风险评估在等保中的应用.ppt

本文观看结束！！！ 技术与产品 服务与管理 举例：边界访问控制解决方案 购置安全设备 配置安全策略 解决方案名称 控制类 控制点 指标名称 措施名称 改进动作 改进对象 边界访问控制综合安全防护 网络安全 访问控制 A 应在网络边界部署访问控制设备，启用访问控制功能； 采购和部署访问控制设备 采购部署 访问控制系统 边界访问控制综合安全防护 网络安全 访问控制 B 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； 配置端口访问控制 配置访问控制设备 访问控制系统 边界访问控制综合安全防护 网络安全 访问控制 C 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制； 配置协议过滤 配置访问控制设备 访问控制系统 边界访问控制综合安全防护 网络安全 访问控制 D 应在会话处于非活跃一定时间或会话结束后终止网络连接； 配置会话中止功能 配置访问控制设备 访问控制系统 边界访问控制综合安全防护 网络安全 访问控制 E 应限制网络最大流量数及网络连接数； 配置最大流量与连接数 配置访问控制设备 访问控制系统 边界访问控制综合安全防护 网络安全 访问控制 F 重要网段应采取技术手段防止地址欺骗； 配置防地址欺骗 配置访问控制设备 访问控制系统 边界访问控制综合安全防护 网络安全 访问控制 g 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 配置用户访问控制 配置访问控制设备 访问控制系统 边界访问控制综合安全防护 网络安全 访问控制 H 应限制具有拨号访问权限的用户数量。 配置限制拨号访问权限 配置访问控制设备 访问控制系统 信息安全管理体系建设 安全体系框架 安全组织体系 决策层 管理层 业务安全决策 安全战略规划 安全保证决策 信息安全领导小组 信息安全管理部门 安全管理 系统安全工程 安全保证管理 信息安全执行部门 实施与运作 运行管理 安全保证实施 执行层 建立安全组织三层结构 明确部门及岗位安全职责 建立兼职安全管理岗位 技术岗位任职资格规范 建立岗位资格考核制度 建立关键岗位审计制度 建立适宜安全培训体系 组织体系为核心！ 安全管理体系 管理体系为保障！ 安全运行体系 运行体系为基础！ 等级保护信息安全管理体系 表单 表单 表单 表单 表单 表单 表单 表单 1.明确需求 2.进场调研 3.辅助定级 4.方案设计 5.项目实施 6.辅助测评 集成实施 人员培训 系统交付 * 建设步骤 1.明确需求 2.进场调研 3.辅助定级 4.方案设计 5.项目实施 6.辅助测评 测评准备 内部测评 辅助测评 * 建设步骤 测评流程 谢 谢! 谢 谢 欣 赏！ * * 1.从业时间长（10余年） 2.公司规模大（业绩行业前两名） 3.规模覆盖全国（32个省市设有分支机构） 一项投资在特定时期内的年度增长率 计算方法为总增长率百分比的n方根，n相等于有关时期内的年数 公式为： (现有价值/基础价值)^(1/年数) - 1 * 图中的风险要素及属性之间存在着以下关系： （1）业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小； （2）资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大； （3）风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件； （4）资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大； （5）脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产； （6）风险的存在及对风险的认识导出安全需求； （7）安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本； （8）安全措施可抵御威胁，降低风险； （9）残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险； （10）残余风险应受到密切监视，它可能会在将来诱发新的安全事件。 * * 对组织体系和策略进行评估分析，并对信息系统的生命周期（规划设计、开发建设、运行维护、废弃变更等各个阶段）的动态安全管理进行评估。 * * * * 1.从业时间长（10余年） 2.公司规模大（业绩行业前两名） 3.规模覆盖全国（32个省市设有分支机构） 一项投资在特定时期内的年度增长率 计算方法为总增长率百分比的n方根，n相等于有关时期内的年数 公式为： (现有价值/基础价值)^(1/年数) - 1 * * * * * * * 标题名称：28pt 黑体, 深蓝色 文本内容：最大28pt 黑体,黑色 PPT名称：32pt 黑体, 白色 单位名称：如售前方案