企業(yè)安全評估

1、October 2006NSFOCUS 咨詢設(shè)計部*Professional Security Solution Provider*安全風(fēng)險評估技術(shù)交流提綱*科技簡介如何選擇安全服務(wù)提供商風(fēng)險評估是安全體系建設(shè)的前提和基礎(chǔ)*科技主要案例介紹*科技簡介公司概況*科技是國內(nèi)最早提出專業(yè)安全服務(wù)的公司，國家級應(yīng)急響應(yīng)服務(wù)提供單位目前為止，在全國共有員工340人全國各地設(shè)立23個運營機構(gòu)，各機構(gòu)的技術(shù)力量都能滿足本地化的技術(shù)支持客戶中包括了電信、移動、金融、政府、能源、企業(yè)以及涉密等多個行業(yè)參與了多項國內(nèi)安全標(biāo)準(zhǔn)的制定和國家安全研究課題的工作機構(gòu)分布總部與研發(fā)中心：北京分公司：上海 廣州 沈陽 成都辦

2、事處 深圳 海口 福州 長沙 南京 貴陽 ?？?西安 昆明 重慶 蘭州 南寧 新疆 濟(jì)南 杭州 長春 哈爾濱 武漢公司資質(zhì)、榮譽服務(wù)資質(zhì)2001年首批安全服務(wù)試點企業(yè)2002年首批安全服務(wù)一級資質(zhì)企業(yè)2004年首批安全服務(wù)二級資質(zhì)企業(yè)2004年首批國家級安全緊急響應(yīng)服務(wù)單位2005年通過CVE兼容性最高認(rèn)證ISO 9001：2000國際國內(nèi)雙認(rèn)證用戶認(rèn)可連續(xù)四年最值得信賴的安全服務(wù)品牌連續(xù)獲得三年電子政務(wù)百強稱號榮獲中關(guān)村最佳客戶服務(wù)獎專業(yè)資質(zhì)榮譽證書公司穩(wěn)定發(fā)展的歷程研發(fā)和專業(yè)服務(wù)技術(shù)人員占總?cè)藬?shù)的2/3以上，達(dá)到280人的技術(shù)力量*科技以安全服務(wù)為公司成長的基點，以技術(shù)研究為公司發(fā)展源動力

3、，使公司穩(wěn)步向前發(fā)展6年來，公司業(yè)務(wù)規(guī)模持續(xù)穩(wěn)定增長，在多個行業(yè)積累了豐富的行業(yè)經(jīng)驗，獲得了行業(yè)客戶的廣泛認(rèn)可擁有頂級安全專家組成的獨立安全研究機構(gòu)發(fā)現(xiàn)包括Microsoft、HP、CISCO、SUN、Juniper等多家廠商的31個嚴(yán)重安全漏洞六年來一直維護(hù)國內(nèi)最大最權(quán)威的中文安全漏洞庫NSBL，數(shù)目已經(jīng)達(dá)到9265條。同時漏洞庫已經(jīng)成為同行業(yè)重要的參考依據(jù)和標(biāo)準(zhǔn)入侵檢測規(guī)則庫從2002年起出口到美國市場，底層技術(shù)獲得國際的廣泛認(rèn)可多年來的研究成果，奠定了*科技在國際安全界的地位，同時為國家信息安全研究和發(fā)展做出了重大貢獻(xiàn)06年7月12日，又獨立發(fā)現(xiàn)了MS OFFICE 3個最為嚴(yán)重的漏洞雄

