【正文】 ?？? 福州 長(zhǎng)沙 南京 貴陽(yáng) ?？? 西安 昆明 重慶 蘭州 南寧 新疆 濟(jì)南 杭州 長(zhǎng)春 哈爾濱 武漢 4 Professional Security Solution Provider 公司資質(zhì)、榮譽(yù) ? 服務(wù)資質(zhì) – 2023年首批安全服務(wù)試點(diǎn)企業(yè) – 2023年首批安全服務(wù)一級(jí)資質(zhì)企業(yè) – 2023年首批安全服務(wù)二級(jí)資質(zhì)企業(yè) – 2023年首批國(guó)家級(jí)安全緊急響應(yīng)服務(wù)單位 – 2023年通過 CVE兼容性最高認(rèn)證 – ISO 9001： 2023國(guó)際國(guó)內(nèi)雙認(rèn)證 ? 用戶認(rèn)可 – 連續(xù)四年最值得信賴的安全服務(wù)品牌 – 連續(xù)獲得三年電子政務(wù)百?gòu)?qiáng)稱號(hào) – 榮獲中關(guān)村最佳客戶服務(wù)獎(jiǎng) 專業(yè)資質(zhì) 榮譽(yù)證書 5 Professional Security Solution Provider 公司 穩(wěn)定 發(fā)展 的 歷程 ?研發(fā)和專業(yè)服務(wù)技術(shù)人員占總?cè)藬?shù)的2/3以上，達(dá)到 280人的技術(shù)力量 ?**科技以安全服務(wù)為公司成長(zhǎng)的基點(diǎn) ，以技術(shù)研究為公司發(fā)展源動(dòng)力 ， 使公司穩(wěn)步向前發(fā)展 ?6年來(lái)，公司業(yè)務(wù)規(guī)模持續(xù)穩(wěn)定增長(zhǎng)，在多個(gè)行業(yè)積累了豐富的行業(yè)經(jīng)驗(yàn)，獲得了行業(yè)客戶的廣泛認(rèn)可 業(yè)務(wù)規(guī)模的增長(zhǎng)02023400060008000100002023年 2023年 2023年 2023年 2023 2023業(yè)務(wù)規(guī)模( 萬(wàn)元)人員數(shù)目的增長(zhǎng)01002003004005002023 2023 2023 2023 2023 2023 2023人員數(shù)目( 人)6 Professional Security Solution Provider ? 擁有頂級(jí)安全專家組成的獨(dú)立安全研究機(jī)構(gòu) ? 發(fā)現(xiàn)包括 Microsoft 、 HP 、 CISCO 、 SUN 、Juniper等多家廠商的 31個(gè)嚴(yán)重安全漏洞 ? 六年來(lái)一直維護(hù)國(guó)內(nèi)最大最權(quán)威的中文安全漏洞庫(kù) NSBL， 數(shù)目已經(jīng)達(dá)到 9265條 。 17 Professional Security Solution Provider 風(fēng)險(xiǎn)評(píng)估的概念和術(shù)語(yǔ) ? 信息資產(chǎn) ? 脆弱性 ? 威脅 ? 風(fēng)險(xiǎn) ? 風(fēng)險(xiǎn)評(píng)估 ? 風(fēng)險(xiǎn)管理 ? 脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn) 。 ? 風(fēng)險(xiǎn)評(píng)估要評(píng)估信息系統(tǒng)的脆弱性 、 信息系統(tǒng)面臨的威脅以及 脆弱性 被 威脅 源利用后所產(chǎn)生的實(shí)際負(fù)面影響 ， 并根據(jù)安全事件發(fā)生的 可能性和負(fù)面影響 的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn) 。 ?應(yīng)用層安全：該層的安全考慮網(wǎng)絡(luò)對(duì)用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性 ， 包括：數(shù)據(jù)庫(kù)軟件 、 Web服務(wù) 、 電子郵件系統(tǒng) 、 域名系統(tǒng) 、 交換與路由系統(tǒng) 、 防火墻及應(yīng)用網(wǎng)管系統(tǒng) 、 業(yè)務(wù)應(yīng)用軟件以及其它網(wǎng)絡(luò)服務(wù)系統(tǒng)等 。 70 Professional Security Solution Provider 安全風(fēng)險(xiǎn)評(píng)估模式 ? 定義 – 自評(píng)估是信息系統(tǒng)擁有單位 ， 依靠自身力量 ， 對(duì)自有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng) 。 