风险评估流程及标准.ppt

1、评估体系及相关 标准培训.安全评估体系及标准安全评估服务体系风险评估内容与过程风险评估服务组件ISO/IEC 17799(BS7799)、ISO/IEC TR 13335国家标准信息安全评估指南.安全评估体系基线安全评估基线安全评估网络架构评估网络架构评估业务系统评估业务系统评估管理安全评估管理安全评估安全风险评估安全风险评估全面安全解决方案全面安全解决方案（Total Solution）安全咨询安全咨询安全加固安全加固安全产品部署安全产品部署安全培训安全培训紧急响应紧急响应客户需求定制客户需求定制.安全评估组件的关系安全风险安全风险评估评估 安全体系建设安全规划安全安全策略策略安全安全解决方

2、案解决方案周期评周期评估加固估加固安全项安全项目建设目建设 应急应急 响应响应安全安全培训培训资产价值资产价值.安全评估服务体系风险评估内容与过程风险评估服务组件公司介绍成功案例介绍.威胁威胁影响概率弱点价值资产拥有者信息资产信息资产威胁来源风险风险后果可能性现有安全措施影响影响影响影响半定量分析模型.安全风险评估组件资产调查资产调查基线安全评估基线安全评估安安全全威威胁胁评评估估工具扫描弱点工具扫描弱点网络架构安全评估网络架构安全评估业务系统安全评估业务系统安全评估主机弱点人工评估主机弱点人工评估网络配置弱点评估网络配置弱点评估安全设备弱点评估安全设备弱点评估保保护护对对象象分分析析.基线安

3、全评估特点是一种技术评估操作最简单内容最基础历时最短结果最直观.基线安全评估内容基线安全评估基线安全评估BaseLine Security Evaluation工具扫描工具扫描(Scanning)登录检查登录检查(Login Check)Vulnerability(漏洞)Weak Pass(弱口令)Configuration(配置)Information(信息)Sharing(共享)Local Vul.(本地漏洞)Mechanism(安全机制)Foresic(入侵取证).工具扫描扫描器终端漏洞库升级接入IP地址交换机端口 电源网线配合人员扫描申请报告授权范围列表扫描范围核实非业务高峰期 双机热

4、备分开 拒绝服务项关闭固定范围准备阶段扫描30-60分钟风险规避开始扫描系统分类现场培训保密协议.登录检查控制台操作账号口令配合人员登录授权范围选定检查项审核准备阶段检查40-60分钟风险规避开始检查现场培训一人操作一人监督检查项列表操作记录无写操作保密协议.网络架构评估特点技术+管理评估过程复杂内容广泛历时较长结果分定性与定量.网络架构评估内容网网络络架架构构评评估估规范文档网络拓扑运行维护数据安全网络管理产品部署安全域划分安全控制运维管理安全管理应急管理接入规范日常维护变更记录密码策略日志策略审核策略联系列表应急流程应急预案.网络架构评估方法网络架构方面安全问题分为8个大类每个类内容有3-

5、5个子类每个子类分为3-8个子项每个子项分为5-15个知识点根据稳定性、安全性、冗余性、扩展性、经济性、易于管理性共六项内容对每个知识点进行分配权重按照可选、必选的规则定义8大类的比重进行综合加权评估.网络架构评估结果网络安全状况分级安全风险分布图表最严重的安全问题列表安全风险综述.业务系统评估特点针对业务和应用过程复杂内容与业务关系密切历时较长结果定性.业务系统评估内容IT业业务务系系统统评评估估支撑系统应用系统前置系统中间件数据库安全系统管理安全物理安全业务相关性分析，根据信息数据流向，对整个业务系统进行综合评估。.管理安全评估特点针对策略、流程、资产、人员管理后续改善工作是持续的过程内容

6、广泛历时较长效果不直接.管理安全评估内容IT管理安全评估管理安全评估文档审计顾问访谈问卷调查实地考察策略文档资产管理流程管理规章制度安全组织策略发布策略修订入网流程维护流程备份流程应急流程资产统计资产定级资产维护岗位职责人员流动登记制度保密制度.项目的主要阶段123451-项目准备与范围确定项目准备与范围确定项目计划项目计划项目组织结构、人员确认项目组织结构、人员确认项目工作环境项目工作环境Kick off需求调研，背景讨论需求调研，背景讨论范围确定范围确定2-项目定义和蓝图项目定义和蓝图完成详细方案设计完成详细方案设计定义详细项目范围定义详细项目范围定义报告格式定义报告格式定义项目目标定义项

7、目目标作好网络环境准备作好网络环境准备完成蓝图并与用户签署完成蓝图并与用户签署3-评估评估资产调查资产调查等级保护和分域保护等级保护和分域保护风险评估风险评估资产管理和风险信息库资产管理和风险信息库4-综合评估阶段综合评估阶段网络风险评估报告网络风险评估报告安全现状报告安全现状报告数据导入信息库和整理数据导入信息库和整理安全需求分析安全需求分析5-体系规划和策略方案阶段体系规划和策略方案阶段安安全体系设计、安全规划全体系设计、安全规划安全策略制定安全策略制定网络安全管理和技术解决方案网络安全管理和技术解决方案66-支持和维护支持和维护培训培训漏洞跟踪售后服务漏洞跟踪售后服务电话热线支持电话热线

