




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
启明星辰风险评估效劳技术宣传手册-PAGE12-北京启明星辰信息平安技术有限公司 PAGE2-PAGE12-____________________________信息平安启明星辰风险评估效劳宣传手册____________________________北京启明星辰信息平安技术有限公司文档记录信息文档名称启明星辰风险评估效劳技术白皮书制作部门前线技术中心-效劳产品化管理部版本修正历史日期作者联系方式文档核准信息版本核准日期核准人所属部门备注版权声明北京启明星辰信息平安技术有限公司版权所有,并保存对本文档及本声明的最终解释权和修改权。本文档中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,其著作权或其他相关权利均属于北京启明星辰信息平安技术有限公司。未经北京启明星辰信息平安技术有限公司书面同意,任何人不得以任何方式或形式对本手册内的任何局部进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或局部用于商业用途。免责条款本文档依据现有信息制作,其内容如有更改,恕不另行通知。北京启明星辰信息平安技术有限公司在编写该文档的时候已尽最大努力保证其内容准确可靠,但北京启明星辰信息平安技术有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承当责任。信息反应如果任何珍贵意见,请反应:信箱:北京市海淀区东北旺西路8号中关村软件园21号搂启明大厦邮编:100193电话可以访问启明星辰网站:http://,获得最新的技术和效劳信息。目录TOC\o"1-4"\h\z\u第1章 风险评估的重要性 51.1. 风险评估背景 51.2. 风险评估目的 61.3. 风险评估方式 7第2章 启明星辰信息平安效劳产品介绍 72.1. 效劳产品概述 72.2. 效劳产品功能 92.2.1. 资产评估 92.2.2. 威胁评估 102.2.3. 脆弱性评估 102.2.4. 风险综合分析 102.2.5. 风险处置方案 112.3. 效劳产品交付 122.3.1. 风险评估综合报告 122.3.2. 资产赋值列表 122.3.3. 威胁赋值列表 122.3.4. 脆弱性赋值列表 122.3.5. 风险处置方案 132.4. 效劳产品收益 132.4.1. 资产识别 132.4.2. 平衡平安风险与本钱 132.4.3. 风险识别 132.4.4. 建设指导 142.4.5. 业务保障 15第3章 启明星辰信息平安效劳产品规格 153.1. 效劳评估模型 153.1.1. 评估模型 153.1.2. 评估标准 163.2. 效劳评估方法 173.2.1. 访谈调研 173.2.2. 人工审计 173.2.3. 工具扫描 183.2.4. 渗透测试 183.3. 效劳评估范围 193.3.1. 技术评估 193.3.2. 管理评估 20第4章 启明星辰信息平安效劳产品流程 214.1. 效劳流程蓝图 224.2. 效劳流程阶段 224.2.1. 效劳启动 224.2.2. 资产评估 234.2.3. 威胁评估 244.2.4. 脆弱评估 264.2.5. 风险分析 274.2.6. 风险处置 294.2.7. 效劳验收 304.3. 效劳流程管理 304.3.1. 管理概述 304.3.2. 管理组成 31第5章 启明星辰信息平安效劳产品优势 335.1. 公司整体优势 335.2. 效劳开展优势 345.3. 效劳资质优势 355.4. 团队保障优势 36第6章 启明星辰信息平安效劳成功案例 376.1. 重点案例列表 386.2. 重点案例简介 396.2.1. 金融案例 396.2.2. 电信案例 396.2.3. 能源案例 406.2.4. 政府案例 40第7章 附录术语定义 41风险评估的重要性风险评估背景随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息平安问题受到普遍关注。运用风险评估方法去识别平安风险,解决信息平安问题得到了广泛的认识和应用。信息平安风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估平安事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施;为防范和化解信息平安风险,将风险控制在可接受的水平,从而最大限度地保障信息平安提供科学依据。信息平安风险评估作为信息平安保障工作的根底性工作和重要环节,贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息平安等级保护制度建设的重要科学方法之一。国内风险评估推进工作情况如下:时间具体推进事件历程2024年?关于加强信息平安保障工作的意见?〔中办发[2024]27号〕中明确提出“要重视信息平安风险评估工作〞。2024年为贯彻落实27号文件精神,原国信办组织有关单位和专家编写了?信息平安风险评估指南?。2024年原国信办在北京、上海、云南、黑龙江2市2省区和银行、电力、税务3个行业组织了信息平安风险评估试点。2024年原国信办召开了信息平安风险评估推进工作会议。国家部委、各省信息办依据中办发20245号、9号文件,开展重要行业平安风险评估工作。2024年为保障十七大,在国家根底信息网络和重要信息系统范围内,全面展开了自评估工作。〔中国移动、电力、税务、证券〕至今经过多年实践,风险评估是“一种度量信息平安状况的科学方法〞,通过对网络和信息系统潜在风险要素的识别、分析、评价,发现网络和信息系统的平安风险,通过平安加固,使高风险降低到可接受的水平,从而提高信息平安风险管理的水平。