业务系统评估工作方法及流程v1.doc

文档编号:项目代号:业务系统评估--工作方法及流程Ver:(中国)有限公司业务系统评估--工作方法流程拟制:章新斌审核:批准:会签:标准化:、修改1 需要完成的工作和完成工作的方式 业务系统评估的目标 业务系统的划分 业务系统的定义介绍包括:功能流程 业务系统的范围的确定 和其他业务系统的相关性分析: 安氏业务系统评估方法介绍 支撑系统的评估 业务系统的物理拓扑图 业务系统的逻辑拓扑图 主机的评估 应用系统评估 应用系统的开发 应用系统的体系结构 应用系统的实现 数据流程的评估 操作和管理 已有的安全措施 依然存在的风险 解决方案 122 完成工作的方式顺序风险控制方法 工作方式和要完成的工作: 工作顺序 风险控制 13需要完成的工作和完成工作的方式业务系统评估的目标全方位的提供一个业务系统中的安全可见性,包括1业务系统的功能组成流程中安全的设计和实现2已采取的安全措施3仍存在的风险4提供的解决方案业务系统的划分一个公司的业务通常可以划分为几个主要的业务系统,如移动可以划分为网管BOSSOA等,网管又可以划分为短信gprs智能彩铃等,:专家经验(对行业的了解)公司高层领导的访谈和会议业务系统的定义介绍包括:功能流程业务的功能介绍:如gprs(generalpackageradioservice)业务系统完成的功能为:1使用无线网络完成数据分组的传输,2业务系统的维护,:厂商介绍文档收集(厂商)专家经验(对系统的了解)业务系统的范围的确定一个业务系统范围的确定就要根据其功能及组成,具体到相关部门的具体单元(如网络设备主机应用程序维护人员管理人员),依据和业务系统联系的紧密性而划分到那个业务系统如gprs系统:(跨部门浦东运维中心钦州数据中心和多个厂商爱立信nokia)如短信系统:短信中心短信网管各类短信网关划为一个业务系统?人员的协调?工作方式:会议包括公司中层领导和系统维护人员资料收集(厂商客户)评估确认行业性的问题如gprs的用户认证方式,是否是行业标准?和其他业务系统的相关性分析:业务系统的接口分析:如gprs业务系统的接口有:到ss7(七号信令网)计费的接口接口的明确定义:计费信息是采用什么样的方式发送给boss的,:共享通讯子网如共享一个核心交换机共享一个维护人员接口方式和共享方式的信任关系可能会带来的风险工作方式:厂商介绍会议:公司中层领导和系统维护人员资料收集(厂商客户)专家经验(对系统的了解)评估确认安氏业务系统评估方法介绍分层的方法将业务系统分为业务系统=支撑系统+应用系统+数据流+操作+管理支撑系统为通信子网和主机层和其他部分如ss7(和以前的安全评估兼容,并为以后保留一定的可扩展性)是确定范围相关性的关键应用系统为应用系统的开发过程应用系统体系结构,在设计和实现中对安全性的考虑应用系统在支撑系统上的实现确定接口的关键数据流分析数据流在支撑系统应用系统上如何产生传输处理保存共享销毁的,在设计和实现中对安全性的考虑确定接口的关键操作+管理各类规章制度是否健全,是否按照规章制度执行支撑系统的评估业务系统的物理拓扑图确认gprs的接口共享和内部结构(具体到每一条链路?)工作方式:资料收集(客户)专家确认业务系统的逻辑拓扑图如gprs业务系统通常划为3个vlan:分组数据转发,计费,维护,在具体实现时可能就会划分为更多的vlan,如果有路由通过划分为不同的子网和路由来确定工作方式:资料收集(客户)专家确认主机的评估评估信息必须准确完整,包括拓扑图中的每一台设备?工作方式:资料收集(客户)专家确认(如果没有做过可以启动一个新的主机评估项目)应用系统评估应用系统的开发应用系统生命周期开发文档测试文档实现文档等的确认工作方式:厂商介绍资料收集(厂商)专家确认应用系统的体系结构体系结构介绍,可分成多少个组件应用系统设计和实现时对安全性的考虑:认证访问控制审计加密设计:认证信息以明文的形式保存在主机中实现:西门子gprs维护主机使用的web存在问题工作方式:厂商介绍资料收集(厂商)专家确认应用系统的实现应用系统在支撑系统中的分布,使用的进程端口用户(需要的进程端口用户)当一台主机存在风险时,我们就能知道风险对应用系统的影响从而推出