風(fēng)險(xiǎn)評(píng)估流程及標(biāo)準(zhǔn)

1、評(píng)估體系及相關(guān) 標(biāo)準(zhǔn)培訓(xùn),安全評(píng)估體系及標(biāo)準(zhǔn),安全評(píng)估服務(wù)體系 風(fēng)險(xiǎn)評(píng)估內(nèi)容與過(guò)程 風(fēng)險(xiǎn)評(píng)估服務(wù)組件 ISO/IEC 17799(BS7799)、ISO/IEC TR 13335 國(guó)家標(biāo)準(zhǔn)信息安全評(píng)估指南,安全評(píng)估體系,基線安全評(píng)估,網(wǎng)絡(luò)架構(gòu)評(píng)估,業(yè)務(wù)系統(tǒng)評(píng)估,管理安全評(píng)估,安全風(fēng)險(xiǎn)評(píng)估,全面安全解決方案 （Total Solution）,安全咨詢,安全加固,安全產(chǎn)品部署,安全培訓(xùn),緊急響應(yīng),客戶需求定制,安全評(píng)估組件的關(guān)系,資產(chǎn)價(jià)值,安全評(píng)估服務(wù)體系 風(fēng)險(xiǎn)評(píng)估內(nèi)容與過(guò)程 風(fēng)險(xiǎn)評(píng)估服務(wù)組件 公司介紹 成功案例介紹,威脅,影響,概率,弱點(diǎn),價(jià)值,資產(chǎn)擁有者,信息資產(chǎn),威脅來(lái)源,風(fēng)險(xiǎn),后果,可能性

2、,現(xiàn)有安全措施,影響,影響,半定量分析模型,安全風(fēng)險(xiǎn)評(píng)估組件,資產(chǎn)調(diào)查,基線安全評(píng)估,安 全 威 脅 評(píng) 估,工具掃描弱點(diǎn),網(wǎng)絡(luò)架構(gòu)安全評(píng)估,業(yè)務(wù)系統(tǒng)安全評(píng)估,主機(jī)弱點(diǎn)人工評(píng)估,網(wǎng)絡(luò)配置弱點(diǎn)評(píng)估,安全設(shè)備弱點(diǎn)評(píng)估,保 護(hù) 對(duì) 象 分 析,基線安全評(píng)估特點(diǎn),是一種技術(shù)評(píng)估 操作最簡(jiǎn)單 內(nèi)容最基礎(chǔ) 歷時(shí)最短 結(jié)果最直觀,基線安全評(píng)估內(nèi)容,基線安全評(píng)估 BaseLine Security Evaluation,工具掃描(Scanning),登錄檢查(Login Check),Vulnerability(漏洞),Weak Pass(弱口令),Configuration(配置),Information(

3、信息),Sharing(共享),Local Vul.(本地漏洞),Mechanism(安全機(jī)制),Foresic(入侵取證),工具掃描,掃描器終端,漏洞庫(kù)升級(jí),接入IP地址,交換機(jī)端口,電源網(wǎng)線,配合人員,掃描申請(qǐng)報(bào)告授權(quán),范圍列表,掃描范圍核實(shí),非業(yè)務(wù)高峰期,雙機(jī)熱備分開,拒絕服務(wù)項(xiàng)關(guān)閉,固定范圍,準(zhǔn)備階段,掃描30-60分鐘,風(fēng)險(xiǎn)規(guī)避,開始掃描,系統(tǒng)分類,現(xiàn)場(chǎng)培訓(xùn),保密協(xié)議,登錄檢查,控制臺(tái)操作,賬號(hào)口令,配合人員,登錄授權(quán),范圍選定,檢查項(xiàng)審核,準(zhǔn)備階段,檢查40-60分鐘,風(fēng)險(xiǎn)規(guī)避,開始檢查,現(xiàn)場(chǎng)培訓(xùn),一人操作一人監(jiān)督,檢查項(xiàng)列表,操作記錄,無(wú)寫操作,保密協(xié)議,網(wǎng)絡(luò)架構(gòu)評(píng)估特點(diǎn),技術(shù)+

