东升需求分析报告.doc

案卷号 日期 ＜东升网络有限公司网络安全解决方案＞ 需求分析报告 作 者： 陶杰 雷丹 王浩骅 完成日期： 2016年6月19日 签 收 人： 签收日期： 修改情况记录： 版本号 修改批准人 修改人 安装日期 签收人 1.0 1.1 目录 1 引言 1 1.1 编写目的 1 1.2 背景说明 1 1.3 定义 1 1.4 参考资料 2 2 公司网络方案分析 2 2.1 公司网络现状分析 2 2.1.1 公司背景 2 2.1.2 公司网络的主要安全隐患 2 2.1.3 公司网络的安全误区 3 2.2 公司原网络拓扑图 4 2.3 网络拓扑说明 4 3 需求分析 5 3.1 公司网络安全需求 5 3.2 需求分析 5 4 业务功能概要描述 6 4.1 业务描述 6 4.2 公司部门划分 6 5 风险评估 7 5.1 评估工作概述 7 5.1.1 评估范围 7 5.1.2 评估阻止 7 5.2 评估依据和标准 8 5.3 资产识别 9 5.3.1 资产识别内容和方法 9 5.3.2 重要资产的确定及三性赋值 12 5.4 威胁识别 15 5.5 脆弱性识别 21 5.5.1 脆弱性识别内容及方法 21 5.5.2 脆弱性识别结果 22 6 综合风险分析 25 6.1 风险分析方法 25 6.2 风险等级划分 27 6.3 不可接收风险划分 27 6.4 风险分析结果 28 7 风险统计 33 8 不可接收风险处理计划 35 1 引言 1.1 编写目的 这是1.0版本，预期读者是用户、项目经理、需求工程师、售前工程师、售后工程师等，主要是让他们熟悉公司背景以及透彻的了解公司现状，这样才好分析出漏洞并设计解决方案。 1.2 背景说明 随着IT产业规模的不断扩大，专业门类的日益齐全，技术水平的显着提升，如今我国已经成为了全球主要的电子信息产品生产消费和出口大国。东升公司了解到，就发展现状来看，我国目前的信息产业呈现出发展迅速、规模庞大、竞争激烈、产业集中度高、信息化程度高、国际化趋势显着等特点。由于企业在行业中的地位，所以企业面临的竞争环境也是相当恶劣的。在这样的竞争环境中，企业的各种数据资料的安全尤为重要（尤其是研发以及销售数据）。 1.3 定义 安全评估：利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出相应的安全对策措施，以达到工程、系统安全的过程。 网络拓扑：传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。 资产识别:由企业拥有或者控制的能够为企业带来未来经济利益的资源。我们主要识别的是各种与业务相关的IT物理设备或使用的硬件设施，用于安装已识别的软件、存放有已识别的数据资产或对部门业务有支持作用。包括主机设备、存储设备、网络设备、安全设备、计算机外设、可移动设备、移动存储介质、布线系统等。 边界保护：为整个公司网络周围建立一个边界保护，就像在城堡周边围绕一条护城河来控制谁能进入。 1.4 参考资料 网络安全解决方案设计.ppt； 网络风险评估.ppt； 信息安全风险评估规范.pdf； 风险评估案例.pdf。 2 公司网络方案分析 2.1 公司网络现状分析 2.1.1 公司背景 东升网络有限公司是一家有100名员工的中小型网络公司，主要以手机应用开发为主营项目的软件企业。公司有一个局域网，约100台计算机，服务器的操作系统是 Linux,客户机的操作系统是 Windows XP，在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及内部网络。随着公司的发展现有的网络安全已经不能满足公司的需要，因此构建健全的网络安全体系是当前的重中之重。 2.1.2 公司网络的主要安全隐患 现在网络安全系统所要防范的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和访问，同时公司网络安全隐患的来源有内、外网之分，很多情况下内部网络安全威胁要远远大于外部网络，因为内部中实施入侵和攻击更加容易，公司网络安全威胁的主要来源主要包括： 病毒、木马和恶意软件的入侵。 （2）网络黑客的攻击。 （3）重要文件或邮件的非法窃取、访问与操作。 （4）关键部门的非法访问和敏感信息外泄。 （5）外网的非法入侵。 （6）备份数据和存储媒体的损坏、丢失。 针对这些安全隐患，所采取的安全策略可以通过安装专业的网络版病毒防护系统，同时也要加强内部网络的安全管理，配置好防火墙过滤策略和系统本身的各项安全措施，及时安装系统安全补丁，有条件的还可以在内、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络