【正文】 調(diào)度與資源分配優(yōu)化項目流程 類似統(tǒng)籌，將項目中的所有任務(wù)全盤考慮時，可以發(fā)現(xiàn)有部份任務(wù)可以并行、有部份任務(wù)可以提前、有部份任務(wù)并不需要很多前置任務(wù)……由專人對項目流程進(jìn)行優(yōu)化，估測任務(wù)的執(zhí)行時間段。最終的風(fēng)險分析需要看得清晰透徹，而且方案的表現(xiàn)形式要比較切合客戶需求。能夠與客戶有技巧地談判將其需求控制在最恰當(dāng)?shù)乃讲⒕S持到項目結(jié)束。創(chuàng)建威脅統(tǒng)計(process 4) 這個過程實際上完成兩件事，一是對前面三個過程中收集的數(shù)據(jù)進(jìn)行整理，使數(shù)據(jù)分析清晰。但多年來始終偏安于深圳，失去了飛速增長的機(jī)會。他們的評估分為六大部份：資產(chǎn)、脆弱性、威脅、影響、安全措施評估、風(fēng)險評估。下圖是他們一份講稿中的評估流程描述：我對綠盟科技風(fēng)險評估方法的總體評價是：它是專業(yè)的系統(tǒng)和網(wǎng)絡(luò)安全評估，不是信息安全評估，具體有如下幾點：項目可操作性強(qiáng) 管理評估存在不足，風(fēng)險計算方式不夠科學(xué) 技術(shù)弱點把握精確 安氏安氏在國內(nèi)較早從事網(wǎng)絡(luò)安全風(fēng)險評估項目的操作，做過較大的評估項目(包括顧問咨詢)有：中國移動CMNET全網(wǎng)網(wǎng)絡(luò)安全評估項目、天津電力公司安全咨詢項目、中國電信IP網(wǎng)安全咨詢顧問項目、上海移動boss系統(tǒng)安全咨詢顧問項目、深圳華為科技公司安全咨詢顧問項目等。 主要中端廠商的評估模式分析以下分析中的數(shù)據(jù)來源為筆者在從事網(wǎng)絡(luò)安全評估實踐時通過各種渠道獲得。比如風(fēng)險，用ISO/IEC TR 133351:1996中的定義可以解釋為： 特定威脅利用某個(些)資產(chǎn)的弱點，造成資產(chǎn)損失或破壞的潛在可能性。據(jù)說是較好的安全評估過程輔助工具。需要指出的是安絡(luò)科技，公司不大，但歷經(jīng)風(fēng)雨，還能夠在行業(yè)中有一定位置。華為的評估與其它安全公司的評估側(cè)重點略有不同，更側(cè)重于網(wǎng)絡(luò)架構(gòu)和應(yīng)用評估(可能是他們這方面的人才更多的緣故)。3. BS7799和OCTAVE BS7799的優(yōu)勢和弱點要初步了解BS7799，我覺得從兩個角度入手了解BS7799的安全管理流程，也就是建立信息安全管理體系的方法和步驟 系統(tǒng)了解BS7799中提到的10類127個控制項的內(nèi)容 并且能夠在此基礎(chǔ)上針對不同行業(yè)選擇(甚至新增)控制項。 風(fēng)險控制行動列表粒度較粗，與企業(yè)后續(xù)安全建設(shè)的實際工作有一定距離。同時需要注意控制資產(chǎn)評估的完成時間，因為明確資產(chǎn)后才能有效進(jìn)行后續(xù)的威脅與弱點評估，否則容易導(dǎo)致事倍功半。但由于組織的安全狀態(tài)會隨著時間而發(fā)生變化，所以必須通過執(zhí)行另外一次評估定期地為用戶重設(shè)基線。在一次評估項目的收尾階段，就有用戶委婉地指出：你們可真算是“埋頭苦干”了！由于安全評估是一種整體性很強(qiáng)的工作，因此在大型評估項目中有規(guī)范的項目管理，才有可能順利保障團(tuán)隊完成評估任務(wù)?！?售后服務(wù)按照Octave評估方法的觀點，用戶在完成一次安全評估之后，相當(dāng)于獲取了其當(dāng)前風(fēng)險的快照(Snapshot)，同時也就完成了對其信息安全風(fēng)險基線的設(shè)置。另外需要提醒的是，由于多數(shù)企業(yè)的資產(chǎn)并沒有很好地理順，因此資產(chǎn)評估的前期協(xié)調(diào)工作如果能夠盡早開始，可以有效地保證項目的時間。4. 中小企業(yè)的特點和對OCTAVE的重新評價 中小型企業(yè)和大型企業(yè)在評估活動中的異同點最直接的想法，大型企業(yè)和中小型企業(yè)對安全的關(guān)注要點是否完全相同？又是否完全不同？哪些在大型企業(yè)中做過的事是可復(fù)用的？我很少看到關(guān)于這些方面的討論，因此也想在這里將問題提出，并給出我的粗淺考慮，希望能夠引玉。不會為評估花費太多的精力和金錢，安全也只需要簡單達(dá)到某一基線即可。2003年可以說是華為將安全由內(nèi)部建設(shè)轉(zhuǎn)向往外部推動的轉(zhuǎn)折年。)第 1 章 概述 項目概述 項目目標(biāo) 評估的方式 評估遵循的原則 保密原則 標(biāo)準(zhǔn)性原則 規(guī)范性原則 可控性原則 整體性原則 最小影響原則 風(fēng)險評估模型 背景和假設(shè) 概述 資產(chǎn)評估 威脅評估 弱點評估 風(fēng)險評估 資產(chǎn)識別和賦值 信息資產(chǎn)分類 信息資產(chǎn)賦值 主要評估方法說明 工具評估 人工評估 安全審計 網(wǎng)絡(luò)架構(gòu)分析 策略評估 項目承諾 項目組織結(jié)構(gòu)第 2 章 項目范圍和評估內(nèi)容第 3 章 項目階段詳述 第一階段－項目準(zhǔn)備和范圍確定 第二階段項目定義和藍(lán)圖 第三階段風(fēng)險評估階段 集團(tuán)公司層面評估子項目 省網(wǎng)層面評估子項目 安全信息庫開發(fā)子項目 安全評估風(fēng)險規(guī)避措施 需要客戶配合的工作 安