【正文】 er 風(fēng)險(xiǎn) 評估的概念和術(shù)語 ?信息資產(chǎn) ?脆弱性 ?威脅 ?風(fēng)險(xiǎn) ?風(fēng)險(xiǎn)評估 ?風(fēng)險(xiǎn)管理 ? 威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因 。 它包括五類： – 邏輯的威脅 – 通信的威脅 – 技術(shù)故障的威脅 – 人員錯(cuò)誤的威脅 – 物理和環(huán)境的威脅 ? 威脅是客觀存在的 ， 不可能被消滅或改變 。 更確切地說某一特定資產(chǎn)必然面對某些特定的威脅 19 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估的概念和術(shù)語 ?信息資產(chǎn) ?脆弱性 ?威脅 ?風(fēng)險(xiǎn) ?風(fēng)險(xiǎn)評估 ?風(fēng)險(xiǎn)管理 ? 信息系統(tǒng)的安全風(fēng)險(xiǎn) ， 是指由于系統(tǒng)存在的 脆弱性 ， 人為或自然的 威脅 導(dǎo)致安全事件發(fā)生的可能性及其造成的 影響 。 ? 風(fēng)險(xiǎn)只能預(yù)防 、 避免 、 降低 、 轉(zhuǎn)移和接受 ， 但不可能完全被消滅 。 20 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估的概念和術(shù)語 ?信息資產(chǎn) ?脆弱性 ?威脅 ?風(fēng)險(xiǎn) ?風(fēng)險(xiǎn)評估 ?風(fēng)險(xiǎn)管理 ? 是指依據(jù)國際 、 國家有關(guān)信息技術(shù)標(biāo)準(zhǔn) ， 對信息系統(tǒng)及由其處理 、 傳輸和存儲(chǔ)的信息的 保密性 、 完整性和可用性 等安全屬性進(jìn)行科學(xué)識別和評價(jià)的過程 。 ? 風(fēng)險(xiǎn)評估要評估信息系統(tǒng)的脆弱性 、 信息系統(tǒng)面臨的威脅以及 脆弱性 被 威脅 源利用后所產(chǎn)生的實(shí)際負(fù)面影響 ， 并根據(jù)安全事件發(fā)生的 可能性和負(fù)面影響 的程度來識別信息系統(tǒng)的安全風(fēng)險(xiǎn) 。 21 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估的概念和術(shù)語 ?信息資產(chǎn) ?脆弱性 ?威脅 ?風(fēng)險(xiǎn) ?風(fēng)險(xiǎn)評估 ?風(fēng)險(xiǎn)管理 ? 風(fēng)險(xiǎn)管理是基于風(fēng)險(xiǎn)評估的安全管理方法 。 它是以可以接受的代價(jià)識別 、 控制 、 最小化或者避免影響信息系統(tǒng)安全的風(fēng)險(xiǎn)的過程 。 – 風(fēng)險(xiǎn)評估分析 – 風(fēng)險(xiǎn)控制 ? 一個(gè)完整的風(fēng)險(xiǎn)評估過程實(shí)際上就是一個(gè)風(fēng)險(xiǎn)管理過程 。 22 Professional Security Solution Provider 子提綱－ 風(fēng)險(xiǎn) 評估介紹 ?概念和術(shù)語 ?目的和作用 ?評估的內(nèi)容 ?如何進(jìn)行評估 ?評估的效果 ?操作模式 23 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估目的與作用 ?發(fā)現(xiàn)問題 ?找出方法 ?提出建議 ?提供方案 ?人員安全意識 ?人員安全知識 ?安全管理制度 ?安全管理策略 ?資產(chǎn)安全屬性 ?環(huán)境安全現(xiàn)狀 ?業(yè)務(wù)運(yùn)行現(xiàn)狀 ?…… 24 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估目的與作用 ?發(fā)現(xiàn)問題 ?找出方法 ?提出建議 ?提供方案 風(fēng)險(xiǎn)評估 方案與培訓(xùn) 信息資產(chǎn)安全 風(fēng)險(xiǎn)評估 方案與培訓(xùn) 信息資產(chǎn)安全 信息安全生命周期模型 25 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估目的與作用 ?發(fā)現(xiàn)問題 ?找出方法 ?提出建議 ?提供方案 ?如何提高安全意識 ?如何提高安全知識 ?如何執(zhí)行安全制度 ?如何完善安全策略 ?如何保障資產(chǎn)安全 ?如何保障環(huán)境安全 ?如何保障業(yè)務(wù)運(yùn)行 ?…… 26 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估目的與作用 ?發(fā)現(xiàn)問題 ?找出方法 ?提出建議 ?提供方案 ?提出培訓(xùn)方案 ?安全規(guī)劃方案 ?安全建設(shè)方案 ?應(yīng)急響應(yīng)預(yù)案 ?…… 27 Professional Security Solution Provider 子提綱－ 風(fēng)險(xiǎn) 評估介紹 ?概念和術(shù)語 ?目的和作用 ?評估的內(nèi)容 ?如何進(jìn)行評估 ?評估的效果 ?操作模式 28 Professional Security Solution Provider 風(fēng)險(xiǎn) 評估內(nèi)容 ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 ?安全意識 ?安全知識 ?