企業(yè)安全評估

October2006NSFOCUS咨詢設計部*****@nsfocusProfessional

SecuritySolutionProvider**平安風險評估技術交流提綱**科技簡介如何選擇平安效勞提供商風險評估是平安體系建設的前提和根底**科技主要案例介紹**科技簡介公司概況**科技是國內(nèi)最早提出專業(yè)平安效勞的公司，國家級應急響應效勞提供單位目前為止，在全國共有員工340人全國各地設立23個運營機構，各機構的技術力量都能滿足本地化的技術支持客戶中包括了電信、移動、金融、政府、能源、企業(yè)以及涉密等多個行業(yè)參與了多項國內(nèi)平安標準的制定和國家平安研究課題的工作機構分布總部與研發(fā)中心：北京分公司：上海廣州

沈陽成都辦事處

深圳?？诟Ｖ蓍L沙南京貴陽?？谖靼怖ッ髦貞c蘭州南寧新疆濟南杭州長春哈爾濱武漢公司資質(zhì)、榮譽效勞資質(zhì)2001年首批平安效勞試點企業(yè)2002年首批平安效勞一級資質(zhì)企業(yè)2004年首批平安效勞二級資質(zhì)企業(yè)2004年首批國家級平安緊急響應效勞單位2005年通過CVE兼容性最高認證ISO9001：2000國際國內(nèi)雙認證用戶認可連續(xù)四年最值得信賴的平安效勞品牌連續(xù)獲得三年電子政務百強稱號榮獲中關村最正確客戶效勞獎專業(yè)資質(zhì)榮譽證書公司穩(wěn)定開展的歷程研發(fā)和專業(yè)效勞技術人員占總人數(shù)的2/3以上，到達280人的技術力量**科技以平安效勞為公司成長的基點，以技術研究為公司開展源動力，使公司穩(wěn)步向前開展6年來，公司業(yè)務規(guī)模持續(xù)穩(wěn)定增長，在多個行業(yè)積累了豐富的行業(yè)經(jīng)驗，獲得了行業(yè)客戶的廣泛認可擁有頂級平安專家組成的獨立平安研究機構發(fā)現(xiàn)包括Microsoft、HP、CISCO、SUN、Juniper等多家廠商的31個嚴重平安漏洞六年來一直維護國內(nèi)最大最權威的中文平安漏洞庫NSBL，數(shù)目已經(jīng)到達9265條。同時漏洞庫已經(jīng)成為同行業(yè)重要的參考依據(jù)和標準入侵檢測規(guī)那么庫從2002年起出口到美國市場，底層技術獲得國際的廣泛認可多年來的研究成果，奠定了**科技在國際平安界的地位，同時為國家信息平安研究和開展做出了重大奉獻06年7月12日，又獨立發(fā)現(xiàn)了MSOFFICE3個最為嚴重的漏洞雄厚的技術實力強大的研發(fā)創(chuàng)新能力保持每年一款新產(chǎn)品的推出原有產(chǎn)品每六個月進行一次升級2000年2001年2002年2003年2004年2005年2006年V5.0V4.0V4.0V1.5V5.0V1.0國內(nèi)主流平安廠商中，唯一的全部產(chǎn)品線完全自主研發(fā)。**科技平安產(chǎn)品網(wǎng)絡入侵檢測系統(tǒng)漏洞掃描系統(tǒng)抗拒絕效勞系統(tǒng)內(nèi)網(wǎng)平安管理系統(tǒng)網(wǎng)絡入侵保護系統(tǒng)網(wǎng)絡流量管理系統(tǒng)專業(yè)平安效勞NSPS工程經(jīng)驗專業(yè)團隊效勞方法論工程組織經(jīng)過5年專業(yè)平安效勞的執(zhí)著實踐，形成了國內(nèi)最完善的專業(yè)平安效勞體系和完善的專業(yè)平安效勞方法論。豐富的行業(yè)效勞實踐經(jīng)驗。具有大規(guī)模的豐富的平安產(chǎn)品實施經(jīng)驗。緊急響應小組(NSIRT)屢次為用戶解決不同層次的平安問題具備國際一流的根底研究能力**科技平安小組(NSFOCUSSecurityTeam)效勞部門擁有多位CISSP、CISP、CCIE、CIW、PMP等國際認證專家。