〞表-1风险评估目的风险评估是对网络与信息系统相关方面风险进行辨识和分析的过程,是依据国际/国家/地方有关信息平安技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁源利用的可能性和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性所产生的实际负面影响,并以此识别信息系统的平安风险的过程。风险评估目的是分析信息系统及其所依托的网络信息系统的平安状况,全面了解和掌握该系统面临的信息平安威胁和风险,明确采取何种有效措施,降低威胁事件发生的可能性或者其所造成的影响,减少信息系统的脆弱性,从而将风险降低到可接受的水平;同时,可以定期了解信息系统的平安防护水平并为后期平安规划建设的提出提供原始依据,并作为今后其他工作的参考。风险评估方式自评估是由被评估信息系统的拥有者发起,依靠自身的力量参照国家法规与标准,对其自身的信息系统进行的风险评估活动。检查评估检查评估那么通常是被评估信息系统的拥有者的上级主管机关或业务主管机关发起的,旨在依据已经公布的法规或标准进行的,具有强制意味的检查活动,是通过行政手段加强信息平安的重要措施。委托评估是由被评估信息系统的拥有者发起,委托专业的效劳机构,参照国家法规与标准,对其维护的信息系统进行的风险评估活动。启明星辰信息平安效劳产品介绍效劳产品概述启明星辰信息平安风险评估效劳信息平安风险永远存在,平安产品不能解决所有的问题。信息平安工作本身是一个过程,它的本质是风险管理。风险管理工作不仅仅是一个简单的理论、方法,更需要在实践中检验开展。启明星辰信息平安强调平安必须为业务效劳,以最正确实践作为信息平安工作的落脚点,通过有效的平安效劳,让平安技术有效地发挥作用。启明星辰信息平安为客户提供全面的信息平安咨询与风险评估效劳。启明星辰信息平安认为,风险评估是风险管理的基石,平安管理监控是风险管理的过程化实施。单纯的技术评估不能全面揭示信息平安风险所在,脱离细致技术检查手段的管理评估也似无本之木,技术和管理是密不可分的两个方面。同时,应用系统自身的平安性也是风险管理的重要组成局部。启明星辰信息平安风险评估效劳基于技术方面的平安评估、基于管理方面管理评估和综合两者的全面评估,客户可以全面了解组织内部的信息平安状况,尽早发现存在的问题。同时,根据平安专家的建议,客户可以在降低风险、承受风险、转移风险等方面做出正确的选择。启明星辰信息平安风险评估效劳综合国内外相关标准与业界最正确实践,为客户清晰的展现信息系统当前的平安现状、平安风险,提供公正、客观数据作为决策参考,为客户下一步控制和降低平安风险、改善平安状况、实施信息系统的风险管理提供依据,从而引起相关领导关注和重视,为客户后续信息平安工作争取支持,为客户后续信息平安顺利开展争取资源和地位,风险评估能够帮助客户从技术、管理方面或全面摸清家底、做到知己知彼,顺利进行信息系统平安规划、设计、建设。加强组织各层面对于信息平安工作的认识和理解程度,提高组织各层面的信息平安保障意识,对于标准和系统化提高信息平安保障水平提供了有效的方法。效劳产品功能图-1资产评估资产是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。资产评估是与风险评估相关联的重要任务之一,资产评估主要是对资产进行相对估价,而其估价准那么就是依赖于对其影响的分析,主要从保密性、完整性、可用性三方面的平安属性进行影响分析,从资产的相对价值中表达了威胁的严重程度;这样,威胁评估就成了对资产所受威胁发生可能性的评估,主要从发生的可能性、发生成功的可能性以及发生成功后的严重性三方面平安属性进行分析;目的是要对组织的归类资产做潜在价值分析,了解其资产利用、维护和管理现状。明确各类资产具备的保护价值和需要的保护层次,从而使组织更合理的利用现有资产,更有效地进行资产管理,更有针对性的进行资产保护,更有合理性的进行新的资产投入。威胁评估威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么平安的信息系统,它都存在。威胁评估采用的方法是问卷调查、问询、数据取样、日志分析。在这一过程中,首先要对组织需要保护的每一项关键资产进行威胁识别。在威胁评估过程中,应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断,一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么,即确认威胁的主体和客体。脆弱性评估脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种平安威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。脆弱性评估将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,就是对脆弱性被威胁利用的可能性进行评估,最终为其赋相对等级值。在进行脆弱性评估时,提供的数据应该来自于这些资产的拥有者或使用者,来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。在评估中,从技术脆弱性和平安管理脆弱性两个方面进行脆弱性检查。风险综合分析风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丧失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险只能预防、防止、降低、转移和接受,但不可能完全被消灭。在完成资产、威胁和脆弱性的评估后,进入平安风险的评估阶段。在这个过程中,采用最新的方法表述威胁源采用何种威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性。风险分析中要涉及资产、威胁、脆弱性三个根本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析原来如下列图所示:图-2风险处置方案风险处置目的是为风险管理过程中对不同风险的直观比拟,以确定组织平安策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理方案。