【正文】 ,全面負(fù)責(zé)奧運(yùn)會主體網(wǎng)絡(luò)系統(tǒng)的安全保障，得到了國家主管部門的大力嘉獎。? 《服務(wù)溝通計劃》服務(wù)進(jìn)度管理 ? 通過制定項(xiàng)目整體工作計劃、雙周工作計劃并落實(shí)持續(xù)有效的進(jìn)度監(jiān)控機(jī)制，及時? 《服務(wù)實(shí)施計劃》33 / 53掌握項(xiàng)目進(jìn)度狀態(tài)及趨勢，發(fā)現(xiàn)重大進(jìn)度問題，為項(xiàng)目決策和協(xié)調(diào)提供支持。安全措施的選擇應(yīng)從管理與技術(shù)兩個方面考慮。? 風(fēng)險評價將估計的風(fēng)險與風(fēng)險準(zhǔn)則比較確定風(fēng)險的嚴(yán)重性。? 人工審計? 工具掃描? 滲透測試業(yè)務(wù)流程? 業(yè)務(wù)數(shù)據(jù)流向（輸入、傳輸、存儲、輸出）業(yè)務(wù)策略（業(yè)務(wù)要求、使用范圍、安全等級）業(yè)務(wù)實(shí)現(xiàn)方式、業(yè)務(wù)安全要求、各時段業(yè)務(wù)負(fù)載量、授權(quán)和認(rèn)證、審計、加密、完整性、不可否認(rèn)性等進(jìn)行業(yè)務(wù)流程評估。威脅識別方法列表如下：編號 威脅識別 方法描述1 訪談 ? 通過和資產(chǎn)所有人、負(fù)責(zé)管理人員進(jìn)行訪談2 人工分析 ? 根據(jù)專家經(jīng)驗(yàn)，從已知的數(shù)據(jù)中進(jìn)行分析3 IDS ? 通過入侵監(jiān)測系統(tǒng)在一段時間內(nèi)監(jiān)視網(wǎng)絡(luò)上的安全事件來獲得數(shù)據(jù)4 人工審計 ? 通過人工審計方法來測試弱點(diǎn)，證實(shí)威脅5 安全策略文檔分析 ? 安全策略文檔分析6 安全審計 ? 通過一套審計問題列表問答的方式來分析弱點(diǎn)7 事件記錄 ? 對已有歷史安全事件記錄進(jìn)行分析表5? 威脅分析在威脅識別的基礎(chǔ)上，進(jìn)一步分析被評估信息系統(tǒng)及其關(guān)鍵資產(chǎn)將面臨哪一方面的威脅及其所采用的威脅方法。并進(jìn)行賦值量化。系統(tǒng)運(yùn)維各個方面都直接關(guān)系到相關(guān)安全控制技術(shù)的正確、安全配置和合理使用。.. 服務(wù)評估范圍. 技術(shù)評估評估類型 評估范圍物理環(huán)境評估? 評估對象：物理環(huán)境基礎(chǔ)設(shè)施? 評估內(nèi)容：從機(jī)房場地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識別評估。人工評估完成后將產(chǎn)生人工評估報告，也將作為整體的安全評估報告的一個重要的來源和依據(jù)。? 通過對網(wǎng)絡(luò)與信息系統(tǒng)漏洞產(chǎn)生的威脅進(jìn)行分析，能夠提供有效的安全加固和改進(jìn)措施建議。. 服務(wù)產(chǎn)品交付資 產(chǎn) 評 估 《 資 產(chǎn) 賦 值 列 表 》 《 威 脅 賦 值 列 表 》 《 脆 弱 性 賦 值 列 表 》 《 風(fēng) 險 評 估 綜 合 報 告 》 《 風(fēng) 險 處 置 計 劃 》威 脅 評 估 脆 弱 性 評 估 風(fēng) 險 綜 合 分 析 風(fēng) 險 處 置 計 劃圖3. 風(fēng)險評估綜合報告主體報告，描述被評估信息系統(tǒng)得信息安全現(xiàn)狀，對評估范圍內(nèi)的業(yè)務(wù)資產(chǎn)進(jìn)行風(fēng)險分析，明確出威脅源采用何種威脅方法，利用了哪些脆弱性，對范圍內(nèi)的哪些資產(chǎn)產(chǎn)生了什么影響，采取何種對策進(jìn)行防范威脅，減少脆弱性；并對風(fēng)險評估作出總結(jié)，總結(jié)出哪些問題需要當(dāng)前解決，哪些問題可以分步分期解決。. 脆弱性評估脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn)，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。啟明星辰信息安全認(rèn)為，風(fēng)險評估是風(fēng)險管理的基石，安全管理監(jiān)控是風(fēng)險管理的過程化實(shí)施。2022 年? 為貫徹落實(shí) 27 號文件精神，原國信辦組織有關(guān)單位和專家編寫了《信息安全風(fēng)險評估指南》 。 北京啟明星辰信息安全技術(shù)有限公司在編寫該文檔的時候已盡最大努力保證其內(nèi)容準(zhǔn)確可靠，但北京啟明星辰信息安全技術(shù)有限公司不對本文檔中的遺漏、不準(zhǔn)確、或錯誤導(dǎo)致的損失和損害承擔(dān)責(zé)任。 ? 檢查評估 檢查評估則通常是被評估信息系統(tǒng)的擁有者的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的，具有強(qiáng)制意味的檢查活動，是通過行政手段加強(qiáng)信息安全的重要措施。明確各類資產(chǎn)具備的保護(hù)價值和需要的保護(hù)層次，從而使組織更合理的利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對性的進(jìn)行資產(chǎn)保護(hù)，更有合理性的進(jìn)行新的資產(chǎn)投入。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。