DIEM工程實施模型通過嚴格的二級效勞資質(zhì)評審經(jīng)過ISO9001認證的效勞過程形成積累總結培養(yǎng)**科技NSPS專業(yè)平安效勞體系專業(yè)平安效勞體系構成局部效勞用戶中國電信中國移動中國聯(lián)通銀河證券華泰證券山東通信國家民政部國家質(zhì)檢總局山東通信TOM.COM所獲榮譽2003值得信賴的效勞品牌2003中關村最正確客戶效勞獎2004值得信賴的效勞品牌2005值得信賴的效勞品牌NSPS平安咨詢?nèi)粘Ｆ桨沧稍兤桨布軜嬙O計平安體系設計平安管理平安問題通告平安加固補丁管理緊急響應平安評估全面風險評估技術脆弱性評估應用平安評估滲透測試平安培訓初級平安培訓中級平安培訓高級平安培訓平安外包集中監(jiān)控**科技技術實力總結面向全球提供具備核心競爭力的平安解決方案公司效勞資質(zhì)國家平安效勞資質(zhì)〔二級〕國家級公共互聯(lián)網(wǎng)應急處理試點單位ISO9001質(zhì)量管理體系國際國內(nèi)雙認證公司產(chǎn)品資質(zhì)產(chǎn)品入圍情況入侵檢測產(chǎn)品EAL3認證中國國家信息平安產(chǎn)品測評認證中心認證中國國家公安部認證中國人民解放軍平安產(chǎn)品測評中心認證國家保密局認證2003－2005年蟬聯(lián)“中國信息平安值得信賴的平安效勞品牌〞2003—2005年度“中關村最具開展?jié)摿Φ氖阎行「咝录夹g企業(yè)〞2004—2005年賽迪評測〞年度IDS千兆產(chǎn)品精品大獎“和〞年度IDS產(chǎn)品工程師推薦獎“2004—2005年度中國計算機報“編輯選擇獎〞定位獲獎情況證書資質(zhì)情況中國人民銀行中國農(nóng)業(yè)銀行中國建設銀行

中國移動測評第一名金財工程入圍第一名如何選擇平安效勞提供商如何選擇平安效勞提供商國家認可的平安效勞資質(zhì)同類行業(yè)實施工程數(shù)量及經(jīng)驗企業(yè)從事平安效勞的專業(yè)人員數(shù)量企業(yè)開展戰(zhàn)略規(guī)劃及成長方向本地化技術支持從業(yè)人員要求企業(yè)資質(zhì)要求豐富的平安效勞工程經(jīng)驗精湛的底層技術的研究能力精深的平安標準掌握能力準確的把握國家政策導向?qū)I(yè)的行業(yè)知識及其領域標準風險評估是平安體系建設的前提和根底子提綱－風險評估介紹概念和術語目的和作用評估的內(nèi)容如何進行評估評估的效果操作模式風險評估的概念和術語信息資產(chǎn)脆弱性威脅風險風險評估風險管理信息資產(chǎn)是一個完整信息系統(tǒng)的組成局部，是風險評估的對象。一個信息系統(tǒng)的資產(chǎn)包括：物理資產(chǎn)，包括效勞器設備，終端設備，網(wǎng)絡設備及其它設備等；軟件資產(chǎn)，包括系統(tǒng)軟件，業(yè)務應用軟件，辦公自動化軟件及其它應用軟件等；數(shù)據(jù)資產(chǎn)，包括系統(tǒng)數(shù)據(jù)，業(yè)務數(shù)據(jù)，辦公數(shù)據(jù)，技術文檔數(shù)據(jù)及其它數(shù)據(jù)等；其他資產(chǎn)，包括公司人力、聲譽等。風險評估的概念和術語信息資產(chǎn)脆弱性威脅風險風險評估風險管理脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。弱點可能位于包括物理環(huán)境、組織機構、業(yè)務流程、人員、管理、硬件、軟件及通訊設施等各個方面。資產(chǎn)的脆弱性是資產(chǎn)所特有的，只能通過某種平安措施降低其脆弱程度，但它不可能完全被消滅。風險評估的概念和術語信息資產(chǎn)脆弱性威脅風險風險評估風險管理威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。它包括五類：邏輯的威脅通信的威脅技術故障的威脅人員錯誤的威脅物理和環(huán)境的威脅威脅是客觀存在的，不可能被消滅或改變。更確切地說某一特定資產(chǎn)必然面對某些特定的威脅風險評估的概念和術語信息資產(chǎn)脆弱性威脅風險風險評估風險管理信息系統(tǒng)的平安風險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致平安事件發(fā)生的可能性及其造成的影響。風險只能預防、防止、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。風險評估的概念和術語信息資產(chǎn)脆弱性威脅風險風險評估風險管理是指依據(jù)國際、國家有關信息技術標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等平安屬性進行科學識別和評價的過程。