【正文】 管理 風(fēng)險 評估內(nèi)容 32 Professional Security Solution Provider ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 按模塊分： ?業(yè)務(wù)狀況 ?網(wǎng)絡(luò)結(jié)構(gòu) ?物理環(huán)境 ?管理狀況 ?人員狀況 ?系統(tǒng)安全 ?安全產(chǎn)品和技術(shù)應(yīng)用狀況 ?業(yè)務(wù)系統(tǒng)安全 ?應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 33 Professional Security Solution Provider ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 ?業(yè)務(wù)類型 ?數(shù)據(jù)處理流程 ?數(shù)據(jù)完整性 （ 輸入 、 處理 、 傳輸 ） ?數(shù)據(jù)保密性 （ 認(rèn)證 、 授權(quán) 、 加密 ） ?業(yè)務(wù)可用性 （ 時間 、 可靠性 ） ?業(yè)務(wù)事故案例 ?業(yè)務(wù)拓展?fàn)顩r 風(fēng)險 評估內(nèi)容 34 Professional Security Solution Provider ?網(wǎng)絡(luò)拓撲 ?設(shè)備冗余 ?鏈路冗余 ?網(wǎng)絡(luò)流量與擁塞控制 ?VLAN劃分 ?網(wǎng)絡(luò)接口 ?網(wǎng)絡(luò)可用性 ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 35 Professional Security Solution Provider ?防火 、 防盜 、 防靜電 ?防自然災(zāi)害 ?訪問控制 （ 人為控制 、 電子控制 ） ?布線合理性 ?電力保障 ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 36 Professional Security Solution Provider ?安全策略 ?安全計劃 ?安全目標(biāo) ?安全組織 ?安全制度 ?安全約束 ?管理風(fēng)險 ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 37 Professional Security Solution Provider ?安全意識 ?安全技能 ?安全培訓(xùn) ?安全約束 ?安全狀況的了解程度和滿意程度 ?企業(yè)滿意度和忠誠度 ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 38 Professional Security Solution Provider ?操作系統(tǒng) ?數(shù)據(jù)庫系統(tǒng) ?應(yīng)用軟件和應(yīng)用系統(tǒng) ?路由器 、 交換機 OS系統(tǒng) ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 39 Professional Security Solution Provider ?安全技術(shù)和產(chǎn)品 ?應(yīng)用前后的效果 ?安全功能的欠缺 ?安全技術(shù)和產(chǎn)品需求 ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 40 Professional Security Solution Provider ?業(yè)務(wù)系統(tǒng)安全流程審核 ?應(yīng)急響應(yīng)能力 –是否有相關(guān)處理流程 –人員是否清楚流程 –是否具備執(zhí)行流程的能力 –流程是否經(jīng)過演練 ?風(fēng)險評估可選擇 內(nèi)容 –IDS動態(tài)數(shù)據(jù)嗅探分析 –人工滲透測試分析 ?找出弱點 ?發(fā)現(xiàn)威脅 ?評估風(fēng)險 ?主要內(nèi)容 –業(yè)務(wù)狀況 –網(wǎng)絡(luò)結(jié)構(gòu) –物理環(huán)境 –管理狀況 –人員狀況 –系統(tǒng)安全 –安全產(chǎn)品與技術(shù)應(yīng)用狀況 –業(yè)務(wù)安全 –應(yīng)急響應(yīng)能力 風(fēng)險 評估內(nèi)容 41 Professional Security Solution Provider 子提綱－ 風(fēng)險 評估介紹 ?概念和術(shù)語 ?目的和作用 ?評估的內(nèi)容 ?如何進行評估 ?評估的效果 ?操作模式 42 Professional Security Solution Provider 如何進行 風(fēng)險 評估 ?風(fēng)險評估標(biāo)準(zhǔn) ?風(fēng)險評估原則 ?風(fēng)險評估策略 ?風(fēng)險評估方法 ?風(fēng)險評估工具 ?風(fēng)險評估過程 ?項目過程控制 ?項目質(zhì)量控制 ?