风险处理方案中应明确采取的弥补脆弱性的平安措施、预期效果、实施条件、进度安排、责任部门等。平安措施的选择应从管理与技术两个方面考虑风险处置是一种系统化方法,可通过多种方式实现:风险接受:接受潜在的风险并继续运行信息系统,不对风险进行处理。风险降低:通过实现平安措施来降低风险,从而将脆弱性被威胁源利用后可能带来的不利影响最小化风险躲避:不介入风险,通过消除风险的原因和/或后果来躲避风险。风险转移:通过使用其它措施来补偿损失,从而转移风险,如购置保险。效劳产品交付图-3风险评估综合报告主体报告,描述被评估信息系统得信息平安现状,对评估范围内的业务资产进行风险分析,明确出威胁源采用何种威胁方法,利用了哪些脆弱性,对范围内的哪些资产产生了什么影响,采取何种对策进行防范威胁,减少脆弱性;并对风险评估作出总结,总结出哪些问题需要当前解决,哪些问题可以分步分期解决。资产赋值列表综合报告的子报告,描述了在资产识别后,对资产进行分类整理,并依据其所受破坏后所造成的影响,分析出其影响权值及其重要性。威胁赋值列表综合报告的子报告,描述总结出评估范围内业务资产所面临的威胁源,以及其所采用的方法。脆弱性赋值列表综合报告的子报告,描述出通过平安管理调查、工具扫描、手工检查进行专业分析后,总结出评估范围内业务资产自身存在的脆弱性。通过工具扫描之后,对评估范围内的资产脆弱性进行统计,重在描述高风险、中风险、低风险的数量以及百分比等情况。风险处置方案综合报告后的辅助报告,通过综合分析,了解了当前的平安现状,提出了针对当前问题的信息系统总体平安解决方案。效劳产品收益资产识别帮助客户对组织内资产进行梳理,针对在传统资产清理过程中,比拟容易被忽略的数据资产,效劳资产等,使客户从原有的固定资产保护,提升为信息资产保护。帮助客户进行组织内资产的分级管理,通过定量分析,明确各信息系统对客户的重要程度,通过有效整合信息系统的平安需求,在有限的资源环境下,更好的提高客户的信息平安水平。平衡平安风险与本钱帮助客户在平安建设过程中综合平衡平安风险与本钱代价,信息平安工作的核心目标就是实现在最低资源消耗的情况下,到达最大的平安水平。通过对发现的问题和风险进行管理,并最优化的方案建议,使客户防止投入大量资源,但平安工作仍迟迟不见起色的现象。风险识别对客户的关键信息资产进行全面梳理,识别资产的重要性;清晰自身所面临的威胁及其威胁方式方法,便于有针对性地防护。认识自身存在的脆弱性缺乏,能够有目的性的进行补遗整改。帮助客户了解网络与信息系统的平安状况,通过如工具扫描,渗透测试,人工审计等多种技术手段,全面分析客户信息系统和网络中存在的各种平安问题,同时将发现的平安问题与信息资产的重要程度相关联,明确当前的平安风险。帮助客户了解自身存在信息平安管理漏洞,再好的设备,也是由人进行操作的,通过访谈、问卷等多种手段,启明将协助客户管理层了解当前的信息平安管理制度是否存在漏洞,已经正式发布的平安管理制度是否得到了落实和执行。建设指导通过专业的平安技术和专业人员及时全面的掌握客户IT环境的平安现状和面临的风险,并提出改良建议,降低风险。为客户进行信息平安规划建设、平安技术体系建设、平安管理体系建设、平安风险管理奠定基石。通过对网络与信息系统漏洞产生的威胁进行分析,能够提供有效的平安加固和改良措施建议。在启明信息平安效劳团队,如ADlab等国际国内专业技术分析的支持下,启明平安效劳团队能够获得第一手的信息系统或网络的漏洞信息,在此根底上,为客户提供及时、有效地网络和信息系统的漏洞开掘效劳,并针对漏洞,提供有效的加固建议和改良措施建议。定期风险评估,帮助客户了解组织信息平安改良情况与开展方向,为以后的信息系统平安规划建设提供依据和参考。通过对平安风险的分析和识别,同时平衡平安风险与平安本钱,启明公司提供专业的信息平安规划和建设建议,对于客户未来的信息平安工作,提供重要参考和依据。帮助客户建立信息平安风险管理机制。为客户对网络与信息系统进行平安风险管理奠定基石,帮助客户在降低风险、承受风险、转移风险等方面作出最正确的选择。业务保障可以帮助客户及时发现和修复网络与信息系统的平安问题,使平安风险降低到可以接受并且可以被有效管理的范围内,保障客户组织内信息系统稳定运行和业务连续性。预防信息平安事故,保证客户业务的连续性,使客户的重要信息资产受到与其价值相符的保护,防止系统入侵平安隐患再次被破坏或恶意利用,防止业务经济损失数量持续增加。启明星辰信息平安效劳产品规格效劳评估模型评估模型图-4风险评估围绕着资产、威胁、脆弱性和平安措施这些根本要素展开,在对根本要素的评估过程中,需要充分考虑业务战略、资产价值、平安需求、平安事件、剩余风险等与这些根本要素相关的各类属性。在上图中的风险要素及属性之间存在着以下关系:业务战略的实现对资产具有依赖性,依赖程度越高,要求其风险越小;资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;风险是由威胁引发的,资产面临的威胁越多那么风险越大,并可能演变成为平安事件;资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多那么风险越大;脆弱性是未被满足的平安需求,威胁利用脆弱性危害资产;风险的存在及对风险的认识导出平安需求;平安需求可通过平安措施得以满足,需要结合资产价值考虑实施本钱;平安措施可抵御威胁,降低风险;剩余风险有些是平安措施不当或无效,需要加强才可控制的风险;而有些那么是在综合考虑了平安本钱与效益后不去控制的风险;剩余风险应受到密切监视,它可能会在将来诱发新的平安事件。