風(fēng)險(xiǎn)評(píng)估流程及標(biāo)準(zhǔn)演示文稿

風(fēng)險(xiǎn)評(píng)估流程及標(biāo)準(zhǔn)演示文稿第一頁，共三十四頁。優(yōu)選風(fēng)險(xiǎn)評(píng)估流程及標(biāo)準(zhǔn)第二頁，共三十四頁。安全評(píng)估體系及標(biāo)準(zhǔn)安全評(píng)估服務(wù)體系風(fēng)險(xiǎn)評(píng)估內(nèi)容與過程風(fēng)險(xiǎn)評(píng)估服務(wù)組件ISO/IEC

17799(BS7799)、ISO/IECTR13335國家標(biāo)準(zhǔn)《信息安全評(píng)估指南》第三頁，共三十四頁。安全評(píng)估體系基線安全評(píng)估網(wǎng)絡(luò)架構(gòu)評(píng)估業(yè)務(wù)系統(tǒng)評(píng)估管理安全評(píng)估安全風(fēng)險(xiǎn)評(píng)估全面安全解決方案（TotalSolution）安全咨詢安全加固安全產(chǎn)品部署安全培訓(xùn)緊急響應(yīng)客戶需求定制第四頁，共三十四頁。安全評(píng)估組件的關(guān)系安全風(fēng)險(xiǎn)評(píng)估安全體系建設(shè)安全規(guī)劃安全策略安全解決方案周期評(píng)估加固安全項(xiàng)目建設(shè)應(yīng)急響應(yīng)安全培訓(xùn)資產(chǎn)價(jià)值第五頁，共三十四頁。安全評(píng)估服務(wù)體系風(fēng)險(xiǎn)評(píng)估內(nèi)容與過程風(fēng)險(xiǎn)評(píng)估服務(wù)組件公司介紹成功案例介紹第六頁，共三十四頁。威脅影響概率弱點(diǎn)價(jià)值資產(chǎn)擁有者信息資產(chǎn)威脅來源風(fēng)險(xiǎn)后果可能性現(xiàn)有安全措施影響影響半定量分析模型第七頁，共三十四頁。安全風(fēng)險(xiǎn)評(píng)估組件資產(chǎn)調(diào)查基線安全評(píng)估安全威脅評(píng)估工具掃描弱點(diǎn)網(wǎng)絡(luò)架構(gòu)安全評(píng)估業(yè)務(wù)系統(tǒng)安全評(píng)估主機(jī)弱點(diǎn)人工評(píng)估網(wǎng)絡(luò)配置弱點(diǎn)評(píng)估安全設(shè)備弱點(diǎn)評(píng)估保護(hù)對(duì)象分析第八頁，共三十四頁?；€安全評(píng)估特點(diǎn)是一種技術(shù)評(píng)估操作最簡單內(nèi)容最基礎(chǔ)歷時(shí)最短結(jié)果最直觀第九頁，共三十四頁。基線安全評(píng)估內(nèi)容基線安全評(píng)估BaseLineSecurityEvaluation工具掃描(Scanning)登錄檢查(LoginCheck)Vulnerability(漏洞)WeakPass(弱口令)Configuration(配置)Information(信息)Sharing(共享)LocalVul.(本地漏洞)Mechanism(安全機(jī)制)Foresic(入侵取證)第十頁，共三十四頁。工具掃描掃描器終端漏洞庫升級(jí)接入IP地址交換機(jī)端口電源網(wǎng)線配合人員掃描申請(qǐng)報(bào)告授權(quán)范圍列表掃描范圍核實(shí)非業(yè)務(wù)高峰期雙機(jī)熱備分開拒絕服務(wù)項(xiàng)關(guān)閉固定范圍準(zhǔn)備階段掃描30-60分鐘風(fēng)險(xiǎn)規(guī)避開始掃描系統(tǒng)分類現(xiàn)場培訓(xùn)保密協(xié)議第十一頁，共三十四頁。登錄檢查控制臺(tái)操作賬號(hào)口令配合人員登錄授權(quán)范圍選定檢查項(xiàng)審核準(zhǔn)備階段檢查40-60分鐘風(fēng)險(xiǎn)規(guī)避開始檢查現(xiàn)場培訓(xùn)一人操作一人監(jiān)督檢查項(xiàng)列表操作記錄無寫操作保密協(xié)議第十二頁，共三十四頁。