业务系统评估工作方法及流程v11通用doc.docx
《业务系统评估工作方法及流程v11通用doc.docx》由会员分享,可在线阅读,更多相关《业务系统评估工作方法及流程v11通用doc.docx(7页珍藏版)》请在冰点文库上搜索。
业务系统评估工作方法及流程v11通用doc
业务系统评估工作方法及流程v11
密级:
内部
文档编号:
项目代号:
业务系统评估
--工作方法及流程
Ver:
1.0
二零零五年三月
安氏互联网安全系统(中国)有限公司
业务系统评估
--工作方法流程
版本控制
1需要完成的工作和完成工作的方式..................................错误!
未定义书签。
1.1业务系统评估的目标....................................................错误!
未定义书签。
1.2业务系统的划分............................................................错误!
未定义书签。
1.3业务系统的定义介绍包括:
功能流程....................错误!
未定义书签。
1.4业务系统的范围的确定................................................错误!
未定义书签。
1.5和其他业务系统的相关性分析:
..................................错误!
未定义书签。
1.6安氏业务系统评估方法介绍........................................错误!
未定义书签。
1.6.1支撑系统的评估.....................................................错误!
未定义书签。
1.6.1.1业务系统的物理拓扑图..................................错误!
未定义书签。
1.6.1.2业务系统的逻辑拓扑图..................................错误!
未定义书签。
1.6.1.3主机的评估......................................................错误!
未定义书签。
1.6.2应用系统评估.........................................................错误!
未定义书签。
1.6.
2.1应用系统的开发..............................................错误!
未定义书签。
1.6.
2.2应用系统的体系结构......................................错误!
未定义书签。
1.6.
2.3应用系统的实现..............................................错误!
未定义书签。
1.6.3数据流程的评估.....................................................错误!
未定义书签。
1.6.4操作和管理.............................................................错误!
未定义书签。
1.7已有的安全措施............................................................错误!
未定义书签。
1.8依然存在的风险............................................................错误!
未定义书签。
1.9解决方案........................................................................错误!
未定义书签。
2完成工作的方式顺序风险控制方法..........................错误!
未定义书签。
2.1工作方式和要完成的工作:
..........................................错误!
未定义书签。
2.2工作顺序........................................................................错误!
未定义书签。
2.3风险控制........................................................................错误!
未定义书签。
第3页共13页
1需要完成的工作和完成工作的方式
1.1业务系统评估的目标
全方位的提供一个业务系统中的安全可见性,包括
1业务系统的功能组成流程中安全的设计和实现
2已采取的安全措施
3仍存在的风险
4提供的解决方案
1.2业务系统的划分
一个公司的业务通常可以划分为几个主要的业务系统,如移动可以划分为网管BOSSOA等,网管又可以划分为短信gprs智能彩铃等,但主要还是按照功能来划分.
工作方式:
专家经验(对行业的了解)公司高层领导的访谈和会议
1.3业务系统的定义介绍包括:
功能流程
业务的功能介绍:
如gprs(generalpackageradioservice)业务系统完成的功能为:
1使用无线网络完成数据分组的传输,2业务系统的维护,3计费数据的产生和发送.
工作方式:
厂商介绍文档收集(厂商)专家经验(对系统的了解)
1.4业务系统的范围的确定
一个业务系统范围的确定就要根据其功能及组成,具体到相关部门的具体单元(如网络设备主机应用程序维护人员管理人员),依据和业务系统联系的紧密性而划分到那个业务系统
如gprs系统:
(跨部门浦东运维中心钦州数据中心和多个厂商爱立信nokia)
如短信系统:
短信中心短信网管各类短信网关划为一个业务系统?
人员的协调?
工作方式:
会议包括公司中层领导和系统维护人员资料收集(厂商客户)评估确认
行业性的问题如gprs的用户认证方式,是否是行业标准?
第5页共13页
业务系统评估工作方法及流程v11第2页
1.5和其他业务系统的相关性分析:
业务系统的接口分析:
如gprs业务系统的接口有:
到ss7(七号信令网)cmnet计费的接口
接口的明确定义:
计费信息是采用什么样的方式发送给boss的,分组数据是如何转发到cmnet的.
业务系统和其他业务系统共享资源:
共享通讯子网如共享一个核心交换机共享一个维护人员
接口方式和共享方式的信任关系可能会带来的风险
工作方式:
厂商介绍会议:
公司中层领导和系统维护人员资料收集(厂商客户)专家经验(对系统的了解)评估确认
1.6安氏业务系统评估方法介绍
分层的方法将业务系统分为
业务系统=支撑系统+应用系统+数据流+操作+管理
支撑系统为通信子网和主机层和其他部分如ss7(和以前的安全评估兼容,并为以后保留一定的可扩展性)是确定范围相关性的关键
应用系统为应用系统的开发过程应用系统体系结构,在设计和实现中对安全性的考虑应用系统在支撑系统上的实现确定接口的关键
数据流分析数据流在支撑系统应用系统上如何产生传输处理保存共享销毁的,在设计和实现中对安全性的考虑确定接口的关键
操作+管理各类规章制度是否健全,是否按照规章制度执行
1.6.1支撑系统的评估
1.6.1.1业务系统的物理拓扑图
NMSFirewall
SGSN
第7页共13页
确认gprs的接口共享和内部结构(具体到每一条链路?
)工作方式:
资料收集(客户)专家确认
1.6.1.2业务系统的逻辑拓扑图
第9页共13页
FWVLAN
O&M
Billing
O&M&Billing
VirtualRouter
CMNet
BGRouter
PLMNs
如gprs业务系统通常划为3个vlan:
分组数据转发,计费,维护,在具体实现时可能就会划分为更多的vlan,如果有路由通过划分为不同的子网和路由来确定
工作方式:
资料收集(客户)专家确认
1.6.1.3主机的评估
评估信息必须准确完整,包括拓扑图中的每一台设备?
工作方式:
资料收集(客户)专家确认
(如果没有做过可以启动一个新的主机评估项目)
1.6.2应用系统评估
1.6.
2.1应用系统的开发
应用系统生命周期开发文档测试文档实现文档等的确认
工作方式:
厂商介绍资料收集(厂商)专家确认
1.6.
2.2应用系统的体系结构
体系结构介绍,可分成多少个组件
应用系统设计和实现时对安全性的考虑:
认证访问控制审计加密
设计:
认证信息以明文的形式保存在主机中
实现:
西门子gprs维护主机使用的web存在问题
工作方式:
厂商介绍资料收集(厂商)专家确认
1.6.
2.3应用系统的实现
应用系统在支撑系统中的分布,使用的进程端口用户(需要的进程端口用户)当一台主机存在风险时,我们就能知道风险对应用系统的影响从而推出对业务系统的影响
如gprs业务系统中的一台ftp服务器受到入侵会造成的影响,不会影响到计费,因为是独立网段,但如果和dns服务器在一个网段,作为跳板攻击dns服务器,使得sgsn就会得不到ggsn的ip就中断了数据分组的传输.
工作方式:
厂商介绍资料收集(厂商客户)专家确认
1.6.3数据流程的评估
数据流:
主要数据流辅助数据流
如gprs业务系统:
分组数据的转发数据流
升级会员 