信息資產(chǎn) ?運(yùn)行環(huán)境 ?物理環(huán)境 ?…… 29 Professional Security Solution Provider ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 ?內(nèi)部安全威脅 ?外部安全威脅 ?第三方廠商安全威脅 風(fēng)險(xiǎn) 評估內(nèi)容 30 Professional Security Solution Provider ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 安全 風(fēng)險(xiǎn) 發(fā)現(xiàn) 增加 具有 增加 增加 降低 滿足 利用 抗擊 暴露 產(chǎn)生 風(fēng)險(xiǎn) 評估內(nèi)容 31 Professional Security Solution Provider ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 按層次分： ?物理層：機(jī)房 、 設(shè)備 、 辦公 、 線路 、 環(huán)境 ?網(wǎng)絡(luò)層：架構(gòu)安全 、 設(shè)備漏洞 、 設(shè)備配置缺陷 ?系統(tǒng)層：系統(tǒng)漏洞 、 配置缺陷 ?應(yīng)用層：軟件漏洞 、 安全功能缺陷 ?管理層：組織 、 策略 、 技術(shù)管理 風(fēng)險(xiǎn) 評估內(nèi)容 32 Professional Security Solution Provider ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 按模塊分： ?業(yè)務(wù)狀況 ?網(wǎng)絡(luò)結(jié)構(gòu) ?物理環(huán)境 ?管理狀況 ?人員狀況 ?系統(tǒng)安全 ?安全產(chǎn)品和技術(shù)應(yīng)用狀況 ?業(yè)務(wù)系統(tǒng)安全 ?應(yīng)急響應(yīng)能力 風(fēng)險(xiǎn) 評估內(nèi)容 33 Professional Security Solution Provider ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 ?業(yè)務(wù)類型 ?數(shù)據(jù)處理流程 ?數(shù)據(jù)完整性 （ 輸入 、 處理 、 傳輸 ） ?數(shù)據(jù)保密性 （ 認(rèn)證 、 授權(quán) 、 加密 ） ?業(yè)務(wù)可用性 （ 時(shí)間 、 可靠性 ） ?業(yè)務(wù)事故案例 ?業(yè)務(wù)拓展?fàn)顩r 風(fēng)險(xiǎn) 評估內(nèi)容 34 Professional Security Solution Provider ?網(wǎng)絡(luò)拓?fù)? ?設(shè)備冗余 ?鏈路冗余 ?網(wǎng)絡(luò)流量與擁塞控制 ?VLAN劃分 ?網(wǎng)絡(luò)接口 ?網(wǎng)絡(luò)可用性 ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險(xiǎn) 評估內(nèi)容 35 Professional Security Solution Provider ?防火 、 防盜 、 防靜電 ?防自然災(zāi)害 ?訪問控制 （ 人為控制 、 電子控制 ） ?布線合理性 ?電力保障 ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險(xiǎn) 評估內(nèi)容 36 Professional Security Solution Provider ?安全策略 ?安全計(jì)劃 ?安全目標(biāo) ?安全組織 ?安全制度 ?安全約束 ?管理風(fēng)險(xiǎn) ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險(xiǎn) 評估內(nèi)容 37 Professional Security Solution Provider ?安全意識 ?安全技能 ?安全培訓(xùn) ?安全約束 ?安全狀況的了解程度和滿意程度 ?企業(yè)滿意度和忠誠度 ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險(xiǎn) 評估內(nèi)容 38 Professional Security Solution Provider ?操作系統(tǒng) ?數(shù)據(jù)庫系統(tǒng) ?應(yīng)用軟件和應(yīng)用系統(tǒng) ?路由器 、 交換機(jī) OS系統(tǒng) ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險(xiǎn) 評估內(nèi)容 39 Professional Security Solution Provider ?安全技術(shù)和產(chǎn)品 ?應(yīng)用前后的效果 ?安全功能的欠缺 ?安全技術(shù)和產(chǎn)品需求 ?找出弱點(diǎn) ?發(fā)現(xiàn)威脅 ?評估風(fēng)險(xiǎn) ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險(xiǎn) 評估內(nèi)容 40 Professional Security Solution Provider ?業(yè)務(wù)系統(tǒng)安全流程審核 ?應(yīng)急響應(yīng)能力 –是否有相關(guān)處理流程