網(wǎng)絡(luò)架構(gòu)評(píng)估特點(diǎn)技術(shù)+管理評(píng)估過程復(fù)雜內(nèi)容廣泛歷時(shí)較長結(jié)果分定性與定量第十三頁，共三十四頁。網(wǎng)絡(luò)架構(gòu)評(píng)估內(nèi)容網(wǎng)絡(luò)架構(gòu)評(píng)估規(guī)范文檔網(wǎng)絡(luò)拓?fù)溥\(yùn)行維護(hù)數(shù)據(jù)安全網(wǎng)絡(luò)管理產(chǎn)品部署安全域劃分安全控制運(yùn)維管理安全管理應(yīng)急管理接入規(guī)范日常維護(hù)變更記錄密碼策略日志策略審核策略聯(lián)系列表應(yīng)急流程應(yīng)急預(yù)案第十四頁，共三十四頁。網(wǎng)絡(luò)架構(gòu)評(píng)估方法網(wǎng)絡(luò)架構(gòu)方面安全問題分為8個(gè)大類每個(gè)類內(nèi)容有3-5個(gè)子類每個(gè)子類分為3-8個(gè)子項(xiàng)每個(gè)子項(xiàng)分為5-15個(gè)知識(shí)點(diǎn)根據(jù)穩(wěn)定性、安全性、冗余性、擴(kuò)展性、經(jīng)濟(jì)性、易于管理性共六項(xiàng)內(nèi)容對(duì)每個(gè)知識(shí)點(diǎn)進(jìn)行分配權(quán)重按照可選、必選的規(guī)則定義8大類的比重進(jìn)行綜合加權(quán)評(píng)估第十五頁，共三十四頁。網(wǎng)絡(luò)架構(gòu)評(píng)估結(jié)果網(wǎng)絡(luò)安全狀況分級(jí)安全風(fēng)險(xiǎn)分布圖表最嚴(yán)重的安全問題列表安全風(fēng)險(xiǎn)綜述第十六頁，共三十四頁。業(yè)務(wù)系統(tǒng)評(píng)估特點(diǎn)針對(duì)業(yè)務(wù)和應(yīng)用過程復(fù)雜內(nèi)容與業(yè)務(wù)關(guān)系密切歷時(shí)較長結(jié)果定性第十七頁，共三十四頁。業(yè)務(wù)系統(tǒng)評(píng)估內(nèi)容IT業(yè)務(wù)系統(tǒng)評(píng)估支撐系統(tǒng)應(yīng)用系統(tǒng)前置系統(tǒng)中間件數(shù)據(jù)庫安全系統(tǒng)管理安全物理安全業(yè)務(wù)相關(guān)性分析，根據(jù)信息數(shù)據(jù)流向，對(duì)整個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行綜合評(píng)估。第十八頁，共三十四頁。管理安全評(píng)估特點(diǎn)針對(duì)策略、流程、資產(chǎn)、人員管理后續(xù)改善工作是持續(xù)的過程內(nèi)容廣泛歷時(shí)較長效果不直接第十九頁，共三十四頁。管理安全評(píng)估內(nèi)容IT管理安全評(píng)估文檔審計(jì)顧問訪談問卷調(diào)查實(shí)地考察策略文檔資產(chǎn)管理流程管理規(guī)章制度安全組織策略發(fā)布策略修訂入網(wǎng)流程維護(hù)流程備份流程應(yīng)急流程資產(chǎn)統(tǒng)計(jì)資產(chǎn)定級(jí)資產(chǎn)維護(hù)崗位職責(zé)人員流動(dòng)登記制度保密制度第二十頁，共三十四頁。項(xiàng)目的主要階段123451-項(xiàng)目準(zhǔn)備與范圍確定

項(xiàng)目計(jì)劃

項(xiàng)目組織結(jié)構(gòu)、人員確認(rèn)

項(xiàng)目工作環(huán)境

Kickoff

需求調(diào)研，背景討論

范圍確定2-項(xiàng)目定義和藍(lán)圖

完成詳細(xì)方案設(shè)計(jì)

定義詳細(xì)項(xiàng)目范圍

定義報(bào)告格式

定義項(xiàng)目目標(biāo)