4、厚的技術(shù)實力強大的研發(fā)創(chuàng)新能力保持每年一款新產(chǎn)品的推出原有產(chǎn)品每六個月進(jìn)行一次升級2000年2001年2002年2003年2004年2005年2006年V5.0V4.0V4.0V1.5V5.0V1.0國內(nèi)主流安全廠商中，唯一的全部產(chǎn)品線完全自主研發(fā)。*科技安全產(chǎn)品網(wǎng)絡(luò)入侵檢測系統(tǒng)漏洞掃描系統(tǒng)抗拒絕服務(wù)系統(tǒng)內(nèi)網(wǎng)安全管理系統(tǒng)網(wǎng)絡(luò)入侵保護(hù)系統(tǒng)網(wǎng)絡(luò)流量管理系統(tǒng)專業(yè)安全服務(wù)NSPS項目經(jīng)驗專業(yè)團(tuán)隊服務(wù)方法論項目組織經(jīng)過5年專業(yè)安全服務(wù)的執(zhí)著實踐，形成了國內(nèi)最完善的專業(yè)安全服務(wù)體系和完善的專業(yè)安全服務(wù)方法論。豐富的行業(yè)服務(wù)實踐經(jīng)驗。具有大規(guī)模的豐富的安全產(chǎn)品實施經(jīng)驗。緊急響應(yīng)小組(NSIRT)多次為用戶解

5、決不同層次的安全問題具備國際一流的基礎(chǔ)研究能力*科技安全小組(NSFOCUS Security Team)服務(wù)部門擁有多位CISSP、CISP、CCIE、CIW、PMP等國際認(rèn)證專家。DIEM工程實施模型通過嚴(yán)格的二級服務(wù)資質(zhì)評審經(jīng)過ISO9001認(rèn)證的服務(wù)過程形成積累總結(jié)培養(yǎng)*科技NSPS專業(yè)安全服務(wù)體系專業(yè)安全服務(wù)體系構(gòu)成部分服務(wù)用戶中國電信中國移動中國聯(lián)通銀河證券華泰證券山東通信國家民政部國家質(zhì)檢總局山東通信TOM.COM所獲榮譽2003值得信賴的服務(wù)品牌2003中關(guān)村最佳客戶服務(wù)獎2004值得信賴的服務(wù)品牌2005值得信賴的服務(wù)品牌NSPS安全咨詢 日常安全咨詢安全架構(gòu)設(shè)計安全體系設(shè)計

6、安全管理安全問題通告安全加固補丁管理緊急響應(yīng)安全評估 全面風(fēng)險評估技術(shù)脆弱性評估應(yīng)用安全評估滲透測試安全培訓(xùn)初級安全培訓(xùn)中級安全培訓(xùn)高級安全培訓(xùn)安全外包集中監(jiān)控*科技技術(shù)實力總結(jié)面向全球提供具備核心競爭力的安全解決方案公司服務(wù)資質(zhì) 國家安全服務(wù)資質(zhì)（二級）國家級公共互聯(lián)網(wǎng)應(yīng)急處理試點單位ISO9001質(zhì)量管理體系國際國內(nèi)雙認(rèn)證公司產(chǎn)品資質(zhì) 產(chǎn)品入圍情況入侵檢測產(chǎn)品EAL3認(rèn)證中國國家信息安全產(chǎn)品測評認(rèn)證中心認(rèn)證中國國家公安部認(rèn)證中國人民解放軍安全產(chǎn)品測評中心認(rèn)證國家保密局認(rèn)證20032005年蟬聯(lián)“中國信息安全值得信賴的安全服務(wù)品牌” 20032005年度“中關(guān)村最具發(fā)展?jié)摿Φ氖阎行「咝录夹g(shù)

