移动网管网风险评估工程风险评估方法培训.pptVIP

XX移动网管网风险评估工程风险评估方法培训 亿阳信通 主要内容 （一）安全基本概念 （二）本次评估项目概述 （三）安全评估主要流程和方法介绍 （四）安全评估的工具介绍 （五）白客渗透测试方法介绍 （一）安全基本概念 （一）目录 信息安全基本概念 信息安全的典型特性 如何实现安全信息系统安全 信息安全服务的特性 安全工作的两个方面 面向数据和信息的安全 面向访问（人）的安全 信息安全事件的模式 “安全”（security）的独特内涵 “防范潜在的危机” “安全”与“性能”的对比 性能 容易量化 可以评价为：低、较低、较高、高 …… 看得见 信息安全的相对性 安全没有100% 安全只能将风险降到最低 亿阳安全生命周期-- P- ADDME模型 PADIMEE模型 4 信息安全服务的特性 工具特性 相关参考标准和依据 成熟安全工程的特性 信息安全评估依赖工具 工具的成熟度和标准化 Internet Scanner System Scanner Database Scanner 结合评估者的经验 安全调查问卷 检查项列表（ Checklist ） 信息安全服务的标准 参考标准 BS7799/ISO17799 PD3000 SSE-CMM CVE 相关国标和行业规范 成熟安全工程的特性 连续性—以前获得的知识由于将来 重复性—保证过程可成功的重复实践 有效性—可帮助开发者和评估者更有效的工作方法 保证—落实安全需求的信心 （二）项目评估概述 XX移动安全评估项目 项目范围 网管系统 项目目标 通过对业务系统的评估获得XX移动网管系统安全风险报告。 通过对安全风险的分析和汇总XX移动网络安全现状报告，并建立相应的XX移动安全信息数据库。 根据XX移动网络安全现状报告，对现有业务系统安全策略进行动态调整、修订和完善，丰富安全策略，提出XX移动网络安全策略和相应的网络安全解决方案，为XX移动下一步的网络安全建设提供参考。 项目工作原则 标准性原则 可控性原则 完整性原则 最小影响性原则 保密原则 项目管理 日常沟通、记录、表格和备忘录 报告 会议 周例会 项目阶段工作会议 项目评审会议 我们初步提出的项目计划 移动安全评估项目中的阶段 项目阶段和提交文档 项目阶段主要成果及标志（1） 第一阶段：项目准备阶段 XX移动安全风险评估方案建议（SOW文档） 第二阶段：蓝图阶段 蓝图系列文档 第三阶段：安全风险评估阶段 网管系统综合风险分析报告 项目阶段主要成果及标志（2） 第四阶段：综合评估和策略阶段 网管系统网络安全现状 网管系统安全策略建议 网管系统安全解决方案 第五阶段：项目评审 项目验收报告 本项目实施的关键挑战 顾问服务项目和系统集成项目差异 资源的争夺 领导的重视 （三）评估流程和方法介绍 移动安全评估项目中的阶段 安全风险评估 什么是风险？ 风险 Risk 对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。 AS/NZS 4360:1999《风险管理》 ISO13335以风险为核心的安全模型 BS7799 / ISO 17799 信息安全政策 安全组织 资产分类及控制 人员安全 物理及环境安全 计算机及系统管理 系统访问控制 系统开发与维护 业务连续性规划 法规和策略符合性 安氏半定量分析模型 2002年版 风险管理的核心理念 资产保护 安全风险评估流程 安全风险评估流程 安全风险评估流程 信息资产分类列表 本项目应用的分类标准 资产组 主机（硬件，OS，应用软件，服务，数据） 网络（硬件，IOS，配置文件，网络服务） 数据库（数据库软件，数据等） 总体资产组（每个业务为一个资产组） 独立资产 服务（主要业务服务和业务流程等） 数据（重要的数据） 人员（各类人员，安全组织和人员） 本项目应用的分类原则 对于实际评估工作，没有必要进行细分的资产采用资产组的进行标识。 对于重要的资产进行独立标识。 对资产进行B（所属业务）和D（所属安全域）进行分组。 信息资产业务B分组 按业务系统进行分组 骨干网支撑平台 网管系统 IP电话 GPRS的数据加速系统 卡数据生成系统 汇接短信网关 ……. 信息资产分布D分组 按网络分布进行分组 网管中心 骨干网部分 GPRS网段 IP电话网段 卡数据生成系统网段 汇接短信网关网段……. 信息资产层次H分组 按层次进行分组 物理层 网络层 操作系统层 应用程序层 业务系统层 数据 信息资产赋值 风险评估流程 现有安全措施界定 安全风险评估流程 风险的计算 风险处置措施 风险处置措施 安全风险评估流程 安全现状报告(续) 安全风险评估流程 组合分析方法 需求