作好網(wǎng)絡(luò)環(huán)境準(zhǔn)備

完成藍(lán)圖并與用戶簽署3-評(píng)估資產(chǎn)調(diào)查等級(jí)保護(hù)和分域保護(hù)風(fēng)險(xiǎn)評(píng)估資產(chǎn)管理和風(fēng)險(xiǎn)信息庫4-綜合評(píng)估階段網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告安全現(xiàn)狀報(bào)告數(shù)據(jù)導(dǎo)入信息庫和整理安全需求分析5-體系規(guī)劃和策略方案階段安全體系設(shè)計(jì)、安全規(guī)劃

安全策略制定

網(wǎng)絡(luò)安全管理和技術(shù)解決方案

66-支持和維護(hù)

培訓(xùn)

漏洞跟蹤售后服務(wù)

電話熱線支持

售后服務(wù)安全通告服務(wù)

評(píng)估方法介紹（）風(fēng)險(xiǎn)評(píng)估方案的確定（）甲方項(xiàng)目組各負(fù)責(zé)人根據(jù)提供的需要準(zhǔn)備的各類資料進(jìn)行準(zhǔn)備（雙方）提交項(xiàng)目各階段的報(bào)告模版并雙方確認(rèn)（雙方）以kickoffmeeting為啟動(dòng)標(biāo)志之前做好會(huì)前溝通和準(zhǔn)備。如：評(píng)估設(shè)備范圍整理（甲方）雙方項(xiàng)目組通訊錄（甲方涉及到的各部門或者各業(yè)務(wù)系統(tǒng)的負(fù)責(zé)人）實(shí)施計(jì)劃草案會(huì)上進(jìn)行計(jì)劃的確認(rèn)會(huì)后對(duì)于未確認(rèn)問題最快速度確認(rèn)過程：基礎(chǔ)工作：資產(chǎn)調(diào)查分team工作：顧問評(píng)估、專業(yè)安全評(píng)估小組group工作：各team中又各分兩個(gè)小組顧問組groupA----網(wǎng)絡(luò)架構(gòu)、安全設(shè)備評(píng)估groupB----應(yīng)用安全、策略及威脅評(píng)估專業(yè)組：工具小組----終端設(shè)備評(píng)估人工小組----核心設(shè)備評(píng)估方法：資產(chǎn)評(píng)估（評(píng)估模型）威脅評(píng)估（評(píng)估模型）網(wǎng)絡(luò)架構(gòu)評(píng)估（網(wǎng)絡(luò)架構(gòu)、接入方式等）安全設(shè)備評(píng)估（安全產(chǎn)品策略收集、防病毒部署等）應(yīng)用安全評(píng)估（業(yè)務(wù)流程、數(shù)據(jù)流、業(yè)務(wù)連續(xù)性等）策略評(píng)估（文檔格式、文檔體系、文檔內(nèi)容)安全審計(jì)（調(diào)查問卷）方法：根據(jù)藍(lán)圖規(guī)定，在綜合了專業(yè)組和顧問組的評(píng)估成果基礎(chǔ)上（評(píng)估記錄單、問卷、訪談?dòng)涗?，完成綜合的風(fēng)險(xiǎn)評(píng)估報(bào)告和現(xiàn)狀報(bào)告安全體系及建設(shè)規(guī)劃建議報(bào)告根據(jù)業(yè)務(wù)、設(shè)備等的評(píng)估結(jié)果安全體系框架設(shè)計(jì)報(bào)告依據(jù)ISO17799的安全管理標(biāo)準(zhǔn)IT保障框架安全策略報(bào)告安全建設(shè)方案建議報(bào)告第二十一頁，共三十四頁。項(xiàng)目階段和提交文檔12356項(xiàng)目計(jì)劃組織結(jié)構(gòu)項(xiàng)目人員項(xiàng)目范圍需求調(diào)研項(xiàng)目藍(lán)圖安全風(fēng)險(xiǎn)評(píng)估報(bào)告總體策略建議安全漏洞跟蹤、緊急響應(yīng)、安全通告服務(wù)、日常安全信息庫維護(hù)安全策略評(píng)估報(bào)告安全解決方案建議客戶安全現(xiàn)狀總體安全解決方案4BS7799審計(jì)報(bào)告安全策略建議第二十二頁，共三十四頁。安全評(píng)估服務(wù)體系風(fēng)險(xiǎn)評(píng)估內(nèi)容與過程風(fēng)險(xiǎn)評(píng)估服務(wù)相關(guān)組件公司介紹成功案例介紹第二十三頁，共三十四頁。