4、管理評(píng)估 過(guò)程復(fù)雜 內(nèi)容廣泛 歷時(shí)較長(zhǎng) 結(jié)果分定性與定量,網(wǎng)絡(luò)架構(gòu)評(píng)估內(nèi)容,網(wǎng) 絡(luò) 架 構(gòu) 評(píng) 估,規(guī)范文檔,網(wǎng)絡(luò)拓?fù)?運(yùn)行維護(hù),數(shù)據(jù)安全,網(wǎng)絡(luò)管理,產(chǎn)品部署,安全域劃分,安全控制,運(yùn)維管理,安全管理,應(yīng)急管理,接入規(guī)范,日常維護(hù),變更記錄,密碼策略,日志策略,審核策略,聯(lián)系列表,應(yīng)急流程,應(yīng)急預(yù)案,網(wǎng)絡(luò)架構(gòu)評(píng)估方法,網(wǎng)絡(luò)架構(gòu)方面安全問(wèn)題分為8個(gè)大類 每個(gè)類內(nèi)容有3-5個(gè)子類 每個(gè)子類分為3-8個(gè)子項(xiàng) 每個(gè)子項(xiàng)分為5-15個(gè)知識(shí)點(diǎn) 根據(jù)穩(wěn)定性、安全性、冗余性、擴(kuò)展性、經(jīng)濟(jì)性、易于管理性共六項(xiàng)內(nèi)容對(duì)每個(gè)知識(shí)點(diǎn)進(jìn)行分配權(quán)重 按照可選、必選的規(guī)則 定義8大類的比重 進(jìn)行綜合加權(quán)評(píng)估,網(wǎng)絡(luò)架構(gòu)評(píng)估結(jié)果

5、,網(wǎng)絡(luò)安全狀況分級(jí) 安全風(fēng)險(xiǎn)分布圖表 最嚴(yán)重的安全問(wèn)題列表 安全風(fēng)險(xiǎn)綜述,業(yè)務(wù)系統(tǒng)評(píng)估特點(diǎn),針對(duì)業(yè)務(wù)和應(yīng)用 過(guò)程復(fù)雜 內(nèi)容與業(yè)務(wù)關(guān)系密切 歷時(shí)較長(zhǎng) 結(jié)果定性,業(yè)務(wù)系統(tǒng)評(píng)估內(nèi)容,IT 業(yè) 務(wù) 系 統(tǒng) 評(píng) 估,支撐系統(tǒng),應(yīng)用系統(tǒng),前置系統(tǒng),中間件,數(shù)據(jù)庫(kù),安全系統(tǒng),管理安全,物理安全,業(yè)務(wù)相關(guān)性分析，根據(jù)信息 數(shù)據(jù)流向，對(duì)整個(gè)業(yè)務(wù)系統(tǒng) 進(jìn)行綜合評(píng)估。,管理安全評(píng)估特點(diǎn),針對(duì)策略、流程、資產(chǎn)、人員管理 后續(xù)改善工作是持續(xù)的過(guò)程 內(nèi)容廣泛 歷時(shí)較長(zhǎng) 效果不直接,管理安全評(píng)估內(nèi)容,IT管理安全評(píng)估,文檔審計(jì),顧問(wèn)訪談,問(wèn)卷調(diào)查,實(shí)地考察,策略文檔,資產(chǎn)管理,流程管理,規(guī)章制度,安全組織,策略發(fā)布,策略修

