安
全
检
测方
案
二零零八年四月
目录
一.目的2
二. 项目实施时间和地点3
2.1 项目实施时间3
2.2 项目实施地点3
三.项目具体实施方法3
3.1 重点评估具体内容4
3.2 评估项目总体流程7
3.3 具体流程举例8
五. 双方及设备厂商项目组成人员9
六. 项目实施质量控制10
6.1 过程控制10
七. 项目实施时间进度表11
八．项目管理文档模版12
8.1 会议纪要模版12
8.2 工程开工通知单模版13
8.3 事故记录表模版13
8.4工程实施记录表14
九. 项目文档管理要求15
十一. 工程验收16
11.1正式验收要项17
11.2验收流程17
一.目的
为保障客户网络、业务系统、数据库等安全稳定的运行，****对客户业务系统及相关支撑系统进行全面的安全检测。

安全检测分两次进行，第一次安排在六
月中旬，第二次安排在七月上旬。

在每次安全检测完毕由****提供《业务系统安全检测报告》和《业务系统安全漏洞修复方案》，并指导客户相关人员对业务系统及相关支撑系统进行安全修复或整改。

安全检测是对客户业务系统及相关支撑系统进行安全风险分析和评估，主要检测有以下几方面：
1、网络规划与布局的安全性评估；
2、网络基础设施安全性与稳定性评估；
3、边界防御设施与接入安全性评估；
4、服务器主机系统安全性与稳定性评估；
5．数据库安全性评估；
6．业务系统安全性评估。

第一次安全检测是对客户业务系统及相关支撑系统进行全面的安全检测和安全漏洞修复。

第二次安全检测是在第一次的基础上再次对对客户业务系统及相关支撑系统进行安全检测，找出没有修复的安全漏洞和还存在的安全漏洞。

二. 项目实施时间和地点
2.1 项目实施时间
*********
2.2 项目实施地点
*********
三.项目具体实施方法
安全评估指的是对网络系统进行安全风险分析和评估。

选取在业务系统、网络服务、主机操作系统平台、网络规划与布局、数据库等方面作为安全评估的对象。

风险评估是网络安全重要的一环，在这里主要是以安全检测、扫描和风险评
估技术来实现，以预先发现信息系统中存在的安全隐患，并及时解决问题。

评估能使网络系统具有预先识别和防X风险的功能。

风险评估系统用于评估和管理网络、防火墙、WEB服务器、应用服务器及数据库存在的安全风险和漏洞，企业安全管理员可以根据安全评估报告优化主机和网络设备的安全策略配置，进一步提高安全性。

3.1 重点评估具体内容
1、网络规划与布局的安全性评估
✓网络拓扑规划分析
✓网络流量分析
✓网络逻辑结构分析
⏹子网/VLAN的合理划分分析
⏹域和工作组划分安全分析
⏹数据广播域分离分析
⏹IP地址规划分析
⏹共享资源架设效率分析
⏹网络访问控制分析
⏹VPN系统安全分析
2、网络基础设施安全性与稳定性评估
◆路由器安全配置
◆交换机安全配置
◆拨号服务器安全配置
◆防火墙安全配置
◆设备口令审计
◆设备开放服务安全审计
◆网管软件安全性审计
◆设备固件或OS安全分析
◆设备访问控制列表分析
◆设备稳定性测试分析(各种DoS拒绝服务测试)
3、服务器主机系统安全性与稳定性评估
◆服务器主机操作系统内核、版本及补丁审计
◆服务器主机操作系统通用/默认应用程序安全性审计
◆服务器主机后门检测
◆服务器主机漏洞检测
◆服务器主机安全配置审计
◆服务器主机用户权限审计
◆服务器主机口令审计
◆服务器主机文件系统安全性审计
4、数据库系统安全性评估
◆Oracle/MSSQL数据库系统用户权限审计
◆Oracle/MSSQL数据库系统口令审计
◆Oracle/MSSQL数据库系统数据同步或热备份机制可靠性审计
◆Oracle/MSSQL数据库系统存储进程安全机制审计
◆Oracle/MSSQL数据库日志审计分析
◆Oracle/MSSQL数据库系统灾难处理及预防安全机制审计
◆Oracle/MSSQL数据库系统与前台接口安全访问控制机制审计
5、边界防御设施与接入安全性评估
◆生产系统跨域访问需求分析
◆防火墙安全策略审计
◆(外网发起)生产网远程入侵整体测试
◆接入节点主机安全性测试
◆分支机构网络边界安全性模拟攻击测试
6.、业务系统安全性评估
◆业务系统支撑软件安全评估，如Apache、oss
◆业务系统重要部分代码检测
◆业务系统口令审计
◆业务系统数据传输XX性检测
◆业务系统权限划分
◆业务系统数据备份安全性
◆业务系统数据同步安全性
安全评估主要通过以下二种方式进行：
主要方式为工具扫描和人工分析。

