某通信公司網(wǎng)絡(luò)信息安全培訓(xùn)課程(共60頁).ppt

1、利用風(fēng)險(xiǎn)評(píng)估手段，確保網(wǎng)絡(luò)信息平安中國(guó)移動(dòng)通信研究院中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密引言信息平安工作目標(biāo)演進(jìn)：從平安支撐保障、表達(dá)價(jià)值逐步轉(zhuǎn)向推進(jìn)業(yè)務(wù)系統(tǒng)創(chuàng)造價(jià)值 業(yè)務(wù)支撐從support向enabler轉(zhuǎn)變，2007年3月沙躍家副總裁07業(yè)務(wù)支撐工作會(huì)議 “狠抓網(wǎng)絡(luò)平安，確保奧運(yùn)盛會(huì)，2021年3月李躍副總裁成都網(wǎng)絡(luò)工作會(huì)議 隨著企業(yè)對(duì)IT技術(shù)的依賴性越來越強(qiáng)，信息平安風(fēng)險(xiǎn)在企業(yè)運(yùn)營(yíng)中的地位越來越重要因此，信息平安風(fēng)險(xiǎn)管理成為企業(yè)在運(yùn)營(yíng)過程中的最根本的工具； 較全面的信息平安風(fēng)險(xiǎn)評(píng)估日益重要，一方面風(fēng)險(xiǎn)管理是運(yùn)營(yíng)過程中的必不可少的工具；另一方面風(fēng)險(xiǎn)評(píng)估能夠主動(dòng)了解風(fēng)險(xiǎn)狀況，進(jìn)行相應(yīng)的改

2、進(jìn)，實(shí)現(xiàn)從supporter向enabler的轉(zhuǎn)變中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密提綱什么是風(fēng)險(xiǎn)評(píng)估？什么是風(fēng)險(xiǎn)評(píng)估？為什么要進(jìn)行風(fēng)險(xiǎn)評(píng)估？為什么要進(jìn)行風(fēng)險(xiǎn)評(píng)估？風(fēng)險(xiǎn)評(píng)估怎樣確保平安生產(chǎn)？風(fēng)險(xiǎn)評(píng)估怎樣確保平安生產(chǎn)？中國(guó)移動(dòng)風(fēng)險(xiǎn)自評(píng)估將向何處開展？中國(guó)移動(dòng)風(fēng)險(xiǎn)自評(píng)估將向何處開展？中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密什么是風(fēng)險(xiǎn)評(píng)估？風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估WHAT？ 信息平安風(fēng)險(xiǎn)評(píng)估，是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估平安事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。并為防范和化解信息平安風(fēng)險(xiǎn)，或者將風(fēng)險(xiǎn)控制在

3、可接受的水平，從而最大限度地保障網(wǎng)絡(luò)和信息平安提供科學(xué)依據(jù)國(guó)信辦20065號(hào)文件。中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖 圖中方框局部的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的根本要素圖中方框局部的內(nèi)容為風(fēng)險(xiǎn)評(píng)估的根本要素; ;橢圓局部的內(nèi)容是與這些要素相關(guān)的屬性。橢圓局部的內(nèi)容是與這些要素相關(guān)的屬性。 風(fēng)險(xiǎn)評(píng)估圍繞著根本要素展開，同時(shí)需要充風(fēng)險(xiǎn)評(píng)估圍繞著根本要素展開，同時(shí)需要充分考慮與根本要素相關(guān)的各類屬性。分考慮與根本要素相關(guān)的各類屬性。1 1業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險(xiǎn)越??；依賴程度越高，要求其風(fēng)險(xiǎn)越??；2 2資產(chǎn)是有價(jià)值的，組織的業(yè)

4、務(wù)戰(zhàn)略對(duì)資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；資產(chǎn)的依賴程度越高，資產(chǎn)價(jià)值就越大；3 3風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多那么風(fēng)險(xiǎn)越大，并可能演變成平安事脅越多那么風(fēng)險(xiǎn)越大，并可能演變成平安事件；件；4 4資產(chǎn)的脆弱性可以暴露資產(chǎn)的價(jià)值，資產(chǎn)的脆弱性可以暴露資產(chǎn)的價(jià)值，資產(chǎn)具有的弱點(diǎn)越多那么風(fēng)險(xiǎn)越大；資產(chǎn)具有的弱點(diǎn)越多那么風(fēng)險(xiǎn)越大；5 5脆弱性是未被滿足的平安需求，威脅脆弱性是未被滿足的平安需求，威脅利用脆弱性危害資產(chǎn)；利用脆弱性危害資產(chǎn)；6 6風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出平安風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出平安需求；需求；7 7平

