風險評估流程及標準演示文稿

風險評估流程及標準演示文稿第一頁，共三十四頁。優(yōu)選風險評估流程及標準第二頁，共三十四頁。安全評估體系及標準安全評估服務體系風險評估內(nèi)容與過程風險評估服務組件ISO/IEC

17799(BS7799)、ISO/IECTR13335國家標準《信息安全評估指南》第三頁，共三十四頁。安全評估體系基線安全評估網(wǎng)絡架構(gòu)評估業(yè)務系統(tǒng)評估管理安全評估安全風險評估全面安全解決方案（TotalSolution）安全咨詢安全加固安全產(chǎn)品部署安全培訓緊急響應客戶需求定制第四頁，共三十四頁。安全評估組件的關系安全風險評估安全體系建設安全規(guī)劃安全策略安全解決方案周期評估加固安全項目建設應急響應安全培訓資產(chǎn)價值第五頁，共三十四頁。安全評估服務體系風險評估內(nèi)容與過程風險評估服務組件公司介紹成功案例介紹第六頁，共三十四頁。威脅影響概率弱點價值資產(chǎn)擁有者信息資產(chǎn)威脅來源風險后果可能性現(xiàn)有安全措施影響影響半定量分析模型第七頁，共三十四頁。安全風險評估組件資產(chǎn)調(diào)查基線安全評估安全威脅評估工具掃描弱點網(wǎng)絡架構(gòu)安全評估業(yè)務系統(tǒng)安全評估主機弱點人工評估網(wǎng)絡配置弱點評估安全設備弱點評估保護對象分析第八頁，共三十四頁?；€安全評估特點是一種技術(shù)評估操作最簡單內(nèi)容最基礎歷時最短結(jié)果最直觀第九頁，共三十四頁。基線安全評估內(nèi)容基線安全評估BaseLineSecurityEvaluation工具掃描(Scanning)登錄檢查(LoginCheck)Vulnerability(漏洞)WeakPass(弱口令)Configuration(配置)Information(信息)Sharing(共享)LocalVul.(本地漏洞)Mechanism(安全機制)Foresic(入侵取證)第十頁，共三十四頁。工具掃描掃描器終端漏洞庫升級接入IP地址交換機端口電源網(wǎng)線配合人員掃描申請報告授權(quán)范圍列表掃描范圍核實非業(yè)務高峰期雙機熱備分開拒絕服務項關閉固定范圍準備階段掃描30-60分鐘風險規(guī)避開始掃描系統(tǒng)分類現(xiàn)場培訓保密協(xié)議第十一頁，共三十四頁。登錄檢查控制臺操作賬號口令配合人員登錄授權(quán)范圍選定檢查項審核準備階段檢查40-60分鐘風險規(guī)避開始檢查現(xiàn)場培訓一人操作一人監(jiān)督檢查項列表操作記錄無寫操作保密協(xié)議第十二頁，共三十四頁。網(wǎng)絡架構(gòu)評估特點技術(shù)+管理評估過程復雜內(nèi)容廣泛歷時較長結(jié)果分定性與定量第十三頁，共三十四頁。網(wǎng)絡架構(gòu)評估內(nèi)容網(wǎng)絡架構(gòu)評估規(guī)范文檔網(wǎng)絡拓撲運行維護數(shù)據(jù)安全網(wǎng)絡管理產(chǎn)品部署安全域劃分安全控制運維管理安全管理應急管理接入規(guī)范日常維護變更記錄密碼策略日志策略審核策略聯(lián)系列表應急流程應急預案第十四頁，共三十四頁。網(wǎng)絡架構(gòu)評估方法網(wǎng)絡架構(gòu)方面安全問題分為8個大類每個類內(nèi)容有3-5個子類每個子類分為3-8個子項每個子項分為5-15個知識點根據(jù)穩(wěn)定性、安全性、冗余性、擴展性、經(jīng)濟性、易于管理性共六項內(nèi)容對每個知識點進行分配權(quán)重按照可選、必選的規(guī)則定義8大類的比重進行綜合加權(quán)評估第十五頁，共三十四頁。網(wǎng)絡架構(gòu)評估結(jié)果網(wǎng)絡安全狀況分級安全風險分布圖表最嚴重的安全問題列表安全風險綜述第十六頁，共三十四頁。業(yè)務系統(tǒng)評估特點針對業(yè)務和應用過程復雜內(nèi)容與業(yè)務關系密切歷時較長結(jié)果定性第十七頁，共三十四頁。業(yè)務系統(tǒng)評估內(nèi)容IT業(yè)務系統(tǒng)評估支撐系統(tǒng)應用系統(tǒng)前置系統(tǒng)中間件數(shù)據(jù)庫安全系統(tǒng)管理安全物理安全業(yè)務相關性分析，根據(jù)信息數(shù)據(jù)流向，對整個業(yè)務系統(tǒng)進行綜合評估。第十八頁，共三十四頁。管理安全評估特點針對策略、流程、資產(chǎn)、人員管理后續(xù)改善工作是持續(xù)的過程內(nèi)容廣泛歷時較長效果不直接第十九頁，共三十四頁。管理安全評估內(nèi)容IT管理安全評估文檔審計顧問訪談問卷調(diào)查實地考察策略文檔資產(chǎn)管理流程管理規(guī)章制度安全組織策略發(fā)布策略修訂入網(wǎng)流程維護流程備份流程應急流程資產(chǎn)統(tǒng)計資產(chǎn)定級資產(chǎn)維護崗位職責人員流動登記制度保密制度第二十頁，共三十四頁。項目的主要階段123451-項目準備與范圍確定

