【正文】 告訴 。 2023年 3月 下午 5時 56分 :56March 31, 2023 1業(yè)余生活要有意義，不要越軌。 17:56:2717:56:2717:56Friday, March 31, 2023 1知人者智，自知者明。 下午 5時 56分 27秒 下午 5時 56分 17:56: 楊柳散和風(fēng)，青山澹吾慮。 2023年 3月 31日星期五 下午 5時 56分 27秒 17:56: 1楚塞三湘接，荊門九派通。 17:56:2717:56:2717:563/31/2023 5:56:27 PM 1成功就是日復(fù)一日那一點點小小努力的積累。 2023年 3月 下午 5時 56分 :56March 31, 2023 1行動出成果，工作出財富。 17:56:2717:56:2717:56Friday, March 31, 2023 1乍見翻疑夢，相悲各問年。 這是通過行政手段加強信息安全的重要措施 ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 73 Professional Security Solution Provider 安全風(fēng)險評估模式 ? 優(yōu)點 : – 這種模式最具權(quán)威 ? 缺點 : – 通常間隔時間較長 – 一般是抽樣進行 – 不能貫穿于一個部門的信息系統(tǒng)的生命周期的全過程 ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 74 Professional Security Solution Provider 安全風(fēng)險評估模式 ? 定義 – 委托評估指信息系統(tǒng)使用單位委托具有風(fēng)險評估能力的專業(yè)評估機構(gòu) （ 安全服務(wù)企業(yè) ） 實施的評估活動 ? 它既有自評估的特點 （ 由單位自身發(fā)起 ， 且本單位對風(fēng)險評估過程的影響可以很大 ） ， 也有他評估的特點 （ 由獨立與本單位的另外一方實施評估 ） ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 75 Professional Security Solution Provider 安全風(fēng)險評估模式 ? 優(yōu)點 : – 在委托評估中 ， 接受委托的評估機構(gòu)一般擁有風(fēng)險評估的專業(yè)人才 – 風(fēng)險評估的經(jīng)驗比較豐富 – 對 IT技術(shù)風(fēng)險的共性了解得比較深入 – 評估過程較為規(guī)范 ， 評估結(jié)果的客觀性比較好 ， 置信度比較高 ? 缺點 : – 評估費用可能會較高 – 可能會難以深入了解行業(yè)應(yīng)用服務(wù)中的安全風(fēng)險 – 由于風(fēng)險評估中必然會接觸到被評估單位的敏感情況 ， 且評估結(jié)果本身也屬于敏感信息 ， 因此委托評估中容易發(fā)生評估風(fēng)險 ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 76 Professional Security Solution Provider 安全風(fēng)險評估模式 ? 定義 – 是指信息系統(tǒng)擁有單位與專業(yè)安全服務(wù)企業(yè)共同參與對信息系統(tǒng)進行的安全風(fēng)險評估的模式 – 復(fù)合模式評估比較適合當(dāng)前國內(nèi)大行業(yè)信息系統(tǒng)的風(fēng)險評估 ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 77 Professional Security Solution Provider 安全風(fēng)險評估模式 優(yōu)點： ? 參加的技術(shù)力量充沛 、 飽滿 ? 評估費用會比較合理 ， 相對較低 ? 彌補了安全服務(wù)企業(yè)對行業(yè)服務(wù)不熟悉的不足 ? 有利于發(fā)揮行業(yè)和部門內(nèi)的人員的業(yè)務(wù)特長 ? 有利于提高本單位的風(fēng)險評估能力與信息安全知識 ? 避免了評估過程中可能會遭受的干預(yù) ? 評估結(jié)果客觀公正 ， 便于接受 ?評估模式分類方法 ?自評估 ?自評估特點 ?檢查評估 ?檢查評估特點 ?委托評估 ?委托評估特點 ?復(fù)合模式評估 ?復(fù)合模式評估特點 78 Professional Security Solution Provider **科技 主要 案例 79 Professional Security Solution Provider 電信行業(yè)典型風(fēng)險評估、咨詢服務(wù)案例 1 2 廣西電信 DCN網(wǎng)風(fēng)險評估項目 湖北移動 MDCN網(wǎng)安全咨詢項目 ?2023年 11月實施 ?對廣西電信的業(yè)務(wù)承載網(wǎng)進行了深入的風(fēng)險評估工作 ?提供了詳細的解決方案（安全域劃分、產(chǎn)品部署、安全加固） ?制定了全面的安全管理策略體系 ?協(xié)助廣西電信完成了安全建設(shè)的三期規(guī)劃方案 ?2023年 5月實施 ?對湖北移動的 MDCN網(wǎng)絡(luò)及其上的業(yè)務(wù)系統(tǒng)進行了深入的風(fēng)險評估、安全咨詢與設(shè)計 ?提供了詳細的安全域劃分與邊界整合解決方案 ?協(xié)助湖北移動建立全面的安全組織、管理和技術(shù)體系架構(gòu) ?