安全培訓(xùn)應(yīng)急響應(yīng)Osstmm2.1風(fēng)險(xiǎn)評(píng)估的跟進(jìn)支持組件timecost安全加固安全信息通告第二十四頁，共三十四頁。網(wǎng)絡(luò)優(yōu)化方案及系統(tǒng)加固方案根據(jù)規(guī)范及系統(tǒng)特點(diǎn)生成風(fēng)險(xiǎn)規(guī)避方案提交實(shí)施申請(qǐng)方案與用戶確認(rèn)系統(tǒng)加固同期記錄現(xiàn)場培訓(xùn)二次評(píng)估確認(rèn)加固報(bào)告啟用風(fēng)險(xiǎn)規(guī)避方案/恢復(fù)加固異常繼續(xù)加固修改方案放棄加固實(shí)施加固新加固方案一切正常安全加固流程圖安全加固服務(wù)流程第二十五頁，共三十四頁。安裝安全補(bǔ)丁安全配置安全機(jī)制文件系統(tǒng)用戶管理網(wǎng)絡(luò)及服務(wù)其它配置文件加密通信數(shù)字簽名日志/備份訪問控制安全設(shè)備策略定制資料文檔現(xiàn)狀記錄及備份系統(tǒng)加固階段第二十六頁，共三十四頁。緊急響應(yīng)服務(wù)準(zhǔn)備識(shí)別抑制事態(tài)發(fā)展恢復(fù)系統(tǒng)提出解決方案總結(jié)經(jīng)驗(yàn)教訓(xùn)第二十七頁，共三十四頁。安全通告服務(wù)系統(tǒng)地向用戶傳遞最新安全技術(shù)和安全信息第二十八頁，共三十四頁。安全培訓(xùn)服務(wù)安全管理培訓(xùn)評(píng)估方法培訓(xùn)安全審計(jì)培訓(xùn)安全加固培訓(xùn)定制培訓(xùn)CISP培訓(xùn)……第二十九頁，共三十四頁。遵循以下標(biāo)準(zhǔn)：ISO17799/BS7799ISO13335GB《信息安全風(fēng)險(xiǎn)評(píng)估指南》第三十頁，共三十四頁。ISO17799(BS7799)BS7799-1:1999（即ISO/IEC17799:2000），信息安全管理實(shí)施細(xì)則（CodeofPracticeforInformationSecurityManagement），從10個(gè)方面定義了127項(xiàng)控制措施，可供信息安全管理體系實(shí)施者參考使用，這10個(gè)方面是：安全策略（Securitypolicy）；組織安全（Organizationsecurity）；資產(chǎn)分類和控制（Assetclassificationandcontrol）；人員安全（Personnelsecurity）；物理和環(huán)境安全（Physicalandenvironmentalsecurity）；通信和操作管理（Communicationandoperationmanagement）；訪問控制（Accesscontrol）；系統(tǒng)開發(fā)和維護(hù)（Systemdevelopmentandmaintenance）；業(yè)務(wù)連續(xù)性管理（Businesscontinuitymanagement）；符合性（Compliance）。第三十一頁，共三十四頁。BS7799-2是建立信息安全管理系統(tǒng)（ISMS）的一套規(guī)范（SpecificationforInformationSecurityManagementSystems），其中詳細(xì)說明了建立、實(shí)施和維護(hù)信息安全管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI最終的認(rèn)證（對(duì)依據(jù)BS7799-2建立的ISMS進(jìn)行認(rèn)證），還有一系列相應(yīng)的注冊(cè)認(rèn)證過程。作為一套管理標(biāo)準(zhǔn)，BS7799-2指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC17799，其最終目的，還在于建立適合企業(yè)需要的信息安全管理系統(tǒng)（ISMS）。第三十二頁，共三十四頁。ISO/IECTR13335ISO/IECTR13335，即IT安全管理指南（GuidelinesfortheManagementofITSecurity，GMITS），是由ISO/IECJTC1制定的技術(shù)報(bào)告，是一個(gè)信息安全管理方面的指導(dǎo)性標(biāo)準(zhǔn)，