Performance Management and Engineering.ppt

诚信贵在风雨同舟 出发点 欲达到的目标 正确认识信息安全风险评估 迎接信息安全风险评估挑战 主要内容 漏洞暴露 周期越来越短 真实数据（高级事件） 真实数据（黑客攻击事件） T1:增加攻击自动化程度与复杂度 T２:缓冲区溢出深入研究 2000年格式化字符 DLmalloc的堆溢出 Ptmalloc攻击（RPC DCOM ） Windows2003堆漏洞利用技术 T３:转向应用缺陷 T4:逐渐转移硬件攻击 T5:转向路由器／交换机 T6:无线网攻击增多(802.11) T7:攻击终端化／可视化 最佳实践 效果落实靠安全实践 信息安全风险评估的认识 信息系统的安全风险:将永远存在 安全技术\安全产品:不能完全解决问题 网络信息安全的本质:信息安全风险管理 信息安全风险评估:信息安全风险管理的基础 信息安全风险评估:也是一个过程 最佳实践(安全五步法) ISMS StandardsRevision of ISO/IEC 17799:2000 安全风险评估背景 安全风险评估背景 主要内容 信息安全风险评估的挑战 一般的评估过程 信息安全风险评估的挑战 一般的评估过程 信息安全风险评估的挑战 常见的评估方法 信息安全风险评估的挑战 信息安全风险评估的挑战 常见的评估方法缺陷 威胁 环境 业务 过程 结果 信息安全风险评估的挑战 常见的评估方法问题 堆积如山的文档 晦涩的数字 局限性的图表 技术性术语 与业务脱节 指导性不够 可操作性不强 难以得到认可 难管理的结果 主要内容 安全风险评估生产力SRAP SRAP:Security Risk Assessment Productivity 生产力是衡量提高产品和服务的效率的主要指标 （风险标识+风险表达+风险控制） SRAP = （劳力+资本+工具+知识） 基于SRAP的评估模型方法 SRAP1:基础环境 评估环境分析 物理 逻辑 人文 技术 管理 竞争 SRAP1:基础环境 SRAP2:高级管理层沟通 高级管理层 具有远见,整体观非常强 掌握非常丰富的信息 具有指挥执行的权利 在评估工程中必不可少 有效沟通 精心策划、认真准备 有效的发问 更多从业务角度出发 梳理出他们的“关”点 SRAP3:强化业务需求分析 信息网络安全与业务进行联系 非常关键 非常困难 需要复合的业务和安全知识 要求具有强大的逻辑思维能力 安全业务联系过程 组织 流程 方法 SRAP4:重视安全管理评估 安全管理评估 难点和重点 有许多标准可参考 如何进行安全管理评估实践的资料较少 不同的企业对安全管理采用的方式也不一样 评估具有很多不确定性 评估实践 关注：期望或需求，管理规范或标准，执行情况 充分考虑三个方面的关系和程度 确认企业的管理现状，管理风险 SRAP5:深入进行威胁评估 现有的威胁评估 基于常识 事件触发 由脆弱性倒推的方法 业务和安全 寻找最为了解威胁的人 安全事件 安全趋势 业务需求 细致的描述 SRAP6:定制个性化的评估方法 评估种类 整体企业评估 IT安全评估 渗透测试 边界评估 网络结构评估 脆弱性扫描 策略评估 应用风险评估 安全风险评估服务的精细化、组件化 SRAP7:敏感性分析 深入关联分析 现有系统越来越复杂 互相关联 风险越来越隐蔽 强大的评估经验知识库支撑 要求评估者具有敏锐的分析能力 举例 从一个老漏洞，不是简单的分析它的影响和解决措施，而要推断出可能相关的其他技术和管理漏洞，找出病“根”，开出有效的“处方”。 SRAP8:安全整体框架的设计 评估结果为管理风险提供基础和依据 风险管理的安全整体框架 环境差异、需求差异 在操作层面可参考的模板很少 绝大多数停留在学术书本层面 至少应完成1-2年内框架 SRAP9:多用户决策评估 全面了解风险 不同层面的用户能看到不同的问题 必须进行多用户沟通评估 有助于了解风险、理解风险、管理风险、落实行动 效果非常明显 需要一个具体的流程和方法 SRAP10:评估集中化决策 集中化决策管理 具有多种能力的人 具有多种知识的人 评估项目成功的保障条件之一 知识/能力等“基因”的组合运用 特殊技能的人才－相应关键的任务 SRAP11:提升安全意识培训的地位 安全培训 参与安全风险评估 需要认识风险 最终能够管理风险 贯穿整个评估工程 对提高SRAP具有很高的回报率 SRAP12:整个评估结果可管理 评估结果 不仅应该是一堆文档 应该是一套系统来记录、管理 风险表述系统 指导评估过程 管理评估结果 使SRAP在管理层面有了较大的提高 谢谢！ 本文观看结束！！！ 信息安全风险评估的认识 信息安全风险评估的挑战 信息安全风险评估的对策 环 境 层 管