设备IPS、IDS、防火墙管理评估范围安全管理机构信息系统责任单位的安全管理机构设置情况安全管理制度信息系统责任单位的安全管理制度建设情况人员安全管理信息系统责任单位的人员安全管理情况系统建设管理信息系统责任单位的系统建设管理情况系统运维管理信息系统责任单位的系统运维管理情况项目内容本次安全评估的内容包括:通过技术性检测评估,获得网络层存在的网络安全漏洞报告;通过问卷调查和交流沟通,了解非技术层面的安全漏洞;通过对上述技术和非技术漏洞的分析,得出安全状况报告;提出网络安全策略和网络安全解决方案,指导下一步的网络安全建设;根据某单位的要求,可以进行授权渗透测试,模拟黑客入侵的过程;项目需求理解风险评估的范围应全面,涉及到网络信息系统的各个方面,包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等;同时对管理风险、综合安全风险以及应用系统安全性进行评估。风险评估采用专业工具扫描、人工评估、渗透测试三种相结合的方式,对各种操作系统进行评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等;从应用系统相关硬件、软件和数据等方面来审核应用所处环境下存在哪些威胁,根据应用系统所存在的威胁,来确定需要达到哪些系统安全目标才能保证应用系统能够抵挡预期的安全威胁。项目方案设计设计目标本次风险评估的安全服务项目主要目标是:通过风险评估,得到某单位的整体安全现状;通过资产评估,得到某单位的网络信息安全资产状况,并录入资产库,进行资产梳理;通过威胁评估,得到某单位存在的安全威胁情况;通过脆弱性评估,得到某单位当前业务系统存在的脆弱性;对各个业务系统进行综合风险分析,得到风险情况,提出分系统的安全解决方案;提出各个系统的风险处置解决方案。设计原则1.?标准性原则遵循国家、行业和组织相关标准开展风险评估工作。
全文预览
