【正文】 評(píng)估和檢查評(píng)估可依托自身技術(shù)力量進(jìn)行，也可委托第三方機(jī)構(gòu)提供技術(shù)支持。 以上是《信息安全風(fēng)險(xiǎn)評(píng)估指南》的主要內(nèi)容 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 中國(guó)移動(dòng)風(fēng)險(xiǎn)自評(píng)估將向何處發(fā)展？ 風(fēng)險(xiǎn)自評(píng)估（ FUTURE？） 將風(fēng)險(xiǎn)評(píng)估和改進(jìn)融入到業(yè)務(wù)系統(tǒng)設(shè)計(jì)、產(chǎn)品開(kāi)發(fā)、入網(wǎng)測(cè)試和運(yùn)維工作中去，這是我們安全工作的目標(biāo)。 結(jié)合現(xiàn)有人員狀況和網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)復(fù)雜情況，需要將復(fù)雜的風(fēng)險(xiǎn)評(píng)估轉(zhuǎn)化為基線(xiàn)檢查，將技術(shù)要求較高的技術(shù)評(píng)估工具化、自動(dòng)化。為此，研究院從去年開(kāi)始每年滾動(dòng)立項(xiàng)進(jìn)行攻防平臺(tái)的開(kāi)發(fā)項(xiàng)目。 下面將簡(jiǎn)要介紹攻防平臺(tái)的定位 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 Managementlevel Security Controls Operationallevel Security Controls Technicallevel Security Controls FISMA Legislation High Level, Generalized, Information Security Requirements Federal Information Processing Standards FIPS 199: Information System Security Categorization FIPS 200: Minimum Information Security Requirements Information System Security Configuration Settings NIST, NSA, DISA, Vendors, Third Parties (., CIS) Checklists and Implementation Guidance 30,000 FT 15,000 FT 5,000 FT Hands On FISMA Compliance Model 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 Asset Management Vulnerability Management Configuration Management Integrating IT and IT Security Through SCAP Misconfiguration CVE CPE XCCDF CCE SCAP OVAL CVSS 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 攻防平臺(tái)項(xiàng)目背景 專(zhuān)有重要系統(tǒng)評(píng)估需求 專(zhuān)有重要系統(tǒng)包括基礎(chǔ)網(wǎng)絡(luò)，重要基礎(chǔ)業(yè)務(wù)，新網(wǎng)絡(luò)業(yè)務(wù)等需要預(yù)先通過(guò)黑客視角檢查安全漏洞、配置安全性和協(xié)議健壯性。 新網(wǎng)絡(luò)業(yè)務(wù)上線(xiàn)前，需要在實(shí)驗(yàn)室對(duì)基本的攻擊手法進(jìn)行檢驗(yàn)。 安全預(yù)警需求 安全預(yù)警和應(yīng)急響應(yīng)密切相關(guān)，對(duì)中國(guó)移動(dòng)自有業(yè)務(wù)進(jìn)行分析，結(jié)合互聯(lián)網(wǎng)發(fā)布的漏洞建立數(shù)據(jù)倉(cāng)庫(kù)，有利于對(duì)新攻擊手段和方法進(jìn)行提前的預(yù)警，并根據(jù)特征提供應(yīng)急響應(yīng)方法。 攻防平臺(tái) 去年，研究院開(kāi)展了安全攻防平臺(tái)（一期）的研發(fā)工作。該項(xiàng)目對(duì) IMS系統(tǒng)進(jìn)行了專(zhuān)項(xiàng)評(píng)估和漏洞挖掘，對(duì) 30多個(gè)高危漏洞進(jìn)行了驗(yàn)證并提供了利用代碼，對(duì)掃描器漏洞掃描準(zhǔn)確性進(jìn)行了改進(jìn)，項(xiàng)目取得了顯著的成果。 今年，集團(tuán)安全工作的指導(dǎo)思想是“預(yù)防為主，及時(shí)發(fā)現(xiàn)，快速響應(yīng)，確保恢復(fù)”，為貫徹該思想，在攻防平臺(tái)（一期）基礎(chǔ)上，我們開(kāi)始“安全漏洞及配置聯(lián)動(dòng)系統(tǒng)研發(fā)”（即攻防平臺(tái)二期）項(xiàng)目。