5、安需求可通過平安措施得以滿足，平安需求可通過平安措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施本錢；需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施本錢；8 8平安措施可抵御威脅，降低風(fēng)險(xiǎn)；平安措施可抵御威脅，降低風(fēng)險(xiǎn)；9 9剩余風(fēng)險(xiǎn)是未被平安措施控制的風(fēng)險(xiǎn)。剩余風(fēng)險(xiǎn)是未被平安措施控制的風(fēng)險(xiǎn)。有些是平安措施不當(dāng)或無效有些是平安措施不當(dāng)或無效, ,需要加強(qiáng)才可需要加強(qiáng)才可控制的風(fēng)險(xiǎn)；而有些那么是在綜合考慮了平控制的風(fēng)險(xiǎn)；而有些那么是在綜合考慮了平安本錢與效益后未去控制的風(fēng)險(xiǎn)；安本錢與效益后未去控制的風(fēng)險(xiǎn)；1010剩余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)剩余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來誘發(fā)新的平安事件。在將來誘發(fā)新的平安事件。中國(guó)

6、移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)評(píng)估美國(guó)開展史第一個(gè)Architecture (GAA)階段60-70年代以計(jì)算機(jī)為對(duì)象的信息保密階段 1967年11月到1970年2月，美國(guó)國(guó)防科學(xué)委員會(huì)委托蘭德公司、邁特公司MITIE及其它和國(guó)防工業(yè)有關(guān)的一些公司對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究，分析。作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估。 特點(diǎn)： 僅重點(diǎn)針對(duì)了計(jì)算機(jī)系統(tǒng)的保密性問題提出要求，對(duì)平安的評(píng)估只限于保密性，且重點(diǎn)在于平安評(píng)估，對(duì)風(fēng)險(xiǎn)問題考慮不多。第二個(gè)階段80-90年代以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息系統(tǒng)平安保護(hù)階段 評(píng)估對(duì)象多為產(chǎn)品，很少延拓至系統(tǒng)，因而在嚴(yán)格意義上仍不是全面的風(fēng)險(xiǎn)評(píng)估。 第三個(gè)階

7、段90年代末，21世紀(jì)初以信息系統(tǒng)為對(duì)象的信息保障階段隨著信息保障的研究的深入，保障對(duì)象明確為信息和信息系統(tǒng)；保障能力明確來源于技術(shù)、管理和人員三個(gè)方面；逐步形成了風(fēng)險(xiǎn)評(píng)估、自評(píng)估、認(rèn)證認(rèn)可的工作思路 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)評(píng)估在我國(guó)的進(jìn)展2002年在863方案中首次規(guī)劃了?系統(tǒng)平安風(fēng)險(xiǎn)分析和評(píng)估方法研究?課題 2003年8月至今年在國(guó)信辦直接指導(dǎo)下，組成了風(fēng)險(xiǎn)評(píng)估課題組 2004年,國(guó)家信息中心?風(fēng)險(xiǎn)評(píng)估指南?, ?風(fēng)險(xiǎn)管理指南? 2005年,全國(guó)風(fēng)險(xiǎn)評(píng)估試點(diǎn)在試點(diǎn)和調(diào)研根底上，由國(guó)信辦會(huì)同公安部，平安部，等起草了?關(guān)于開展信息平安風(fēng)險(xiǎn)評(píng)估工作的意見?征求意見稿 2006

8、年, 所有的部委和所有省市選擇局部單位開展本地風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密信產(chǎn)部電信網(wǎng)平安防護(hù)標(biāo)準(zhǔn)體系 信息產(chǎn)業(yè)部電信研究院通信標(biāo)準(zhǔn)研究所 等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、災(zāi)難備份/恢復(fù) 三層結(jié)構(gòu) 第一層：電信網(wǎng)和互聯(lián)網(wǎng)平安防護(hù)管理指南 第二層：三個(gè)實(shí)施指南 第三層：針對(duì)電信網(wǎng)和互聯(lián)網(wǎng)所涵蓋的內(nèi)容，編制全程全網(wǎng)的防護(hù)要求、檢測(cè)要求電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系標(biāo)準(zhǔn)電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)體系標(biāo)準(zhǔn) 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密為什么要進(jìn)行風(fēng)險(xiǎn)評(píng)估？風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估WHY？ 平安源于風(fēng)險(xiǎn)。 在信息化建設(shè)中，建設(shè)與運(yùn)營(yíng)的網(wǎng)絡(luò)與信息系統(tǒng)由于可能存在的系統(tǒng)設(shè)計(jì)缺陷、隱含于軟硬件設(shè)備的