風險評估要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)平安事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的平安風險。風險評估的概念和術語信息資產(chǎn)脆弱性威脅風險風險評估風險管理風險管理是基于風險評估的平安管理方法。它是以可以接受的代價識別、控制、最小化或者防止影響信息系統(tǒng)平安的風險的過程。風險評估分析風險控制一個完整的風險評估過程實際上就是一個風險管理過程。子提綱－風險評估介紹概念和術語目的和作用評估的內(nèi)容如何進行評估評估的效果操作模式風險評估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案人員平安意識人員平安知識平安管理制度平安管理策略資產(chǎn)平安屬性環(huán)境平安現(xiàn)狀業(yè)務運行現(xiàn)狀……風險評估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案風險評估安全目標安全策略方案與培訓安全監(jiān)控災難恢復信息資產(chǎn)安全風險評估安全目標安全策略方案與培訓安全監(jiān)控災難恢復信息資產(chǎn)安全

信息安全生命周期模型風險評估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案如何提高平安意識如何提高平安知識如何執(zhí)行平安制度如何完善平安策略如何保障資產(chǎn)平安如何保障環(huán)境平安如何保障業(yè)務運行……風險評估目的與作用發(fā)現(xiàn)問題找出方法提出建議提供方案提出培訓方案平安規(guī)劃方案平安建設方案應急響應預案……子提綱－風險評估介紹概念和術語目的和作用評估的內(nèi)容如何進行評估評估的效果操作模式風險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容平安意識平安知識信息資產(chǎn)運行環(huán)境物理環(huán)境……找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容內(nèi)部平安威脅外部平安威脅第三方廠商平安威脅風險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容安全風險發(fā)現(xiàn)增加具有增加增加降低滿足利用措施威脅抗擊安全需求資產(chǎn)價值影響資產(chǎn)系統(tǒng)漏洞暴露產(chǎn)生風險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容按層次分：物理層：機房、設備、辦公、線路、環(huán)境網(wǎng)絡層：架構平安、設備漏洞、設備配置缺陷系統(tǒng)層：系統(tǒng)漏洞、配置缺陷應用層：軟件漏洞、平安功能缺陷管理層：組織、策略、技術管理風險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容按模塊分：業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品和技術應用狀況業(yè)務系統(tǒng)平安應急響應能力風險評估內(nèi)容找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力業(yè)務類型數(shù)據(jù)處理流程數(shù)據(jù)完整性〔輸入、處理、傳輸〕數(shù)據(jù)保密性〔認證、授權、加密〕業(yè)務可用性〔時間、可靠性〕業(yè)務事故案例業(yè)務拓展狀況風險評估內(nèi)容網(wǎng)絡拓撲設備冗余鏈路冗余網(wǎng)絡流量與擁塞控制VLAN劃分網(wǎng)絡接口網(wǎng)絡可用性找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力風險評估內(nèi)容防火、防盜、防靜電防自然災害訪問控制〔人為控制、電子控制〕布線合理性電力保障找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力風險評估內(nèi)容平安策略平安方案平安目標平安組織平安制度平安