业务系统评估工作方法及流程v1.doc

密级:内部
文档编号:
项目代号:
业务系统评估
--工作方法及流程
Ver:
二零零五年三月
安氏互联网安全系统(中国)有限公司
业务系统评估
--工作方法流程
拟制:
章新斌
审核:
批准:
会签:
标准化:
版本控制
版本
日期
参与人员
更新说明


章新斌
创建、修改
1 需要完成的工作和完成工作的方式 4
业务系统评估的目标 4
业务系统的划分 4
业务系统的定义介绍包括:功能流程 4
业务系统的范围的确定 5
和其他业务系统的相关性分析: 6
安氏业务系统评估方法介绍 6
支撑系统的评估 7
业务系统的物理拓扑图 7
业务系统的逻辑拓扑图 8
主机的评估 9
应用系统评估 9
应用系统的开发 9
应用系统的体系结构 10
应用系统的实现 10
数据流程的评估 10
操作和管理 11
已有的安全措施 12
依然存在的风险 12
解决方案 12
2 完成工作的方式顺序风险控制方法 12
工作方式和要完成的工作: 12
工作顺序 13
风险控制 13
需要完成的工作和完成工作的方式
业务系统评估的目标
全方位的提供一个业务系统中的安全可见性, 包括
1业务系统的功能组成流程中安全的设计和实现
2已采取的安全措施
3 仍存在的风险
4提供的解决方案
业务系统的划分
一个公司的业务通常可以划分为几个主要的业务系统,如移动可以划分为网管 BOSS OA等,网管又可以划分为短信 gprs 智能彩铃等,但主要还是按照功能来划分.
工作方式: 专家经验(对行业的了解) 公司高层领导的访谈和会议
业务系统的定义介绍包括:功能流程
业务的功能介绍:
如gprs(general package radio service)业务系统完成的功能为:1使用无线网络完成数据分组的传输,2业务系统的维护,3计费数据的产生和发送.
工作方式: 厂商介绍文档收集(厂商) 专家经验(对系统的了解)
业务系统的范围的确定
一个业务系统范围的确定就要根据其功能及组成,具体到相关部门的具体单元(如网络设备主机应用程序维护人员管理人员), 依据和业务系统联系的紧密性而划分到那个业务系统
如gprs系统:(跨部门浦东运维中心钦州数据中心和多个厂商爱立信 nokia)
如短信系统: 短信中心短信网管各类短信网关划为一个业务系统? 人员的协调?
工作方式: 会议包括公司中层领导和系统维护人员资料收集(厂商客户) 评估确认
行业性的问题如gprs的用户认证方式, 是否是行业标准?
和其他业务系统的相关性分析:
业务系统的接口分析:
如gprs业务系统的接口有: 到 ss7(七号信令网) 计费的接口
接口的明确定义: 计费信息是采用什么样的方式发送给boss的, 的.
业务系统和其他业务系统共享资源:
共享通讯子网如共享一个核心交换机共享一个维护人员
接口方式和共享方式的信任关系可能会带来的风险
工作方式:厂商介绍会议:公司中层领导和系统维护人员资料收集(厂商客户)专家经验(对系统的了解) 评估确认
安氏业务系统评估方法介绍
分层的方法将业务系统分为
业务系统=支撑系统+应用系统+数据流+操作+管理
支撑系统为通信子网和主机层和其他部分如ss7 (和以前的安全评估兼容,并为以后保留一定的可扩展性) 是确定范围相关性的关键
应用系统为应用系统的开发过程应用系统体系结构,在设计和实现中对安全性的考虑应用系统在支撑系统上的实现确定接口的关键
数据流分析数据流在支撑系统应用系统上如何产生传输处理保存共享销毁的, 在设计和实现中对安全性的考虑确定接口的关键
操作+管理各类规章制度是否健全, 是否按照规章制度执行
支撑系统的评估
业务系统的物理拓扑图
确认gprs的接口共享和内部结构(具体到每一条链路?)
工作方式: 资料收集(客户) 专家确认
业务系统的逻辑拓扑图
如gprs业务系统通常划为3个vlan:分组数据转发, 计费,维护, 在具体实现时可能就会划分为更多的vlan , 如果有路由通过划分为不同的子网和路由来确定
工作方式: 资料收集(客户) 专家确认
主机的评估
评估信息必须准确完整,包括拓扑图中的每一台设备?
工作方式: 资料收集(客户) 专家确认
(如果没有做过可以启动一个新的主机评估项目)
应用系统评估