1.公司情况分析
该公司为集团公司,在总部设立了较为完善的网络布局。总部采取多线路方式接入Internat,终端总数为几百台。网络中划分子网和单独的内网服务器区,部署与核心业务相关的服务器,如数据库、邮件服务器、财务服务器、以及ERP服务器等,部署防火墙、入侵检测系统以及防病毒服务器等网络安全产品。
集团公司下属各分支机构均有网络部署。分支机构采取专线接入总部局域网,主要通过访问总部服务器或通过邮件进行业务沟通交流。
集团公司总部信息化程度较高,主要包括财务管理、集团公司业务管理等,其中财务管理涉及网上支付,现金转帐等功能。
根据该公司总部业务的重要性,需要对该公司进行信息安全测试和安全风险测评,以确定系统的安全目标达成情况和安全措施的实现程度,从而确定现有安全措施能否抵御现有和所面临的威胁、脆弱性的影响,以及未来可能面临的威胁,和需要采取的措施。
2.XXX公司信息安全测试
影响该公司网络安全的方面有物理安全、网络隔离技术、加密与认证、网络反病毒、网络入侵检测等多种因素。在本案例中,信息安全测试内容大致分为服务器安全、网络安全、应用安全、数据安全、安全信息措施检测以及系统安全风险评估等五个方面。
1.服务器安全
因为该公司关键业务都部署在不同的服务器上,所以服务器本身的安全性不容忽视。我们从密码复杂度、本地安全策略、防病毒软件安装以及管理措施等几个方面,检查服务器的本地审计策略、访问控制策略,扫描操作系统漏洞等内容。
2.网络安全
网络安全的测试,主要包括网络设计、日志及审计分析检测、防火墙检测、入侵检测系统检测、病毒防护检测以及网络基础设施检测等内容。
根据现有的网络设计,首先我们检测网络拓扑及结构,判断被评估网络的地址分配和网段划分是否合理,检测vlan划分等情况。然后,我们进行渗透测试,对防火墙策略、入侵检测策略、防病毒策略进行检测和评估。
3.应用安全
针对服务器上部署的应用,我们检测应用系统的访问控制策略,包括是否有正式的用户注册和注销程序,是否提供诸如密码、指纹、验证码、加密狗等多种身份认证方式,内部及外部用户使用正确口令是否能且仅能访问授权服务,用户是否能够更新相关信息及口令,用户信息更新是否与访问控制权限联动等内容。
4.数据安全
数据测试,大致包括以下五部分内容:
1)检查使用sniffer等工具检查在网络通信过程中能否截获明文数据
2)检查系统是否对关键数据信息进行加密存储
3)检查系统是否具备备份策略,定期备份数据
4)检查备份数据管理措施的严密程度和实施有效度
5)检查是否存在对备份数据定期检测的机制
5.安全管理措施检测
该部分包括信息安全策略文档、信息安全责任划分、安全管理相关培训记录及考核以及信息安全事故管理四个方面。我们检查该公司网络管理职能的分割与责任分担情况,用户的权利分级和责任情况以及攻击和入侵应急处理流程和灾难恢复计划等情况,对该公司的安全管理措施进行检测和评估。
6.系统安全风险评估
该部分内容主要包括以下三个方面:
1)信息资产识别
首先对公司总部的资产进行分类,包括数据、软件以及人员等几种类型。然后,从机密性、完整性、可用性三个方面给信息资产赋值。最后对信息资产等级赋值,形成信息资产识别表。
2)威胁识别
根据信息资产识别表中的资产内容,分析公司总部现有的将各资产的面临的威胁进行分类,如物理破坏、密码攻击以及边界攻击等。然后,为资产面临的不同威胁进行评估,按等级赋值,形成资产威胁识别表。
3)脆弱性识别
从技术脆弱性和管理脆弱性两个方面,我们以该公司信息资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,判定脆弱性等级,形成资产脆弱性识别表。
根据信息资产识别表、资产威胁识别表、资产脆弱性识别表,我们计算出各资产的风险值和风险等级,形成重要资产分线等级表。
通过安全测试和安全风险评估,我们帮助该公司发现了当前存在的信息安全问题,提高了信息的安全性,为该公司在面临未来安全风险,制订相关安全策略等方面提供了帮助。(责任编辑:黄重来)
