【正文】 ?？? 福州 長(zhǎng)沙 南京 貴陽(yáng) ?？? 西安 昆明 重慶 蘭州 南寧 新疆 濟(jì)南 杭州 長(zhǎng)春 哈爾濱 武漢 4 Professional Security Solution Provider 公司資質(zhì)、榮譽(yù) ? 服務(wù)資質(zhì) – 2023年首批安全服務(wù)試點(diǎn)企業(yè) – 2023年首批安全服務(wù)一級(jí)資質(zhì)企業(yè) – 2023年首批安全服務(wù)二級(jí)資質(zhì)企業(yè) – 2023年首批國(guó)家級(jí)安全緊急響應(yīng)服務(wù)單位 – 2023年通過(guò) CVE兼容性最高認(rèn)證 – ISO 9001： 2023國(guó)際國(guó)內(nèi)雙認(rèn)證 ? 用戶(hù)認(rèn)可 – 連續(xù)四年最值得信賴(lài)的安全服務(wù)品牌 – 連續(xù)獲得三年電子政務(wù)百?gòu)?qiáng)稱(chēng)號(hào) – 榮獲中關(guān)村最佳客戶(hù)服務(wù)獎(jiǎng) 專(zhuān)業(yè)資質(zhì) 榮譽(yù)證書(shū) 5 Professional Security Solution Provider 公司 穩(wěn)定 發(fā)展 的 歷程 ?研發(fā)和專(zhuān)業(yè)服務(wù)技術(shù)人員占總?cè)藬?shù)的2/3以上，達(dá)到 280人的技術(shù)力量 ?**科技以安全服務(wù)為公司成長(zhǎng)的基點(diǎn) ，以技術(shù)研究為公司發(fā)展源動(dòng)力 ， 使公司穩(wěn)步向前發(fā)展 ?6年來(lái)，公司業(yè)務(wù)規(guī)模持續(xù)穩(wěn)定增長(zhǎng)，在多個(gè)行業(yè)積累了豐富的行業(yè)經(jīng)驗(yàn)，獲得了行業(yè)客戶(hù)的廣泛認(rèn)可 業(yè)務(wù)規(guī)模的增長(zhǎng)02023400060008000100002023年 2023年 2023年 2023年 2023 2023業(yè)務(wù)規(guī)模( 萬(wàn)元)人員數(shù)目的增長(zhǎng)01002003004005002023 2023 2023 2023 2023 2023 2023人員數(shù)目( 人)6 Professional Security Solution Provider ? 擁有頂級(jí)安全專(zhuān)家組成的獨(dú)立安全研究機(jī)構(gòu) ? 發(fā)現(xiàn)包括 Microsoft 、 HP 、 CISCO 、 SUN 、Juniper等多家廠商的 31個(gè)嚴(yán)重安全漏洞 ? 六年來(lái)一直維護(hù)國(guó)內(nèi)最大最權(quán)威的中文安全漏洞庫(kù) NSBL， 數(shù)目已經(jīng)達(dá)到 9265條 。 17 Professional Security Solution Provider 風(fēng)險(xiǎn)評(píng)估的概念和術(shù)語(yǔ) ? 信息資產(chǎn) ? 脆弱性 ? 威脅 ? 風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)管理 ? 脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn) 。 ? 風(fēng)險(xiǎn)評(píng)估要評(píng)估信息系統(tǒng)的脆弱性 、 信息系統(tǒng)面臨的威脅以及 脆弱性 被 威脅 源利用后所產(chǎn)生的實(shí)際負(fù)面影響 ， 并根據(jù)安全事件發(fā)生的 可能性和負(fù)面影響 的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn) 。 ?應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對(duì)用戶(hù)提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性 ， 包括：數(shù)據(jù)庫(kù)軟件 、 Web服務(wù) 、 電子郵件系統(tǒng) 、 域名系統(tǒng) 、 交換與路由系統(tǒng) 、 防火墻及應(yīng)用網(wǎng)管系統(tǒng) 、 業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等 。 70 Professional Security Solution Provider 安全風(fēng)險(xiǎn)評(píng)估模式 ? 定義 – 自評(píng)估是信息系統(tǒng)擁有單位 ， 依靠自身力量 ， 對(duì)自有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng) 。 