7、企業(yè)”20042005年賽迪評測”年度IDS千兆產(chǎn)品精品大獎“和”年度IDS產(chǎn)品工程師推薦獎“20042005年度中國計算機報“編輯選擇獎”定位獲獎情況證書資質(zhì)情況 中國人民銀行 中國農(nóng)業(yè)銀行 中國建設(shè)銀行 中國移動測評第一名 金財工程入圍第一名如何選擇安全服務(wù)提供商如何選擇安全服務(wù)提供商國家認(rèn)可的安全服務(wù)資質(zhì)同類行業(yè)實施項目數(shù)量及經(jīng)驗企業(yè)從事安全服務(wù)的專業(yè)人員數(shù)量企業(yè)發(fā)展戰(zhàn)略規(guī)劃及成長方向本地化技術(shù)支持從業(yè)人員要求企業(yè)資質(zhì)要求豐富的安全服務(wù)項目經(jīng)驗精湛的底層技術(shù)的研究能力精深的安全標(biāo)準(zhǔn)掌握能力準(zhǔn)確的把握國家政策導(dǎo)向?qū)I(yè)的行業(yè)知識及其領(lǐng)域規(guī)范風(fēng)險評估是安全體系建設(shè)的前提和基礎(chǔ)子提綱風(fēng)險評估介紹

8、概念和術(shù)語目的和作用評估的內(nèi)容如何進(jìn)行評估評估的效果操作模式風(fēng)險評估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險風(fēng)險評估風(fēng)險管理信息資產(chǎn)是一個完整信息系統(tǒng)的組成部分，是風(fēng)險評估的對象。 一個信息系統(tǒng)的資產(chǎn)包括：物理資產(chǎn)，包括服務(wù)器設(shè)備，終端設(shè)備，網(wǎng)絡(luò)設(shè)備及其它設(shè)備等；軟件資產(chǎn)，包括系統(tǒng)軟件，業(yè)務(wù)應(yīng)用軟件，辦公自動化軟件及其它應(yīng)用軟件等；數(shù)據(jù)資產(chǎn)，包括系統(tǒng)數(shù)據(jù)，業(yè)務(wù)數(shù)據(jù)，辦公數(shù)據(jù)，技術(shù)文檔數(shù)據(jù)及其它數(shù)據(jù)等； 其他資產(chǎn)，包括公司人力、聲譽等。 風(fēng)險評估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險風(fēng)險評估風(fēng)險管理脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。弱點可能位于包括物理環(huán)境、組織機構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、

9、軟件及通訊設(shè)施等各個方面。資產(chǎn)的脆弱性是資產(chǎn)所特有的，只能通過某種安全措施降低其脆弱程度，但它不可能完全被消滅。風(fēng)險評估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險風(fēng)險評估風(fēng)險管理威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。它包括五類：邏輯的威脅通信的威脅技術(shù)故障的威脅人員錯誤的威脅物理和環(huán)境的威脅威脅是客觀存在的，不可能被消滅或改變。更確切地說某一特定資產(chǎn)必然面對某些特定的威脅風(fēng)險評估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險風(fēng)險評估風(fēng)險管理信息系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。風(fēng)險只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。風(fēng)險評

10、估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險風(fēng)險評估風(fēng)險管理是指依據(jù)國際、國家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)識別和評價的過程。風(fēng)險評估要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。風(fēng)險評估的概念和術(shù)語信息資產(chǎn)脆弱性威脅風(fēng)險風(fēng)險評估風(fēng)險管理風(fēng)險管理是基于風(fēng)險評估的安全管理方法。它是以可以接受的代價識別、控制、最小化或者避免影響信息系統(tǒng)安全的風(fēng)險的過程 。風(fēng)險評估分析風(fēng)險控制一個完整的風(fēng)險評估過程實際上就是一個風(fēng)險管理過程。子提綱

11、風(fēng)險評估介紹概念和術(shù)語目的和作用評估的內(nèi)容如何進(jìn)行評估評估的效果操作模式風(fēng)險評估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案人員安全意識人員安全知識安全管理制度安全管理策略資產(chǎn)安全屬性環(huán)境安全現(xiàn)狀業(yè)務(wù)運行現(xiàn)狀風(fēng)險評估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案風(fēng)險評估安全目標(biāo)安全策略方案與培訓(xùn)安全監(jiān)控災(zāi)難恢復(fù)信息資產(chǎn)安全風(fēng)險評估安全目標(biāo)安全策略方案與培訓(xùn)安全監(jiān)控災(zāi)難恢復(fù)信息資產(chǎn)安全 信息安全生命周期模型風(fēng)險評估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案如何提高安全意識如何提高安全知識如何執(zhí)行安全制度如何完善安全策略如何保障資產(chǎn)安全如何保障環(huán)境安全如何保障業(yè)務(wù)運行風(fēng)險評估目的與作用發(fā)現(xiàn)問題找出方法提