約束管理風險找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力風險評估內(nèi)容平安意識平安技能平安培訓平安約束平安狀況的了解程度和滿意程度企業(yè)滿意度和忠誠度找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力風險評估內(nèi)容操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)應用軟件和應用系統(tǒng)路由器、交換機OS系統(tǒng)找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力風險評估內(nèi)容平安技術和產(chǎn)品應用前后的效果平安功能的欠缺平安技術和產(chǎn)品需求找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力風險評估內(nèi)容業(yè)務系統(tǒng)平安流程審核應急響應能力是否有相關處理流程人員是否清楚流程是否具備執(zhí)行流程的能力流程是否經(jīng)過演練風險評估可選擇內(nèi)容IDS動態(tài)數(shù)據(jù)嗅探分析人工滲透測試分析找出弱點發(fā)現(xiàn)威脅評估風險主要內(nèi)容業(yè)務狀況網(wǎng)絡結構物理環(huán)境管理狀況人員狀況系統(tǒng)平安平安產(chǎn)品與技術應用狀況業(yè)務平安應急響應能力風險評估內(nèi)容子提綱－風險評估介紹概念和術語目的和作用評估的內(nèi)容如何進行評估評估的效果操作模式如何進行風險評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制信息平安管理標準BS7799信息平安管理指南ISO13335信息平安通用準那么ISO15408〔GB/T18336〕系統(tǒng)平安工程能力成熟模型SSE-CMM其他相關標準〔AS/NZS4360，GAO/AIMD-00-33，GAO/AIMD-98-68，BSIPD3000，GB/T17859，IATF〕相關法規(guī)和政策行業(yè)管理規(guī)定如何進行風險評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制符合性原那么綜合考慮IP網(wǎng)絡的重要性、涉密程度和面臨的信息平安風險等因素，進行相應等級的平安建設和管理規(guī)劃。標準性原那么平安管理標準：ISO17799、ISO13335、ISO7498技術工程標準：SSE-CMM、ISO15408事實標準：CVE平安漏洞庫、PMI工程管理標準性原那么NISF平安體系架構模型DIEM平安工程過程NSPS平安效勞標準可控性原那么人員可控工具可控工程過程可控如何進行風險評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制保密性原那么參與人員簽署保密協(xié)議使用加密工具保護評估數(shù)據(jù)評估資料設置生命周期整體性原那么評估范圍、深度的選擇，防止遺漏平安隱患，保證結果具有整體性和全面性最小影響原那么評估前做好備份及應急響應準備評估方法、時間段的選擇把對系統(tǒng)和網(wǎng)絡的影響降到最低如何進行風險評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制先外后內(nèi)策略數(shù)據(jù)流與業(yè)務流并行策略數(shù)據(jù)流與業(yè)務流關聯(lián)策略如何進行風險評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制調(diào)查問卷人工訪談調(diào)研勘查平安掃描在線分析人工審計滲透測試管理審計策略評估如何進行風險評估系統(tǒng)層平安：該層的平安問題來自網(wǎng)絡運行的操作系統(tǒng)：UNIX系列、Linux系列、WindowsNT系列以及專用操作系統(tǒng)等。平安性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不平安因素，主要包括身份認證、訪問控制、系統(tǒng)漏洞等；二是操作系統(tǒng)的平安配置存在問題。