6、訂,入網(wǎng)流程,維護(hù)流程,備份流程,應(yīng)急流程,資產(chǎn)統(tǒng)計(jì),資產(chǎn)定級(jí),資產(chǎn)維護(hù),崗位職責(zé),人員流動(dòng),登記制度,保密制度,項(xiàng)目的主要階段,1-項(xiàng)目準(zhǔn)備與范圍確定項(xiàng)目計(jì)劃項(xiàng)目組織結(jié)構(gòu)、人員確認(rèn)項(xiàng)目工作環(huán)境Kick off需求調(diào)研，背景討論范圍確定,2-項(xiàng)目定義和藍(lán)圖完成詳細(xì)方案設(shè)計(jì)定義詳細(xì)項(xiàng)目范圍定義報(bào)告格式定義項(xiàng)目目標(biāo)作好網(wǎng)絡(luò)環(huán)境準(zhǔn)備完成藍(lán)圖并與用戶簽署,3-評(píng)估 資產(chǎn)調(diào)查 等級(jí)保護(hù)和分域保護(hù) 風(fēng)險(xiǎn)評(píng)估 資產(chǎn)管理和風(fēng)險(xiǎn)信息庫(kù),4-綜合評(píng)估階段 網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告 安全現(xiàn)狀報(bào)告 數(shù)據(jù)導(dǎo)入信息庫(kù)和整理 安全需求分析,5-體系規(guī)劃和策略方案階段安全體系設(shè)計(jì)、安全規(guī)劃安全策略制定網(wǎng)絡(luò)安全管理和技術(shù)解決方案,6-

7、支持和維護(hù)培訓(xùn)漏洞跟蹤售后服務(wù)電話熱線支持售后服務(wù) 安全通告服務(wù),項(xiàng)目階段和提交文檔,需求調(diào)研,項(xiàng)目藍(lán)圖,總體策略建議,客戶安全現(xiàn)狀,總體安全解決方案,安全評(píng)估服務(wù)體系 風(fēng)險(xiǎn)評(píng)估內(nèi)容與過(guò)程 風(fēng)險(xiǎn)評(píng)估服務(wù)相關(guān)組件 公司介紹 成功案例介紹,安全培訓(xùn),應(yīng)急響應(yīng),Osstmm2.1,風(fēng)險(xiǎn)評(píng)估的跟進(jìn)支持組件,time,cost,安全加固,安全信息通告,安全加固服務(wù)流程,系統(tǒng)加固階段,緊急響應(yīng)服務(wù),準(zhǔn)備 識(shí)別 抑制事態(tài)發(fā)展 恢復(fù)系統(tǒng) 提出解決方案 總結(jié)經(jīng)驗(yàn)教訓(xùn),安全通告服務(wù),系統(tǒng)地向用戶傳遞最新安全技術(shù)和安全信息,安全培訓(xùn)服務(wù),安全管理培訓(xùn) 評(píng)估方法培訓(xùn) 安全審計(jì)培訓(xùn) 安全加固培訓(xùn) 定制培訓(xùn) CISP培訓(xùn)

8、 ,遵循以下標(biāo)準(zhǔn)： ISO 17799/BS7799 ISO 13335 GB信息安全風(fēng)險(xiǎn)評(píng)估指南,ISO17799(BS7799),BS7799-1:1999（即ISO/IEC 17799:2000），信息安全管理實(shí)施細(xì)則（Code of Practice for Information Security Management），從10 個(gè)方面定義了127 項(xiàng)控制措施，可供信息安全管理體系實(shí)施者參考使用，這10 個(gè)方面是： 安全策略（Security policy）； 組織安全（Organization security）； 資產(chǎn)分類和控制（Asset classification and

9、control）； 人員安全（Personnel security）； 物理和環(huán)境安全（Physical and environmental security）； 通信和操作管理（Communication and operation management）； 訪問(wèn)控制（Access control）； 系統(tǒng)開發(fā)和維護(hù)（System development and maintenance）； 業(yè)務(wù)連續(xù)性管理（Business continuity management）； 符合性（Compliance）。,BS7799-2 是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范（Specificatio

10、n for Information Security Management Systems），其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI 最終的認(rèn)證（對(duì)依據(jù)BS7799-2 建立的ISMS 進(jìn)行認(rèn)證），還有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程。作為一套管理標(biāo)準(zhǔn)，BS7799-2 指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC 17799，其最終目的，還在于建立適合企業(yè)需要的信息安全管理系統(tǒng)（ISMS）。,ISO/IEC TR 13335,ISO/IEC TR 13335，即IT 安全管理指南（Guidelines for the Management of IT Security，GMITS），是由ISO/IEC JTC1 制定的技術(shù)報(bào)告，是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施IT 安全管理提供建議。 ISO/IEC TR 13335 分成5 個(gè)部分：,國(guó)家標(biāo)準(zhǔn)信息安全評(píng)估指南風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖,方框部分