浅谈如何进行网络安全评估.docVIP

浅谈如何进行网络安全评估 ? 周连兵 ?? 摘要：随着网络技术的发展，网络信息系统逐渐深入到各行各业，网络安全也成为人们关注的话题，一个组织的信息系统经常面临内部和外部威胁的风险，如果你没有一定的黑客技术的经验与知识，很难充分保护你的系统。安全评估就是利用大量安全行业经验和漏洞扫描的最先进技术，从内部和外部两个角度，对一个组织的信息系统进行全面的评估。该文主要通过论述怎样进行安全评估，使广大网管、网络安全技术人员及用户了解怎样找出网络信息系统的漏洞，并进行加固。 关键词：网络 安全 评估 漏洞 ? 第一部分 描述 ? ??? 一个组织的信息系统经常会面临内部和外部威胁的风险。 随着黑客技术的日趋先进，没有这些黑客技术的经验与知识很难充分保护您的系统。 ??? 安全评估利用大量安全性行业经验和漏洞扫描的最先进技术，从内部和外部两个角度，对企业信息系统进行全面的评估。 由于各种平台、应用、连接与变更的速度和有限的资源组合在一起，因此采取所有必要措施保护组织的资产比以往任何时候都困难。环境越复杂，就越需要这种措施和控制来保证组织业务流程的连续性。 ? 第二部分 目标 ? 在项目评估阶段，为了充分了解企业专用网络信息系统的当前安全状况（安全隐患），因此需要对网络系统进行安全状况分析。经我系安全小组和该企业信息中心的双方确认，对如下被选定的项目进行评估。 · 管理制度的评估 · 物理安全的评估 · 计算机系统安全评估 · 网络与通信安全的评估 · 日志与统计安全的评估 · 安全保障措施的评估 · 总体评估 然后对其中的安全弱点进行分析，并写出报告，作为提高该企业网络系统整体安全性的重要参考依据。 ? 第三部分 需求及现状 ? 一、网络实际应用 该企业网络系统是专门的网络结构，通过代理接入internet。这次评估的企业网络系统是公司内部局域网，担负本公司的网络办公、通信和信息发布，及与总公司信息系统的通信等任务。 二、服务需求 可根据具体情况列出该企业所需要的网络应用。例如WEB应用，Internet应用，网络通信，SQL server格式的数据库等。 ? 第四部分 评估步骤 ? 对公司的网络系统的安全评估，一般分五个步骤进行： 第一步，进行实体的安全性评估。 第二步，对网络与通信的安全性进行评估。 第三步，对实际应用系统的安全性进行评估。 第四步，由评估小组的工程师亲自对评估的结果进行分析汇总，并对部分项目进行手动检测，消除漏报情况。 第五步，根据评估的结果，得出此次评估的评估报告。 ? 一、管理制度 管理制度是否健全是做好网络安全的有力保障，包括机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等。 1、评估说明 首先做好评估时间、评估地点、评估方式的详细说明。不同的时间评估时间，即使评估地点、评估方式相同也会有不同的测试结果；同样不同的评估方式，相同的时间、地点结果也大不相同。所以在评估之前一定要对这些方面进行详细地说明。 2、评估内容 评估内容包含以下几个方面，机房管理制度、文档设备管理制度、管理人员培训制度、系统使用管理制度等，可以通过类似下面的表格进行记录。 编号 项 目 安全风险 详 细 说 明 高 中 低 1 中心机房 ? ? ? ? 2 文档管理 ? ? ? ? 3 系统维护 ? ? ? ? 4 设备使用 ? ? ? ? 5 管理人员培训 ? ? ? ? 6 客 户 意 见 记录用户意见，并让用户签名。 ? 3、评估分析报告 对公司的信息网络系统的各项管理制度进行细致的评估，并对各项评估的结果进行详细地分析，找出原因。说明存在哪些漏洞，比如由于公司网络信息系统刚刚建立，各项管理规章制度均没有健全，为今后的管理留下了隐患，网络系统的管理上存在许多漏洞。 4、建议 提出初步的意见，如健全各种管理规章制度。当然具体的意见要在加固时提出。 二、物理安全 物理安全是信息系统安全的基础，我们将依据实体安全国家标准，将实施过程确定为以下检测与优化项目。 1、评估说明 与管理制度的评估说明类似，例如： 评估时间：2003年03月29日上午 评估地点：中心机房 评估方式：人工分析 2、评估内容 物理安全一般包括场地安全、机房环境、建筑物安全、设备可靠性、辐射控制与防泄漏、通讯线路安全性、动力安全性、灾难预防与恢复措施等几方面。可参考如下表格进行： 编号 项? 目 安全风险 详 细 说 明 高 中 低 1 场地安全 位置/楼层 ? ? ? ? 防盗 ? ? ? ? 2 机房环境 温度/湿度 ? ? ? ? 电磁/噪声 ? ? ? ? 防尘/静电 ? ? ? ? 震动 ? ? ? ? 3 建筑 防火 ? ? ? ? 防雷 ? ? ? ? 围墙 ? ? ? ? 门禁 ? ? ? ? 4 设备可靠性 ? ? ? ? 5 辐射控