項目計劃

項目組織結(jié)構(gòu)、人員確認

項目工作環(huán)境

Kickoff

需求調(diào)研，背景討論

范圍確定2-項目定義和藍圖

完成詳細方案設計

定義詳細項目范圍

定義報告格式

定義項目目標

作好網(wǎng)絡環(huán)境準備

完成藍圖并與用戶簽署3-評估資產(chǎn)調(diào)查等級保護和分域保護風險評估資產(chǎn)管理和風險信息庫4-綜合評估階段網(wǎng)絡風險評估報告安全現(xiàn)狀報告數(shù)據(jù)導入信息庫和整理安全需求分析5-體系規(guī)劃和策略方案階段安全體系設計、安全規(guī)劃

安全策略制定

網(wǎng)絡安全管理和技術(shù)解決方案

66-支持和維護

培訓

漏洞跟蹤售后服務

電話熱線支持

售后服務安全通告服務

評估方法介紹（）風險評估方案的確定（）甲方項目組各負責人根據(jù)提供的需要準備的各類資料進行準備（雙方）提交項目各階段的報告模版并雙方確認（雙方）以kickoffmeeting為啟動標志之前做好會前溝通和準備。如：評估設備范圍整理（甲方）雙方項目組通訊錄（甲方涉及到的各部門或者各業(yè)務系統(tǒng)的負責人）實施計劃草案會上進行計劃的確認會后對于未確認問題最快速度確認過程：基礎工作：資產(chǎn)調(diào)查分team工作：顧問評估、專業(yè)安全評估小組group工作：各team中又各分兩個小組顧問組groupA----網(wǎng)絡架構(gòu)、安全設備評估groupB----應用安全、策略及威脅評估專業(yè)組：工具小組----終端設備評估人工小組----核心設備評估方法：資產(chǎn)評估（評估模型）威脅評估（評估模型）網(wǎng)絡架構(gòu)評估（網(wǎng)絡架構(gòu)、接入方式等）安全設備評估（安全產(chǎn)品策略收集、防病毒部署等）應用安全評估（業(yè)務流程、數(shù)據(jù)流、業(yè)務連續(xù)性等）策略評估（文檔格式、文檔體系、文檔內(nèi)容)安全審計（調(diào)查問卷）方法：根據(jù)藍圖規(guī)定，在綜合了專業(yè)組和顧問組的評估成果基礎上（評估記錄單、問卷、訪談記錄)，完成綜合的風險評估報告和現(xiàn)狀報告安全體系及建設規(guī)劃建議報告根據(jù)業(yè)務、設備等的評估結(jié)果安全體系框架設計報告依據(jù)ISO17799的安全管理標準IT保障框架安全策略報告安全建設方案建議報告第二十一頁，共三十四頁。項目階段和提交文檔12356項目計劃組織結(jié)構(gòu)項目人員項目范圍需求調(diào)研項目藍圖安全風險評估報告總體策略建議安全漏洞跟蹤、緊急響應、安全通告服務、日常安全信息庫維護安全策略評估報告安全解決方案建議客戶安全現(xiàn)狀總體安全解決方案4BS7799審計報告安全策略建議第二十二頁，共三十四頁。安全評估服務體系風險評估內(nèi)容與過程風險評估服務相關組件公司介紹成功案例介紹第二十三頁，共三十四頁。安全培訓應急響應Osstmm2.1風險評估的跟進支持組件timecost安全加固安全信息通告第二十四頁，共三十四頁。