信息安全风险评估。
作业指导书。
北京星云网安信息科技有限责任公司。
1 概述。本作业指导书依据《信息安全技术信息安全风险评估规范》gb/t 20984—2007及《信息安全管理实施细则》iso/iec 17799编制。适用于电力企业信息安全风险评估。
2 评估目的。
确定信息网络、信息系统存在的安全风险,提高信息系统整体防护水平。
3 评估原则。
为保证风险评估结果的科学性、合理性,工作实施中需要遵循以下原则:
3.1标准化原则。
认真遵循有关国际/国内和国家电网公司标准,编写评估方案、安排评估流程,严格按照预先定义的实施方案开展工作,确保评估工作过程、操作流程和操作方法的规范性。
3.2完整性原则。
为了保证评估取得预期结果,全面反映信息系统安全状态,应确保评估范围的完整、评估内容的全面和评估流程的完整。
3.3最小影响与安全性原则。
信息安全风险评估的部分工作内容可能会对信息系统的运行带来影响。因此要充分考虑各种意外因素,根据评估对象的不同特点采取各种安全防范措施,严格控制工作过程中产生的风险,把风险评估对信息系统和业务活动产生的影响降到最低限度。
4 评估过程及内容。
4.1网络构架评估。
1)网络拓扑结构的合理性和可扩展性。
2)包括局域网核心交换设备、广域网核心路由设备是否采取设备冗余或准备了备用设备,路由链路是否施行冗余方式。
3)网络的边界接入方式,网络管理协议的安全设置、业务系统采用的安全协议,是否有不经过防火墙的外联链路。
4.2网络设备评估。
网络设备评估主要针对核心交换机,核心路由器,接入交换机。
1)网络设备配置食肉进行备份(电子、物理介质)。
2)是否关闭了不必要的http、ftp、tftp等服务。
3)是否对登录网络设备的用户进行身份鉴别。
4)是否对网络设备的管理员登录地址进行限制。
5)是否开启密码加密机制以console超时机制,以保障访问安全。
6)是否开启或配置安全策略以降低或防止已知的针对网络设备的拒绝服务攻击。
7)是否使用安全的连接管理方式,如ssh等,代替明文传输的telnet连接管理方式开启路由命令审计配置。
4.3服务器系统。
4.3.1补丁管理评估。
1)补丁管理补丁管理手段,或管理制度是否齐全。
2)windows系统主机补丁安装是否齐全(除了service pack之外,还包括hotfixes)。
4.3.2系统安全配置评估。
1)重要系统用户最小口令长度是否大于8位,一般系统用户最小口令长度》6位。
2)是否关闭(或删除)系统中不必要的服务。
3)为重要系统的审计功能是否配置相应的审核策略。
4)是否关闭默认共享(c$、d$..
5)是否限制建立匿名连接。
6)是否禁用远程注册表访问。
的测试。4.3.3主机备份评估。
重要的系统主机采用双机备份并可进行热切换,或者有故障恢复的措施。
4.4通用应用系统安全评估。
主要针对数据库安全配置中间件服务器进行了安全配置评估。
1)是否及时对漏洞进行了修补。
2)是否去除了不需要的服务组件。
3)是否删除不需要的映射。
4.5对针对办公室终端计算机进行了安全配置评估。
1)操作系统是否安装最新的安全补丁。
2)系统是否存在弱口令账号,以及系统是否禁用默认guest帐号和存在多余的账号。
3)共享文件夹访问控制是否不合理。
4)帐户策略配置是否合理。
4.6现有安全措施评估。
4.6.1防火墙。
1)防火墙的部署应覆盖所有的网络边界。
2)对通过防火墙或其它访问控制设备的网络地址、端口等进行控制。
3)对一些不需要的协议类型进行过滤,如来自internet的telnet、ftp等。
4)对防火墙日志进行存储、备份。
5)对防火墙的用户进行管理(禁止外部网络登录,限制其它管理方式)。
6)防火墙或其它设备应具备防止已知攻击的能力,如dos、网络扫描等。
4.6.2网络防毒系统。
1)防病毒系统应覆盖所有服务器及客户端。
2)对服务器的防病毒客户端管理策略配置是否合理(自动升级病毒**、每周扫描)
3)有专责人员负责维护防病毒系统,并及时发布病毒通告。
4)制定病毒预警和报告机制。
5)病毒扫描策略应规定1周内至少进行一次扫描。
6)删除病毒前应有备份隔离措施,以便于及时恢复误删除的文件。
7)对所有从不可信任网络到公司内的通讯都执行病毒检测(如检测邮件、邮件附件及web、ftp 通讯中的病毒)
8)定期进行总结汇报,使主管领导和相关人员及时了解病毒防护状况。
9)定期更新入侵检测的规则与升级。
5 组织与分工。
5.1 评估单位的职责。
1)办理工作票,指定专人配合评估人员工作。
2)配合电科院处理评估过程**现的紧急情况;
3)负责评估有关的系统操作、监视和必要的系统参数修改。
5.2 电科院的职责。
1)负责编写评估方案,负责安全技术交底,并组织实施;
2)负责评估与协调工作;
3)收集评估数据、整理和分析评估结果,编写评估报告;
4)严格落实企业保密制度,保证不向第三方透露任何企业机密。
6 现场工作安全要求。
1)对设备的任何操作需告知乌鲁木齐电业局设备管理人员,在双方确认操作正确的前提下对设备操作,同时准备好应急预案,防止造成数据或配置丢失。
2)尽量保证少对运行中的设备操作,对网络进行漏洞扫描时间尽量安排在下班和休息的时间。
3)使用任何具有攻击行为的工具时,必须保证不对运行中的设备进行试验,如果必须测试,必须做好数据库或配置文件的备份,同时准备好应急预案。
4)评估结束后应详细告知乌鲁木齐电业局信息管理部门,在评估过程中对那些设备进行了评估和修改配置,做好设备的恢复工作,确认正常后才能结束工作。
附录a网络构架评估记录。
审核记录年月日。
附录b网络设备评估记录。
审核记录年月日。
附录cwindow服务器评估记录。
审核记录年月日。
附录dsql server数据库评估记录。
审核记录年月日。
附录eiis服务器评估记录。
记录人审核人年月日。
网络与信息安全课程作业指导书
孙自广。计算机学院。2013年4月2日。本课程是网络与信息安全方向所开设的一门重要专业课程,要求学生掌握网络安全原理和技术的应用。本课题报告的目的是使学生在理论学习的基础上,动手编写程序,通过应用所学习的知识,来解决一些实际网络安全应用问题。在此基础上,真正理解和掌握网络安全的相关理论。任选下列一项...
安全作业指导书
海榆东线蓬莱至嘉积和陵水至田独段公路改建工程项目。为贯彻 安全第。一 预防为主 的安全工作方针,加强海榆东线蓬莱至嘉积和陵水至田独段公路改建工程的安全管理,防止重大事故的发生,依照国家 省及交通厅有关文件精神,结合项目办实际情况,特制定安全作业指导书,望认真贯彻执行。一 安全预防目标。本工程安全作业...
安全作业指导书
哈尔滨市群力新区东区土地一级开发项目 二期 河松街 齿轮路 职工街 排水工程 三标 钢筋制作安全作业指导书。施工单位 哈尔滨市第一市政工程公司。2010年7月30日。钢筋制作安全作业指导书。1 施工准备。1.1钢筋进必须有出场质量证明,并对每批钢筋取样作力学性能试验,试验合格后方可使用。1.2技术员...