评估标准标准类型参考标准国际标准ISO15408信息技术平安评估准那么ISO/IECTR13335信息和通信技术平安管理ISO/TR13569银行和相关金融效劳信息平安指南ISO/IEC27000信息平安管理体系系列标准AS/NZS4360风险管理NISTSP800-30IT系统风险管理指南国内标准GB17859计算机信息系统平安保护等级划分准那么GBT20984信息平安风险评估标准GBT22239信息平安技术信息系统平安等级保护根本要求GBZ20985信息技术平安技术信息平安事件管理指南GBZ20986信息平安技术信息平安事件分类分级指南各个组织或行业内相关要求表-1效劳评估方法图-5注:渗透测试模块为可选模块访谈调研收集现有业务系统资产组成、IT规划、管理制度、原有工程平安成果等信息文档。对进行收集文档进行深入分析,梳理业务系统平安现状。根据现有文档分析整理结果,制定相关调研表进行信息资产调研信息补充。制定访谈提纲,对相关人员进行访谈。人员访谈可以了解人员平安意识、对平安管理获知的程度、对平安技术的掌握程度,并且收集大量有用信息,全面了解信息系统的平安需求,深入了解客户各层面的平安现状。人工审计人工评估只对被评估对象进行运行状态和配置检查,因此不会对现有信息系统上的其他设备和资源带来任何影响,而对被评估对象的资源占用也小于工具评估。人工评估完成后将产生人工评估报告,也将作为整体的平安评估报告的一个重要的来源和依据。人工评估对本地平安评估而言是必不可少的。人工平安评估对实施人员的平安知识、平安技术和平安经验要求很高,因为他们必须了解最新的平安漏洞、掌握多种先进的平安技术和积累丰富的评估经验,这样才能对本地平安评估中位于物理层、网络层、主机层、数据层和用户层的所有平安对象目标进行最有效和最完整的平安评估,并提供最合理和最及时的平安建议。工具扫描工具自动评估是用各种商用平安评估系统或扫描器,根据其内置的评估内容、测试方法、评估策略及相关数据库信息,从系统内部对主机、网络、数据库等系统进行一系列的设置检查,使其可预防潜在平安风险问题,如弱口令、用户权限设置、用户帐户设置、关键文件权限设置、路径设置、密码设置、网络效劳配置、应用程序的可信性、效劳器设置以及其他含有攻击隐患的可疑点等。它也可以找出黑客攻破系统的迹象,并提出修补建议。工具评估最突出的优点是评估工作可由软件来自动进行,速度快,效率高。工具评估局部将采用基于应用和网络系统类的扫描软件来分别进行。扫描评估主要是根据已有的平安漏洞知识库,检测网络协议、网络效劳、网络设备、应用系统等各种信息资产所存在的平安隐患和漏洞。网络扫描主要依靠带有平安漏洞知识库的网络平安扫描工具对系统进行平安扫描,其特点是能对被评估目标进行覆盖面广泛的平安漏洞查找,并且评估环境与被评估对象在线运行的环境完全一致,能较真实地反映系统所存在的平安隐患和面临的平安威胁。渗透测试渗透测试,也叫白客攻击测试,它是一种从攻击者的角度来对主机系统的平安程度进行平安评估的手段,在对现有信息系统不造成任何损害的前提下,模拟入侵者对指定系统进行攻击测试。渗透测试通常能以非常明显,直观的结果来反映出系统的平安现状。该方法也越来越受到国际/国内信息平安业界的认可和重视。为了解效劳系统的平安现状,在许可和控制的范围内,将对应用系统进行渗透测试。渗透测试将作为平安评估的一个重要组成局部。渗透测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的平安问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高,但是非常准确,可以发现逻辑性更强、更深层次的弱点。效劳评估范围技术评估评估类型评估范围物理环境评估评估对象:物理环境根底设施评估内容:从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别评估。网络结构评估评估对象:网络及平安设备(交换机、路由器、防火墙、入侵检测设、平安审计等)评估内容:从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备平安配置等方面进行识别评估。主机及数据系统评估评估对象:操作及数据库系统〔Windows、Linux、Unix、Oracle、informix、ibmdb2、sqlserver、mysql等)评估内容:从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络平安、系统管理等方面进行识别评估。应用系统评估评估对象:应用中间件〔IIS、APACHE、TOMCAT、Weblogic等〕和应用系统软件评估内容:从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护、脚本漏洞等方面进行识别评估。业务流程评估评估对象:业务流程评估内容:依据业务过程的数据流程评估客户的业务流程,识别客户业务流程的平安隐患。表-2管理评估评估类型评估范围平安管理制度评估评估内容:平安管理制度一般是文档化的,被正式制定、评审、发布和修订,内容包括策略、制度、规程、表格和记录等,构成一个塔字结构的文档体系。对平安管理制度的制定、发布、评审、修订进行评估。平安管理机构评估评估内容:平安管理机构包括平安管理的岗位设置、人员配备、授权和审批、沟通和合作等方面内容,严格的平安管理应该由相对独立的职能部门和岗位来完成。平安管理机构从组织上保证了信息系统的平安。人员平安管理评估评估内容:人员平安管理包括信息系统用户、平安管理人员和第三方人员的管理,覆盖人员录用、人员离岗、人员考核、平安意识教育和培训、第三方人员管理等方面内容。工作人员直接运行、管理和维护信息系统的各种设备、设施和相关技术手段,与他们直接发生关联关系。因此,他们的知识结构和工作能力直接影响到信息系统其他层面的平安。系统建设管理评估系统建设管理包括系统定级、平安风险分析、平安方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、平安测评、系统备案等信息系统平安等级建设的各个方面。信息系统的平安是一个过程,是一项工程,它不但涉及到当前的运行状态,而且还关系到信息系统平安建设的各个阶段。