风险评估流程及标准.ppt

评估体系及相关标准培训 安全评估体系及标准 安全评估服务体系风险评估内容与过程风险评估服务组件ISO IEC17799 BS7799 ISO IECTR13335国家标准 信息安全评估指南 安全评估体系 基线安全评估 网络架构评估 业务系统评估 管理安全评估 安全风险评估 全面安全解决方案 TotalSolution 安全咨询 安全加固 安全产品部署 安全培训 紧急响应 客户需求定制 安全评估组件的关系 资产价值 安全评估服务体系风险评估内容与过程风险评估服务组件公司介绍成功案例介绍 威胁 影响 概率 弱点 价值 资产拥有者 信息资产 威胁来源 风险 后果 可能性 现有安全措施 影响 影响 半定量分析模型 安全风险评估组件 资产调查 基线安全评估 安全威胁评估 工具扫描弱点 网络架构安全评估 业务系统安全评估 主机弱点人工评估 网络配置弱点评估 安全设备弱点评估 保护对象分析 基线安全评估特点 是一种技术评估操作最简单内容最基础历时最短结果最直观 基线安全评估内容 基线安全评估BaseLineSecurityEvaluation 工具扫描 Scanning 登录检查 LoginCheck Vulnerability 漏洞 WeakPass 弱口令 Configuration 配置 Information 信息 Sharing 共享 LocalVul 本地漏洞 Mechanism 安全机制 Foresic 入侵取证 工具扫描 扫描器终端 漏洞库升级 接入IP地址 交换机端口 电源网线 配合人员 扫描申请报告授权 范围列表 扫描范围核实 非业务高峰期 双机热备分开 拒绝服务项关闭 固定范围 准备阶段 扫描30 60分钟 风险规避 开始扫描 系统分类 现场培训 保密协议 登录检查 控制台操作 账号口令 配合人员 登录授权 范围选定 检查项审核 准备阶段 检查40 60分钟 风险规避 开始检查 现场培训 一人操作一人监督 检查项列表 操作记录 无写操作 保密协议 网络架构评估特点 技术 管理评估过程复杂内容广泛历时较长结果分定性与定量 网络架构评估内容 网络架构评估 规范文档 网络拓扑 运行维护 数据安全 网络管理 产品部署 安全域划分 安全控制 运维管理 安全管理 应急管理 接入规范 日常维护 变更记录 密码策略 日志策略 审核策略 联系列表 应急流程 应急预案 网络架构评估方法 网络架构方面安全问题分为8个大类每个类内容有3 5个子类每个子类分为3 8个子项每个子项分为5 15个知识点根据稳定性 安全性 冗余性 扩展性 经济性 易于管理性共六项内容对每个知识点进行分配权重按照可选 必选的规则定义8大类的比重进行综合加权评估 网络架构评估结果 网络安全状况分级安全风险分布图表最严重的安全问题列表安全风险综述 业务系统评估特点 针对业务和应用过程复杂内容与业务关系密切历时较长结果定性 业务系统评估内容 IT业务系统评估 支撑系统 应用系统 前置系统 中间件 数据库 安全系统 管理安全 物理安全 业务相关性分析 根据信息数据流向 对整个业务系统进行综合评估 管理安全评估特点 针对策略 流程 资产 人员管理后续改善工作是持续的过程内容广泛历时较长效果不直接 管理安全评估内容 IT管理安全评估 文档审计 顾问访谈 问卷调查 实地考察 策略文档 资产管理 流程管理 规章制度 安全组织 策略发布 策略修订 入网流程 维护流程 备份流程 应急流程 资产统计 资产定级 资产维护 岗位职责 人员流动 登记制度 保密制度 项目的主要阶段 1 项目准备与范围确定项目计划项目组织结构 人员确认项目工作环境Kickoff需求调研 背景讨论范围确定 2 项目定义和蓝图完成详细方案设计定义详细项目范围定义报告格式定义项目目标作好网络环境准备完成蓝图并与用户签署 3 评估资产调查等级保护和分域保护风险评估资产管理和风险信息库 4 综合评估阶段网络风险评估报告安全现状报告数据导入信息库和整理安全需求分析 5 体系规划和策略方案阶段安全体系设计 安全规划安全策略制定网络安全管理和技术解决方案 6 支持和维护培训漏洞跟踪售后服务电话热线支持售后服务安全通告服务 项目阶段和提交文档 需求调研 项目蓝图 总体策略建议 客户安全现状 总体安全解决方案 安全评估服务体系风险评估内容与过程风险评估服务相关组件公司介绍成功案例介绍 安全培训 应急响应 Osstmm2 1 风险评估的跟进支持组件 time cost 安全加固 安全信息通告 安全加固服务流程 系统加固阶段 紧急响应服务 准备识别抑制事态发展恢复系统提出解决方案总结经验教训 安全通告服务 系统地向用户传递最新安全技术和安全信息 安全培训服务 安全管理培训评估方法培训安全审计培训安全加固培训定制培训CISP培训 遵循以下标准 ISO17799 BS7799ISO13335GB 信息安全风险评估指南 ISO17799 BS7799 BS7799 1 1999 即ISO IEC17799 2000 信息安全管理实施细则 CodeofPracticeforInformationSecurityManagement 从10个方面定义了127项控制措施 可供信息安全管理体系实施者参考使用 这10个方面是 安全策略 Securitypolicy 组织安全 Organizationsecurity 资产分类和控制 Assetclassificationandcontrol 人员安全 Personnelsecurity 物理和环境安全 Physicalandenvironmentalsecurity 通信和操作管理 Communicationandoperationmanagement 访问控制 Accesscontrol 系统开发和维护 Systemdevelopmentandmaintenance 业务连续性管理 Businesscontinuitymanagement 符合性 Compliance BS7799 2是建立信息安全管理系统 ISMS 的一套规范 SpecificationforInformationSecurityManagementSystems 其中详细说明了建立 实施和维护信息安全管理系统的要求 指出实施机构应该遵循的风险评估标准 当然 如果要得到BSI最终的认证 对依据BS7799 2建立的ISMS进行认证 还有一系列相应的注册认证过程 作为一套管理标准 BS7799 2指导相关人员怎样去应用ISO IEC17799 其最终目的 还在于建立适合企业需要的信息安全管理系统 ISMS ISO IECTR13335 ISO IECTR13335 即IT安全管理指南 GuidelinesfortheManagementofITSecurity GMITS 是由ISO IECJTC1制定的技术报告 是一个信息安全管理方面的指导性标准 其目的是为有效实施IT安全管理提供建议 ISO IECTR13335分成5个部分 国家标准 信息安全评估指南 风险评估要素关系图 方框部分的内容为风险评估的基本要素 椭圆部分的内容是与这些要素相关的属性 风险评估围绕着资产 威胁 脆弱性和安全