17:56:2717:56:2717:563/31/2023 5:56:27 PM 1以我獨(dú)沈久，愧君相見頻。 下午 5時(shí) 56分 27秒 下午 5時(shí) 56分 17:56: 沒有失敗，只有暫時(shí)停止成功！。 2023年 3月 下午 5時(shí) 56分 :56March 31, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 :56:2717:56:27March 31, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 5時(shí) 56分 :56March 31, 2023 1業(yè)余生活要有意義，不要越軌。 下午 5時(shí) 56分 27秒 下午 5時(shí) 56分 17:56: 楊柳散和風(fēng)，青山澹吾慮。 17:56:2717:56:2717:563/31/2023 5:56:27 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 17:56:2717:56:2717:56Friday, March 31, 2023 1乍見翻疑夢(mèng)，相悲各問年。 由于具體單位的信息系統(tǒng)應(yīng)用服務(wù)各具特性 ， 這些個(gè)性化的過程和要求往往是敏感的 ，是沒有長(zhǎng)期接觸該單位所屬行業(yè)和部門的人難于在短期內(nèi)熟悉和掌握的 。 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 –安全掃描 –人工審計(jì) –滲透測(cè)試 –調(diào)查問卷 –訪談?wù){(diào)研 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過程 ?項(xiàng)目過程控制 ?項(xiàng)目質(zhì)量控制 49 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?在實(shí)際開始評(píng)估掃描同時(shí) ， 在被評(píng)估方的授權(quán)下 ， 根據(jù)客戶要求的重點(diǎn) IP， 進(jìn)行滲透測(cè)試 ， 完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù) ， 對(duì)目標(biāo)系統(tǒng)的安全作深入的探測(cè) ，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié) 。 它是以可以接受的代價(jià)識(shí)別 、 控制 、 最小化或者避免影響信息系統(tǒng)安全的風(fēng)險(xiǎn)的過程 。 ? 資產(chǎn)的脆弱性是資產(chǎn)所特有的 ， 只能通過某種安全措施降低其脆弱程度 ， 但它不可能完全被消滅 。 8 Professional Security Solution Provider **科技安全產(chǎn)品 ? 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) ? 漏洞掃描系統(tǒng) ? 抗拒絕服務(wù)系統(tǒng) ? 內(nèi)網(wǎng)安全管理系統(tǒng) ? 網(wǎng)絡(luò)入侵保護(hù)系統(tǒng) ? 網(wǎng)絡(luò)流量管理系統(tǒng) 9 Professional Security Solution Provider 專業(yè)安全服務(wù) NSPS 項(xiàng)目經(jīng)驗(yàn) 專業(yè)團(tuán)隊(duì) 服務(wù)方法論 項(xiàng)目組織 經(jīng)過 5年專業(yè)安全服務(wù)的執(zhí)著實(shí)踐，形成了國(guó)內(nèi)最完善的專業(yè)安全服務(wù)體系和完善的專業(yè)安全服務(wù)方法論 。 ?緊急響應(yīng)小組 (NSIRT)多次為用戶解決不同層次的安全問題 ?具備國(guó)際一流的基礎(chǔ)研究能力 **科技安全小組 (NSFOCUS Security Team) ?服務(wù)部門擁有多位 CISSP、 CISP、CCIE、 CIW、 PMP等國(guó)際認(rèn)證專家。 更確切地說某一特定資產(chǎn)必然面對(duì)某些特定的威脅 19 Professional Security Solution Provider 風(fēng)險(xiǎn) 評(píng)估的概念和術(shù)語(yǔ) ?信息資產(chǎn) ?脆弱性 ?威脅 ?風(fēng)險(xiǎn) ?