【正文】 ,全面負責奧運會主體網(wǎng)絡系統(tǒng)的安全保障，得到了國家主管部門的大力嘉獎。? 《服務溝通計劃》服務進度管理 ? 通過制定項目整體工作計劃、雙周工作計劃并落實持續(xù)有效的進度監(jiān)控機制，及時? 《服務實施計劃》33 / 53掌握項目進度狀態(tài)及趨勢，發(fā)現(xiàn)重大進度問題，為項目決策和協(xié)調(diào)提供支持。安全措施的選擇應從管理與技術(shù)兩個方面考慮。? 風險評價將估計的風險與風險準則比較確定風險的嚴重性。? 人工審計? 工具掃描? 滲透測試業(yè)務流程? 業(yè)務數(shù)據(jù)流向（輸入、傳輸、存儲、輸出）業(yè)務策略（業(yè)務要求、使用范圍、安全等級）業(yè)務實現(xiàn)方式、業(yè)務安全要求、各時段業(yè)務負載量、授權(quán)和認證、審計、加密、完整性、不可否認性等進行業(yè)務流程評估。威脅識別方法列表如下：編號 威脅識別 方法描述1 訪談 ? 通過和資產(chǎn)所有人、負責管理人員進行訪談2 人工分析 ? 根據(jù)專家經(jīng)驗，從已知的數(shù)據(jù)中進行分析3 IDS ? 通過入侵監(jiān)測系統(tǒng)在一段時間內(nèi)監(jiān)視網(wǎng)絡上的安全事件來獲得數(shù)據(jù)4 人工審計 ? 通過人工審計方法來測試弱點，證實威脅5 安全策略文檔分析 ? 安全策略文檔分析6 安全審計 ? 通過一套審計問題列表問答的方式來分析弱點7 事件記錄 ? 對已有歷史安全事件記錄進行分析表5? 威脅分析在威脅識別的基礎(chǔ)上，進一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法。并進行賦值量化。系統(tǒng)運維各個方面都直接關(guān)系到相關(guān)安全控制技術(shù)的正確、安全配置和合理使用。.. 服務評估范圍. 技術(shù)評估評估類型 評估范圍物理環(huán)境評估? 評估對象：物理環(huán)境基礎(chǔ)設(shè)施? 評估內(nèi)容：從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別評估。人工評估完成后將產(chǎn)生人工評估報告，也將作為整體的安全評估報告的一個重要的來源和依據(jù)。? 通過對網(wǎng)絡與信息系統(tǒng)漏洞產(chǎn)生的威脅進行分析，能夠提供有效的安全加固和改進措施建議。. 服務產(chǎn)品交付資 產(chǎn) 評 估 《 資 產(chǎn) 賦 值 列 表 》 《 威 脅 賦 值 列 表 》 《 脆 弱 性 賦 值 列 表 》 《 風 險 評 估 綜 合 報 告 》 《 風 險 處 置 計 劃 》威 脅 評 估 脆 弱 性 評 估 風 險 綜 合 分 析 風 險 處 置 計 劃圖3. 風險評估綜合報告主體報告，描述被評估信息系統(tǒng)得信息安全現(xiàn)狀，對評估范圍內(nèi)的業(yè)務資產(chǎn)進行風險分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種對策進行防范威脅，減少脆弱性；并對風險評估作出總結(jié)，總結(jié)出哪些問題需要當前解決，哪些問題可以分步分期解決。. 脆弱性評估脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點，它包括物理環(huán)境、組織機構(gòu)、業(yè)務流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務系統(tǒng)。啟明星辰信息安全認為，風險評估是風險管理的基石，安全管理監(jiān)控是風險管理的過程化實施。2022 年? 為貫徹落實 27 號文件精神，原國信辦組織有關(guān)單位和專家編寫了《信息安全風險評估指南》 。 北京啟明星辰信息安全技術(shù)有限公司在編寫該文檔的時候已盡最大努力保證其內(nèi)容準確可靠，但北京啟明星辰信息安全技術(shù)有限公司不對本文檔中的遺漏、不準確、或錯誤導致的損失和損害承擔責任。 ? 檢查評估 檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管機關(guān)或業(yè)務主管機關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息安全的重要措施。明確各類資產(chǎn)具備的保護價值和需要的保護層次，從而使組織更合理的利用現(xiàn)有資產(chǎn)，更有效地進行資產(chǎn)管理，更有針對性的進行資產(chǎn)保護，更有合理性的進行新的資產(chǎn)投入。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。通過對發(fā)現(xiàn)的問題和風險進行管理，并最優(yōu)化的方案建議，使客戶避免投入大量資源，但安全工作仍遲遲不見起色的現(xiàn)象。在上圖中的風險要素及屬性之間存在著以下關(guān)系：? 業(yè)務戰(zhàn)略的實現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風險越小；? 資產(chǎn)是有價值的，組織的業(yè)務戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；17 / 53? 風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風險越大，并可能演變成為安全事件；? 資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風險越大；? 脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；? 風險的存在及對風險的認識導出安全需求；? 安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；? 安全措施可抵御威脅，降低風險；? 殘余風險有些是安全措施不當或無效,需要加強才可控制的風險；而有些則是在綜合考慮了安全成本與效益后不去控制的風險；? 殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。. 滲透測試? 滲透測試，也叫白客攻擊測試，它是一種從攻擊者的角度來對主機系統(tǒng)的安全程度進行安全評估的手段，在對現(xiàn)有信息系統(tǒng)不造成任何損害的前提下，模擬入侵者對指定系統(tǒng)進行攻擊測試。人員安全管理評估? 評估內(nèi)容：人員安全管理包括信息系統(tǒng)用戶、安全管理人員和第三方人員的管理，覆蓋人員錄用、人員離崗、人員考核、安全意識教育和培訓、第三方人員管理等方面內(nèi)容。? 制定風險評估計劃風險評估計劃的目的是為后面的風險評估實施活動提供一個總體計劃，用于指導實施方開展后續(xù)工作。并為后續(xù)威脅分析及綜合風險分析提供參考數(shù)據(jù)。2. 階段服務內(nèi)容? 脆弱性識別脆弱性識別是風險評估中最重要的一個環(huán)節(jié)。1 很低 如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。2 低 一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決。3) 階段成果輸出：《服務驗收報告》32 / 53. 服務流程管理. 