信息安全管理標(biāo)準(zhǔn) BS 7799 ?信息安全管理指南 ISO 13335 ?信息安全通用準(zhǔn)則 ISO 15408（ GB/T18336） ?系統(tǒng)安全工程能力成熟模型 SSECMM ?其 他 相 關(guān) 標(biāo) 準(zhǔn) （ AS/NZS 4360 ， GAO/AIMD0033 ， GAO/AIMD9868， BSI PD3000 ， GB/T17859， IATF） ?相關(guān)法規(guī)和政策 ?行業(yè)管理規(guī)定 43 Professional Security Solution Provider 如何進行風(fēng)險評估 ?風(fēng)險評估標(biāo)準(zhǔn) ?風(fēng)險評估原則 ?風(fēng)險評估策略 ?風(fēng)險評估方法 ?風(fēng)險評估工具 ?風(fēng)險評估過程 ?項目過程控制 ?項目質(zhì)量控制 ?符合性原則 –綜合考慮 IP網(wǎng)絡(luò)的重要性 、 涉密程度和面臨的信息安全風(fēng)險等因素 ， 進行相應(yīng)等級的安全建設(shè)和管理規(guī)劃 。 ?應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性 ， 包括：數(shù)據(jù)庫軟件 、 Web服務(wù) 、 電子郵件系統(tǒng) 、 域名系統(tǒng) 、 交換與路由系統(tǒng) 、 防火墻及應(yīng)用網(wǎng)管系統(tǒng) 、 業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等 。 ?根據(jù)用戶需求決定是否采用 。 70 Professional Security Solution Provider 安全風(fēng)險評估模式 ? 定義 – 自評估是信息系統(tǒng)擁有單位 ， 依靠自身力量 ， 對自有的信息系統(tǒng)進行的風(fēng)險評估活動 。 ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 71 Professional Security Solution Provider 安全風(fēng)險評估模式 ? 優(yōu)點 : – 有利于保密； – 有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長； – 有利于降低風(fēng)險評估的費用； – 有利于提高本單位的風(fēng)險評估能力與信息安全知識 ? 缺點 : – 如果沒有統(tǒng)一的規(guī)范和要求 ， 在缺乏信息系統(tǒng)安全風(fēng)險評估專業(yè)人才的情況下 ， 自評估的結(jié)果可能不深入 ， 不規(guī)范 ， 不到位 – 自評估中 ， 也可能會存在某些不利的干預(yù) ， 從而影響風(fēng)險評估結(jié)果的客觀性降低評估結(jié)果的置信度 – 某些時候 ， 即使自評估的結(jié)果比較客觀 ， 但也可能不會被管理層所接受 ? 改進辦法 : – 可以用發(fā)揮專家的指導(dǎo)作用或委托專業(yè)評估組織參與部分工作的方式加以解決 ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 72 Professional Security Solution Provider 安全風(fēng)險評估模式 ? 定義 – 檢查評估是由信息安全主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起 ， 旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn) ， 檢查被評估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn) ? 這種評估具有強制性 ， 是一種純粹意義上的他評估 ， 單位需要配合評估工作的開展 。 17:56:2717:56:2717:563/31/2023 5:56:27 PM 1以我獨沈久，愧君相見頻。 2023年 3月 31日星期五 下午 5時 56分 27秒 17:56: 1比不了得就不比，得不到的就不要。 下午 5時 56分 27秒 下午 5時 56分 17:56: 沒有失敗，只有暫時停止成功！。 17:56:2717:56:2717:56Friday, March 31, 2023 1不知香積寺，數(shù)里入云峰。 2023年 3月 下午 5時 56分 :56March 31, 2023 1少年十五二十時，步行奪得胡馬騎。 17:56:2717:56:2717:563/31/2023 5:56:27 PM 1越是沒有本領(lǐng)的就越加自命不凡。 :56:2717:56:27March 31, 2023 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 下午 5時 56分 27秒 下午 5時 56分 17:56: MOMODA POWERPOINT Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感 謝 您 的 下 載 觀 看 專家