12、出建議提供方案提出培訓(xùn)方案安全規(guī)劃方案安全建設(shè)方案應(yīng)急響應(yīng)預(yù)案子提綱風(fēng)險評估介紹概念和術(shù)語目的和作用評估的內(nèi)容如何進(jìn)行評估評估的效果操作模式風(fēng)險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容安全意識安全知識信息資產(chǎn)運行環(huán)境物理環(huán)境找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容內(nèi)部安全威脅外部安全威脅第三方廠商安全威脅風(fēng)險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容安全風(fēng)險發(fā)現(xiàn)增加具有增加增加降低滿足利用措施威脅抗擊安全需求資產(chǎn)價值影響資產(chǎn)系統(tǒng)漏洞暴露產(chǎn)生風(fēng)險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容按層次分：物理層：機房、設(shè)備、辦公、線路、環(huán)境網(wǎng)絡(luò)層：架構(gòu)安全、設(shè)備漏洞、設(shè)備配置缺陷系統(tǒng)層：系統(tǒng)漏洞、配置缺陷應(yīng)用層：軟

13、件漏洞、安全功能缺陷管理層：組織、策略、技術(shù)管理風(fēng)險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容按模塊分：業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品和技術(shù)應(yīng)用狀況業(yè)務(wù)系統(tǒng)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力業(yè)務(wù)類型數(shù)據(jù)處理流程數(shù)據(jù)完整性（輸入、處理、傳輸）數(shù)據(jù)保密性（認(rèn)證、授權(quán)、加密）業(yè)務(wù)可用性（時間、可靠性）業(yè)務(wù)事故案例業(yè)務(wù)拓展?fàn)顩r風(fēng)險評估內(nèi)容網(wǎng)絡(luò)拓?fù)湓O(shè)備冗余鏈路冗余網(wǎng)絡(luò)流量與擁塞控制VLAN劃分網(wǎng)絡(luò)接口網(wǎng)絡(luò)可用性找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境

14、管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容防火、防盜、防靜電防自然災(zāi)害訪問控制（人為控制、電子控制）布線合理性電力保障找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容安全策略安全計劃安全目標(biāo)安全組織安全制度安全約束管理風(fēng)險找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容安全意識安全技能安全培訓(xùn)安全約束安全狀況的了解程度和滿意程度企業(yè)滿意度和忠誠度找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)

15、結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)應(yīng)用軟件和應(yīng)用系統(tǒng)路由器、交換機OS系統(tǒng)找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容安全技術(shù)和產(chǎn)品應(yīng)用前后的效果安全功能的欠缺安全技術(shù)和產(chǎn)品需求找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容業(yè)務(wù)系統(tǒng)安全流程審核應(yīng)急響應(yīng)能力是否有相關(guān)處理流程人員是否清楚流程是否具備執(zhí)行流程的能力流程是否經(jīng)過演練風(fēng)險評估可選擇內(nèi)容I

16、DS動態(tài)數(shù)據(jù)嗅探分析人工滲透測試分析找出弱點發(fā)現(xiàn)威脅評估風(fēng)險主要內(nèi)容業(yè)務(wù)狀況網(wǎng)絡(luò)結(jié)構(gòu)物理環(huán)境管理狀況人員狀況系統(tǒng)安全安全產(chǎn)品與技術(shù)應(yīng)用狀況業(yè)務(wù)安全應(yīng)急響應(yīng)能力風(fēng)險評估內(nèi)容子提綱風(fēng)險評估介紹概念和術(shù)語目的和作用評估的內(nèi)容如何進(jìn)行評估評估的效果操作模式如何進(jìn)行風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制信息安全管理標(biāo)準(zhǔn)BS 7799信息安全管理指南ISO 13335信息安全通用準(zhǔn)則ISO 15408（GB/T18336） 系統(tǒng)安全工程能力成熟模型SSE-CMM 其他相關(guān)標(biāo)準(zhǔn)（AS/NZS 4360，GAO/AIMD-00-33， GAO/