9、缺陷、系統(tǒng)集成時(shí)帶來的缺陷，以及可能存在的某些管理薄弱環(huán)節(jié)，尤其當(dāng)網(wǎng)絡(luò)與信息系統(tǒng)中擁有極為重要的信息資產(chǎn)時(shí)，都將使得面臨復(fù)雜環(huán)境的網(wǎng)絡(luò)與信息系統(tǒng)潛在著假設(shè)干不同程度的平安風(fēng)險(xiǎn)。 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 風(fēng)險(xiǎn)評(píng)估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)風(fēng)險(xiǎn)評(píng)估可以不斷深入地發(fā)現(xiàn)系統(tǒng)建設(shè)中的平安隱患，采取或完善更加經(jīng)濟(jì)有效中的平安隱患，采取或完善更加經(jīng)濟(jì)有效的平安保障措施，來消除平安建設(shè)中的盲的平安保障措施，來消除平安建設(shè)中的盲目樂觀或盲目恐懼，提出有針對(duì)性的從實(shí)目樂觀或盲目恐懼，提出有針對(duì)性的從實(shí)際出發(fā)的解決方法，提高系統(tǒng)平安的科學(xué)際出發(fā)的解決方法，提高系統(tǒng)平安的科學(xué)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)

10、與信息系統(tǒng)管理水平，進(jìn)而全面提升網(wǎng)絡(luò)與信息系統(tǒng)的平安保障能力。的平安保障能力。 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密信息平安的含義IntegrityAvailabilityConfidentiality正確性 Correctness完備性 Completeness有效性 Validity真實(shí)性 Authenticity不可否認(rèn) Non-repudiation連續(xù) Continuity準(zhǔn)時(shí) Punctuality排他 ExclusivityManipulation 被操縱Destruction 被破壞Falsification 被篡改、偽造Repudiation 被拒絕、否認(rèn)Divulgati

11、on 泄露Interruption 中斷Delay 延遲SECURITY = QUALITY中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)構(gòu)成RISKRISKRISKRISKRISKRisk風(fēng)險(xiǎn)的構(gòu)成風(fēng)險(xiǎn)的構(gòu)成風(fēng)險(xiǎn)的降低風(fēng)險(xiǎn)的降低脆弱性脆弱性中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密剩余風(fēng)險(xiǎn)圖示：圖示：AAsset：資產(chǎn)：資產(chǎn)VVulnerability：脆弱性：脆弱性TThreat：威脅：威脅SSafeguard：保護(hù)措施：保護(hù)措施RResidual Risk：剩余風(fēng)險(xiǎn)：剩余風(fēng)險(xiǎn)CConstrains：約束：約束中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)控制的概念風(fēng)險(xiǎn)控制風(fēng)險(xiǎn)控制殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)可接

12、受風(fēng)險(xiǎn)可接受風(fēng)險(xiǎn)不可接受風(fēng)險(xiǎn)不可接受風(fēng)險(xiǎn)可接受風(fēng)險(xiǎn)可接受風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密從攻防雙方博弈看平安工作本質(zhì)是 威脅源 & 系統(tǒng)設(shè)計(jì) 脆弱性 是 能被利用嗎？ 存在可發(fā)起攻擊的脆弱性 否 否 無風(fēng)險(xiǎn) 無風(fēng)險(xiǎn) 存在 威脅 否 是 否 預(yù)期損失小于安全目標(biāo) 選 取 防御措施 是 殘余風(fēng)險(xiǎn) 選 取 防御措施 防御成本小于風(fēng)險(xiǎn)預(yù)期 是 威脅源 & 系統(tǒng)設(shè)計(jì) 脆弱性 是 能被利用嗎？ 存在可發(fā)起攻擊的脆弱性 否 否 無風(fēng)險(xiǎn) 無風(fēng)險(xiǎn) 存在 威脅 攻 擊 的成 本 小于獲利 否 是 否 預(yù)期損失大于門限 無風(fēng)險(xiǎn) 無風(fēng)險(xiǎn) 是 不可接受的風(fēng)險(xiǎn) 攻防的博弈，最終攻