8、支持售后服务售后服务安全通告服务安全通告服务评估方法介绍（）风险评估方案的确定（）甲方项目组各负责人根据提供的需要准备的各类资料进行准备（双方）提交项目各阶段的报告模版并双方确认（双方）以kickoff meeting为启动标志之前做好会前沟通和准备。如：评估设备范围整理（甲方）双方项目组通讯录（甲方涉及到的各部门或者各业务系统的负责人）实施计划草案会上进行计划的确认会后对于未确认问题最快速度确认过程：过程：基础工作：资产调查分team工作：顾问评估、专业安全评估小组group工作：各team中又各分两个小组顾问组group A-网络架构、安全设备评估group B-应用安全、策略及威胁评估专

9、业组：工具小组-终端设备评估人工小组-核心设备评估方法：方法：资产评估（评估模型）威胁评估（评估模型）网络架构评估（网络架构、接入方式等）安全设备评估（安全产品策略收集、防病毒部署等）应用安全评估（业务流程、数据流、业务连续性等）策略评估（文档格式、文档体系、文档内容)安全审计（调查问卷）方法：方法：根据蓝图规定，在综合了专业组和顾问组的评估成果基础上（评估记录单、问卷、访谈记录)，完成综合的风险评估报告和现状报告安全体系及建设规划建议报告根据业务、设备等的评估结果安全体系框架设计报告依据ISO 17799的安全管理标准IT保障框架安全策略报告安全建设方案建议报告.项目阶段和提交文档项目阶段和

10、提交文档12356项目计项目计划划组织结组织结构构项目人项目人员员项目范项目范围围需求调研需求调研项目蓝图项目蓝图安全风险评安全风险评估报告估报告总体策略建总体策略建议议安全漏洞安全漏洞跟踪、紧跟踪、紧急响应、急响应、安全通告安全通告服务、日服务、日常安全信常安全信息库维护息库维护安全策略评安全策略评估报告估报告安全解决方安全解决方案建议案建议客户安全现状客户安全现状总体安全总体安全解决方案解决方案4BS7799BS7799审审计报告计报告安全策略安全策略建议建议.安全评估服务体系风险评估内容与过程风险评估服务相关组件公司介绍成功案例介绍.安全培训应急响应Osstmm2.1风险评估的跟进支持组

11、件timecost安全加固安全信息通告.网络优化方案及系统加固方案网络优化方案及系统加固方案根据规范及系统特点生成风险规避方案根据规范及系统特点生成风险规避方案提交实施申请方案提交实施申请方案与用户确认与用户确认系统加固系统加固同期记录同期记录现场培训现场培训二次评估确认二次评估确认加固报告加固报告启用风险规避方案启用风险规避方案/恢复恢复加固异常加固异常继续加固继续加固修改方案修改方案放弃加固放弃加固实施加固实施加固新加固方案新加固方案一切正常一切正常安全加固流程图安全加固流程图安全加固服务流程.安装安全补丁安全配置安全机制文件系统用户管理网络及服务其它配置文件加密通信数字签名日志/备份访问

12、控制安全设备策略定制资料文档现状记录及备份系统加固阶段.紧急响应服务准备识别抑制事态发展恢复系统提出解决方案总结经验教训.安全通告服务系统地向用户传递最新安全技术和安全信息.安全培训服务安全管理培训评估方法培训安全审计培训安全加固培训定制培训CISP培训.遵循以下标准：ISO 17799/BS7799ISO 13335GB信息安全风险评估指南.ISO17799(BS7799)BS7799-1:1999（即ISO/IEC 17799:2000），信息安全管理实施细则（Code of Practice for Information Security Management），从10 个方面定义了1

13、27 项控制措施，可供信息安全管理体系实施者参考使用，这10 个方面是：安全策略（Security policy）；组织安全（Organization security）；资产分类和控制（Asset classification and control）；人员安全（Personnel security）；物理和环境安全（Physical and environmental security）；通信和操作管理（Communication and operation management）；访问控制（Access control）；系统开发和维护（System development and ma

14、intenance）；业务连续性管理（Business continuity management）；符合性（Compliance）。.BS7799-2 是建立信息安全管理系统（ISMS）的一套规范（Specification for Information Security Management Systems），其中详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到BSI 最终的认证（对依据BS7799-2 建立的ISMS 进行认证），还有一系列相应的注册认证过程。作为一套管理标准，BS7799-2 指导相关人员怎样去应用ISO/IEC

15、17799，其最终目的，还在于建立适合企业需要的信息安全管理系统（ISMS）。.ISO/IEC TR 13335ISO/IEC TR 13335，即IT 安全管理指南（Guidelines for the Management of IT Security，GMITS），是由ISO/IEC JTC1 制定的技术报告，是一个信息安全管理方面的指导性标准，其目的是为有效实施IT 安全管理提供建议。ISO/IEC TR 13335 分成5 个部分：.国家标准信息安全评估指南风险评估要素关系图 方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。.国家标准信息安全评估指南风险分析原理图.国家标准信息安全评估指南风险评估实施流程图.