【正文】 調(diào)度與資源分配優(yōu)化項目流程 類似統(tǒng)籌，將項目中的所有任務全盤考慮時，可以發(fā)現(xiàn)有部份任務可以并行、有部份任務可以提前、有部份任務并不需要很多前置任務……由專人對項目流程進行優(yōu)化，估測任務的執(zhí)行時間段。最終的風險分析需要看得清晰透徹，而且方案的表現(xiàn)形式要比較切合客戶需求。能夠與客戶有技巧地談判將其需求控制在最恰當?shù)乃讲⒕S持到項目結束。創(chuàng)建威脅統(tǒng)計(process 4) 這個過程實際上完成兩件事，一是對前面三個過程中收集的數(shù)據(jù)進行整理，使數(shù)據(jù)分析清晰。但多年來始終偏安于深圳，失去了飛速增長的機會。他們的評估分為六大部份：資產(chǎn)、脆弱性、威脅、影響、安全措施評估、風險評估。下圖是他們一份講稿中的評估流程描述：我對綠盟科技風險評估方法的總體評價是：它是專業(yè)的系統(tǒng)和網(wǎng)絡安全評估，不是信息安全評估，具體有如下幾點：項目可操作性強 管理評估存在不足，風險計算方式不夠科學 技術弱點把握精確 安氏安氏在國內(nèi)較早從事網(wǎng)絡安全風險評估項目的操作，做過較大的評估項目(包括顧問咨詢)有：中國移動CMNET全網(wǎng)網(wǎng)絡安全評估項目、天津電力公司安全咨詢項目、中國電信IP網(wǎng)安全咨詢顧問項目、上海移動boss系統(tǒng)安全咨詢顧問項目、深圳華為科技公司安全咨詢顧問項目等。 主要中端廠商的評估模式分析以下分析中的數(shù)據(jù)來源為筆者在從事網(wǎng)絡安全評估實踐時通過各種渠道獲得。比如風險，用ISO/IEC TR 133351:1996中的定義可以解釋為： 特定威脅利用某個(些)資產(chǎn)的弱點，造成資產(chǎn)損失或破壞的潛在可能性。據(jù)說是較好的安全評估過程輔助工具。需要指出的是安絡科技，公司不大，但歷經(jīng)風雨，還能夠在行業(yè)中有一定位置。華為的評估與其它安全公司的評估側重點略有不同，更側重于網(wǎng)絡架構和應用評估(可能是他們這方面的人才更多的緣故)。3. BS7799和OCTAVE BS7799的優(yōu)勢和弱點要初步了解BS7799，我覺得從兩個角度入手了解BS7799的安全管理流程，也就是建立信息安全管理體系的方法和步驟 系統(tǒng)了解BS7799中提到的10類127個控制項的內(nèi)容 并且能夠在此基礎上針對不同行業(yè)選擇(甚至新增)控制項。 風險控制行動列表粒度較粗，與企業(yè)后續(xù)安全建設的實際工作有一定距離。同時需要注意控制資產(chǎn)評估的完成時間，因為明確資產(chǎn)后才能有效進行后續(xù)的威脅與弱點評估，否則容易導致事倍功半。但由于組織的安全狀態(tài)會隨著時間而發(fā)生變化，所以必須通過執(zhí)行另外一次評估定期地為用戶重設基線。在一次評估項目的收尾階段，就有用戶委婉地指出：你們可真算是“埋頭苦干”了！由于安全評估是一種整體性很強的工作，因此在大型評估項目中有規(guī)范的項目管理，才有可能順利保障團隊完成評估任務。…… 售后服務按照Octave評估方法的觀點，用戶在完成一次安全評估之后，相當于獲取了其當前風險的快照(Snapshot)，同時也就完成了對其信息安全風險基線的設置。另外需要提醒的是，由于多數(shù)企業(yè)的資產(chǎn)并沒有很好地理順，因此資產(chǎn)評估的前期協(xié)調(diào)工作如果能夠盡早開始，可以有效地保證項目的時間。4. 中小企業(yè)的特點和對OCTAVE的重新評價 中小型企業(yè)和大型企業(yè)在評估活動中的異同點最直接的想法，大型企業(yè)和中小型企業(yè)對安全的關注要點是否完全相同？又是否完全不同？哪些在大型企業(yè)中做過的事是可復用的？我很少看到關于這些方面的討論，因此也想在這里將問題提出，并給出我的粗淺考慮，希望能夠引玉。不會為評估花費太多的精力和金錢，安全也只需要簡單達到某一基線即可。2003年可以說是華為將安全由內(nèi)部建設轉向往外部推動的轉折年。)第 1 章 概述 項目概述 項目目標 評估的方式 評估遵循的原則 保密原則 標準性原則 規(guī)范性原則 可控性原則 整體性原則 最小影響原則 風險評估模型 背景和假設 概述 資產(chǎn)評估 威脅評估 弱點評估 風險評估 資產(chǎn)識別和賦值 信息資產(chǎn)分類 信息資產(chǎn)賦值 主要評估方法說明 工具評估 人工評估 安全審計 網(wǎng)絡架構分析 策略評估 項目承諾 項目組織結構第 2 章 項目范圍和評估內(nèi)容第 3 章 項目階段詳述 第一階段－項目準備和范圍確定 第二階段項目定義和藍圖 第三階段風險評估階段 集團公司層面評估子項目 省網(wǎng)層面評估子項目 安全信息庫開發(fā)子項目 安全評估風險規(guī)避措施 需要客戶配合的工作 安