只有在信息系统平安建设的各个阶段确保平安,才能使得运行中的信息系统有平安保证。系统运维管理评估系统运维管理包括运行环境管理、资产管理、介质管理、设备使用管理、运行监控管理、恶意代码防护管理、网络平安管理、系统平安管理、密码管理、变更管理、备份和恢复管理、平安事件处置和应急方案管理等方面内容。系统运维各个方面都直接关系到相关平安控制技术的正确、平安配置和合理使用。对信息系统运维各个方面提出具体的平安要求,可以为工作人员进行正确管理和运行提供工作准绳,直接影响到整个信息系统的平安。表-3启明星辰信息平安效劳产品流程效劳流程蓝图图-6效劳流程阶段效劳启动效劳目标风险评估启动是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、平安需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应确定风险评估的目标与范围、进行系统调研、制定风险评估方案、获得客户管理者对风险评估工作支持。效劳内容确定风险评估的目标与范围根据满足组织业务持续开展在平安方面的需要、法律法规的规定等内容,识别现有信息系统及管理上的缺乏,以及可能造成的风险大小。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构,也可能是某个独立的信息系统、关键业务流程、与客户知识产权相关的系统或部门等。系统调研系统调研是确定被评估对象的过程,风险评估小组应进行充分的系统调研,为风险评估依据和方法的选择、评估内容的实施奠定根底。调研内容至少应包括:业务战略及管理制度、主要的业务功能和要求、网络结构与网络环境,包括内部连接和外部连接、系统边界、主要的硬件、软件、数据和信息、系统和数据的敏感性、支持和使用系统的人员、其他。制定风险评估方案风险评估方案的目的是为后面的风险评估实施活动提供一个总体方案,用于指导实施方开展后续工作。风险评估方案的内容一般包括:团队组织:包括评估团队成员、组织结构、角色、责任等内容;工作方案:风险评估各阶段的工作方案,包括工作内容、工作形式、工作成果等内容;时间进度安排:工程实施的时间进度安排。获得支持上述所有内容确定后,应形成较为完整的风险评估实施方案,得到客户管理者的支持、批准;对管理层和技术人员进行传达,在组织范围就风险评估相关内容进行培训,以明确有关人员在风险评估中的任务。成果输出:?效劳实施综合方案?资产评估效劳目标对被评估信息系统的关键资产进行识别,并合理分类;在资产识别过程中,需要详细识别关键资产的平安属性,重点识别出资产在遭受泄密、中断、损害等破坏时所遭受的影响,并根据资产在遭受泄密、中断、损害等破坏时所遭受的影响,对资产的价值进行赋值。效劳内容资产识别资产是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。信息系统资可以分为硬件、软件、数据、人员、效劳、其他类资产等。资产分析在资产识别的根底上,进一步分析被评估信息系统及其关键资产在遭受泄密、中断、损害等破坏时对系统所承载的业务系统所产生的影响。并进行赋值量化。从而为最后综合风险分析提供参考数据。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此根底上得出综合结果的过程。等级标识描述5很高非常重要,其平安属性破坏后可能对组织造成非常严重的损失。4高重要,其平安属性破坏后可能对组织造成比拟严重的损失。3中比拟重要,其平安属性破坏后可能对组织造成中等程度的损失。2低不太重要,其平安属性破坏后可能对组织造成较低的损失。1很低不重要,其平安属性破坏后对组织造成导很小的损失,甚至忽略不计。表-4阶段成果输出:?资产赋值列表?威胁评估效劳目标通过威胁调查、取样等手段识别被评估信息系统的关键资产所面临的威胁源,及其威胁所常采用的威胁方法,对资产所产生的影响。并为后续威胁分析及综合风险分析提供参考数据。效劳内容威胁识别威胁识别要从威胁的主体、威胁途径和威胁方式三个方面来进行:威胁主体:分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。威胁途径:分为间接接触和直接接触,间接接触主要有网络访问、语音、视频访问等形式,直接接触指威胁主体可以直接物理接触到信息资产。威胁方式:主要有传播计算机病毒、传播异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝效劳等)、越权或滥用、行为抵赖、滥用网络资源(P2P下载等)、人为灾害(水、火等)、人为根底设施故障(电力、网络等)、窃取、破坏硬件、软件和数据等。威胁识别的方法有:人工审计、平安策略文档审阅、人员面谈、入侵检测系统收集的信息和人工分析等。威胁识别方法列表如下:编号威胁识别方法描述1访谈通过和资产所有人、负责管理人员进行访谈2人工分析根据专家经验,从的数据中进行分析3IDS通过入侵监测系统在一段时间内监视网络上的平安事件来获得数据4人工审计通过人工审计方法来测试弱点,证实威胁5平安策略文档分析平安策略文档分析6平安审计通过一套审计问题列表问答的方式来分析弱点7事件记录对已有历史平安事件记录进行分析表-5威胁分析在威胁识别的根底上,进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法。并依据其发生的可能性进行赋值量化。同时为最后综合风险分析提供参考数据。威胁主要依据其出现频率来赋值:等级标识定义5很高出现的频率很高〔或≥1次/周〕;或在大多数情况下几乎不可防止;或可以证实经常发生过。4高出现的频率较高〔或≥1次/月〕;或在大多数情况下很有可能会发生;或可以证实屡次发生过。3中出现的频率中等〔或>1次/半年〕;或在某种情况下可能会发生;或被证实曾经发生过。2低出现的频率较小;或一般不太可能发生;或没有被证实发生过。1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。表-6阶段成果输出:?