回顾风险评估流程及标准.pptVIP

* * * * * 评估体系及相关 标准培训 * 安全评估体系及标准 安全评估服务体系 风险评估内容与过程 风险评估服务组件 ISO/IEC 17799(BS7799)、ISO/IEC TR 13335 国家标准《信息安全评估指南》 * 安全评估体系 基线安全评估 网络架构评估 业务系统评估 管理安全评估 安全风险评估 全面安全解决方案 （Total Solution） 安全咨询 安全加固 安全产品部署 安全培训 紧急响应 客户需求定制 * 安全评估组件的关系 安全风险 评估 安全体系 建设 安全规划 安全 策略 安全 解决方案 周期评估加固 安全项目建设 应急 响应 安全 培训 资产价值 * 安全评估服务体系 风险评估内容与过程 风险评估服务组件 公司介绍 成功案例介绍 * 威胁 影响 概率 弱点 价值 资产拥有者 信息资产 威胁来源 风险 后果 可能性 现有安全措施 影响 影响 半定量分析模型 * 安全风险评估组件 资产调查 基线安全评估 安 全 威 胁 评 估 工具扫描弱点 网络架构安全评估 业务系统安全评估 主机弱点人工评估 网络配置弱点评估 安全设备弱点评估 保 护 对 象 分 析 * 基线安全评估特点 是一种技术评估 操作最简单 内容最基础 历时最短 结果最直观 * 基线安全评估内容 基线安全评估 BaseLine Security Evaluation 工具扫描(Scanning) 登录检查(Login Check) Vulnerability(漏洞) Weak Pass(弱口令) Configuration(配置) Information(信息) Sharing(共享) Local Vul.(本地漏洞) Mechanism(安全机制) Foresic(入侵取证) * 工具扫描 扫描器终端 漏洞库升级 接入IP地址 交换机端口 电源网线 配合人员 扫描申请报告授权 范围列表 扫描范围核实 非业务高峰期 双机热备分开 拒绝服务项关闭 固定范围 准备阶段 扫描30-60分钟 风险规避 开始扫描 系统分类 现场培训 保密协议 * 登录检查 控制台操作 账号口令 配合人员 登录授权 范围选定 检查项审核 准备阶段 检查40-60分钟 风险规避 开始检查 现场培训 一人操作一人监督 检查项列表 操作记录 无写操作 保密协议 * 网络架构评估特点 技术+管理评估 过程复杂 内容广泛 历时较长 结果分定性与定量 * 网络架构评估内容 网 络 架 构 评 估 规范文档 网络拓扑 运行维护 数据安全 网络管理 产品部署 安全域划分 安全控制 运维管理 安全管理 应急管理 接入规范 日常维护 变更记录 密码策略 日志策略 审核策略 联系列表 应急流程 应急预案 * 网络架构评估方法 网络架构方面安全问题分为8个大类 每个类内容有3-5个子类 每个子类分为3-8个子项 每个子项分为5-15个知识点 根据稳定性、安全性、冗余性、扩展性、经济性、易于管理性共六项内容对每个知识点进行分配权重 按照可选、必选的规则 定义8大类的比重 进行综合加权评估 * 网络架构评估结果 网络安全状况分级 安全风险分布图表 最严重的安全问题列表 安全风险综述 * 业务系统评估特点 针对业务和应用 过程复杂 内容与业务关系密切 历时较长 结果定性 * 业务系统评估内容 IT 业 务 系 统 评 估 支撑系统 应用系统 前置系统 中间件 数据库 安全系统 管理安全 物理安全 业务相关性分析，根据信息 数据流向，对整个业务系统 进行综合评估。 * 管理安全评估特点 针对策略、流程、资产、人员管理 后续改善工作是持续的过程 内容广泛 历时较长 效果不直接 * 管理安全评估内容 IT管理安全评估 文档审计 顾问访谈 问卷调查 实地考察 策略文档 资产管理 流程管理 规章制度 安全组织 策略发布 策略修订 入网流程 维护流程 备份流程 应急流程 资产统计 资产定级 资产维护 岗位职责 人员流动 登记制度 保密制度 * 项目的主要阶段 1 2 3 4 5 1-项目准备与范围确定项目计划项目组织结构、人员确认项目工作环境Kick off需求调研，背景讨论范围确定 2-项目定义和蓝图完成详细方案设计定义详细项目范围定义报告格式定义项目目标作好网络环境准备完成蓝图并与用户签署 3-评估 资产调查 等级保护和分域保护 风险评估 资产管理和风险信息库 4-综合评估阶段 网络风险评估报告 安全现状报告 数据导入信息库和整理 安全需求分析 5-体系规划和策略方案阶段安全体系设计、安全规划安全策略制定网络安全管理和技术解决方案 6 6-支持和维护培训漏洞跟踪售后服务电话热线支持售后服务 安全通告服务 评估方法介绍（） 风险评估