【正文】 調(diào)度與資源分配優(yōu)化項(xiàng)目流程 類似統(tǒng)籌，將項(xiàng)目中的所有任務(wù)全盤考慮時(shí)，可以發(fā)現(xiàn)有部份任務(wù)可以并行、有部份任務(wù)可以提前、有部份任務(wù)并不需要很多前置任務(wù)……由專人對(duì)項(xiàng)目流程進(jìn)行優(yōu)化，估測(cè)任務(wù)的執(zhí)行時(shí)間段。最終的風(fēng)險(xiǎn)分析需要看得清晰透徹，而且方案的表現(xiàn)形式要比較切合客戶需求。能夠與客戶有技巧地談判將其需求控制在最恰當(dāng)?shù)乃讲⒕S持到項(xiàng)目結(jié)束。創(chuàng)建威脅統(tǒng)計(jì)(process 4) 這個(gè)過程實(shí)際上完成兩件事，一是對(duì)前面三個(gè)過程中收集的數(shù)據(jù)進(jìn)行整理，使數(shù)據(jù)分析清晰。但多年來始終偏安于深圳，失去了飛速增長(zhǎng)的機(jī)會(huì)。他們的評(píng)估分為六大部份：資產(chǎn)、脆弱性、威脅、影響、安全措施評(píng)估、風(fēng)險(xiǎn)評(píng)估。下圖是他們一份講稿中的評(píng)估流程描述：我對(duì)綠盟科技風(fēng)險(xiǎn)評(píng)估方法的總體評(píng)價(jià)是：它是專業(yè)的系統(tǒng)和網(wǎng)絡(luò)安全評(píng)估，不是信息安全評(píng)估，具體有如下幾點(diǎn)：項(xiàng)目可操作性強(qiáng) 管理評(píng)估存在不足，風(fēng)險(xiǎn)計(jì)算方式不夠科學(xué) 技術(shù)弱點(diǎn)把握精確 安氏安氏在國(guó)內(nèi)較早從事網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的操作，做過較大的評(píng)估項(xiàng)目(包括顧問咨詢)有：中國(guó)移動(dòng)CMNET全網(wǎng)網(wǎng)絡(luò)安全評(píng)估項(xiàng)目、天津電力公司安全咨詢項(xiàng)目、中國(guó)電信IP網(wǎng)安全咨詢顧問項(xiàng)目、上海移動(dòng)boss系統(tǒng)安全咨詢顧問項(xiàng)目、深圳華為科技公司安全咨詢顧問項(xiàng)目等。 主要中端廠商的評(píng)估模式分析以下分析中的數(shù)據(jù)來源為筆者在從事網(wǎng)絡(luò)安全評(píng)估實(shí)踐時(shí)通過各種渠道獲得。比如風(fēng)險(xiǎn)，用ISO/IEC TR 133351:1996中的定義可以解釋為： 特定威脅利用某個(gè)(些)資產(chǎn)的弱點(diǎn)，造成資產(chǎn)損失或破壞的潛在可能性。據(jù)說是較好的安全評(píng)估過程輔助工具。需要指出的是安絡(luò)科技，公司不大，但歷經(jīng)風(fēng)雨，還能夠在行業(yè)中有一定位置。華為的評(píng)估與其它安全公司的評(píng)估側(cè)重點(diǎn)略有不同，更側(cè)重于網(wǎng)絡(luò)架構(gòu)和應(yīng)用評(píng)估(可能是他們這方面的人才更多的緣故)。3. BS7799和OCTAVE BS7799的優(yōu)勢(shì)和弱點(diǎn)要初步了解BS7799，我覺得從兩個(gè)角度入手了解BS7799的安全管理流程，也就是建立信息安全管理體系的方法和步驟 系統(tǒng)了解BS7799中提到的10類127個(gè)控制項(xiàng)的內(nèi)容 并且能夠在此基礎(chǔ)上針對(duì)不同行業(yè)選擇(甚至新增)控制項(xiàng)。 