17、AIMD-98-68， BSI PD3000 ，GB/T17859，IATF）相關(guān)法規(guī)和政策行業(yè)管理規(guī)定如何進(jìn)行風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制符合性原則綜合考慮IP網(wǎng)絡(luò)的重要性、涉密程度和面臨的信息安全風(fēng)險等因素，進(jìn)行相應(yīng)等級的安全建設(shè)和管理規(guī)劃。 標(biāo)準(zhǔn)性原則安全管理標(biāo)準(zhǔn)：ISO17799、ISO13335、ISO7498技術(shù)工程標(biāo)準(zhǔn)：SSE-CMM、ISO15408事實標(biāo)準(zhǔn)：CVE安全漏洞庫、PMI項目管理規(guī)范性原則NISF安全體系架構(gòu)模型 DIEM安全工程過程 NSPS安全服務(wù)規(guī)范 可控性原則人員可控工具可控項目過程

18、可控如何進(jìn)行風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制保密性原則參與人員簽署保密協(xié)議使用加密工具保護(hù)評估數(shù)據(jù)評估資料設(shè)置生命周期整體性原則評估范圍、深度的選擇，避免遺漏安全隱患，保證結(jié)果具有整體性和全面性最小影響原則評估前做好備份及應(yīng)急響應(yīng)準(zhǔn)備評估方法、時間段的選擇把對系統(tǒng)和網(wǎng)絡(luò)的影響降到最低如何進(jìn)行風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制先外后內(nèi)策略數(shù)據(jù)流與業(yè)務(wù)流并行策略數(shù)據(jù)流與業(yè)務(wù)流關(guān)聯(lián)策略如何進(jìn)行風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具

19、風(fēng)險評估過程項目過程控制項目質(zhì)量控制調(diào)查問卷人工訪談?wù){(diào)研勘查安全掃描在線分析 人工審計滲透測試 管理審計策略評估如何進(jìn)行風(fēng)險評估系統(tǒng)層安全：該層的安全問題來自網(wǎng)絡(luò)運行的操作系統(tǒng)：UNIX系列、Linux系列、Windows NT系列以及專用操作系統(tǒng)等。安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素，主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題。網(wǎng)絡(luò)層安全：該層的安全問題主要指網(wǎng)絡(luò)信息的安全性，包括網(wǎng)絡(luò)層身份認(rèn)證，網(wǎng)絡(luò)資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入、域名系統(tǒng)、路由系統(tǒng)的安全，入侵檢測的手段等。應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)所采用的應(yīng)

20、用軟件和數(shù)據(jù)的安全性，包括：數(shù)據(jù)庫軟件、Web服務(wù)、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應(yīng)用網(wǎng)管系統(tǒng)、業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等。風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法安全掃描人工審計滲透測試調(diào)查問卷訪談?wù){(diào)研風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險評估網(wǎng)絡(luò)接口之間、重要的網(wǎng)段之間是否實現(xiàn)了必要的訪問控制措施；網(wǎng)絡(luò)內(nèi)部是否最優(yōu)的劃分了VLAN和不同的網(wǎng)段，保證了每個用戶的最小權(quán)限原則；路由器、交換機等網(wǎng)絡(luò)設(shè)備的配置是否最優(yōu)，是否配置了安全參數(shù)；主機系統(tǒng)的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強；安全設(shè)備的接入方式是否正確，是否最大化的利用了其安全

