安全风险评估培训(inspur)

Inspurgroup,安全风险评估培训,今日议题,安全风险评估介绍信息安全介绍工作环节评估的模式安全风险评估流程安全风险评估工具介绍安全风险评估工具,什么是风险？,风险Risk对目标有所影响的某个事情发生的可能性。它根据后果和可能性来度量。-AS/NZS4360:1999风险管理,信息安全定义,信息安全的三个方面(ISO27001/BS7799)机密性（Confidentiality）完整性（Integrity）可用性（Availability）,信息安全的典型特性,潜在性相对性层次性分布性。,“安全”（security）的独特内涵,“防范潜在的危机”,性能容易量化可以评价为：低、较低、较高、高看得见安全很难量化只有两个结果“出事”和“不出事”容易被忽视,“安全”与“性能”的对比,“防范潜在的危机”安全没有100%安全只能将风险降到最低只有相对的安全，没有绝对的安全,信息安全的相对性,资产保护,风险管理的核心理念,1-项目准备与范围确定项目计划项目组织结构项目工作环境Kickoff需求调研，背景讨论,2-项目定义和蓝图完成详细方案设计定义项目目标培训定义详细项目范围定义报告格式完成蓝图并与用户签署,3-评估安全评估（本地，远程）本地评估安全信息库开发,4-综合报告和解决方案数据导入信息库和整理综合评估报告综合解决方案安全策略建议,5-评审支持和维护修复和加固协助电话热线支持,安全评估项目中的阶段,需求调研,项目蓝图,安全解决方案,综合评估报告,综合解决方案策略建议,项目阶段和提交文档,项目成果交付件结构,IDS申请报告ISS申请报告IDS实施方案ISS实施方案,IDS分析报告ISS分析报告,远程评估,人工评估申请报告白客测试申请报告人工评估实施方案白客测试实施方案,人工评估报告白客测试分析报告顾问访谈备忘录安全问卷调查报告网络架构评估报告业务流程评估报告策略文档评估报告策略文档评估报告总结,本地评估,申请方案,中间报告,评估阶段,安全风险评估报告网络安全策略评估和改进建议网络安全解决方案,方案阶段,第一阶段：项目准备阶段公司安全风险评估方案建议（SOW文档）第二阶段：蓝图阶段蓝图系列文档第三阶段：安全风险评估阶段公司系统综合风险分析报告,项目阶段主要成果及标志（1）,第四阶段：综合评估和策略阶段公司系统网络安全现状公司系统安全策略建议公司系统安全解决方案第五阶段：项目评审项目验收报告,项目阶段主要成果及标志（2）,风险评估的模式,精简型风险评估标准型评估大型评估,今日议题,安全风险评估介绍信息安全介绍工作环节评估的模式安全风险评估流程安全风险评估工具介绍安全风险评估工具,信息资产界定安全弱点和威胁的评估风险量化和计算安全评估报告安全解决方案评估流程图,安全风险评估流程,信息资产分类列表,资产组主机（硬件，OS，应用软件，服务，数据）网络（硬件，IOS，配置文件，网络服务）数据库（数据库软件，数据等）总体资产组（每个业务为一个资产组）独立资产服务（主要业务服务和业务流程等）数据（重要的数据）人员（各类人员，安全组织和人员）,本项目应用的分类标准,机密性、完整性和可用性的价值分别赋值,实际的赋值过程中，将以用户为主,信息资产赋值,信息资产界定安全弱点和威胁的评估风险量化和计算安全评估报告安全解决方案,风险评估流程,弱点和资产紧密相连，它可能被威胁利用、引起资产损失或破坏。弱点(脆弱性)赋值,安全弱点的评估,威胁的属性：可能性影响性,安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件,安全威胁的评估,国际公布的IT威胁的统计概率用户的事件或故障报告IDS的数据的采样,威胁的属性-可能性Likelihood,和系统现有的安全措施相关，主要依靠经验来判断。,威胁的属性严重性Impact,在弱点和威胁评估时充分考虑现有安全措施及强弱程度对其影响。安全技术措施安全控制手段有效的安全服务安全策略,现有安全措施界定,信息资产界定安全弱点和威胁的评估风险量化和计算安全评估报告安全解决方案,安全风险评估流程,风险值=资产价值X威胁值X弱点值此处=威胁值已经考虑现有安全措施对其影响,风险的计算,避免完全消除风险降低减小弱点、威胁的可能性和严重性接受承担一些风险转嫁责任外包，保险回避不开展此业务或应用（消极）威慑通过追究责任的方式,风险处置措施,风险处置措施,信息资产界定安全弱点和威胁的评估风险量化和计算安全评估报告安全解决方案,安全风险评估流程,信息资产列表总结安全弱点评估总结安全威胁评估总结现有安全措施列表总结风险量化和评级总结风险的处置和接受总结安全措施建议总结安全风险评估总结,安全风险评估报告,按层次描述安全现状物理层网络层操作系统层应用程序层业务系统层数据保护安全现状综述,人员安全组织资产分类及控制安全策略、制度与规范业务连续性法律和策略符合性,安全现状报告,安全风险评估分析提取需求体需求体详细分析需求体的业务分析需求体的层次分析需求体的依赖关系分析需求体框架分析需求分析总结,需求分析,需求体分解安全方案建议引言方案建议可行性分析优势推荐意见,安全解决方案,风险评估主要方法介绍,安全工具扫描(网络、系统、数据库)安全策略文档分析安全审