2008审计学教研讨会邀请函.pptVIP

网络，安全是“硬”道理 － 上海广电应确信有限公司（SVA Networks） 陈长松 86216518 cschen@ 风险评估的系统性量化评估体系 魏忠 博士 上海三零卫士信息安全有限公司 主要内容 评估方法论 系统性信息安全保障和评估的基础 系统性信息安全量化评估模型 系统性信息安全评估工具 信息安全量化评估流程 系统性信息安全量化评估体系框架 评估体系方法论 系统性信息安全量化评估基础 系统性信息安全量化评估模型 系统性信息安全量化评估工具 系统性信息安全量化评估流程 系统性信息安全量化评估体系 用综合集成系统思路进行评估体系的建设 研究思路 基于管理的信息安全度量基准 信息技术安全管理方针 （ISO13335） ISO17799（BS7799:1999 ） 模型对比 国内外安全测评工具的现状 技术型检测工具 主机风险评估软件 网络风险评估软件 数据库扫描器、系统扫描器、互联网扫描器 COBRA ASSET等 管理型评估工具 OCTAVE工具 中国国家信息安全测评中心量表 北京市信息安全测评中心量表 量化工具整体模型 评估软件:安装登陆 评估软件:输入评估 评估流程研究 风险评估的原则 标准性原则 规范性原则 可控性原则 整体性原则 最小影响原则 保密性原则 风险评估逻辑流程 风险评估的过程 风险分析与评估流程图 风险调查和分析软件 风险排序 风险分类 措施筛选 定量和定性分析方法的具体应用 信息系统分析 风险分析模型 关键资产 量化分析过程 威胁分析及其量化 脆弱性分析及其量化 威胁事件分析及其量化 量化表 量化分析工具 风险综合评估 技术风险 风险综合评估 管理风险 量化分析结果 安全策略建议 优先考虑的措施 近期需要考虑的措施 长期还需考虑的措施 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. 一 二 三 四 五 威胁因素存在但发生的可能性极小 威胁因素存在且发生的可能性较小 威胁因素存在且有一定的发生可能性 威胁因素存在且发生的可能性较大 威胁因素存在且发生的可能性极大 威胁因素 量化表 管理脆弱性 量化表 技术脆弱性 量化表 一 二 三 四 五 组织管理中没有相关的薄弱环节，很难被利用 组织管理中没有相应的薄弱环节，难以被利用 组织管理中没有明显的薄弱环节，可以被利用 组织管理中存在着薄弱环节，比较容易被利用 组织管理中存在着明显的薄弱环节，并且很容易被利用 一 二 三 四 五 技术方面存在着低等级缺陷，从技术角度很难被利用 技术方面存在着低等级缺陷，从技术角度难以被利用 技术方面存在着一般缺陷，从技术角度可以被利用 技术方面存在着严重的缺陷，比较容易被利用 技术方面存在着非常严重的缺陷，很容易被利用 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd. * 上海三零卫士信息安全有限公司 定量与定性的分析方法在风险评估中的应用 Shanghai 30wish Information Security Co., Ltd. Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011