通過對發(fā)現(xiàn)的問題和風(fēng)險進(jìn)行管理，并最優(yōu)化的方案建議，使客戶避免投入大量資源，但安全工作仍遲遲不見起色的現(xiàn)象。在上圖中的風(fēng)險要素及屬性之間存在著以下關(guān)系：? 業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對資產(chǎn)具有依賴性，依賴程度越高，要求其風(fēng)險越?。? 資產(chǎn)是有價值的，組織的業(yè)務(wù)戰(zhàn)略對資產(chǎn)的依賴程度越高，資產(chǎn)價值就越大；17 / 53? 風(fēng)險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險越大，并可能演變成為安全事件；? 資產(chǎn)的脆弱性可能暴露資產(chǎn)的價值，資產(chǎn)具有的脆弱性越多則風(fēng)險越大；? 脆弱性是未被滿足的安全需求，威脅利用脆弱性危害資產(chǎn)；? 風(fēng)險的存在及對風(fēng)險的認(rèn)識導(dǎo)出安全需求；? 安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實(shí)施成本；? 安全措施可抵御威脅，降低風(fēng)險；? 殘余風(fēng)險有些是安全措施不當(dāng)或無效,需要加強(qiáng)才可控制的風(fēng)險；而有些則是在綜合考慮了安全成本與效益后不去控制的風(fēng)險；? 殘余風(fēng)險應(yīng)受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件。. 滲透測試? 滲透測試，也叫白客攻擊測試，它是一種從攻擊者的角度來對主機(jī)系統(tǒng)的安全程度進(jìn)行安全評估的手段，在對現(xiàn)有信息系統(tǒng)不造成任何損害的前提下，模擬入侵者對指定系統(tǒng)進(jìn)行攻擊測試。人員安全管理評估? 評估內(nèi)容：人員安全管理包括信息系統(tǒng)用戶、安全管理人員和第三方人員的管理，覆蓋人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、第三方人員管理等方面內(nèi)容。? 制定風(fēng)險評估計劃風(fēng)險評估計劃的目的是為后面的風(fēng)險評估實(shí)施活動提供一個總體計劃，用于指導(dǎo)實(shí)施方開展后續(xù)工作。并為后續(xù)威脅分析及綜合風(fēng)險分析提供參考數(shù)據(jù)。2. 階段服務(wù)內(nèi)容? 脆弱性識別脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。1 很低 如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。2 低 一旦發(fā)生造成的影響程度較低，一般僅限于組織內(nèi)部，通過一定手段很快能解決。3) 階段成果輸出：《服務(wù)驗(yàn)收報告》32 / 53. 服務(wù)流程管理. 管理概述為確保服務(wù)的順利實(shí)施，需要一整套科學(xué)、有效的項(xiàng)目管理方法，對項(xiàng)目的目標(biāo)、時間、成本、質(zhì)量等關(guān)鍵因素進(jìn)行有效的控制，為項(xiàng)目中具體任務(wù)的開展提供支持和保障。啟明星辰解決方案為客戶的安全需求與信息安全產(chǎn)品、服務(wù)之間架起橋梁，將客戶的安全保障體系與信息安全核心技術(shù)緊密相連，幫助其建立完善的安全保障體系。在信息安全規(guī)劃過程中明確各種資源。對于特定的信息安全問題或風(fēng)險，明確其所需要的行政或資金成本，才能對信息安全的建設(shè)進(jìn)行有效的管理。36 / 53第 5 章 自 2022 年起，啟明星辰就持續(xù)保持國內(nèi)入侵檢測、漏洞掃描市場占有率第一。采用此方法對項(xiàng)目進(jìn)行監(jiān)控與管理，能夠幫助項(xiàng)目經(jīng)理對項(xiàng)目整體進(jìn)行最充分的全局把握，有效提高工作效率并且更易于進(jìn)行項(xiàng)目質(zhì)量控制和項(xiàng)目風(fēng)險管理。表93) 成果輸出： 《風(fēng)險評估綜合報告》. 風(fēng)險處置1) 服務(wù)目標(biāo)風(fēng)險處置目的是為風(fēng)險管理過程中對不同風(fēng)險的直觀比較，以確定組織安全策略。在這個過程中，將采用最新的方法進(jìn)行綜合分析，表述出威脅源采用何種威脅方法，利用了系統(tǒng)的何種脆弱性，對哪一類資產(chǎn)，產(chǎn)生了什么樣的影響，并描述采取何種對策來防范威脅，減少脆弱性。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。根據(jù)威脅的動機(jī)，人為因素又可分為惡意和非惡意兩種。? 獲得支持上述所有內(nèi)容確定后，應(yīng)形成較為完整的風(fēng)險評估實(shí)施方案，得到客戶管理者的支持、批準(zhǔn)；對管理層和技術(shù)人員進(jìn)行傳達(dá)，在組織范圍就風(fēng)險評估相關(guān)內(nèi)容進(jìn)行培訓(xùn)，以明確有關(guān)人員在風(fēng)險評估中的任務(wù)。因此，他們的知識結(jié)構(gòu)和工作能力直接影響到信息系統(tǒng)其他層面的安全。該方法也越來越受到國際/國內(nèi)信息安全業(yè)界的認(rèn)可和重視。對進(jìn)行收集文檔進(jìn)行深入分析，梳理業(yè)務(wù)系統(tǒng)安全現(xiàn)狀。