管理概述為確保服務的順利實施，需要一整套科學、有效的項目管理方法，對項目的目標、時間、成本、質(zhì)量等關(guān)鍵因素進行有效的控制，為項目中具體任務的開展提供支持和保障。啟明星辰解決方案為客戶的安全需求與信息安全產(chǎn)品、服務之間架起橋梁，將客戶的安全保障體系與信息安全核心技術(shù)緊密相連，幫助其建立完善的安全保障體系。在信息安全規(guī)劃過程中明確各種資源。對于特定的信息安全問題或風險，明確其所需要的行政或資金成本，才能對信息安全的建設(shè)進行有效的管理。36 / 53第 5 章 自 2022 年起，啟明星辰就持續(xù)保持國內(nèi)入侵檢測、漏洞掃描市場占有率第一。采用此方法對項目進行監(jiān)控與管理，能夠幫助項目經(jīng)理對項目整體進行最充分的全局把握，有效提高工作效率并且更易于進行項目質(zhì)量控制和項目風險管理。表93) 成果輸出： 《風險評估綜合報告》. 風險處置1) 服務目標風險處置目的是為風險管理過程中對不同風險的直觀比較，以確定組織安全策略。在這個過程中，將采用最新的方法進行綜合分析，表述出威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對策來防范威脅，減少脆弱性。脆弱性識別的依據(jù)可以是國際或國家安全標準，也可以是行業(yè)規(guī)范、應用流程的安全要求。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。? 獲得支持上述所有內(nèi)容確定后，應形成較為完整的風險評估實施方案，得到客戶管理者的支持、批準；對管理層和技術(shù)人員進行傳達，在組織范圍就風險評估相關(guān)內(nèi)容進行培訓，以明確有關(guān)人員在風險評估中的任務。因此，他們的知識結(jié)構(gòu)和工作能力直接影響到信息系統(tǒng)其他層面的安全。該方法也越來越受到國際/國內(nèi)信息安全業(yè)界的認可和重視。對進行收集文檔進行深入分析，梳理業(yè)務系統(tǒng)安全現(xiàn)狀。認識自身存在的脆弱性不足，能夠有目的性的進行補遺整改。對不可接受的風險應根據(jù)導致該風險的脆弱性制定風險處理計劃。作為風險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章 啟明星辰信息安全服務產(chǎn)品介紹. 服務產(chǎn)品概述 啟明星辰信息安全風險評估服務 信息安全風險永遠存在，安全產(chǎn)品不能解決所有的問題。4 / 53目錄第 1 章 風險評估的重要性 ..................................................................................................................5. 風險評估背景 ..............................................................................................................................5. 風險評估目的 ..............................................................................................................................6. 風險評估方式 ..............................................................................................................................7第 2 章 啟明星辰信息安全服務產(chǎn)品介紹 ..........................................................................................7. 服務產(chǎn)品概述 ..............................................................................................................................7. 服務產(chǎn)品功能 ..............................................................................................................................9. 資產(chǎn)評估 ............................................................................................................................9. 威脅評估 ..........................................................................................................................10. 脆弱性評估 ......................................................................................................................10. 風險綜合分析 ..................................................................................................................10. 風險處置計劃 ..................................................................................................................11. 服務產(chǎn)品交付 ............................................................................................................................12. 風險評估綜合報告 ..........................................................................................................12. 資產(chǎn)賦值列表 ..................................................................................................................12. 威脅賦值列表 ..................................................................................................................12. 脆弱性賦值列表 .............................................................................................................