1.网络安全测评工作原则
高能所网络安全测评须遵循以下原则:
(1)标准性原则:测评工作应遵循信息安全行业相关标准开展
(2)可控性原则:在测评过程中,应保证参与测评的人员、使用的技术和工具、测评过程都是可控的;
(3)完备性原则:严格按照所提供的评估范围进行全面的评估;
(4)最小影响原则:从项目管理层面和工具技术层面,将评估工作对高能所网络正常运行的可能影响降到最低限度,使得其不会对高能所网络上的业务运行产生显著影响。
2.组织机构
成立高能所网络安全测评工作组,负责网络安全测评工作的组织、计划、实施和协调;指定网络安全测评工作组联系人1名,负责网络安全测评工作的日常联系。
3.总体工作
(1)高能所计算中心每年进行两次全面的网络安全测评工作,实施时间定在每年的3月份和9月份。
(2)高能所相关单位或人员也可对部分网络对象申请不定期的安全测评,经审批同意后,由网络安全测评工作组进行测评实施。
(3)主要测评包括:安全管理制度检查、网络拓扑和安全架构分析、网络设备安全评估、主机系统(服务器、客户端)安全评估(包括弱口令检查等)、应用系统安全评估等。
(4)在路由器的外网接口上安装专用的漏洞扫描系统;平时处于关机状态,执行测评任务时开启使用,设备由专人负责管理。
(5)测评工具:Nessus及其它测评工具。
4.测评的实施流程
高能所网络设备和系统可以分为如下几个部分:网络设备,DMZ内部服务器区,DMZ外部服务器区,数据区,外网区,内网终端区。测评内容应覆盖技术安全和管理安全两大类;技术安全应覆盖应用安全、网络安全、设备安全和物理安全等方面内容;管理安全应覆盖安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等方面内容。
高能所网络安全测评按照如下图所示流程实施:
各个阶段说明如下:
(1)测评准备
在测评实施前,召开网络安全测评工作组会议,以获得参与各方的支持和配合,确定本次测评的目标、范围和重点内容,组建测评实施团队,确定测评实施计划等。这些准备工作是整个测评过程有效性的保证。
(2)确定测评对象
网络安全测评工作组向所确定测评范围内的网络和系统管理人员派发《高能所网络安全测评工作转移单》(以下简称《工作转移单》,格式见附件2),由网络和系统管理人员如实填写《工作转移单》中的如下内容:机器IP地址,操作系统类型,业务描述,管理员电话,管理员邮箱,填写完毕后将《工作转移单》返回给网络安全测评工作组。
(3)对所确定对象进行测评
测评实施团队根据《工作转移单》提供的信息,对被评估对象进行调研,确定测评的具体实施方案,并对测评对象进行实际的测评。必要时各网络和系统管理人员应对测评实施团队予以积极的配合,以确保测评工作的顺利开展。测评方式包括以下两种:
a. 人员访谈和资产调查以及对网络设备、服务器都能的安全检查和机房现场的勘察,以发现管理制度、物理环境、网络拓扑、终端、应用系统等中存在的安全问题或者安全隐患。
b. 网络和应用系统的漏洞扫描和渗透性测试。漏洞扫描采用专业的安全评估扫描工具,给出风险评估报告;渗透测试主要是通过网络对应用系统,尤其是网站进行测试,找到这些系统中问题。
在对所确定对象进行测评完毕后,由具体的测评人员在《工作转移单》的“测评人员签字”栏中签字,并在“测评描述”中对测评过程进行简要描述。
(4)生成测评报告
测评实施团队对测评中收集的信息、发现的问题及解决措施进行分析整理,形成《高能所网络安全测评工作报告》。《测评工作报告》以word文档的形式提交给各网络和系统的负责人。
(5)安全整改
各网络和系统的负责人收到《测评工作报告》后,根据报告的建议开始安全整改,并在2周完成整改工作。整改中有任何问题都可以跟测评实施团队进行沟通,或向高能所计算中心专业技术人员咨询。
(6)整改核查
测评实施团队与各网络和系统的负责人对已采取的安全措施的有效性进行检查,确认《测评工作报告》中所有安全问题是否得到解决。整改确认的方式包括以下两种:
a. 再次实施漏洞扫描和渗透性测试:核查《测评工作报告》中指出的安全问题是否再次出现。
b. 访谈各网络和系统的负责人:与他们进行交流以确认安全问题是否已解决,对于无法解决的安全问题,各网络和系统的负责人应向网络安全测评工作组给出书面说明,并归档。在对测评对象进行整改核查完毕后,由具体的核查人员在《工作转移单》的“核查人员签字”栏中签字,并在“核查描述”中对核查过程进行简要描述。核查人员在核查完毕后将《工作转移单》提交给高能所计算中心室领导,经室领导签字后归档。
(7)测评总结
测评实施团队在上述测评工作结束后进行工作总结,提交《高能所网络安全测评工作总结报告》(以下简称《测评工作总结报告》。
(8)测评文件归档
对整个测评过程中产生的文件进行归档,并移交专人保管,以备将来查询。
附件下载: