信息安全风险评估试点工作实践与体会_李京春.pptVIP

信息安全风险评估试点工作实践与体会 报告内容 一、评估实践的主要做法 二、几点体会 一、评估实践的主要做法 依据《指南》开展工作 注意评估工作的规范性 创设了一种检测模式 慎重把握被评估方的特殊要求 加强评估过程的组织领导与管理 合理运用检测评估方法和手段 评估算法的细化 综合评定评估等级 一、评估实践的主要做法 1、依据《指南》开展工作 信息安全风险评估来源于信息安全风管理，是近年来信息安全发展的又一新领域，经业内研究与实践，在评估理论、评估方法和工作经验上都取得了很大的进展。 我们本次参与的信息安全风险评估试点工作，就是按照国信办《信息安全评估试点工作方案》的统一安排，以国信办组织编写的《信息安全风险管理指南》和《信息安全风险评估指南》为依据，结合被评估单位的实际情况，实施的一次检查性信息安全风险评估工作。 一、评估实践的主要做法 虽然，我们在安全检测方面有一定技术积累和工作经验，但对信息安全风险评估还比较陌生，试点前对做好这项工作没有完全把握。经过技术培训，特别是对《指南》的学习、理解、细化和实际运用，使我们对风险评估有了更深入的了解，掌握了风险评估方法。试点工作收益很多，其中《指南》发挥了重要作用，同时也证明了《指南》的适用性和合理性。 一、评估实践的主要做法 2、注意评估工作的规范性 这次试点工作，评估对象是两家单位，为保证评估工作的公平性、合理性、一致性和可操作性，在《指南》的框架下作进一步作分解细化和统一规范工作： 统一评估模式。 统一问卷调查表、顾问访谈内容。 统一资产、威胁和脆弱性分类表，并分别编码。 统一脆弱性检测用例和工具、软件。 统一……等等 将检测工作逐项分解，全部工作表格化、制式化责任化和程序化。我们认为上述内容也应以标准的形式配套。 一、评估实践的主要做法 3、创设了一种检测模式 脆弱性检测采用“M+N”模式，即M代表普查项目，N代表深度检查项目（如同查体）。 针对被评估单位网络系统的威胁特点和上级领导关心的内容来确定深度检测项目。不同类型的评估对象采用的模式有所区别，可能是“5＋1”、“5＋2”。本次采用“5＋2”模式：即5个普查项目，2个深度检查项目。 “5＋2”检测模式 一、评估实践的主要做法 4、慎重把握被评估方的特殊要求 风险评估是很敏感的一项工作，如果处理不当，可能会造成被评估系统“受伤”。因此，在检测评估过程中应充分考虑被评估单位的业务特点和特殊要求，防止在评估过程中给被评估方带来影响和损失。被评估方的要求可能会很多，有些要求对评估方来说可能很棘手。必须妥当处理，慎重把握被评估方的特殊要求，完成评估任务。特殊要求主要有： 保密性要求高。 不间断运行要求高。 用户访问量大。 系统管理严格，多权分立。 ……等等 一、评估实践的主要做法 5、加强评估过程的组织领导与管理 加强评估工作的组织领导，全过程的严格管理，是高质量完成风险评估任务的关键。 通过本次试点，我们认为风险评估工作也应遵循：“技术＋管理，人员是关键”这一特性。 在技术上要有《标准》可依 在管理上要有《规定》可循 在人员上要有《管控》措施 一、评估实践的主要做法 一、评估实践的主要做法 每个技术组组长兼安全检查员，并指定兼职保密员； 对拟进现场的所有设备、工具统一编号，加帖标签，进现场前自测，进现场后由被评估方验测； 每项检测均要征得对方同意，先在实验环境验证再进行实测，凡被评估单位认为对运行环境可能会造成威胁的检测项目，改用其它方式； 双方签定了保密协议，明确了严格的保密纪律，包括：通信保密要求，文档保密要求，内部保密要求，对外保密要求等； 事前将检测工作逐项分解，全部工作表格化、制式化、责任化和程序化，事后全部签字归档； 为不影响和干扰被测系统的正常运营，尽量避开运营高峰时段； ……等等 一、评估实践的主要做法 6、合理运用检测评估方法和手段 本次试点，我们依据《指南》，通过调查、访谈和技术检测等多种方式对风险要素进行数据采集。采用定性、定量相结合的方法对采集数据进行综合分析，运用线性相乘法分级、分步进行风险计算，形成风险列表，分析风险对网络系统安全构成的潜在影响。 主要检测手段 问卷调查、顾问访谈、管理制度和技术文档审查、入侵检测日志分析、漏洞扫描、登录查看、截包分析、软件逆向分析、现场渗透性测试、主机安全核查、密码安全性测试、现场（远程）渗透性验证。 一、评估实践的主要做法 7、评估算法的细化 函数示意图 一、评估实