準》《網(wǎng)絡設備安全標準》《安全維護作業(yè)計劃（）》《安全維護作業(yè)計劃（）》《安全維護作業(yè)計劃（交換機路由器）》安全加固：工作小組成員對區(qū)和資源共享區(qū)的主機設備實施安全加固，消除了絕大部分高風險的漏洞，并且輸出：《安全加固服務報告》《安全維護手冊》（由系列安全配置標準和維護作業(yè)計劃構(gòu)成）《災難恢復計劃》（此文檔包含在《數(shù)據(jù)備份和恢復安全管理辦法》中）《安全設備優(yōu)化調(diào)整實施方案》《安全設備優(yōu)化調(diào)整實施報告》網(wǎng)絡安全測評工作流程全文共5頁，當前為第4頁。為保證終端與補丁管理能夠保證主體（服務器、網(wǎng)絡設備和終端設備等）不受惡意代碼侵害，提高補丁更新效率，提高網(wǎng)絡的穩(wěn)定性，保障業(yè)務系統(tǒng)正常運行，同時簡化管理員的工作難度。對各委