2008审计教学研讨会邀请函.pptVIP

全面风险评估实施中需要注意的问题 内容提要 明确风险评估的目的 确定清晰的评估范围 选择有效的评估手段 科学规范的计算方法 重点突出的风险分析 动态持续的风险评估 一、明确风险评估的目的 生命周期中的风险评估 信息安全生命周期（APDRR） 评估、防护、监测、响应、恢复 评估是安全保障体系的首要和必要组成部分 信息系统开发生命周期（SDLC） 规划/启动、设计/开发/采购、实施、运行/维护、废弃 评估是SDLC各个阶段的安全保障手段 一般的风险评估目的 组织自身的要求 了解和评价信息安全现状 提出信息系统的安全需求 选择最佳的风险控制措施 建立信息安全管理体系 制订有效的安全策略 法律规范的要求 信息系统安全域划分 信息系统安全等级保护 《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号 其他具体的风险评估目的 其他具体的评估目的 应用系统的风险 系统漏洞导致的风险 技术方面的安全问题 …… 风险评估方法 基线：标准 非正式：简单实用、针对 详细：全面、完整 综合：重点突出 二、确定清晰的评估范围 确定评估范围 评估范围内的所有业务和应用系统 评估边界资产（如硬件、软件、数据） 相关人员（各业务的系统用户和应用用户、项目组人员） 环境（如建筑、设备位置） 活动（如可对设备进行的操作及其权限等） 设备IP信息 风险评估内容 物理层：机房、设备、办公、线路、环境 网络层：架构安全、设备漏洞、设备配置缺陷 系统层：系统漏洞、配置缺陷 应用层：软件漏洞、安全功能缺陷 管理层：组织、策略、技术管理 三、选择有效的评估手段 主要评估手段 四、科学规范的计算方法 评估中涉及的算法 风险评估中的计算问题 资产评估 威胁评估 脆弱性评估 风险计算 R＝F（A，T，V） 一致性要求 遵循同一计算准则 五、重点突出的风险分析 风险分析 风险分析：从业务和资产两个角度对所有风险进行结果判定、统计、分析，识别风险源，为下一步安全措施的选择提供依据。 极度风险、高风险SWOT分析。 六、动态持续的风险评估 动态持续的风险评估 风险评估的操作形式 自评估 委托评估 检查评估 周期性评估 风险的持续跟踪 总结 风险评估的定位 用户：根据自己的实际需求确定真正的评估目的； 评估者：根据用户的评估目的实施适当的评估方法。 * 绿盟科技 于慧龙 确定风险评估范围 资产识别与估价 威胁评估 脆弱性评估 风险分析 风险管理 威胁问卷调查 威胁顾问访谈 工具扫描 人工检查 渗透测试 网络架构分析 管理问卷调查 安全策略分析 管理顾问访谈 IDS取样分析 技术方面 工具漏洞扫描 人工安全检查 远程渗透测试 网络架构分析 IDS采样分析 管理方面 安全问卷调查 安全顾问访谈 安全策略分析 安全文档审核 谢 谢！ *