21、功能而又占系統(tǒng)資源最小，是否影響業(yè)務(wù)和系統(tǒng)的正常運行。風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法安全掃描人工審計滲透測試調(diào)查問卷訪談?wù){(diào)研風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險評估在實際開始評估掃描同時，在被評估方的授權(quán)下，根據(jù)客戶要求的重點IP，進(jìn)行滲透測試，完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)，對目標(biāo)系統(tǒng)的安全作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。對這些重點IP做到盡可能的準(zhǔn)確全面的測試，一旦發(fā)現(xiàn)危害性嚴(yán)重的漏洞，及時修補，以免后患。根據(jù)用戶需求決定是否采用。風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法安全掃描人工審計滲透測試調(diào)查問卷訪談?wù){(diào)研風(fēng)險評估工具

22、風(fēng)險評估過程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險評估調(diào)查對象網(wǎng)絡(luò)系統(tǒng)管理員、安全管理員、技術(shù)負(fù)責(zé)人等調(diào)查內(nèi)容業(yè)務(wù)、資產(chǎn)、威脅、脆弱性（管理方面）設(shè)計原則完整性、具體性、簡潔性、一致性風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法安全掃描人工審計滲透測試調(diào)查問卷訪談?wù){(diào)研風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險評估訪談對象安全管理員、技術(shù)負(fù)責(zé)人、網(wǎng)絡(luò)系統(tǒng)管理員等訪談內(nèi)容確認(rèn)問卷調(diào)查結(jié)果詳細(xì)獲取管理執(zhí)行現(xiàn)狀聽取用戶想法和意見風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法安全掃描人工審計滲透測試調(diào)查問卷人工訪談?wù){(diào)研勘查風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險

23、評估調(diào)研勘查目的校驗調(diào)查問卷以及人工訪談時，因為被調(diào)查對象逆反心理而造成的事實偏差調(diào)研勘查內(nèi)容校核問卷調(diào)查結(jié)果校核管理執(zhí)行現(xiàn)狀校核用戶想法和意見風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法安全掃描人工審計滲透測試調(diào)查問卷人工訪談?wù){(diào)研勘查風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制“極光”遠(yuǎn)程風(fēng)險評估系統(tǒng)（AURORA)“冰之眼”網(wǎng)絡(luò)入侵檢測系統(tǒng)（ICEYE）*科技安全本地評估套件（LSAS）微軟基準(zhǔn)安全分析器（MBSA）如何進(jìn)行風(fēng)險評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險

24、評估方法風(fēng)險評估工具風(fēng)險評估過程資產(chǎn)調(diào)查評估要素等級劃分評估流程項目過程控制項目質(zhì)量控制管理標(biāo)準(zhǔn)屬性：編號、業(yè)務(wù)組、使用人、管理人、域名、IP地址、Mac地址、應(yīng)用說明等物理資產(chǎn)的屬性：型號、模塊型號、價格等軟件資產(chǎn)的屬性：系統(tǒng)類型、版本、補丁情況等數(shù)據(jù)資產(chǎn)的屬性：價值、應(yīng)用等如何進(jìn)行風(fēng)險評估脆弱性威脅風(fēng)險業(yè)務(wù)流與數(shù)據(jù)流兩條評估主線業(yè)務(wù)管理員（C，I，A），權(quán)重*科技項目人員（C，I，A），權(quán)重風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程資產(chǎn)調(diào)查評估要素等級劃分評估流程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險評估評估范圍確定與業(yè)務(wù)調(diào)查資產(chǎn)識別與等級劃分安全威脅識別與等級