網(wǎng)絡層平安：該層的平安問題主要指網(wǎng)絡信息的平安性，包括網(wǎng)絡層身份認證，網(wǎng)絡資源的訪問控制，數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠程接入、域名系統(tǒng)、路由系統(tǒng)的平安，入侵檢測的手段等。應用層平安：該層的平安考慮網(wǎng)絡對用戶提供效勞所采用的應用軟件和數(shù)據(jù)的平安性，包括：數(shù)據(jù)庫軟件、Web效勞、電子郵件系統(tǒng)、域名系統(tǒng)、交換與路由系統(tǒng)、防火墻及應用網(wǎng)管系統(tǒng)、業(yè)務應用軟件以及其它網(wǎng)絡效勞系統(tǒng)等。風險評估標準風險評估原那么風險評估策略風險評估方法平安掃描人工審計滲透測試調(diào)查問卷訪談調(diào)研風險評估工具風險評估過程工程過程控制工程質(zhì)量控制如何進行風險評估網(wǎng)絡接口之間、重要的網(wǎng)段之間是否實現(xiàn)了必要的訪問控制措施；網(wǎng)絡內(nèi)部是否最優(yōu)的劃分了VLAN和不同的網(wǎng)段，保證了每個用戶的最小權限原那么；路由器、交換機等網(wǎng)絡設備的配置是否最優(yōu)，是否配置了平安參數(shù)；主機系統(tǒng)的平安配置策略是否最優(yōu)，是否進行了平安增強；平安設備的接入方式是否正確，是否最大化的利用了其平安功能而又占系統(tǒng)資源最小，是否影響業(yè)務和系統(tǒng)的正常運行。風險評估標準風險評估原那么風險評估策略風險評估方法平安掃描人工審計滲透測試調(diào)查問卷訪談調(diào)研風險評估工具風險評估過程工程過程控制工程質(zhì)量控制如何進行風險評估在實際開始評估掃描同時，在被評估方的授權下，根據(jù)客戶要求的重點IP，進行滲透測試，完全模擬黑客可能使用的攻擊技術和漏洞發(fā)現(xiàn)技術，對目標系統(tǒng)的平安作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。對這些重點IP做到盡可能的準確全面的測試，一旦發(fā)現(xiàn)危害性嚴重的漏洞，及時修補，以免后患。根據(jù)用戶需求決定是否采用。風險評估標準風險評估原那么風險評估策略風險評估方法平安掃描人工審計滲透測試調(diào)查問卷訪談調(diào)研風險評估工具風險評估過程工程過程控制工程質(zhì)量控制如何進行風險評估調(diào)查對象網(wǎng)絡系統(tǒng)管理員、平安管理員、技術負責人等調(diào)查內(nèi)容業(yè)務、資產(chǎn)、威脅、脆弱性〔管理方面〕設計原那么完整性、具體性、簡潔性、一致性風險評估標準風險評估原那么風險評估策略風險評估方法平安掃描人工審計滲透測試調(diào)查問卷訪談調(diào)研風險評估工具風險評估過程工程過程控制工程質(zhì)量控制如何進行風險評估訪談對象平安管理員、技術負責人、網(wǎng)絡系統(tǒng)管理員等訪談內(nèi)容確認問卷調(diào)查結果詳細獲取管理執(zhí)行現(xiàn)狀聽取用戶想法和意見風險評估標準風險評估原那么風險評估策略風險評估方法平安掃描人工審計滲透測試調(diào)查問卷人工訪談調(diào)研勘查風險評估工具風險評估過程工程過程控制工程質(zhì)量控制如何進行風險評估調(diào)研勘查目的校驗調(diào)查問卷以及人工訪談時，因為被調(diào)查對象逆反心理而造成的事實偏差調(diào)研勘查內(nèi)容校核問卷調(diào)查結果校核管理執(zhí)行現(xiàn)狀校核用戶想法和意見風險評估標準風險評估原那么風險評估策略風險評估方法平安掃描人工審計滲透測試調(diào)查問卷人工訪談調(diào)研勘查風險評估工具風險評估過程工程過程控制工程質(zhì)量控制如何進行風險評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制“極光〞遠程風險評估系統(tǒng)〔AURORA)“冰之眼〞網(wǎng)絡入侵檢測系統(tǒng)〔ICEYE〕**科技平安本地評估套件〔LSAS〕微軟基準平安分析器〔MBSA〕如何進行風險評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