摘要: 安全评估的内容与范围应该涵盖信息网络系统的整个体系,包括网络安全组织、制度和人员情况,网络安全技术方法的使用情况,防火墙布控及外联业务安全状况,动态安全管理状况,链路、数据及应用加密情况,网络系统访问控制状况等 仁信安全将为客户进行免费的安全评估,以...
安全评估的内容与范围应该涵盖信息网络系统的整个体系,包括网络安全组织、制度和人员情况,网络安全技术方法的使用情况,防火墙布控及外联业务安全状况,动态安全管理状况,链路、数据及应用加密情况,网络系统访问控制状况等
仁信安全将为客户进行免费的安全评估,以帮助用户了解自己的网络中存在什么样的不安全因素、风险程度是多少、需要什么方法来解决、需要什么方法来预防问题的出现、需要怎样的投入来确保安全状态、遇到紧急事件该如何处理等等。
如果用户对这方面的情况感兴趣,并希望仁信安全为您提供进一步的服务,请联系本公司客户服务部门以便得到更多信息。
安全评估的内容范围有:
(1) 物理环境分析:包括机房环境、接地、屏蔽、安全隔离、门禁控制、访问权限防盗、防水、防火、防震等。
(2) 网络基本情况分析:包括网络规模、网络结构、网络产品、网络出口、网络拓扑结构。
(3) 信息系统基本安全状况调查:系统是否遭到过黑客的攻击,是否造成了损失?系统内是否存在违规操作的行为,具体有那些行为?系统内成员的安全意识如何,技术人员是否进行过安全技术培训,对一般职员是否进行过安全意识的教育工作,采用了什么样的形式,效果如何?
(4) 应用系统及数据库系统安全状况分析:是否有安全访问机制、在应用系统及数据库系统的设计中提供了什么系统及数据的安全机制;数据备份策略是什么?采取什么措施防范非法用户的访问?对合法用户的误操作采取什么措施预防?等等。
(5) 信息系统安全组织、政策情况分析:是否有常设的安全领导小组,其人员构成和职责是什么?现有的网络安全管理的相关规章制度有哪些?安全管理人员的编制、职能和责任落实情况怎样?
(6) 网络安全技术措施使用情况分析:网络资源(人员、数据、媒体、设备、设施和通信线路)是否进行了密级划分?对不同密级的资源是否采取了不同的安全保护措施,采取了哪些具体的措施?目前采取了哪些网络安全技术措施?哪些措施不能满足网络安全的需求?哪些安全措施没有充分发挥作用?网络防病毒体系的完整性和有效性如何?
(7) 防火墙布控及外联业务安全状况分析:目前防火墙的布控方式是否合理,发挥的作用如何?信息系统对外提供的服务有哪些?以何种形式对外连接,是否采取了安全防护措施及采取了什么样的安全措施?
(8) 动态安全管理状况分析:是否使用过网络扫描软件对网络主机和关键设备进行安全性分析和风险评估?操作系统和关键网络设备的软件补丁是否及时安装?目前是否使用入侵检测系统对网络系统进行数据流监控和行为分析,是否对系统日志进行周期性的审计和分析?
(9) 链路、数据及应用加密情况分析:系统中关键的应用是否采取了应用加密措施?网络综合布线是否符合安全标准?对关键线路是否有备份,启用频度如何?在广域网线路方面是否采取了链路层或网络层加密措施,应用系统对其有没有加密需求?
(10) 网络系统访问控制状况分析:系统用户是通过什么样的方法手段进行控制的?关键服务器和设备的用户是否得到严格的控制和管理?在访问控制方面除了简单的 user & passwd 认证外,还有没有采取其他的访问控制措施?主要服务器和关键设备的管理员的权限是否得到了分离?是否有内部拨号服务?访问控制措施是否得当?对网络资源的访问,是否有完整的日志和审计功能?
(11) 白客测试:分析系统的抗攻击能力,测试系统能否经得住常见的拒绝服务攻击、渗透入侵攻击?是否有缓冲区漏洞缺陷?对各种攻击的反应如何?
评估方法:
采用现场测试、对被测方进行访谈的方式进行。可采用以下方法和工具进行评测:
① 采用侦听工具,评测防火墙过滤和交换机、路由器实现虚网划分的情况;检测网络中是否存在基于 TCP/IP 协议(或同功能协议族协议)的欺骗、伪造信息的安全性问题。
② 采用漏洞扫描软件评测防火墙、交换机和路由器是否存在安全漏洞。
③ 采用漏洞扫描软件,测试操作系统存在的安全漏洞;分析高风险级别的安全漏洞将导致的危害情况;归纳各种级别的安全漏洞以及操作系统的不安全配置情况。
④ 检查网络系统采用的各设备是否采用了安全性得到认证的产品;是否能达到网络所需要提供的安全保护级别。
⑤ 根据设计文档,检查网络系统配置是否被更改和更改原因等是否满足安全需求。
