亿阳安全加固服务优势V2.pptVIP

流程部分：项目实施思路 工作范围和内容 工作步骤 工作方式/方法 提交成果 使用技术和工具 工作范围和内容 项目涵盖内容： 各业务系统 IT资源 IT流程领域 项目涵盖系统： 项目计划涵盖OSS所有信息系统 工作范围和内容： 技术层面：评估和分析在网络和主机上存在的安全技术风险，包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。 管理层面：从组织的人员、组织结构、管理制度、系统运行保障措施，以及其它运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。 工作范围和内容 目前的系统和安全轮廓（Profile Control） 描述系统的理想状况（Target） 希望改进的方面（Hope） 结构划分： 工作范围和内容 评估的内容： 资产评估 威胁评估 影响评估 弱点评估 风险评估 系统划分： 业务 系统 资产 区域 风险评估的主要内容（一） 业务状况——安全调查、安全交流 业务类型 数据处理流程 数据完整性（输入、处理、传输） 数据保密性（认证、授权、加密） 业务可用性（时间、可靠性） 业务事故案例 业务拓展状况 风险评估的主要内容（二） 网络结构——安全调查、安全交流、软件应用 网络拓扑 设备冗余 链路冗余 网络流量与拥塞控制 VLAN划分 网络接口 网络可用性 风险评估的主要内容（三） 物理环境——安全调查、安全交流、现场查看 防火、防盗、防静电 防自然灾害 访问控制（人为控制、电子控制） 布线合理性 电力保障 风险评估的主要内容（四） 管理状况——安全调查、安全交流 安全策略 安全计划 安全目标 安全组织 安全制度 安全约束 管理风险 风险评估的主要内容（五） 人员状况——安全调查、安全交流 安全意识 安全技能 安全培训 安全约束 安全状况的了解程度和满意程度 组织满意度和忠诚度 风险评估的主要内容（六） 网络系统和设备安全状况——安全调查、安全交流、控制台安全审核、弱点扫描、其他工具应用 操作系统 数据库系统 应用软件和应用系统 风险评估的主要内容（七） 安全产品和技术的应用状况——安全调查、安全交流、安全审核 安全技术和产品 应用前后的效果 安全功能的欠缺 安全技术和产品需求 风险评估的主要内容（八） 应急响应能力 其他 IDS数据嗅探分析 渗透测试 流程部分：项目实施思路 工作范围和内容 工作步骤 工作方式/方法 提交成果 使用技术和工具 工作步骤 工作步骤 工作步骤 项目实施过程： 流程部分：项目实施思路 工作范围和内容 工作步骤 工作方式/方法 提交成果 使用技术和工具 工作方式/方法 面向关键信息资产的安全评估模型 工作方式/方法 工作方式/方法（风险分析方法） 工作方式/方法（风险分析方法） 工作方式/方法（风险计算模型） 工作方式/方法（风险评估过程） 资产价值 脆弱性识别 脆弱性评价 威胁识别 可能性 计算矩阵 风险处置 处置措施 技术评估 工具扫描： 针对各系统网络和服务器，采用扫描软件对网络层进行检测和评估； 人工控制台审计： 针对主机、服务器、数据库、网络设备等采用安全专家进行手工审计，结合与管理员的交流进行评估； IDS取样分析 IDS取样分析通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫等异常行为；并对通信流量进行分析，对象包括各类主机系统、网络设备、数据库应用等在网络中传输的数据，采样结果将作为安全评估的一个重要参考依据。 管理评估 渗透测试—流程 评估方式与风险计算的对应关系 评估技术关键点 评估输入 关键点：按照业务服务划分的资产清册、业务服务的SLA。 风险评估 关键点：分析影响业务服务SLA的可能因素；业务链薄弱环节。 关键点：结合业务发现安全技术漏洞，发现威胁、体系漏洞。 关键点：安全管理体系十一个方面。 评估输出 关键点：风险计算：资产重要程度、威胁、脆弱性 关键点：按业务划分资产评估输出。 体系建设 关键点：安全运行KPI指标、控制措施和安全流程。 流程部分：项目实施思路 工作范围和内容 工作步骤 工作方式/方法 提交成果 使用技术和工具 提交成果 项目管理类： 《启动会议纪要》 《详细项目计划》 《项目总结报告》 项目日报 项目周报 项目会议记录 项目初验报告 项目终验报告 提交成果 安全评估类： 《信息资产调查总结报告》 《信息资产赋值报告》 《主机设备评估报告》 《网络架构评估报告》 《安全策略评估报告》 《安全管理评估报告》 《应用软件评估报告》 《分析报告》 《威胁评估报告》 《风险综合评估报告》 《信息系统风险综合评估报告》 《信息系统安全现状报告》 提交成果 体系设计及策略制定类： 《信息安全保障体系》 《信息安全规划》 《信息安全方针》 《安全制度和管理办法系列文档》 《安全组织管理体系和职责》 《安全