程資產(chǎn)調(diào)查評估要素等級劃分評估流程工程過程控制工程質(zhì)量控制管理標準屬性：編號、業(yè)務組、使用人、管理人、域名、IP地址、Mac地址、應用說明等物理資產(chǎn)的屬性：型號、模塊型號、價格等軟件資產(chǎn)的屬性：系統(tǒng)類型、版本、補丁情況等數(shù)據(jù)資產(chǎn)的屬性：價值、應用等如何進行風險評估脆弱性威脅風險業(yè)務流與數(shù)據(jù)流兩條評估主線業(yè)務管理員〔C，I，A〕，權重**科技工程人員〔C，I，A〕，權重風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程資產(chǎn)調(diào)查評估要素等級劃分評估流程工程過程控制工程質(zhì)量控制如何進行風險評估評估范圍確定與業(yè)務調(diào)查資產(chǎn)識別與等級劃分安全威脅識別與等級劃分數(shù)據(jù)校核、分析與風險計算制定風險控制策略建立風險評估報告安全現(xiàn)狀分析報告資產(chǎn)評估報告威脅評估報告安全風險評估報告風險控制策略報告風險分析報告策略脆弱性評估報告管理脆弱性評估報告技術脆弱性評估報告一、確定評估范圍階段二、資產(chǎn)識別與等級劃分階段四、安全威脅評估階段三、脆弱性評估階段五、風險分析階段六、風險管理階段安全工具掃描人工審計滲透測試BS7799安全制度審計安全策略評估風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程資產(chǎn)調(diào)查評估要素等級劃分評估流程工程過程控制工程質(zhì)量控制如何進行風險評估條理清晰，防止偏離工程范圍和目標任務分解徹底，防止過程任務疏漏便于協(xié)調(diào)雙方資源，并能合理分配利用資源保證過程各環(huán)節(jié)的封閉性和可追溯性風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制過程控制目的過程控制方法過程里程碑工程質(zhì)量控制如何進行風險評估開工申請實施方案工作申請方案變更文件接收工作確認工作匯報數(shù)據(jù)校核過程關閉風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制過程控制目的過程控制方法過程里程碑工程質(zhì)量控制如何進行風險評估工程啟動會工程協(xié)調(diào)會工程階段總結會工程階段評審會工程總結評審會工程初驗工程終驗工程關閉風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制過程控制目的過程控制方法過程里程碑工程質(zhì)量控制如何進行風險評估保證過程各環(huán)節(jié)的有效性、可驗證性提供過程的可追溯性與數(shù)據(jù)準確性保證成果的可靠性和可信性風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制質(zhì)量控制目的質(zhì)量控制方法如何進行風險評估成立質(zhì)控小組或有質(zhì)控部門負責質(zhì)控人員參加工程實施過程質(zhì)控人員職責明確具備專業(yè)素養(yǎng)和技能質(zhì)控流程清晰合理、過程嚴格風險評估標準風險評估原那么風險評估策略風險評估方法風險評估工具風險評估過程工程過程控制工程質(zhì)量控制質(zhì)量控制目的質(zhì)量控制方法子提綱－風險評估介紹概念和術語目的和作用評估的內(nèi)容如何進行評估評估的效果操作模式風險評估的效果發(fā)現(xiàn)平安問題提出解決方案指導平安規(guī)劃完善平安體系保障平安運行信息資產(chǎn)、網(wǎng)絡環(huán)境、物理環(huán)境、管理制度、平安策略、人員……脆弱性威脅風險風險評估的效果發(fā)現(xiàn)平安問題提出解決方案指導平安規(guī)劃完善平安體系保障平安運行脆弱性分析威脅分析風險分析系統(tǒng)增強加固網(wǎng)絡環(huán)境優(yōu)化第三方產(chǎn)品補充平安策略修訂完善平安制度加強人員平安培訓風險評估的效果發(fā)現(xiàn)平安問題提出解決方案指導平安規(guī)劃完善平安體系保障平安運行平衡建設與投資全局統(tǒng)籌，宏觀掌控分期分批解決問題