25、劃分?jǐn)?shù)據(jù)校核、分析與風(fēng)險計算制定風(fēng)險控制策略建立風(fēng)險評估報告安全現(xiàn)狀分析報告資產(chǎn)評估報告威脅評估報告安全風(fēng)險評估報告風(fēng)險控制策略報告風(fēng)險分析報告策略脆弱性評估報告管理脆弱性評估報告技術(shù)脆弱性評估報告一、確定評估范圍階段二、資產(chǎn)識別與等級劃分階段四、安全威脅評估階段三、脆弱性評估階段五、風(fēng)險分析階段六、風(fēng)險管理階段安全工具掃描人工審計滲透測試BS7799 安全制度審計安全策略評估風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程資產(chǎn)調(diào)查評估要素等級劃分評估流程項目過程控制項目質(zhì)量控制如何進(jìn)行風(fēng)險評估條理清晰，避免偏離項目范圍和目標(biāo)任務(wù)分解徹底，防止過程任務(wù)疏漏便于協(xié)調(diào)雙方資

26、源，并能合理分配利用資源保證過程各環(huán)節(jié)的封閉性和可追溯性風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制過程控制目的過程控制方法過程里程碑項目質(zhì)量控制如何進(jìn)行風(fēng)險評估開工申請實施計劃工作申請計劃變更文件接收工作確認(rèn)工作匯報數(shù)據(jù)校核過程關(guān)閉風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制過程控制目的過程控制方法過程里程碑項目質(zhì)量控制如何進(jìn)行風(fēng)險評估項目啟動會項目協(xié)調(diào)會項目階段總結(jié)會項目階段評審會項目總結(jié)評審會項目初驗項目終驗項目關(guān)閉風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制過程控制目

27、的過程控制方法過程里程碑項目質(zhì)量控制如何進(jìn)行風(fēng)險評估保證過程各環(huán)節(jié)的有效性、可驗證性提供過程的可追溯性與數(shù)據(jù)準(zhǔn)確性保證成果的可靠性和可信性風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制質(zhì)量控制目的質(zhì)量控制方法如何進(jìn)行風(fēng)險評估成立質(zhì)控小組或有質(zhì)控部門負(fù)責(zé)質(zhì)控人員參加項目實施過程質(zhì)控人員職責(zé)明確具備專業(yè)素養(yǎng)和技能質(zhì)控流程清晰合理、過程嚴(yán)格風(fēng)險評估標(biāo)準(zhǔn)風(fēng)險評估原則風(fēng)險評估策略風(fēng)險評估方法風(fēng)險評估工具風(fēng)險評估過程項目過程控制項目質(zhì)量控制質(zhì)量控制目的質(zhì)量控制方法子提綱風(fēng)險評估介紹概念和術(shù)語目的和作用評估的內(nèi)容如何進(jìn)行評估評估的效果操作模式風(fēng)險評估的效果發(fā)

28、現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運行信息資產(chǎn)、網(wǎng)絡(luò)環(huán)境、物理環(huán)境、管理制度、安全策略、人員脆弱性威脅風(fēng)險風(fēng)險評估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運行脆弱性分析威脅分析風(fēng)險分析系統(tǒng)增強加固網(wǎng)絡(luò)環(huán)境優(yōu)化第三方產(chǎn)品補充安全策略修訂完善安全制度加強人員安全培訓(xùn)風(fēng)險評估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運行平衡建設(shè)與投資全局統(tǒng)籌，宏觀掌控分期分批解決問題第一期安全建設(shè)第二期安全建設(shè)第三期安全建設(shè)風(fēng)險評估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運行建立全方位、多層面安全防護(hù)體系建立動態(tài)與靜態(tài)防護(hù)相結(jié)合安全