威胁赋值列表?脆弱评估效劳目标采用平安扫描、手动检查、问卷调查、人工问询等方式对评估工作范围内的物理环境、网络设备、平安设备、操作系统、数据库系统和应用中间件系统、应用系统软件和平安管理进行脆弱性评估,同时为后续脆弱性分析及综合风险分析提供参考数据。阶段效劳内容脆弱性识别脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家平安标准,也可以是行业标准、应用流程的平安要求。脆弱性识别类型技术脆弱性识别内容识别方法物理环境对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别,内容主要有:门禁系统、报警系统、监控系统、防雷击接地、防静电、UPS、消防系统、防电磁泄露、弱电系统、防尘、温室控制和机房容灾备份等。问卷访谈人工审计网络结构网络结构平安、访问控制策略与措施、网络设备策略与配置、平安设备策略与配置、网络性能与业务负载分析评估等。问卷访谈人工审计工具扫描主机及数据库系统从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络平安、系统管理等方面进行识别评估。人工审计工具扫描应用系统含应用中间件,从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护、脚本漏洞等方面进行识别评估。人工审计工具扫描渗透测试业务流程业务数据流向〔输入、传输、存储、输出〕业务策略〔业务要求、使用范围、平安等级〕业务实现方式、业务平安要求、各时段业务负载量、授权和认证、审计、加密、完整性、不可否认性等进行业务流程评估。问卷访谈人工审计平安管理从以下几方面分析被评估信息系统平安管理状况:管理机构、管理制度、人员管理、系统建设管理和系统运维管理。问卷访谈表-7脆弱性分析在脆弱性识别的根底上,进一步分析被评估信息系统及其关键资产所存在的各方面脆弱性即根底环境脆弱性、平安管理脆弱性、技术脆弱性。并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化。从而为最后综合风险分析提供参考数据。脆弱性严重程度的赋值方法如下:等级标识定义5很高如果被威胁利用,将对资产造成完全损害。4高如果被威胁利用,将对资产造成重大损害。3中如果被威胁利用,将对资产造成一般损害。2低如果被威胁利用,将对资产造成较小损害。1很低如果被威胁利用,将对资产造成的损害可以忽略。表-8阶段成果输出:?脆弱性赋值列表?风险分析效劳目标风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丧失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。在这个过程中,将采用最新的方法进行综合分析,表述出威胁源采用何种威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性。效劳内容风险计算在完成以上各项阶段评估工作后,进一步分析被评估信息系统及其关键资产将面临哪一方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪一类资产,产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,同时将风险量化。风险计算方法:综合风险计算方法:根据风险计算公式R=f(A,V,T)=f(Ia,L(Va,T)),即:风险值=资产价值×威胁可能性×弱点严重性〔注:R表示风险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发生平安事件后对组织业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成平安事件发生的可能性。〕可根据自身情况选择相应的风险计算方法计算风险值,如矩阵法或相乘法。矩阵法通过构造一个二维矩阵,形成平安事件的可能性与平安事件造成的损失之间的二维关系;相乘法通过构造经验函数,将平安事件的可能性与平安事件造成的损失进行运算得到风险值。风险评价将估计的风险与风险准那么比拟确定风险的严重性。为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理。可将风险划分为五级,等级越高,风险越高。根据所采用的风险计算方法,计算每种资产面临的风险值,根据风险值的分布状况,为每个等级设定风险值范围,并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度。每个等级代表了相应风险的严重程度。风险等级划分方法如下所示:等级标识描述5很高一旦发生将产生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣。4高一旦发生将产生较大的经济或社会影响,在一定范围内给组织的经营和组织信誉造成损害。3中一旦发生会造成一定的经济、社会或生产经营影响,但影响面和影响程度不大。2低一旦发生造成的影响程度较低,一般仅限于组织内部,通过一定手段很快能解决。1很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补。表-9成果输出:?风险评估综合报告?风险处置效劳目标风险处置目的是为风险管理过程中对不同风险的直观比拟,以确定组织平安策略。对不可接受的风险应根据导致该风险的脆弱性制定风险处理方案。效劳内容在分析阶段完成之后,将根据风险分析的结果,结合国家有关的法律、法规,总结出客户当前的平安需求。根据平安需求的轻重缓急以及相关标准和平安技术保障框架,制定出适合客户的风险处置方案方案。风险处理方案中应明确采取的弥补脆弱性的平安措施、预期效果、实施条件、进度安排、责任部门等。平安措施的选择应从管理与技术两个方面考虑。平安措施的选择与实施应参照信息平安的相关标准进行。应当综合考虑风险控制本钱与风险造成的影响,提出一个可接受的风险范围。