認(rèn)識自身存在的脆弱性不足，能夠有目的性的進(jìn)行補(bǔ)遺整改。對不可接受的風(fēng)險應(yīng)根據(jù)導(dǎo)致該風(fēng)險的脆弱性制定風(fēng)險處理計劃。作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章第 2 章 啟明星辰信息安全服務(wù)產(chǎn)品介紹. 服務(wù)產(chǎn)品概述 啟明星辰信息安全風(fēng)險評估服務(wù) 信息安全風(fēng)險永遠(yuǎn)存在，安全產(chǎn)品不能解決所有的問題。4 / 53目錄第 1 章 風(fēng)險評估的重要性 ..................................................................................................................5. 風(fēng)險評估背景 ..............................................................................................................................5. 風(fēng)險評估目的 ..............................................................................................................................6. 風(fēng)險評估方式 ..............................................................................................................................7第 2 章 啟明星辰信息安全服務(wù)產(chǎn)品介紹 ..........................................................................................7. 服務(wù)產(chǎn)品概述 ..............................................................................................................................7. 服務(wù)產(chǎn)品功能 ..............................................................................................................................9. 資產(chǎn)評估 ............................................................................................................................9. 威脅評估 ..........................................................................................................................10. 脆弱性評估 ......................................................................................................................10. 風(fēng)險綜合分析 ..................................................................................................................10. 風(fēng)險處置計劃 ..................................................................................................................11. 服務(wù)產(chǎn)品交付 ............................................................................................................................12. 風(fēng)險評估綜合報告 ..........................................................................................................12. 資產(chǎn)賦值列表 ..................................................................................................................12. 威脅賦值列表 ..................................................................................................................12. 脆弱性賦值列表 .............................................................................................................