網(wǎng)絡優(yōu)化方案及系統(tǒng)加固方案根據(jù)規(guī)范及系統(tǒng)特點生成風險規(guī)避方案提交實施申請方案與用戶確認系統(tǒng)加固同期記錄現(xiàn)場培訓二次評估確認加固報告啟用風險規(guī)避方案/恢復加固異常繼續(xù)加固修改方案放棄加固實施加固新加固方案一切正常安全加固流程圖安全加固服務流程第二十五頁，共三十四頁。安裝安全補丁安全配置安全機制文件系統(tǒng)用戶管理網(wǎng)絡及服務其它配置文件加密通信數(shù)字簽名日志/備份訪問控制安全設備策略定制資料文檔現(xiàn)狀記錄及備份系統(tǒng)加固階段第二十六頁，共三十四頁。緊急響應服務準備識別抑制事態(tài)發(fā)展恢復系統(tǒng)提出解決方案總結(jié)經(jīng)驗教訓第二十七頁，共三十四頁。安全通告服務系統(tǒng)地向用戶傳遞最新安全技術(shù)和安全信息第二十八頁，共三十四頁。安全培訓服務安全管理培訓評估方法培訓安全審計培訓安全加固培訓定制培訓CISP培訓……第二十九頁，共三十四頁。遵循以下標準：ISO17799/BS7799ISO13335GB《信息安全風險評估指南》第三十頁，共三十四頁。ISO17799(BS7799)BS7799-1:1999（即ISO/IEC17799:2000），信息安全管理實施細則（CodeofPracticeforInformationSecurityManagement），從10個方面定義了127項控制措施，可供信息安全管理體系實施者參考使用，這10個方面是：安全策略（Securitypolicy）；組織安全（Organizationsecurity）；資產(chǎn)分類和控制（Assetclassificationandcontrol）；人員安全（Personnelsecurity）；物理和環(huán)境安全（Physicalandenvironmentalsecurity）；通信和操作管理（Communicationandoperationmanagement）；訪問控制（Accesscontrol）；系統(tǒng)開發(fā)和維護（Systemdevelopmentandmaintenance）；業(yè)務連續(xù)性管理（Businesscontinuitymanagement）；符合性（Compliance）。第三十一頁，共三十四頁。BS7799-2是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范（SpecificationforInformationSecurityManagementSystems），其中詳細說明了建立、實施和維護信息安全管理系統(tǒng)的要求，指出實施機構(gòu)應該遵循的風險評估標準，當然，如果要得到BSI最終的認證（對依據(jù)BS7799-2建立的ISMS進行認證），還有一系列相應的注冊認證過程。作為一套管理標準，BS7799-2指導相關人員怎樣去應用ISO/IEC17799，其最終目的，還在于建立適合企業(yè)需要的信息安全管理系統(tǒng)（ISMS）。第三十二頁，共三十四頁。ISO/IECTR13335ISO/IECTR13335，即IT安全管理指南（GuidelinesfortheManagementofITSecurity，GMITS），是由ISO/IECJTC1制定的技術(shù)報告，是一個信息安全管理方面的指導性標準，