第一期平安建設第二期平安建設第三期平安建設風險評估的效果發(fā)現(xiàn)平安問題提出解決方案指導平安規(guī)劃完善平安體系保障平安運行建立全方位、多層面平安防護體系建立動態(tài)與靜態(tài)防護相結合平安體系確定不同級別防御平安域為等級化保護打下堅實根底風險評估的效果發(fā)現(xiàn)平安問題提出解決方案指導平安規(guī)劃完善平安體系保障平安運行運行與生產(chǎn)是平安防護的重點風險評估不會影響平安運行與生產(chǎn)平安體系建設保障平安運行與生產(chǎn)子提綱－風險評估介紹概念和術語目的和作用評估的內(nèi)容如何進行評估評估的效果操作模式平安風險評估模式評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復合模式評估復合模式評估特點評估模式國內(nèi)外現(xiàn)用的風險評估模式，大體分自評估、檢查評估與委托評估三種類型。分類依據(jù)主要根據(jù)評估方與被評估方的關系，以及評估方與被評估方和其信息資產(chǎn)的關系。評估模式特點在現(xiàn)階段，不同模式各有優(yōu)點和缺陷。平安風險評估模式定義自評估是信息系統(tǒng)擁有單位，依靠自身力量，對自有的信息系統(tǒng)進行的風險評估活動。信息系統(tǒng)的風險，不僅僅來自信息系統(tǒng)技術平臺的共性，還來自于特定的應用效勞。由于具體單位的信息系統(tǒng)應用效勞各具特性，這些個性化的過程和要求往往是敏感的，是沒有長期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的。而且只有擁有者對威脅及其后果的體會最深切。評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復合模式評估復合模式評估特點平安風險評估模式優(yōu)點:有利于保密；有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務特長；有利于降低風險評估的費用；有利于提高本單位的風險評估能力與信息平安知識缺點:如果沒有統(tǒng)一的標準和要求，在缺乏信息系統(tǒng)平安風險評估專業(yè)人才的情況下，自評估的結果可能不深入，不標準，不到位自評估中，也可能會存在某些不利的干預，從而影響風險評估結果的客觀性降低評估結果的置信度某些時候，即使自評估的結果比較客觀，但也可能不會被管理層所接受改進方法:可以用發(fā)揮專家的指導作用或委托專業(yè)評估組織參與局部工作的方式加以解決評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復合模式評估復合模式評估特點平安風險評估模式定義檢查評估是由信息平安主管機關或業(yè)務主管機關發(fā)起，旨在依據(jù)已經(jīng)公布的法規(guī)或標準，檢查被評估單位是否滿足了這些法規(guī)或標準這種評估具有強制性，是一種純粹意義上的他評估，單位需要配合評估工作的開展。此外，檢查評估必須以明確的法規(guī)或標準為根底。這是通過行政手段加強信息平安的重要措施評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復合模式評估復合模式評估特點平安風險評估模式優(yōu)點:這種模式最具權威缺點:通常間隔時間較長一般是抽樣進行不能貫穿于一個部門的信息系統(tǒng)的生命周期的全過程評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復合模式評估復合模式評估特點平安風險評估模式定義委托評估指信息系統(tǒng)使用單位委托具有風險評估能力的專業(yè)評估機構〔平安效勞企業(yè)〕實施的評估活動它既有自評估的特點〔由單位自身發(fā)起，且本單位對風險評估過程的影響可以很大〕，也有他評估的特點〔由獨立與本單位的另外一方實施評估〕評估模式分類方法自評估自評估特點檢查評估檢查評估特點委托評估委托評估特點復合模式評估復合模式評估特點平安風險評估模式優(yōu)點:在委托評估中，接受委托的評估機構一般擁有風險評估的專業(yè)人才風險評估的經(jīng)驗比較豐富對IT技術風險的共性了解得比較深入評估過程較為標準，評估結果的客觀性比較好，置信度比較高缺點:評估費用可能會較高可能會難以