【正文】 估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時(shí)，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。 ? 建議方法 ? 委托風(fēng)險(xiǎn)評估服務(wù)技術(shù)支持方實(shí)施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識(shí)技能及業(yè)務(wù)了解的限制，對被評估系統(tǒng)的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。但由于引入第三方本身就是一個(gè)風(fēng)險(xiǎn)因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進(jìn)行控制。 100 風(fēng)險(xiǎn)評估的工作形式 — 檢查評估 ?檢查評估 ? 是指信息系統(tǒng)上級管理部門組織的或國家有關(guān)職能部門依法開展的風(fēng)險(xiǎn)評估。 ?優(yōu)點(diǎn)： ? 最具權(quán)威性。 ? 通過行政手段加強(qiáng)信息安全的重要措施。 ?缺點(diǎn)： ? 間隔時(shí)間較長，一般是抽樣進(jìn)行，難于貫穿信息系統(tǒng)的生命周期。 101 （四）風(fēng)險(xiǎn)評估工具 ?風(fēng)險(xiǎn)評估與管理工具 ? 一套集成了風(fēng)險(xiǎn)評估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對輸入輸出進(jìn)行模型分析。 ?系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評估工具 ? 主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓簟? ?風(fēng)險(xiǎn)評估輔助工具 ? 實(shí)現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評估各要素的賦值、定級提供依據(jù)。 102 知識(shí)域：信息安全風(fēng)險(xiǎn)評估實(shí)踐 ?知識(shí)子域：風(fēng)險(xiǎn)分析實(shí)例 ? 了解典型信息系統(tǒng)風(fēng)險(xiǎn)評估實(shí)踐過程 103 評估依據(jù) 國家標(biāo)準(zhǔn)規(guī)范 XX行業(yè)安全要求 GB/T 202742023 信息系統(tǒng)安全保障評估框架 GB/T 209842023 信息安全風(fēng)險(xiǎn)評估規(guī)范 GB/T 183362023 信息技術(shù)安全性評估準(zhǔn)則 xx系統(tǒng)網(wǎng)絡(luò)與信息安全管理崗位及其職責(zé)（試行稿） xx系統(tǒng)網(wǎng)絡(luò)與信息安全總體策略 xx系統(tǒng)網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評估工作管理規(guī)定（試行稿） xx系統(tǒng)電子數(shù)據(jù)處理管理辦法（試行） 首期網(wǎng)絡(luò)與信息安全防護(hù)體系運(yùn)行管理辦法 104 評估范圍 被評估單位選擇 ? 本次風(fēng)險(xiǎn)評估工作的對象為省級國家 xx局及其兩個(gè)下屬的地市級國家 xx局的信息系統(tǒng) 105 直轄市： 市國家 xx局 +區(qū)國家 xx局 北京市 x局 海淀區(qū) x局 省級： 省國家 xx局 +2地市 x局 浙江省 x局 杭州市 x局 XX市 x局 單列市： 市國家 xx局 寧波市 x局 105 評估范圍 評估對象選擇 106 基礎(chǔ)網(wǎng)絡(luò)與物理環(huán)境 內(nèi)網(wǎng)應(yīng)用 橫向連接區(qū)域 內(nèi)部業(yè)務(wù) 互聯(lián)網(wǎng)服務(wù) 106 評估范圍 評估內(nèi)容 信息資產(chǎn) 數(shù)據(jù)系統(tǒng) 主機(jī) 系統(tǒng) 安全系統(tǒng) 應(yīng)用支撐系統(tǒng) 應(yīng)用系統(tǒng) 基礎(chǔ)網(wǎng)絡(luò)與物理環(huán)境 業(yè)務(wù)系統(tǒng) 安全管理 107 實(shí)施內(nèi)容 — 評估準(zhǔn)備 ? 成立風(fēng)險(xiǎn)評估團(tuán)隊(duì) ? 形成風(fēng)險(xiǎn)評估方案： 《 xx信息系統(tǒng)風(fēng)險(xiǎn)評估技術(shù)方案 》 ? 形成統(tǒng)一的評估方法：檢測工具集和測試用例庫集成，評估標(biāo)準(zhǔn)、規(guī)范的學(xué)習(xí)工作。 ? 確定評估范圍：以 《 xx信息系統(tǒng)風(fēng)險(xiǎn)評估技術(shù)方案 》 為指導(dǎo)，與被評估單位協(xié)商確定此次風(fēng)險(xiǎn)評估的范圍。 ? 熟悉評估的內(nèi)容和環(huán)境 ? 確認(rèn)評估保障條件 108 108 實(shí)施評估 現(xiàn)場信息獲取 ? 現(xiàn)場評估啟動(dòng)會(huì)議 ? 資產(chǎn)識(shí)別 ? 威脅識(shí)別 ? 物理環(huán)境脆弱性評估 ? 網(wǎng)絡(luò)脆弱性識(shí)別 ? 系統(tǒng)脆弱性識(shí)別 ? 管理脆弱性評估 ? 滲透測試 ? 確認(rèn)現(xiàn)場評估結(jié)果 109 109 實(shí)施評估 風(fēng)險(xiǎn)計(jì)算 ?業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)關(guān)聯(lián)值 Fn=業(yè)務(wù)系統(tǒng)脆弱性值 V*業(yè)務(wù)系統(tǒng)威脅值 T ?單一資產(chǎn)的風(fēng)險(xiǎn)值 Rn=業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)關(guān)聯(lián)值 Fn*單一資產(chǎn)值 An ?