17:56:2717:56:2717:563/31/2023 5:56:27 PM 1以我獨(dú)沈久，愧君相見(jiàn)頻。 下午 5時(shí) 56分 27秒 下午 5時(shí) 56分 17:56: 沒(méi)有失敗，只有暫時(shí)停止成功！。 2023年 3月 下午 5時(shí) 56分 :56March 31, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 :56:2717:56:27March 31, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 5時(shí) 56分 :56March 31, 2023 1業(yè)余生活要有意義，不要越軌。 下午 5時(shí) 56分 27秒 下午 5時(shí) 56分 17:56: 楊柳散和風(fēng)，青山澹吾慮。 17:56:2717:56:2717:563/31/2023 5:56:27 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 17:56:2717:56:2717:56Friday, March 31, 2023 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 由于具體單位的信息系統(tǒng)應(yīng)用服務(wù)各具特性 ， 這些個(gè)性化的過(guò)程和要求往往是敏感的 ，是沒(méi)有長(zhǎng)期接觸該單位所屬行業(yè)和部門(mén)的人難于在短期內(nèi)熟悉和掌握的 。 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 –安全掃描 –人工審計(jì) –滲透測(cè)試 –調(diào)查問(wèn)卷 –訪談?wù){(diào)研 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過(guò)程 ?項(xiàng)目過(guò)程控制 ?項(xiàng)目質(zhì)量控制 49 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?在實(shí)際開(kāi)始評(píng)估掃描同時(shí) ， 在被評(píng)估方的授權(quán)下 ， 根據(jù)客戶(hù)要求的重點(diǎn) IP， 進(jìn)行滲透測(cè)試 ， 完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù) ， 對(duì)目標(biāo)系統(tǒng)的安全作深入的探測(cè) ，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié) 。 它是以可以接受的代價(jià)識(shí)別 、 控制 、 最小化或者避免影響信息系統(tǒng)安全的風(fēng)險(xiǎn)的過(guò)程 。 ? 資產(chǎn)的脆弱性是資產(chǎn)所特有的 ， 只能通過(guò)某種安全措施降低其脆弱程度 ， 但它不可能完全被消滅 。 8 Professional Security Solution Provider **科技安全產(chǎn)品 ? 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) ? 漏洞掃描系統(tǒng) ? 抗拒絕服務(wù)系統(tǒng) ? 內(nèi)網(wǎng)安全管理系統(tǒng) ? 網(wǎng)絡(luò)入侵保護(hù)系統(tǒng) ? 網(wǎng)絡(luò)流量管理系統(tǒng) 9 Professional Security Solution Provider 專(zhuān)業(yè)安全服務(wù) NSPS 項(xiàng)目經(jīng)驗(yàn) 專(zhuān)業(yè)團(tuán)隊(duì) 服務(wù)方法論 項(xiàng)目組織 經(jīng)過(guò) 5年專(zhuān)業(yè)安全服務(wù)的執(zhí)著實(shí)踐，形成了國(guó)內(nèi)最完善的專(zhuān)業(yè)安全服務(wù)體系和完善的專(zhuān)業(yè)安全服務(wù)方法論 。 ?緊急響應(yīng)小組 (NSIRT)多次為用戶(hù)解決不同層次的安全問(wèn)題 ?具備國(guó)際一流的基礎(chǔ)研究能力 **科技安全小組 (NSFOCUS Security Team) ?服務(wù)部門(mén)擁有多位 CISSP、 CISP、CCIE、 CIW、 PMP等國(guó)際認(rèn)證專(zhuān)家。 更確切地說(shuō)某一特定資產(chǎn)必然面對(duì)某些特定的威脅 19 Professional Security Solution Provider 風(fēng)險(xiǎn) 評(píng)估的概念和術(shù)語(yǔ) ?