天融信风险评估服务介绍.ppt

阶段4：风险评估—规划阶段 项目验收 风险评估背景介绍 风险评估服务介绍 风险评估服务优势 风险评估案例简介 风险评估服务流程 天融信服务优势 天融信优势 1 国内最全面的 安全服务资质 3 单独安全服务 产品线， 覆盖全国 2 经验丰富的 服务团队 4 大项目实施 交付能力 5 20多年的安全 行业积累能力 天融信安全服务产品线组织架构 阿尔法实验室-漏洞挖掘成果 逆向分析 漏洞分析、病毒分析 协议分析、脱壳研究 攻防对抗 漏洞挖掘、漏洞分析 渗透测试、代码审计 攻防比赛、工具开发 截止2018年，已为CVE、CNVD，CNNVD等机构提交上千个安全漏洞。 安全攻防研究实验室 致力于帮助组织了解新型攻击手法以及面临的内外部安全威胁，评估威胁防御检测能力，并对发生的安全事件应急追踪溯源。 红队 蓝队 紫队 攻击能力 防御能力 检测模型、 威胁数据 基础数据、 分析工具 武器库 靶场 攻击检测 攻击技战术手法识别 攻击检测咨询 攻击检测分析服务 威胁追踪 应急响应 遏制威胁 破坏性评估 安全修复 追踪溯源 赤霄实验室 听风者实验室 在某国家级的网络攻防实战演习中获最佳攻击队伍奖。 风险评估背景介绍 风险评估服务介绍 风险评估销售特点 风险评估服务优势 风险评估案例简介 成功案例——国家机关用户 成功案例——地方政府用户 成功案例——电信行业 成功案例——金融行业 成功案例——能源 谢谢观看 天融信风险评估服务介绍 安服技术支持二部 风险评估背景介绍 风险评估服务介绍 风险评估服务流程 风险评估服务优势 风险评估案例简介 1.2019年1月澳大利亚维多利亚州政府3万名雇员个人信息外泄 2.位于深圳的人脸识别公司发生大规模数据泄露事件，超过250万用户的680多万条信息记录被泄露，泄露数据包括身份证信息、人脸识别图像、24小时内的位置记录等敏感信息。 3. 优衣库、GU销售网站逾46万名客户个人信息遭未授权访问。这些账户包含信息包括客户姓名、地址、电话号码、电子邮件、生日、收件地址以及部分信用卡信息，黑客可能已经浏览过部分信用卡的信息。 风险评估背景介绍 风险评估安全概述 风险评估不是一个新概念，在金融、电子商务等许多领域都有风险和风险评估的需求 信息安全风险评估是对信息系统及由其处理、传输和存储的信息的CIA三个安全属性进行评价的过程。 要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响 风险评估的意义 风险评估的任务 风险评估（ Risk Assessment）是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。风险评估的主要任务包括： 风险评估背景介绍 风险评估服务介绍 风险评估服务优势 风险评估案例简介 风险评估服务流程 风险评估服务模型 资产拥有者 威胁来源 信息资产价值 弱点严重程度 威胁的可能性 安全风险 资产评估 威胁评估 脆弱评估 已有措施评估 综合风险评估 风险控制规划 风险评估内容 天融信风险评估总体工作流程设计 客户收益 资产识别 安全规划 脆弱性识别 协助等级保护 威胁识别 提高安全意识 风险评估的收益 风险评估背景介绍 风险评估服务介绍 风险评估服务优势 风险评估案例简介 风险评估服务流程 项目启动 评估准备阶段 项 目 启 动 项目验收 风险识别阶段 风险分析阶段 风险处置阶段 资产识别 威胁识别 脆弱识别 措施识别 软件资产识别 硬件资产识别 信息资产识别 服务资产识别 人员资产识别 威胁记录识别 威胁检测识别 威胁趋势识别 技术脆弱识别 管理脆弱识别 技术措施识别 管理措施识别 项目组织 项目准备 项目启动 风险识别小组 风险分析小组 控制规划小组 项目协调小组 项目目标 项目范围 项目方案 项目计划 项目说明 启动会议 项目交流 评估流程 人员实施 项 目 验 收 风险处置规划 风险评估沟通 风险处置接受 风险处置计划 风险控制规划 项目总结汇报 风险评估情况 项目人员交流 项目总结报告 资产分析 软件资产评估 硬件资产评估 信息资产评估 服务资产评估 人员资产评估 威胁分析 环境威胁评估 人为威胁评估 脆弱分析 技术脆弱评估 管理脆弱评估 风险分析 风险评估计算 风险评估准则 风险整合评价 项目成果输出 资产评估报告 威胁评估报告 脆弱评估报告 脆弱扫描报告 风险评估报告 风险控制报告 风险评估安全项目实施流程 项目实施流程 阶段一 服 务 项目 启 动 阶段三 阶段四 阶段二 服 务 项目 验收 风险评估