对某些资产的风险,如果风险计算值在可接受的范围内,那么该风险是可接受的,应保持已有的平安措施;如果风险评估值在可接受的范围外,即风险计算值高于可接受范围的上限值,那么该风险是不可接受的,需要采取平安措施以降低、控制风险。另一种确定不可接受的风险的方法是根据等级化处理的结果,不设定可接受风险值的基准,对到达相应等级的风险都进行处理。成果输出:?风险处置方案?效劳验收效劳目标在以上几个阶段完成后,向客户汇报风险评估情况,详细介绍被评估信息系统所面临的风险,清晰的表达所面临的威胁状况、威胁所利用的脆弱性、产生的影响等状况,并在描述平安风险之后表述出采取何种对策防范威胁、减少脆弱性。最后对工程依据验收方案进行工程最终验收。效劳内容交付签收签收是对交付品行为确实认,当向客户提交工作成果时,填写?效劳成果提交确认书?,并由工程经理认可后客户提供,同时为客户进行成果汇报。效劳验收当客户履行内部验收程序,认为提供的咨询成果可以通过验收后,填写?效劳验收报告?,由客户工程负责人签字后,表示效劳成果已通过验收。阶段成果输出:?效劳验收报告?效劳流程管理管理概述为确保效劳的顺利实施,需要一整套科学、有效的工程管理方法,对工程的目标、时间、本钱、质量等关键因素进行有效的控制,为工程中具体任务的开展提供支持和保障。启明星辰信息平安拥有全球领先的工程实施和管理方法论-PMM4™。采用此方法对工程进行监控与管理,能够帮助工程经理对工程整体进行最充分的全局把握,有效提高工作效率并且更易于进行工程质量控制和工程风险管理。PMM4™从工作流程和关键领域两个维度明确提供了工程管理过程中的主要工作过程和关注内容,并提供了大量的工程管理工具,例如:各类汇总报告格式、表格、模板等,能够为工程管理的具体实施提供参考和依据。管理组成效劳管理名称效劳管理内容效劳管理输出效劳范围管理范围管理通过对工程范围的明确界定以及过程中变更的严格控制,使整个工程各项工作自始至终严格贯彻立项的宗旨,既无工作内容遗漏,也不存在未经授权的范围超出,从而保障工程的圆满完成。?工作范围说明书?效劳沟通管理及时准确顺畅的信息沟通,是保障工程在有效的协调和管理下,顺利实施的重要手段。启明星辰信息平安通过落实有效的沟通管理方法和反应机制,确保工程相关信息被及时、正确的提取、收集、传播和存储,保证工程各相关方之间信息畅通。?效劳沟通方案?效劳进度管理通过制定工程整体工作方案、双周工作方案并落实持续有效的进度监控机制,及时掌握工程进度状态及趋势,发现重大进度问题,为工程决策和协调提供支持。?效劳实施方案?效劳风险管理通过有效的风险管理机制和方法,对那些尚未发生、但可能对工程实施产生负面效果的、不可控的工程活动或环境进行识别、分析、量化、管理,尽可能降低风险发生的机率以及发生后可能产生的影响。?风险管理措施?效劳质量管理基于明确的质量管理原那么,在工程实施过程中执行有效的质量管理流程,这包括制定质量管理方案、执行质量保证方案、监控质量保证执行三大步骤,从而最终实现对交付质量的有效控制,降低令客户不满意可能性。?质量管理方案?效劳会议管理会议是工程各方沟通的重要手段。在工程实施过程中,需要通过一系列相关的会议对工程过程中的关键问题进行交流、讨论和决策,根据会议召开时间的不同,具体可以分为定期会议和非定期会议两大类。?效劳会议纪要?效劳文档管理在工程过程中会产生数量众多的各种类型文档,为了确保工程内文档传递的顺畅、信息沟通的便捷,在实施过程中必须遵循一定的文档管理标准。?文档管理标准?表-10
启明星辰效劳产品优势公司整体优势启明星辰公司成立于1996年,由留美博士严望佳女士创立,是国内最具实力的、拥有完全自主知识产权的网络平安产品、可信平安管理平台、平安效劳与解决方案的综合提供商。2024年6月23日,启明星辰在深交所中小板正式挂牌上市,成为国内唯一一家登陆资本市场的专业信息平安企业。启明星辰拥有完善的专业平安产品线,横跨防火墙/UTM、入侵检测管理、网络审计、终端管理、加密认证等技术领域,共有百余个产品型号,并根据客户需求不断增加。启明星辰解决方案为客户的平安需求与信息平安产品、效劳之间架起桥梁,将客户的平安保障体系与信息平安核心技术紧密相连,帮助其建立完善的平安保障体系。目前,公司在全国各省市自治区设立三十多家分支机构,拥有覆盖全国的渠道和售后效劳体系。自2024年起,启明星辰就持续保持国内入侵检测、漏洞扫描市场占有率第一。近年来,开展成为国内统一威胁管理、平安管理平台国内市场第一位,平安性审计、平安专业效劳市场领导者。作为信息平安行业的领军企业,启明星辰以用户需求为根本动力,研究开发了完善的专业平安产品线。通过不断耕耘,已经成为在政府、电信、金融、能源、交通、军队、军工、制造等国内高端企业级客户的首选品牌:启明星辰在政府和军队拥有80%的市场占有率,为世界五百强中60%的中国企业客户提供平安产品及效劳;在金融领域,启明星辰对政策性银行、国有控股商业银行、全国性股份制商业银行实现90%的覆盖率。在电信领域,启明星辰为中国移动、中国电信、中国联通三大运营商提供平安产品、平安效劳和解决方案。作为北京奥组委独家中标的核心信息平安产品、效劳及解决方案提供商,奥帆委唯一信息平安供给商,启明星辰受到独家官方授权,全面负责奥运会主体网络系统的平安保障,得到了国家主管部门的大力嘉奖。此外,启明星辰还为上海世博会、广州亚运会等多项世界级大型活动提供全方位信息平安保障。效劳开展优势启明星辰为客户提供全面的信息平安咨询与风险评估效劳。启明星辰认为,信息平安工作总体上分为信息平安管理工作与信息平安技术产品两个局部,对于客户来说,一个完整的信息平安保障体系,都要基于以上两个方面进行,缺一不可。但以上两局部的工作开展都需要消耗客户的资源。对于开展信息平安管理工作来说,势必会大大增加客户的行政本钱,通过启明在业界的长期信息平安工作实践经验证明:如果在开展信息平安管理工作的过程中,行政管理资源投入缺乏,将会导致管理工作失效,组织的平安管理不可控;同样对于信息平安技术产品来说,也存在需要投入大量资金本钱,但在资金有限的情况下,又存在着产品功能冗余,厂商产品众多,难以维护等问题。