信息資產(chǎn) ?脆弱性 ?威脅 ?風(fēng)險(xiǎn) ?風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)管理 ? 信息系統(tǒng)的安全風(fēng)險(xiǎn) ， 是指由于系統(tǒng)存在的 脆弱性 ， 人為或自然的 威脅 導(dǎo)致安全事件發(fā)生的可能性及其造成的 影響 。 ?標(biāo)準(zhǔn)性原則 –安全管理標(biāo)準(zhǔn)： ISO1779 ISO1333 ISO7498 –技術(shù)工程標(biāo)準(zhǔn)： SSECMM、 ISO15408 –事實(shí)標(biāo)準(zhǔn)： CVE安全漏洞庫(kù) 、 PMI項(xiàng)目管理 ?規(guī)范性原則 –NISF安全體系架構(gòu)模型 –DIEM安全工程過(guò)程 –NSPS安全服務(wù)規(guī)范 ?可控性原則 –人員可控 –工具可控 –項(xiàng)目過(guò)程可控 44 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過(guò)程 ?項(xiàng)目過(guò)程控制 ?項(xiàng)目質(zhì)量控制 ?保密性原則 –參與人員簽署保密協(xié)議 –使用加密工具保護(hù)評(píng)估數(shù)據(jù) –評(píng)估資料設(shè)置生命周期 ?整體性原則 –評(píng)估范圍 、 深度的選擇 ， 避免遺漏安全隱患 ， 保證結(jié)果具有整體性和全面性 ?最小影響原則 –評(píng)估前做好備份及應(yīng)急響應(yīng)準(zhǔn)備 –評(píng)估方法 、 時(shí)間段的選擇 –把對(duì)系統(tǒng)和網(wǎng)絡(luò)的影響降到最低 45 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過(guò)程 ?項(xiàng)目過(guò)程控制 ?項(xiàng)目質(zhì)量控制 ?先外后內(nèi)策略 ?數(shù)據(jù)流與業(yè)務(wù)流并行策略 ?數(shù)據(jù)流與業(yè)務(wù)流關(guān)聯(lián)策略 46 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過(guò)程 ?項(xiàng)目過(guò)程控制 ?項(xiàng)目質(zhì)量控制 ?調(diào)查問(wèn)卷 ?人工 訪談 ?調(diào)研 勘查 ?安全掃描 ?在線分析 ?人工審計(jì) ?滲透測(cè)試 ?管理審計(jì) ?策略評(píng)估 47 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?系統(tǒng)層安全：該層的安全問(wèn)題來(lái)自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNIX系列 、 Linux系列 、 Windows NT系列以及專(zhuān)用操作系統(tǒng)等 。 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 –安全掃描 –人工審計(jì) –滲透測(cè)試 –調(diào)查問(wèn)卷 –訪談?wù){(diào)研 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過(guò)程 ?項(xiàng)目過(guò)程控制 ?項(xiàng)目質(zhì)量控制 50 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?調(diào)查對(duì)象 –網(wǎng)絡(luò)系統(tǒng)管理員 、 安全管理員 、 技術(shù)負(fù)責(zé)人等 ?調(diào)查內(nèi)容 –業(yè)務(wù) 、 資產(chǎn) 、 威脅 、 脆弱性 （ 管理方面 ） ?設(shè)計(jì)原則 –完整性 、 具體性 、 簡(jiǎn)潔性 、 一致性 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 –安全掃描 –人工審計(jì) –滲透測(cè)試 –調(diào)查問(wèn)卷 –訪談?wù){(diào)研 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過(guò)程 ?項(xiàng)目過(guò)程控制 ?項(xiàng)目質(zhì)量控制 51 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?訪談對(duì)象 –安全管理員 、 技術(shù)負(fù)責(zé)人 、 網(wǎng)絡(luò)系統(tǒng)管理員等 ?訪談