該項(xiàng)目今年的研發(fā)方向?qū)募訌?qiáng)專(zhuān)有重要系統(tǒng)評(píng)估（日常和實(shí)驗(yàn)室）自動(dòng)化工具手段建設(shè)和提高安全監(jiān)控預(yù)警的能力兩個(gè)方面入手，提高研究院安全整體工作能力，打造安全團(tuán)隊(duì)。 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 目標(biāo)定位 目標(biāo)定位 提供一個(gè)實(shí)驗(yàn)室攻防演練、系統(tǒng)入網(wǎng)檢查和安全評(píng)估工具 提供一個(gè)面向基層運(yùn)維人員的、對(duì)于重要業(yè)務(wù)系統(tǒng)提供自動(dòng)化安全評(píng)估 /檢查以及脆弱性驗(yàn)證的平臺(tái)。 項(xiàng)目開(kāi)展方法 與現(xiàn)網(wǎng)運(yùn)維密切貼合，深入分析安全運(yùn)維操作需求 與現(xiàn)網(wǎng)評(píng)估密切結(jié)合，加強(qiáng)支撐安全評(píng)估技術(shù)手段 面向?qū)ο? 面向現(xiàn)網(wǎng)運(yùn)維環(huán)境 面向一線(xiàn)維護(hù)人員 面向安全評(píng)估專(zhuān)家 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 二期框架體系 規(guī)范制定機(jī)構(gòu) 規(guī)范和標(biāo)準(zhǔn) 漏洞相關(guān) 自動(dòng)化檢查模塊 技術(shù)規(guī)范 CHECKLISTS 配置相關(guān) 運(yùn)維規(guī)范 管理規(guī)范 安全標(biāo)準(zhǔn) 漏洞掃描 配置核查 CMCVE 。 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 平臺(tái)工作流程 專(zhuān)家人工挖掘未知漏洞 驗(yàn)證 漏洞庫(kù) 掃描策略 漏洞掃描 驗(yàn)證 手工驗(yàn)證 自動(dòng)驗(yàn)證 評(píng)估 SOC/EMOS/ISMP 修復(fù) 基線(xiàn)規(guī)范 配置核查 二次評(píng)估 ?采用掃描后進(jìn)一步驗(yàn)證的順序，逐級(jí)確定漏洞的真實(shí)性 ?采用模塊化的設(shè)計(jì)，方便的進(jìn)行工具集的拓展和延伸 ?自動(dòng)化的手段與人工參與相結(jié)合 ?通過(guò)對(duì)配置安全性和漏洞檢驗(yàn)更加準(zhǔn)確的定位安全風(fēng)險(xiǎn) 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 攻防平臺(tái)的先進(jìn)性保障 充分發(fā)揮研究院預(yù)研優(yōu)勢(shì) 研究院作為中國(guó)移動(dòng)新技術(shù)的研究單位具備對(duì)規(guī)范的先期評(píng)估的優(yōu)勢(shì)，在規(guī)范研究階段就開(kāi)始了對(duì)風(fēng)險(xiǎn)的分析和論證 與制造廠家交流和共同探索過(guò)程中，對(duì)產(chǎn)品的開(kāi)發(fā)過(guò)程進(jìn)行了風(fēng)險(xiǎn)控制 入網(wǎng)前的漏洞挖掘工作可以充分分析新技術(shù)中的實(shí)現(xiàn)漏洞和配置脆弱性 形成自動(dòng)化的工具便于一線(xiàn)運(yùn)維人員的日常評(píng)估檢查 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 風(fēng)險(xiǎn)分析在規(guī)范制定和系統(tǒng)上線(xiàn)中的體現(xiàn) 殘余 風(fēng)險(xiǎn) 評(píng) 估 措施 選擇 威 脅 分析 安全 論證 安全 規(guī) 范 產(chǎn) 品 安全 測(cè)試 安全 測(cè)試論證 部分 存在不可接受風(fēng)險(xiǎn) 產(chǎn)品入網(wǎng)測(cè)試 對(duì)應(yīng)規(guī)范要求 安全分析 論證 部分 會(huì)簽 對(duì)規(guī)范中安全部分內(nèi)容進(jìn)行最終的審查控制 通過(guò)郵件方式進(jìn)行預(yù)審 研究院研發(fā)流程 中國(guó)移動(dòng)技術(shù)創(chuàng)新引擎 內(nèi)部資料 注意保密 總結(jié) 風(fēng)險(xiǎn)評(píng)估是指導(dǎo)網(wǎng)絡(luò)與信息安全規(guī)劃建設(shè)的有效手段，通過(guò)對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)確定風(fēng)險(xiǎn)的價(jià)值，從而進(jìn)行適度合理的保護(hù) 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中主觀性是不可避免的，我們所要做的是盡量減少人為主觀性。（馮登國(guó) 《風(fēng)險(xiǎn)評(píng)估綜述》） 將風(fēng)險(xiǎn)評(píng)估融入到系統(tǒng)的生命周期中，是我們正在實(shí)施和探索的方向。 利用好風(fēng)險(xiǎn)評(píng)估，確保網(wǎng)絡(luò)信息安全！ Thank You! 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH