by amxku
2009-01-07
http://www.amxku.net
一个朋友要这些东西,顺便发出来,希望能有所帮助。个人拙见,有不妥之处还望斧正。仅以此文献给我伟大的妈妈!
一、项目启动
1.双方召开项目启动会议,确定各自接口负责人。
==工作输出
1.《业务安全评估相关成员列表》(包括双方人员)
2.《报告蓝图》
==备注
1.务必请指定业务实施负责人作为项目接口和协调人;列出人员的电话号码和电子邮件帐号以备联络。
二、确定工作范围
1.请局方按合同范围提供《资产表》,也即扫描评估范围。
2.请局方指定需进行人工评估的资产,确定人工评估范围。
3.请局方给所有资产赋值(双方确认资产赋值)
4.请局方指定安全管理问卷调查(访谈)人员,管理、员工、安全主管各一人。
==工作输出
1.《会议备忘》(要求签字确认)
2.《资产表》(包括人工评估标记和资产值)
==备注
1.资产数量正负不超过15%;给资产编排序号,以方便事后检查。
2.给人工评估资产做标记,以方便事后检查。
3.资产值是评估报告的重要数据。
三、制定整体实施计划
1.按照工作范围制定整个项目的总体计划,包括现场准备、扫描评估、人工评估、问卷调查、加固实施等各阶段。
2.与接口负责人共同确定针对各相关资产进行管理评估,入侵检测系统实施扫描评估、人工评估的日期和时间段。
==工作输出
1.《总体项目进度甘特图》
2.《评估阶段工作计划表》
==备注
1.扫描评估、人工评估、问卷调查在可能的情况下可以同期进行;《工作计划表》交项目经理参考,以便配合。
2.确定日期以便于制定工作计划;确定时间段(白天、晚间、夜间甚至钟点)对加固阶段详细计划的确定更重要。
四、管理评估阶段
1.提供现有的安全管理规范和管理制度。
2.提供对应业务的系统信息,包括拓扑图、业务功能说明、业务流程说明(如能提供系统设计方案更佳)。
3.对应业务的管理、员工、安全主管进行访谈。
4.对现有安全管理制度的实行情况进行审计。
5.对评估中需要的其他策略文档进行收集。
==工作输出
1.《资料接收单》
2.《安全访谈记录单》
==备注
1.对提供的电子或纸质文档进行严格的保密和内部使用控制,资料接收时需要填写《资料接收单》并签字。
2.访谈记录单内容需要与被访谈人进行确认及签字。
3.对于发现的重要情况,均须与对应配合人员进行确认,重大内容需要双方签字。
五、技术评估阶段
1.提出扫描申请
2.每日制定第二天的日工作计划,包括扫描评估、人工评估、问卷调查等详细计划。
3.进行扫描评估(每次扫描完成后,应有扫描确认,需用户方签字)。
4.进行人工评估(每次人工评估完成后,应有人工评估确认,需用户方签字)。
6.双方协商布置在网络关键节点上布置入侵检测系统(一般放置3天)。
7.在整个项目技术部分基本结束时,双方协商进行渗透测试。
8.每日进行记录和总结。
9.逢周末进行周工作总结。
==工作输出
1.《扫描申请报告》/《原始弱点报告》
2.《日工作计划》
3.《工作确认单》
4.评估数据
5.《入侵检测系统布置申请报告》《入侵检测系统日志分析报告》
6.《渗透测试申请报告》/《渗透测试报告》
7.《日工作记录》
8.《周工作总结》
==备注
1.签字确认。
2.清晰明确的日工作计划才能使当日工作有条不紊。
3.工作确认单是你工作完成的凭证。
4.收集好评估数据,并妥善保存。
5.签字,注意端口镜像原则上必须由客户进行配置。
6.签字,并重新确认实施时间与实施范围,有可能的情况下,需要甲方全程陪同。
7.每日总结并检查当日工作是否完成,如未完成,要考虑后期计划的调整。
六、数据整理
1.工作整理。
2.撰写评估报告。
3.撰写加固方案和安全建议。
==工作输出
1.《评估阶段工作总结》
2.《网络安全风险评估报告》
3.《网络安全建议报告》
七、项目验收
1.提交项目成果。
2.报告解读
3.培训
ENGEE / amxku_at_msn.com
个人拙见,有不妥之处还望斧正。