启明星辰认为,最合理的信息平安保障体系建设方案是要在明确客户自身资源优势的情况下,在管理与技术之间进行平衡。在资金较为充裕的情况下,以产品采购为主,管理体系建设为辅;在资金较为紧张,但行政本钱较充裕的时候,可以适当进行信息平安管理体系的深入建设,同时辅以信息平安管理平台等工具。那么如何才能找到管理与技术之间的平衡呢?答案就是通过结构化的信息平安规划与设计。在信息平安规划过程中明确各种资源。同时更为重要的是各种资源必须要与客户存在的各种信息平安问题或者说信息平安风险相结合。对于特定的信息平安问题或风险,明确其所需要的行政或资金本钱,才能对信息平安的建设进行有效的管理。信息平安保障本质就是风险管理的工作,信息平安风险和事件不可能完全防止,关键在于如何控制、化解和躲避风险。风险评估工作是获得客户信息平安问题或风险的重要工具和手段,也是风险管理的基石,是信息平安建设的起点和根底,是直接识别客户平安问题的关键环节,同时风险评估工作也贯穿于信息系统生命周期全过程。启明星辰的风险评估工作目标就是从业务实际需求出发,分析资产、弱点、威胁、平安措施和平安风险等各要素的关系〔见下列图〕,运用风险评估理论和结构化的科学分析方法,理解网络和信息系统在机密性、完整性、可用性等方面所面临的风险和客户信息平安工作中存在的问题,并在此根底上提供最优化的解决方案和加固建议。。图-7多年来,启明星辰公司承当了千余项大中型平安风险评估、平安管理与监控、平安管理咨询、等级保护咨询、平安审计咨询及综合性平安效劳等方面的工程,公司的平安效劳开展经过了一个辉煌的历程:图-8效劳资质优势启明星辰拥有全面的平安资质,其中平安效劳资产包括如下所示编号资质名称1?信息平安效劳资质〔一级风险评估效劳〕?2?信息平安效劳资质〔一级应急处理效劳〕?3?北京市信息平安效劳能力等级证书一级?4?国家信息平安认证信息平安效劳资质证书〔平安工程类二级〕?5?国家信息平安认证信息平安效劳资质证书〔平安开发类一级〕?6?计算机信息系统集成资质二级?7?国家级网络平安应急效劳支撑单位?8?涉及国家秘密的计算机信息系统集成资质证书〔甲级〕9?涉及国家秘密的计算机信息系统集成资质证书〔软件开发单项〕10?CMMI3认证证书?11?质量管理体系认证证书?表-11图-9团队保障优势启明星辰公司拥有国内最具实力的平安产品开发队伍,国际一流的黑客攻防技术研究团队—积极防御实验室〔ADLAB〕,国际一流的平安运营效劳团队—M2S平安运营中心,国内一流的平安体系设计及咨询团队—前线技术专家团〔VF〕,国内一流的平安系统集成团队和国内首家企业网络平安博士后工作站。启明星辰专业平安效劳团队由一批经验丰富,富有责任心和使命感的专业技术人员组成,多人拥有CISP、CISSP、CISA、ISO20000、ISO27001、CCIE、计算机信息系统集成工程经理、PMP认证及能力。研发团队:启明星辰研发中心成立于1999年,拥有近200名研发人员,是我国目前规模最大的网络平安研究基地,已研发出100多种产品型号并且在不断增加,主力产品已经衍生为多个细分类别、多种特殊型号,以适应不同用户的实际需求。ADLab:启明星辰积极防御实验室〔ADLabTM〕成立于1999年,由专职研究技术人员40余人组成,是国内平安业内最早成立的攻防技术研究实验室之一。截至目前,启明星辰ADLab通过CVE共发布80余个windows、linux、unix操作系统的平安漏洞,居亚洲首位,确立了ADLab在国际尖端网络平安领域的核心地位。VF专家团:启明星辰前线技术专家团〔VF专家团〕成立于2024年,由30余名在国内外享有盛誉的资深平安专家组成,是国内一流的平安体系设计及咨询团队,为客户的网络提供完善的解决方案和效劳,支撑网络平安的建设。VF专家团在电子政务、金融、运营商、能源、制造、军工、军队等领域积累了丰富的信息平安保障工作经验,在平安理论、平安体系、平安管理、平安集成、平安效劳、平安产品等方面也积累了深厚的工程实践经验。博士后工作站:启明星辰博士后工作站成立于2000年,是国内首家企业级网络平安博士后工作站,为国家培养出了优秀的网络平安高级专业人才。长期以来,博士后工作站致力于研究开发最前沿的网络平安科研技术,掌握国际、国内最新平安技术开展动态,研发出了大量优秀技术成果,并将其实现产品化,大大提升公司产品的竞争优势。启明星辰效劳成功案例重点案例列表行业类型客户单位效劳类型金融客户中国工商银行股份有限公司风险评估类中国光大银行股份有限公司风险评估类中国人寿保险股份有限公司风险评估类国家外汇管理局风险评估类电信客户中国移动通信集团设计院有限公司风险评估类广东移动通信有限责任公司风险评估类广东省电信有限公司风险评估类中国电信集团上海公司风险评估类能源客户中国石油天然气集团公司风险评估类中国石化工程建设公司风险评估
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 临终护理考试题及答案(含案例分析)
- 2025年年产10万吨生物技术处理秸秆纤维清洁浆生产项目可行性报告
- 卫星通信培训考试题及答案
- 2025年助理社会工作者《初级实务》考试真题与答案
- 成都2025年安全员三类人员考试题库及答案
- 2025年文秘考试试题及答案
- 2025年高技术模拟会考试复习题库及答案指导
- 中国甲氧胺项目创业计划书
- 西安马拉松课件
- 压力性损伤患者护理
- 2025教资国考试卷真题及答案
- 2025年医院医护人员聘用合同协议
- 2025民政如法考试题目及答案
- 部门级安全培训考核试题及答案解析
- 痘痘肌肤培训课件
- GB/T 11060.8-2020天然气含硫化合物的测定第8部分:用紫外荧光光度法测定总硫含量
- 计算方法引论-第十一章
- 设备回访记录表
- 新修订《黄河保护法》PPT
- 全科医师转岗培训试题
- DB11- 996-2013-城乡规划用地分类标准-(高清有效)
评论
0/150
提交评论