風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)管理 ? 信息系統(tǒng)的安全風(fēng)險(xiǎn) ， 是指由于系統(tǒng)存在的 脆弱性 ， 人為或自然的 威脅 導(dǎo)致安全事件發(fā)生的可能性及其造成的 影響 。 ?標(biāo)準(zhǔn)性原則 –安全管理標(biāo)準(zhǔn)： ISO1779 ISO1333 ISO7498 –技術(shù)工程標(biāo)準(zhǔn)： SSECMM、 ISO15408 –事實(shí)標(biāo)準(zhǔn)： CVE安全漏洞庫(kù) 、 PMI項(xiàng)目管理 ?規(guī)范性原則 –NISF安全體系架構(gòu)模型 –DIEM安全工程過程 –NSPS安全服務(wù)規(guī)范 ?可控性原則 –人員可控 –工具可控 –項(xiàng)目過程可控 44 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過程 ?項(xiàng)目過程控制 ?項(xiàng)目質(zhì)量控制 ?保密性原則 –參與人員簽署保密協(xié)議 –使用加密工具保護(hù)評(píng)估數(shù)據(jù) –評(píng)估資料設(shè)置生命周期 ?整體性原則 –評(píng)估范圍 、 深度的選擇 ， 避免遺漏安全隱患 ， 保證結(jié)果具有整體性和全面性 ?最小影響原則 –評(píng)估前做好備份及應(yīng)急響應(yīng)準(zhǔn)備 –評(píng)估方法 、 時(shí)間段的選擇 –把對(duì)系統(tǒng)和網(wǎng)絡(luò)的影響降到最低 45 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過程 ?項(xiàng)目過程控制 ?項(xiàng)目質(zhì)量控制 ?先外后內(nèi)策略 ?數(shù)據(jù)流與業(yè)務(wù)流并行策略 ?數(shù)據(jù)流與業(yè)務(wù)流關(guān)聯(lián)策略 46 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過程 ?項(xiàng)目過程控制 ?項(xiàng)目質(zhì)量控制 ?調(diào)查問卷 ?人工 訪談 ?調(diào)研 勘查 ?安全掃描 ?在線分析 ?人工審計(jì) ?滲透測(cè)試 ?管理審計(jì) ?策略評(píng)估 47 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?系統(tǒng)層安全：該層的安全問題來(lái)自網(wǎng)絡(luò)運(yùn)行的操作系統(tǒng)：UNIX系列 、 Linux系列 、 Windows NT系列以及專用操作系統(tǒng)等 。 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 –安全掃描 –人工審計(jì) –滲透測(cè)試 –調(diào)查問卷 –訪談?wù){(diào)研 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過程 ?項(xiàng)目過程控制 ?項(xiàng)目質(zhì)量控制 50 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?調(diào)查對(duì)象 –網(wǎng)絡(luò)系統(tǒng)管理員 、 安全管理員 、 技術(shù)負(fù)責(zé)人等 ?調(diào)查內(nèi)容 –業(yè)務(wù) 、 資產(chǎn) 、 威脅 、 脆弱性 （ 管理方面 ） ?設(shè)計(jì)原則 –完整性 、 具體性 、 簡(jiǎn)潔性 、 一致性 ?風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn) ?風(fēng)險(xiǎn)評(píng)估原則 ?風(fēng)險(xiǎn)評(píng)估策略 ?風(fēng)險(xiǎn)評(píng)估方法 –安全掃描 –人工審計(jì) –滲透測(cè)試 –調(diào)查問卷 –訪談?wù){(diào)研 ?風(fēng)險(xiǎn)評(píng)估工具 ?風(fēng)險(xiǎn)評(píng)估過程 ?項(xiàng)目過程控制 ?項(xiàng)目質(zhì)量控制 51 Professional Security Solution Provider 如何進(jìn)行風(fēng)險(xiǎn)評(píng)估 ?訪談對(duì)象 –安全管理員 、 技術(shù)負(fù)責(zé)人 、 網(wǎng)絡(luò)系統(tǒng)管理員等 ?訪談