等级保护风险评估.pptVIP

* * * * * * * * * * * * * * * * 风险评估的方法和流程 风险评估的成果文件 典型案例介绍 ISO13335以风险为核心的安全模型 威胁 漏洞 资产 价值 需求 控制 风险 利用 存在 抵御 引发 增加 增加 增加 拥有 需要 国信办报告中的风险９要素关系图 精简的风险管理３要素 评估内容 技术层面 评估和分析在网络和主机上存在的安全技术风险，包括网络设备、主机系统、操作系统、数据库、应用系统等软硬件设备。 管理层面 从组织的人员、组织结构、管理制度、系统运行保障措施，以及其它运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷。 安全标准 AS/NZS 4360: 1999 风险管理标准 ISO13335 IT安全管理指南 ISO17799:2005 信息安全管理最佳实践指南 ISO27001:2005 信息安全管理体系规范 ISO15408/GB 18336 CC NIST SP 800-30 IT系统风险管理指南 GB17859 计算机信息系统安全保护等级划分准则 国信办 信息安全风险评估指南 风险评估的作用 了解整个IT支撑系统的安全状况 发现IT支撑系统中的安全问题和漏洞，及时进行修补 发现由于流程和日常工作失误造成的深层次安全问题，进行有效防范 安全项目后的验收评估有利于衡量安全项目达到的成果 新系统上线前的评估有利于确保上线的系统达到基本的安全要求 协助规划安全投资 提升相关人员的安全意识 协助进行信息安全方面的绩效考核 培养一批既懂业务也懂安全的技术骨干 风险评估的主要内容 资产评估 网络体系安全评估 网络拓扑威胁分析 访问控制策略与措施 网络设备策略与配置 安全设备策略与配置 主机系统安全评估 漏洞扫描评估 操作系统控制台审计 数据库系统控制台审计 应用系统安全评估 安全威胁评估 渗透测试 安全策略文档归纳和分析 人工分析 IDS安全隐患分析 资产评估-资产分类调查 * 项目名称 资产分类调查 简要描述 采集资产信息，进行资产分类； 达成目标 采集资产信息，进行资产分类； 进一步明确评估的范围和重点； 主要内容 采集相关系统资产信息，获取资产清单； 进行资产分类划分； 实现方式 调查 填表式调查 《资产调查表》，包含计算机设备、网络通讯设备、存储及保障设备、安全设备、业务系统、软件等。 交流 审阅已有的针对资产的安全管理规章、制度； 与高级主管、网络管理员（系统管理员）等进行交流。 工具 扫描器 工作结果 资产清单（分类） 参加人员 依据现场状况，启明星辰全体评估人员在客户相关技术和管理人员的配合下进行资产分类调查 资产评估-资产管理 * 项目名称 资产管理 简要描述 评估资产的安全等级划分标准和应给予的安全保障级别 达成目标 评估资产的安全等级划分标准； 评估资产应给予的安全保障级别； 主要内容 确定资产安全等级划分标准； 确定资产的应给予的保障级别； 实现方式 交流 审阅已有的针对资产的安全管理规章、制度； 与高级主管、网络管理员（系统管理员）等进行交流和调查； 形成资产安全等级划分标准。 填表式调查 在《资产调查表》的基础完成《资产安全保障级别调查表》。 工作结果 资产安全等级划分标准（文档）； 资产安全保障级别（文档）； 参加人员 依据现场状况，启明星辰全体评估人员在客户相关技术和管理人员的配合下进行资产分类调查 网络体系安全评估-网络拓扑威胁分析 * 项目名称 网络拓扑威胁分析 简要描述 分析系统的网络拓扑结构安全隐患（重点是边界），分析网络所面临的外部和内部安全威胁。 达成目标 准确把握网络拓扑上的安全隐患，重点是网络边界面临的安全隐患； 分析网络所面临的外部和内部安全威胁。 主要内容 设备确定，基本的策略状况 外联链路或接口确定 接入方式确定 路由确定（ACL、VLAN） 备份方式确认 拨号接入确认 远程访问接入和方式的安全分析和确认 无线网络的安全分析和确认 业务和网络的关系（制度、规范） 网络等级确认（制度、规范） FW位置和策略确认 网管确认 实现方式 问询 检查（采用渗透测试方式） 资料收集 工作结果 形成系统网络拓扑结构图、业务数据流图，并针对以上检查内容做网络结构和边界安全威胁状况分析，并提出改进建议（文档）。 参加人员 客户网络管理员、业务维护人员，启明星辰评估小组 网络体系安全评估-访问控制策略与措施评估 * 项目名称 访问控制策略与措施评估 简要描述 评估系统的访问控制策略与措施的安全状况 达成目标 评估系统的访问控制策略与措施的安全状况，协助进行访问控制策略和措施的优化改进 主要内容 网络设备的访问控制策略 防火墙的访问控制策略 操作系统访问控制策略 其它访问控制策略，如认证等 实现方式 调查交流 控制台安全审计 工具测试 工作结