根據(jù)內(nèi)審意見，提供了湖北移動計算機信息管理中心 SOX法案 IT內(nèi)控管理制度匯編 3 新疆移動 MDCN網(wǎng)風(fēng)險評估與咨詢項目 ?2023年 10月實施 ?對新疆移動的 MDCN網(wǎng)絡(luò)進行了深入的風(fēng)險評估 ?提供了詳細的安全域劃分與邊界整合解決方案 ?制定了全面的安全管理策略體系 4 最近中標(biāo) ?深圳移動 2023年 1月的 安全域劃分與帳號口令項目 ?貴州電信 2023年 全省安全服務(wù)與安全運維項目 ?西藏移動安全服務(wù)及安全集成項目 80 Professional Security Solution Provider **科技典型行業(yè)客戶 ? 中國人民銀行 12省采用 **科技產(chǎn)品 ? 中國農(nóng)業(yè)銀行 4省采用了 **科技產(chǎn)品 ? 電力行業(yè)中， **科技的產(chǎn)品已在 7個省得到了應(yīng)用 ? 中國電信 /網(wǎng)通總部和 10個省采用了 **科技的產(chǎn)品和服務(wù) ? 中國移動 /聯(lián)通總部和 12省采用了 **科技的產(chǎn)品和服務(wù) 電信 銀行保險 政府機關(guān) 電力 81 Professional Security Solution Provider **科技典型行業(yè)客戶 證券 新聞 企業(yè) 網(wǎng)站 誠信為本、客戶至上、專業(yè)服務(wù)、面向國際！ 82 Professional Security Solution Provider 回顧 ? **科技簡介 ? 如何選擇安全服務(wù)提供商 ? 風(fēng)險評估是安全體系建設(shè)的前提和基礎(chǔ) ? **科技 主要 案例 介紹 Professional Security Solution Provider **科技 – 巨人背后的專家 謝謝！ 靜夜四無鄰，荒居舊業(yè)貧。 由于具體單位的信息系統(tǒng)應(yīng)用服務(wù)各具特性 ， 這些個性化的過程和要求往往是敏感的 ，是沒有長期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的 。 ? 分類依據(jù) – 主要根據(jù)評估方與被評估方的關(guān)系 ， 以及評估方與被評估方和其信息資產(chǎn)的關(guān)系 。 ?風(fēng)險評估標(biāo)準(zhǔn) ?風(fēng)險評估原則 ?風(fēng)險評估策略 ?風(fēng)險評估方法 –安全掃描 –人工審計 –滲透測試 –調(diào)查問卷 –訪談?wù){(diào)研 ?風(fēng)險評估工具 ?風(fēng)險評估過程 ?項目過程控制 ?項目質(zhì)量控制 49 Professional Security Solution Provider 如何進行風(fēng)險評估 ?在實際開始評估掃描同時 ， 在被評估方的授權(quán)下 ， 根據(jù)客戶要求的重點 IP， 進行滲透測試 ， 完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù) ， 對目標(biāo)系統(tǒng)的安全作深入的探測 ，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié) 。安全性問題表現(xiàn)在兩方面：一是操作系統(tǒng)本身的不安全因素 ，主要包括身份認(rèn)證 、 訪問控制 、 系統(tǒng)漏洞等；二是操作系統(tǒng)的安全配置存在問題 。 它是以可以接受的代價識別 、 控制 、 最小化或者避免影響信息系統(tǒng)安全的風(fēng)險的過程 。 ? 風(fēng)險只能預(yù)防 、 避免 、 降低 、 轉(zhuǎn)移和接受 ， 但不可能完全被消滅 。 ? 資產(chǎn)的脆弱性是資產(chǎn)所特有的 ， 只能通過某種安全措施降低其脆弱程度 ， 但它不可能完全被消滅 。 ?DIEM工程實施模型 ?通過嚴(yán)格的二級服務(wù)資質(zhì)評審 ?經(jīng)過 ISO9001認(rèn)證的服務(wù)過程 形成 積累 總結(jié) 培養(yǎng) **科技 NSPS 專業(yè)安全服務(wù)體系 10 Professional Security Solution Provider 專業(yè)安全服務(wù) 體系構(gòu)成 ? 部分服務(wù)用戶 – 中國電信 – 中國移動 – 中國聯(lián)通 – 銀河證券 – 華泰證券 – 山東通信 – 國家民政部 – 國家質(zhì)檢總局 – 山東通信 – ? 所獲榮譽 – 2023值得信賴的服務(wù)品牌 – 2023中關(guān)村最佳客戶服務(wù)獎 – 2023值得信賴的服務(wù)品牌 – 2023值得信賴的服務(wù)品牌 NSPS 安全咨詢 ?日常安全咨詢 ?安全架構(gòu)設(shè)計 ?安全體系設(shè)計 安全管理 ?安全問題通告 ?安全加固 ?補丁管理 ?緊急響應(yīng) 安全評估 ?全面風(fēng)險評估 ?技術(shù)脆弱性評估 ?應(yīng)用安全評估 ?滲透測試 安全培訓(xùn) ?初級安全培訓(xùn) ?中級安全培訓(xùn) ?高級安全培訓(xùn) 安全外包 集中監(jiān)控 11 Professional Security Solution Provider **科技技術(shù)實力總結(jié) ? 面向全球提供具備核心競爭力的安全解決方案 ? 公司服務(wù)資質(zhì) – 國家安全服務(wù)資質(zhì) （ 二級 ） – 國家級公共互聯(lián)網(wǎng)應(yīng)急處理試點單位 – ISO9001質(zhì)量管理體