29、體系確定不同級別防御安全域為等級化保護(hù)打下堅實基礎(chǔ)風(fēng)險評估的效果發(fā)現(xiàn)安全問題提出解決方案指導(dǎo)安全規(guī)劃完善安全體系保障安全運行運行與生產(chǎn)是安全防護(hù)的重點風(fēng)險評估不會影響安全運行與生產(chǎn)安全體系建設(shè)保障安全運行與生產(chǎn)子提綱風(fēng)險評估介紹概念和術(shù)語目的和作用評估的內(nèi)容如何進(jìn)行評估評估的效果操作模式安全風(fēng)險評估模式評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復(fù)合模式評估復(fù)合模式評估特點評估模式國內(nèi)外現(xiàn)用的風(fēng)險評估模式，大體分自評估、檢查評估與委托評估三種類型。分類依據(jù)主要根據(jù)評估方與被評估方的關(guān)系，以及評估方與被評估方和其信息資產(chǎn)的關(guān)系。評估模式特點在現(xiàn)階段，不同模式各有優(yōu)點和

30、缺陷。安全風(fēng)險評估模式定義自評估是信息系統(tǒng)擁有單位，依靠自身力量，對自有的信息系統(tǒng)進(jìn)行的風(fēng)險評估活動。信息系統(tǒng)的風(fēng)險，不僅僅來自信息系統(tǒng)技術(shù)平臺的共性，還來自于特定的應(yīng)用服務(wù)。由于具體單位的信息系統(tǒng)應(yīng)用服務(wù)各具特性，這些個性化的過程和要求往往是敏感的，是沒有長期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的。而且只有擁有者對威脅及其后果的體會最深切。評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復(fù)合模式評估復(fù)合模式評估特點安全風(fēng)險評估模式優(yōu)點:有利于保密；有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長；有利于降低風(fēng)險評估的費用；有利于提高本單位的風(fēng)險評估能力與信息安全知

31、識缺點:如果沒有統(tǒng)一的規(guī)范和要求，在缺乏信息系統(tǒng)安全風(fēng)險評估專業(yè)人才的情況下，自評估的結(jié)果可能不深入，不規(guī)范，不到位自評估中，也可能會存在某些不利的干預(yù)，從而影響風(fēng)險評估結(jié)果的客觀性降低評估結(jié)果的置信度某些時候，即使自評估的結(jié)果比較客觀，但也可能不會被管理層所接受改進(jìn)辦法:可以用發(fā)揮專家的指導(dǎo)作用或委托專業(yè)評估組織參與部分工作的方式加以解決評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復(fù)合模式評估復(fù)合模式評估特點安全風(fēng)險評估模式定義檢查評估是由信息安全主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)，檢查被評估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)這種評估具有強制性，是

32、一種純粹意義上的他評估，單位需要配合評估工作的開展。此外，檢查評估必須以明確的法規(guī)或標(biāo)準(zhǔn)為基礎(chǔ)。這是通過行政手段加強信息安全的重要措施評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復(fù)合模式評估復(fù)合模式評估特點安全風(fēng)險評估模式優(yōu)點:這種模式最具權(quán)威缺點:通常間隔時間較長一般是抽樣進(jìn)行不能貫穿于一個部門的信息系統(tǒng)的生命周期的全過程評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復(fù)合模式評估復(fù)合模式評估特點安全風(fēng)險評估模式定義委托評估指信息系統(tǒng)使用單位委托具有風(fēng)險評估能力的專業(yè)評估機構(gòu)（安全服務(wù)企業(yè)）實施的評估活動它既有自評估的特點（由單位自身發(fā)起，且本單位對風(fēng)險評估過程的影響可以很大），也有他評估的特點（由獨立與本單位的另外一方實施評估）評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復(fù)合模式評估復(fù)合模式評估特點安全風(fēng)險評估模式優(yōu)點:在委托評估中，接受委托的評估機構(gòu)一般擁有風(fēng)險評估的專業(yè)人才風(fēng)險評估的經(jīng)驗比較豐富對IT技術(shù)風(fēng)險的共性了解得比較深入評估過程較為規(guī)范，評估結(jié)果的客觀性比較好，置信度比較高缺點:評估費用可能會較高可能會難以深入了解行業(yè)應(yīng)用服務(wù)中的安全風(fēng)險由于風(fēng)險評估中必然會接觸到被評估單位