下面列表介绍NS在平台层次实施过程中用到的部分工具和手段：
人工分析
安全检测的内容涉及：
远程越权存取
系统后门及木马程序
拒绝服务(Denial of Service)
CGI（通用网关接口）或ASP、JSP和其它动态网页程序的安全性
防火墙(FireWall)设置
文件传输服务安全性
密码安全性
操作系统内核的安全性
网络协议和配置的安全性
用户管理的安全性
日志和审计系统的健全性
远程维护程序和管理策略的安全性
系统敏感信息的XX性
网络路由设备的安全性
代理服务和网关的安全配置
网络结构的合理性和安全性
合作伙伴系统的可信任度
已有安全产品和设备的有效性3.2 评估项目总体流程
3.3 具体流程举例
以平台层次的安全评估工作为例，下面列表介绍NS在实施过程中用到的具
五. 双方项目组成人员表5.1 甲方人员
表5.2 乙方人员
六. 项目实施质量控制
6.1 过程控制
为了保证服务质量，****将对安全服务的过程进行严格的控制，具体工程过程如下：
1）****的项目经理在每次的任务实施前2天提交具体的每日工作详细实施计划表，表格如下：
2）在每次的安全服务实施前，召开30分钟的实施准备会议，总结前一次的工作和讨论当次的工作注意事项；
3) 每天项目实施完成填写工程实施记录表。

七. 项目实施时间进度表
工程实施时间安排是该项工程实施的时间进度计划，是工程控制的基本依据之一。

网络服务安全项目工期是六月中旬~八月上旬。

评估实施内容、时间进度表
八．项目管理文档模版8.1 会议纪要模版
8.2 工程开工通知单模版
开工通知单
收件人：项目负责人
发件人：****项目主管
抄送：项目组成员
日期：年月日
项目负责人：
根据贵公司和****XX双方签定的合同的要求，决定从年月日开始此工程的实施，具体内容请参见《项目实施计划》。

****项目负责人签字：
客户项目负责人签字：
2006 年月日
8.3 事故记录表模版
8.4工程实施记录表
工程实施记录表
编号：
九. 项目文档管理要求1）文档分类规X：
****对此次项目的所有工程文档分为工程管理类和工程技术类两大类文档，主要有：
2）文档编号规X：
此次项目的文档编号采用如下格式：
NS-PG–GL-0801-001
说明：GL指管理类；0801指年月；001指文档顺序号；
NS- PG–JS-0802-001
说明：JS指技术类；0801指年月；001指文档顺序号；
文档编号由项目经理统一分发。

3）文档归档要求：
此次项目的所有文档由项目主管统一归档，****的项目参与工程师的所有的电子文档在项目阶段性结束后必须把自己的所有与此项目相关的文档必须删除。

4）文档密级划分：
此次项目的所有文档都属于XX文档，严格按照****的文档管理制度进行管理。

十. 工程验收
工程验收的任务及过程：目的是对该安全项目工程中的服务、执行过程、组织进行全面
的检验，保障该工程达到方案设计的标准。

工程验收既是工程质量控制过程，又是工程实施过程的最后阶段。

10.1正式验收要项
―验收组织：安全项目组
1）进行工程质量核定
2）办理工程档案资料移交
3）签发工程验收证书
10.2验收流程。