13、防的博弈，最終歸結(jié)于雙方的開銷！歸結(jié)于雙方的開銷！中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密通過本錢分析，實(shí)現(xiàn)風(fēng)險(xiǎn)控制運(yùn)維本錢資產(chǎn)威脅主體威脅脆弱性防御主體獲利恢復(fù)防護(hù)追溯引起利用攻擊攻擊成本風(fēng)險(xiǎn)價(jià)值攻擊盈利=防御盈利增加少量防御本錢獲得大量防御盈利提高大量攻擊本錢使得攻擊盈利為負(fù)設(shè)備本錢引入風(fēng)險(xiǎn)額外開銷防防御御成成本本中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密通過風(fēng)險(xiǎn)評(píng)估確定平安規(guī)劃中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密如何選取平安手段1投入本錢的計(jì)算總投入本錢購(gòu)置本錢維護(hù)本錢引入威脅風(fēng)險(xiǎn)本錢網(wǎng)絡(luò)開銷本錢yiiyiiyiiyiiyiiNCICOCPCDVCDVC00000iiiiQPQPC)(iii

14、RTOSOCRrYirIYirIYiEPICiiiLiBIOBNBNB)(中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密如何選取平安手段2平安框架建立剩余風(fēng)險(xiǎn)篩選過程平安解決方案被選定的條件如下 如果X集合的全部排序得到的解決方案中有多 種解決方案，可以使得到達(dá)平安目標(biāo)。那么這些解決方案中，投入DVC最小的方案最優(yōu)。如果平安方法庫無論怎樣排序形成的方案都無法到達(dá)平安目標(biāo)。那么選取的平安方法i必須滿足DVCiERCi，且使得RRC最小。平安方法規(guī)模較小時(shí)可以進(jìn)行完全的遍歷，否那么可以采用一些貪心方式中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密如何選取平安手段3RrrrEPRRC000中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資

15、料 注意保密思考：平安的核心工作是什么？我們是否追求絕對(duì)的平安？答復(fù)是否認(rèn)的！無法追求無需追求風(fēng)險(xiǎn)是什么？答復(fù)是確定的！風(fēng)險(xiǎn)是具有價(jià)值的，是可以定性分析，甚至可以通過一定規(guī)那么量化的。平安的核心工作是什么？從風(fēng)險(xiǎn)管理的角度看，平安的核心工作是通過一種可靠的手段和合理的計(jì)算方法確定風(fēng)險(xiǎn)，并將其控制在可接受的范圍之內(nèi)的。從某種意義上講，在這樣的邏輯下，我們已經(jīng)從支撐走向了為公司創(chuàng)造價(jià)值！中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)評(píng)估怎樣確保平安生產(chǎn)？風(fēng)險(xiǎn)評(píng)估怎樣確保平安生產(chǎn)？風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估HOW？(1) 風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備(2) 資產(chǎn)識(shí)別資產(chǎn)識(shí)別(3) 威脅識(shí)別威脅識(shí)別(4) 脆弱性識(shí)

16、別脆弱性識(shí)別(5) 已有平安措施確實(shí)認(rèn)已有平安措施確實(shí)認(rèn)(6) 風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析(7) 風(fēng)險(xiǎn)評(píng)估文件記錄風(fēng)險(xiǎn)評(píng)估文件記錄中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密1 1確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)；2 2確定風(fēng)險(xiǎn)評(píng)估的范圍；確定風(fēng)險(xiǎn)評(píng)估的范圍；3 3組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)；4 4進(jìn)行系統(tǒng)調(diào)研；進(jìn)行系統(tǒng)調(diào)研；5 5確定評(píng)估依據(jù)和方法確定評(píng)估依據(jù)和方法 ；6 6獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。獲得最高管理者對(duì)風(fēng)險(xiǎn)評(píng)估工作的支持。風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備階段的工作任務(wù)中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密1 1資

17、產(chǎn)分類資產(chǎn)分類2 2資產(chǎn)賦值資產(chǎn)賦值3 3資產(chǎn)等級(jí)資產(chǎn)等級(jí) 資產(chǎn)識(shí)別階段的工作任務(wù)中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密分類分類示例示例數(shù)據(jù)數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)等軟件軟件系統(tǒng)軟件： 操作系統(tǒng)、語句包、工具軟件、各種庫等應(yīng)用軟件： 外部購(gòu)買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序： 各種共享源代碼、可執(zhí)行程序、自行或合作開發(fā)的各種程序等硬件硬件網(wǎng)絡(luò)設(shè)備： 路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備： 大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備： 磁帶機(jī)、磁盤陣列等移動(dòng)存儲(chǔ)設(shè)備：磁帶、光盤、軟盤、U盤、移動(dòng)

18、硬盤等傳輸線路： 光纖、雙絞線等保障設(shè)備： 動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、 門禁、消防設(shè)施等安全設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)服務(wù)辦公服務(wù)： 為提高效率而開發(fā)的管理信息系統(tǒng)（MIS）， 它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)： 各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)： 對(duì)外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)文檔文檔紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等其它其它企業(yè)形象，客戶關(guān)系等資產(chǎn)

19、分類例如中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 資產(chǎn)賦值主要考慮資產(chǎn)的平安狀況對(duì)于系統(tǒng)或組織的重要性，對(duì)資資產(chǎn)賦值主要考慮資產(chǎn)的平安狀況對(duì)于系統(tǒng)或組織的重要性，對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行綜合評(píng)定得出。綜合評(píng)定產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行綜合評(píng)定得出。綜合評(píng)定方法可以根據(jù)業(yè)務(wù)特點(diǎn)，選擇對(duì)資產(chǎn)三性最為重要的一個(gè)屬性的賦值等級(jí)方法可以根據(jù)業(yè)務(wù)特點(diǎn)，選擇對(duì)資產(chǎn)三性最為重要的一個(gè)屬性的賦值等級(jí)作為資產(chǎn)的最終賦值結(jié)果，也可以進(jìn)行加權(quán)計(jì)算而得到資產(chǎn)的最終賦值。作為資產(chǎn)的最終賦值結(jié)果，也可以進(jìn)行加權(quán)計(jì)算而得到資產(chǎn)的最終賦值。如何進(jìn)行資產(chǎn)賦值中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保

20、密如何進(jìn)行資產(chǎn)等級(jí)等級(jí)標(biāo)識(shí)定義5很高非常重要，其安全屬性被破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要，其安全屬性被破壞后可能對(duì)組織造成比較嚴(yán)重的損失3中等比較重要，其安全屬性被破壞后可能對(duì)組織造成中等程度的損失2低不太重要，其安全屬性被破壞后可能對(duì)組織造成較低的損失1很低不重要，其安全屬性被破壞后對(duì)組織造成非常低的損失，甚至忽略不計(jì)中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密1 1威脅來源威脅來源2 2威脅分類威脅分類3 3威脅賦值威脅賦值4 4威脅等級(jí)威脅等級(jí)威脅識(shí)別階段的工作任務(wù)中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密來源描述環(huán)境因素由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)

21、、地震等環(huán)境條件和自然災(zāi)害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主的或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)和系統(tǒng)的機(jī)密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力無惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心和不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或被攻擊；內(nèi)部人員由于缺乏培訓(xùn)，專業(yè)技能不足,不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊威脅來源中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密種類種類描述描述軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟

22、件Bug導(dǎo)致對(duì)業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響物理環(huán)境威脅斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題和自然災(zāi)害無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響管理不到位安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為黑客攻擊技術(shù)利用黑客工具和技術(shù)，例如偵察、密碼猜測(cè)攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙

23、、拒絕服務(wù)攻擊等手段對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵物理攻擊物理接觸、物理破壞、盜竊泄密機(jī)密泄漏，機(jī)密信息泄漏給他人篡改非法修改信息，破壞信息的完整性抵賴不承認(rèn)收到的信息和所作的操作和交易威脅分類例如中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和或有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。威脅賦值中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密威脅發(fā)生可能性等級(jí)標(biāo)識(shí)定義5很高威脅出現(xiàn)的頻率很高，在大多數(shù)情況下幾乎不可避免或者可以證實(shí)經(jīng)常發(fā)生過4高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證實(shí)多次發(fā)生過3中等威脅出現(xiàn)的頻率中等，在某種情況下可能會(huì)發(fā)生或被證實(shí)曾經(jīng)發(fā)

24、生過2低威脅出現(xiàn)的頻率較低，一般不太可能發(fā)生，也沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密1 1脆弱性識(shí)別內(nèi)容脆弱性識(shí)別內(nèi)容2 2脆弱性分類脆弱性分類3 3脆弱性賦值脆弱性賦值4 4脆弱性等級(jí)脆弱性等級(jí)脆弱性識(shí)別階段的主要任務(wù)中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的平安問題。管理脆弱性又可分為技術(shù)管理和組織管理兩方平安問題。管理脆弱性

25、又可分為技術(shù)管理和組織管理兩方面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。面，前者與具體技術(shù)活動(dòng)相關(guān)，后者與管理環(huán)境相關(guān)。 脆弱性主要識(shí)別內(nèi)容中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密類型類型識(shí)別對(duì)象識(shí)別對(duì)象識(shí)別內(nèi)容識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別。系統(tǒng)軟件（包括操作系統(tǒng) 及系統(tǒng)服務(wù)）從物理保護(hù)、用戶賬號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置（初始化）、注冊(cè)表

26、加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別。數(shù)據(jù)庫軟件從補(bǔ)丁安裝、鑒別機(jī)制、口令機(jī)制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復(fù)機(jī)制、審計(jì)機(jī)制等方面進(jìn)行識(shí)別。應(yīng)用中間件主要從協(xié)議安全以及交易完整性和數(shù)據(jù)完整性等方面進(jìn)行識(shí)別。應(yīng)用系統(tǒng)審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別。管理脆弱性技術(shù)管理物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性。組織管理安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性脆弱性分類中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 可以根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的可以根據(jù)對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度

27、、弱點(diǎn)的流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。流行程度，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。脆弱性賦值中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密脆弱性等級(jí)等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用，對(duì)資產(chǎn)造成的損害可以忽略中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密已有平安措施確實(shí)認(rèn) 在識(shí)別脆弱性的同時(shí)，在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的平評(píng)估人員應(yīng)對(duì)已采取的平安措施的有效性進(jìn)行確認(rèn)，安措施的有效性進(jìn)行確認(rèn)，即平安

28、措施是否真正地降即平安措施是否真正地降低了系統(tǒng)的脆弱性，抵御低了系統(tǒng)的脆弱性，抵御了威脅。平安措施可以分了威脅。平安措施可以分為預(yù)防性平安措施和保護(hù)為預(yù)防性平安措施和保護(hù)性平安措施兩種。性平安措施兩種。 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密1 1風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)計(jì)算2 2風(fēng)險(xiǎn)等級(jí)風(fēng)險(xiǎn)等級(jí)3 3風(fēng)險(xiǎn)處理方案風(fēng)險(xiǎn)處理方案風(fēng)險(xiǎn)分析階段的主要任務(wù)中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)計(jì)算 在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有平安措施確認(rèn)后，應(yīng)采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用有平安措施確認(rèn)后，應(yīng)采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致平安

29、事件發(fā)生的可能性。綜合平安事件所作用的脆弱性導(dǎo)致平安事件發(fā)生的可能性。綜合平安事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷平安事件造成的損失對(duì)資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷平安事件造成的損失對(duì)組織的影響，即平安風(fēng)險(xiǎn)。組織的影響，即平安風(fēng)險(xiǎn)。中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 一是計(jì)算平安事件發(fā)生的可能性 根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，計(jì)算威脅利用脆弱性導(dǎo)致平安事件發(fā)生的可能性，即： 平安事件發(fā)生的可能性L(威脅出現(xiàn)頻率，脆弱性) L(T，V ) 二是計(jì)算平安事件發(fā)生后的損失根據(jù)資產(chǎn)重要程度及脆弱性嚴(yán)重程度，計(jì)算平安事件發(fā)生后的損失，即： 平安事件的損

30、失F(資產(chǎn)重要程度，脆弱性嚴(yán)重程度) F(Ia，Va ) 三是計(jì)算風(fēng)險(xiǎn)值 根據(jù)計(jì)算出的平安事件發(fā)生的可能性以及平安事件的損失，計(jì)算風(fēng)險(xiǎn)值，即： 風(fēng)險(xiǎn)值R(平安事件發(fā)生的可能性，平安事件的損失) R(L(T，V)，F(xiàn)(Ia，Va )中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密等級(jí)等級(jí)標(biāo)識(shí)標(biāo)識(shí)描述描述5 5極高一旦發(fā)生將產(chǎn)生非常嚴(yán)重的經(jīng)濟(jì)或社會(huì)影響，如組織信譽(yù)嚴(yán)重破壞、嚴(yán)重影響組織的正常經(jīng)營(yíng)，經(jīng)濟(jì)損失重大、社會(huì)影響惡劣4 4高一旦發(fā)生將產(chǎn)生較大的經(jīng)濟(jì)或社會(huì)影響，在一定范圍內(nèi)給組織的經(jīng)營(yíng)和組織信譽(yù)造成損害3 3中一旦發(fā)生會(huì)造成一定的經(jīng)濟(jì)、社會(huì)或生產(chǎn)經(jīng)營(yíng)影響，但影響面和影響程度不大2 2低一旦發(fā)生造成的影響