業(yè)務(wù)的風(fēng)險(xiǎn)值 R=單一資產(chǎn)風(fēng)險(xiǎn)值累加平均值 Rn 等級 標(biāo)識(shí) 風(fēng)險(xiǎn)定義 區(qū)間劃分 5 很高 風(fēng)險(xiǎn)很高 ， 導(dǎo)致系統(tǒng)受到非常嚴(yán)重影響 60007000 4 高 風(fēng)險(xiǎn)高 ， 導(dǎo)致系統(tǒng)受到嚴(yán)重影響 50006000 3 中 風(fēng)險(xiǎn)中 ， 導(dǎo)致系統(tǒng)受到較重影響的 40005000 2 低 風(fēng)險(xiǎn)低 ， 導(dǎo)致系統(tǒng)受到一般影響 20234000 1 很低 風(fēng)險(xiǎn)很低 ， 導(dǎo)致系統(tǒng)受到較小影響 02023 110 風(fēng)險(xiǎn)列表 111 0 500 1000 1500 2023 2500 3000 3500 4000 4500 外門戶網(wǎng)站系統(tǒng)網(wǎng)上申報(bào)系統(tǒng)網(wǎng)上認(rèn)證系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)XX 系統(tǒng)3916 4292 3852 4261 1923 3921 3986 1654 業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)統(tǒng)計(jì)圖 實(shí)施評估 風(fēng)險(xiǎn)處置建議 112 實(shí)施內(nèi)容 — 評估的具體方法 ? 調(diào)查問卷 ? 人員訪談 ? 脆弱性分析 ? 系統(tǒng)配置核查 ? 滲透性測試 ? 評估工具 113 規(guī)避風(fēng)險(xiǎn)評估工作帶來的新風(fēng)險(xiǎn) 可 能 事 件 影響屬性 威脅程度 應(yīng)對措施 內(nèi)部信息外泄 保密性 高 評估機(jī)構(gòu)資質(zhì)、法律保證、評估過程控制（如：核心部分不離開用戶單位） 評估結(jié)果的有效性 可用性 中 評估機(jī)構(gòu)資質(zhì)、評估人員資質(zhì)、案例經(jīng)驗(yàn) 評估結(jié)果的準(zhǔn)確性 完整性 可用性 中 評估標(biāo)準(zhǔn)、人員能力、案例經(jīng)驗(yàn) 占用大量用戶時(shí)間 可用性 低 成熟、量化的調(diào)查模式 安全檢測意外中斷業(yè)務(wù) 完整性 可用性 高 人員資質(zhì)、測試環(huán)境、應(yīng)急計(jì)劃、恢復(fù)演練 安全測試影響這正常業(yè)務(wù) （如：網(wǎng)絡(luò)、主機(jī)的可用性） 可用性 高 錯(cuò)開業(yè)務(wù)高峰、提高檢測命中率 滲透測試影響正常業(yè)務(wù) 可用性 高 人員能力、黑白兼顧、應(yīng)急預(yù)案和演 練 其他可能意外原因 應(yīng)急小組 7 24支持 114 謝謝，請?zhí)釂栴}！ 靜夜四無鄰，荒居舊業(yè)貧。 , January 23, 2023 雨中黃葉樹，燈下白頭人。 20:29:3320:29:3320:291/23/2023 8:29:33 PM 1以我獨(dú)沈久，愧君相見頻。 :29:3320:29Jan2323Jan23 1故人江海別，幾度隔山川。 20:29:3320:29:3320:29Monday, January 23, 2023 1乍見翻疑夢，相悲各問年。 :29:3320:29:33January 23, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 2023年 1月 23日星期一 下午 8時(shí) 29分 33秒 20:29: 1比不了得就不比，得不到的就不要。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1行動(dòng)出成果，工作出財(cái)富。 2023年 1月 23日星期一 8時(shí) 29分 33秒 20:29:3323 January 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 下午 8時(shí) 29分 33秒 下午 8時(shí) 29分 20:29: 沒有失敗，只有暫時(shí)停止成功！。 , January 23, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 20:29:3320:29:3320:291/23/2023 8:29:33 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 :29:3320:29Jan2323Jan23 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 20:29:3320:29:3320:29Monday, January 23, 2023 1不知香積寺，數(shù)里入云峰。 :29:3320:29:33January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 1月 23日星期一 下午 8時(shí) 29分 33秒 20:29: 1楚塞三湘接，荊門九派通。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 2023年 1月 23日星期一 8時(shí) 29分 33秒 20:29:3323 January 2023 1空山新雨后，天氣晚來秋。 下午 8時(shí) 29分 33秒 下午 8時(shí) 29分 20:29: 楊柳散和風(fēng)，青山澹吾慮。 , January 23, 2023 閱讀一切好書如同和過去最杰出的人談話。 20:29:3320:29:3320:291/23/2023 8:29:33 PM 1越是沒有本領(lǐng)的就越加自命不凡。 :29:3320:29Jan2323Jan23 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 20:29:3320:29:3320:29Monday, January 23, 2023 1知人者智，自知者明。勝人者有力，自勝者強(qiáng)。 :29:3320:29:33January 23, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 1月 23日星期一 下午 8時(shí) 29分 33秒 20:29: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 1月 下午 8時(shí) 29分 :29January 23, 2023 1業(yè)余生活要有意義，不要越軌。 2023年 1月 23日星期一 8時(shí) 29分 33秒 20:29:3323 January 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 下午 8時(shí) 29分 33秒 下午 8時(shí) 29分 20:29: MOMODA POWERPOINT Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus. 感謝您的下載觀看 專家告訴