風(fēng)險(xiǎn)控制行動(dòng)列表粒度較粗，與企業(yè)后續(xù)安全建設(shè)的實(shí)際工作有一定距離。同時(shí)需要注意控制資產(chǎn)評(píng)估的完成時(shí)間，因?yàn)槊鞔_資產(chǎn)后才能有效進(jìn)行后續(xù)的威脅與弱點(diǎn)評(píng)估，否則容易導(dǎo)致事倍功半。但由于組織的安全狀態(tài)會(huì)隨著時(shí)間而發(fā)生變化，所以必須通過執(zhí)行另外一次評(píng)估定期地為用戶重設(shè)基線。在一次評(píng)估項(xiàng)目的收尾階段，就有用戶委婉地指出：你們可真算是“埋頭苦干”了！由于安全評(píng)估是一種整體性很強(qiáng)的工作，因此在大型評(píng)估項(xiàng)目中有規(guī)范的項(xiàng)目管理，才有可能順利保障團(tuán)隊(duì)完成評(píng)估任務(wù)。…… 售后服務(wù)按照Octave評(píng)估方法的觀點(diǎn)，用戶在完成一次安全評(píng)估之后，相當(dāng)于獲取了其當(dāng)前風(fēng)險(xiǎn)的快照(Snapshot)，同時(shí)也就完成了對(duì)其信息安全風(fēng)險(xiǎn)基線的設(shè)置。另外需要提醒的是，由于多數(shù)企業(yè)的資產(chǎn)并沒有很好地理順，因此資產(chǎn)評(píng)估的前期協(xié)調(diào)工作如果能夠盡早開始，可以有效地保證項(xiàng)目的時(shí)間。4. 中小企業(yè)的特點(diǎn)和對(duì)OCTAVE的重新評(píng)價(jià) 中小型企業(yè)和大型企業(yè)在評(píng)估活動(dòng)中的異同點(diǎn)最直接的想法，大型企業(yè)和中小型企業(yè)對(duì)安全的關(guān)注要點(diǎn)是否完全相同？又是否完全不同？哪些在大型企業(yè)中做過的事是可復(fù)用的？我很少看到關(guān)于這些方面的討論，因此也想在這里將問題提出，并給出我的粗淺考慮，希望能夠引玉。不會(huì)為評(píng)估花費(fèi)太多的精力和金錢，安全也只需要簡(jiǎn)單達(dá)到某一基線即可。2003年可以說是華為將安全由內(nèi)部建設(shè)轉(zhuǎn)向往外部推動(dòng)的轉(zhuǎn)折年。)第 1 章 概述 項(xiàng)目概述 項(xiàng)目目標(biāo) 評(píng)估的方式 評(píng)估遵循的原則 保密原則 標(biāo)準(zhǔn)性原則 規(guī)范性原則 可控性原則 整體性原則 最小影響原則 風(fēng)險(xiǎn)評(píng)估模型 背景和假設(shè) 概述 資產(chǎn)評(píng)估 威脅評(píng)估 弱點(diǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估 資產(chǎn)識(shí)別和賦值 信息資產(chǎn)分類 信息資產(chǎn)賦值 主要評(píng)估方法說明 工具評(píng)估 人工評(píng)估 安全審計(jì) 網(wǎng)絡(luò)架構(gòu)分析 策略評(píng)估 項(xiàng)目承諾 項(xiàng)目組織結(jié)構(gòu)第 2 章 項(xiàng)目范圍和評(píng)估內(nèi)容第 3 章 項(xiàng)目階段詳述 第一階段－項(xiàng)目準(zhǔn)備和范圍確定 第二階段項(xiàng)目定義和藍(lán)圖 第三階段風(fēng)險(xiǎn)評(píng)估階段 集團(tuán)公司層面評(píng)估子項(xiàng)目 省網(wǎng)層面評(píng)估子項(xiàng)目 安全信息庫(kù)開發(fā)子項(xiàng)目 安全評(píng)估風(fēng)險(xiǎn)規(guī)避措施 需要客戶配合的工作 安