31、程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決1 1很低一旦發(fā)生造成的影響幾乎不存在，通過簡(jiǎn)單的措施就能彌補(bǔ)風(fēng)險(xiǎn)等級(jí)確實(shí)定中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 以上標(biāo)準(zhǔn)中的資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)的等級(jí)劃分，遵照以上標(biāo)準(zhǔn)中的資產(chǎn)、威脅、脆弱性和風(fēng)險(xiǎn)的等級(jí)劃分，遵照了由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作了由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)務(wù)院信息化工作辦公室四部委聯(lián)合頒發(fā)的辦公室四部委聯(lián)合頒發(fā)的66號(hào)文件的精神。號(hào)文件的精神。中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密風(fēng)險(xiǎn)處理方案中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 對(duì)不可接受的風(fēng)險(xiǎn)應(yīng)根據(jù)導(dǎo)致該風(fēng)險(xiǎn)的脆弱性制定風(fēng)險(xiǎn)處

32、理方案。風(fēng)險(xiǎn)處理方案中明確應(yīng)采取的彌補(bǔ)弱點(diǎn)的平安措施、預(yù)期效果、實(shí)施條件、進(jìn)度安排、責(zé)任部門等。 在對(duì)于不可接受的風(fēng)險(xiǎn)選擇適當(dāng)平安措施后，為確保平安措施的有效性，可進(jìn)行再評(píng)估，以判斷實(shí)施平安措施后的剩余風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平。 某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)钠桨泊胧┖?，剩余風(fēng)險(xiǎn)的結(jié)果仍處于不可接受的風(fēng)險(xiǎn)范圍內(nèi)，應(yīng)考慮是否接受此風(fēng)險(xiǎn)或進(jìn)一步增加相應(yīng)的平安措施。中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 國(guó)信辦國(guó)信辦20065號(hào)文件指出：信息平安風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿號(hào)文件指出：信息平安風(fēng)險(xiǎn)評(píng)估應(yīng)貫穿于網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)運(yùn)行的全過程。在網(wǎng)絡(luò)與信息系統(tǒng)于網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)運(yùn)行的全過程。在網(wǎng)絡(luò)與信息系統(tǒng)的設(shè)計(jì)

33、、驗(yàn)收及運(yùn)行維護(hù)階段均應(yīng)當(dāng)進(jìn)行信息平安風(fēng)險(xiǎn)評(píng)的設(shè)計(jì)、驗(yàn)收及運(yùn)行維護(hù)階段均應(yīng)當(dāng)進(jìn)行信息平安風(fēng)險(xiǎn)評(píng)估。如在網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，應(yīng)通過信息平安估。如在網(wǎng)絡(luò)與信息系統(tǒng)規(guī)劃設(shè)計(jì)階段，應(yīng)通過信息平安風(fēng)險(xiǎn)評(píng)估進(jìn)一步明確平安需求和平安目標(biāo)。風(fēng)險(xiǎn)評(píng)估進(jìn)一步明確平安需求和平安目標(biāo)。 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密 信息平安風(fēng)險(xiǎn)評(píng)估分為信息平安風(fēng)險(xiǎn)評(píng)估分為自評(píng)估、檢查評(píng)估兩種形自評(píng)估、檢查評(píng)估兩種形式。自評(píng)估為主，自評(píng)估式。自評(píng)估為主，自評(píng)估和檢查評(píng)估相互結(jié)合、互和檢查評(píng)估相互結(jié)合、互為補(bǔ)充。自評(píng)估和檢查評(píng)為補(bǔ)充。自評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)行，也

34、可委托第三方機(jī)構(gòu)提供技術(shù)支持。提供技術(shù)支持。 以上是以上是? ?信息平安風(fēng)信息平安風(fēng)險(xiǎn)評(píng)估指南險(xiǎn)評(píng)估指南? ?的主要內(nèi)容的主要內(nèi)容中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密中國(guó)移動(dòng)風(fēng)險(xiǎn)自評(píng)估將向何處開展？中國(guó)移動(dòng)風(fēng)險(xiǎn)自評(píng)估將向何處開展？風(fēng)險(xiǎn)自評(píng)估風(fēng)險(xiǎn)自評(píng)估FUTURE？ 將風(fēng)險(xiǎn)評(píng)估和改進(jìn)融入到業(yè)務(wù)系統(tǒng)設(shè)計(jì)、產(chǎn)品開發(fā)、入網(wǎng)測(cè)試和運(yùn)維工作中去，這是我們平安工作的目標(biāo)。 結(jié)合現(xiàn)有人員狀況和網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)復(fù)雜情況，需要將復(fù)雜的風(fēng)險(xiǎn)評(píng)估轉(zhuǎn)化為基線檢查，將技術(shù)要求較高的技術(shù)評(píng)估工具化、自動(dòng)化。為此，研究院從去年開始每年滾動(dòng)立項(xiàng)進(jìn)行攻防平臺(tái)的開發(fā)工程。 下面將簡(jiǎn)要介紹攻防平臺(tái)的定位中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料

35、注意保密Management-level Security ControlsOperational-level Security ControlsTechnical-levelSecurity ControlsFISMA LegislationHigh Level, Generalized, Information Security RequirementsFederal Information Processing StandardsFIPS 199: Information System Security CategorizationFIPS 200: Minimum Informatio

36、n Security RequirementsInformation System Security Configuration SettingsNIST, NSA, DISA, Vendors, Third Parties (e.g., CIS) Checklists and Implementation Guidance30,000 FT15,000 FT5,000 FTHands OnFISMA Compliance Model中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密AssetManagementVulnerability ManagementConfigurationManagement

37、Integrating IT and IT Security Through SCAPMisconfigurationCVECPEXCCDFCCESCAPOVALCVSS中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎內(nèi)部資料 注意保密攻防平臺(tái)工程背景專有重要系統(tǒng)評(píng)估需求專有重要系統(tǒng)評(píng)估需求專有重要系統(tǒng)包括基礎(chǔ)網(wǎng)絡(luò)，重要基專有重要系統(tǒng)包括基礎(chǔ)網(wǎng)絡(luò)，重要基礎(chǔ)業(yè)務(wù)，新網(wǎng)絡(luò)業(yè)務(wù)等需要預(yù)先通過礎(chǔ)業(yè)務(wù)，新網(wǎng)絡(luò)業(yè)務(wù)等需要預(yù)先通過黑客視角檢查安全漏洞、配置安全性黑客視角檢查安全漏洞、配置安全性和協(xié)議健壯性。和協(xié)議健壯性。新網(wǎng)絡(luò)業(yè)務(wù)上線前，需要在實(shí)驗(yàn)室對(duì)新網(wǎng)絡(luò)業(yè)務(wù)上線前，需要在實(shí)驗(yàn)室對(duì)基本的攻擊手法進(jìn)行檢驗(yàn)?；镜墓羰址ㄟM(jìn)行檢驗(yàn)。安全

38、預(yù)警需求安全預(yù)警需求安全預(yù)警和應(yīng)急響應(yīng)密切相關(guān)，對(duì)中安全預(yù)警和應(yīng)急響應(yīng)密切相關(guān)，對(duì)中國(guó)移動(dòng)自有業(yè)務(wù)進(jìn)行分析，結(jié)合互聯(lián)國(guó)移動(dòng)自有業(yè)務(wù)進(jìn)行分析，結(jié)合互聯(lián)網(wǎng)發(fā)布的漏洞建立數(shù)據(jù)倉(cāng)庫，有利于網(wǎng)發(fā)布的漏洞建立數(shù)據(jù)倉(cāng)庫，有利于對(duì)新攻擊手段和方法進(jìn)行提前的預(yù)警，對(duì)新攻擊手段和方法進(jìn)行提前的預(yù)警，并根據(jù)特征提供應(yīng)急響應(yīng)方法。并根據(jù)特征提供應(yīng)急響應(yīng)方法。攻防平臺(tái)攻防平臺(tái) 去年，研究院開展了平安攻防平臺(tái)一期的研發(fā)工作。該工程對(duì)去年，研究院開展了平安攻防平臺(tái)一期的研發(fā)工作。該工程對(duì)IMSIMS系系統(tǒng)進(jìn)行了專項(xiàng)評(píng)估和漏洞挖掘，對(duì)統(tǒng)進(jìn)行了專項(xiàng)評(píng)估和漏洞挖掘，對(duì)3030多個(gè)高危漏洞進(jìn)行了驗(yàn)證并提供了利用多個(gè)高危漏洞進(jìn)行了驗(yàn)證并提供了利用代碼，對(duì)掃描器漏洞掃描準(zhǔn)確性進(jìn)行了改進(jìn)，工程取得了顯著的成果。代碼，對(duì)掃描器漏洞掃描準(zhǔn)確性進(jìn)行了改進(jìn)，工程取得了顯著的成果。 今年，集團(tuán)平安工作的指導(dǎo)思想是今年，集團(tuán)平安工作的指導(dǎo)思想是“預(yù)防為主，及時(shí)發(fā)現(xiàn)，快速響應(yīng)，預(yù)防為主，及時(shí)發(fā)現(xiàn)，快速響應(yīng)，確?；謴?fù)確?；謴?fù)，為貫徹該思想，在攻防平臺(tái)一期根底上，我們開始，為貫徹該思想，在攻防平臺(tái)一期根底上，