风险评估流程及标准课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,.,*,评估体系及相关 标准培训,.,评估体系及相关 标准培训.,1,安全评估体系及标准,安全评估服务体系,风险评估内容与过程,风险评估服务组件,ISO/IEC,17799(BS7799),、,ISO/IEC TR 13335,国家标准,信息安全评估指南,.,安全评估体系及标准安全评估服务体系.,2,安全评估体系,基线安全评估,网络架构评估,业务系统评估,管理安全评估,安全风险评估,全面安全解决方案,（,Total Solution,）,安全咨询,安全加固,安全产品部署,安全培训,紧急响应,客户需求定制,.,安全评估体系基线安全评估网络架构评估业务系统评估管理安全评估,3,安全评估组件的关系,安全风险,评估,安全体系,建设,安全规划,安全,策略,安全,解决方案,周期评估加固,安全项目建设,应急,响应,安全,培训,资产价值,.,安全评估组件的关系安全风险 安全体系安全规划安全安全周期评估,4,安全评估服务体系,风险评估内容与过程,风险评估服务组件,公司介绍,成功案例介绍,.,安全评估服务体系.,5,威胁,影响,概率,弱点,价值,资产拥有者,信息资产,威胁来源,风险,后果,可能性,现有安全措施,影响,影响,半定量分析模型,.,威胁影响概率弱点价值资产拥有者信息资产威胁来源风险后果可能性,6,安全风险评估组件,资产调查,基线安全评估,安,全,威,胁,评,估,工具扫描弱点,网络架构安全评估,业务系统安全评估,主机弱点人工评估,网络配置弱点评估,安全设备弱点评估,保,护,对,象,分,析,.,安全风险评估组件资产调查基线安全评估安工具扫描弱点网络架构安,7,基线安全评估特点,是一种技术评估,操作最简单,内容最基础,历时最短,结果最直观,.,基线安全评估特点是一种技术评估.,8,基线安全评估内容,基线安全评估,BaseLine Security Evaluation,工具扫描,(Scanning),登录检查,(Login Check),Vulnerability(,漏洞,),Weak Pass(,弱口令,),Configuration(,配置,),Information(,信息,),Sharing(,共享,),Local Vul.(,本地漏洞,),Mechanism(,安全机制,),Foresic(,入侵取证,),.,基线安全评估内容基线安全评估工具扫描(Scanning)登录,9,工具扫描,扫描器终端,漏洞库升级,接入,IP,地址,交换机端口,电源网线,配合人员,扫描申请报告授权,范围列表,扫描范围核实,非业务高峰期,双机热备分开,拒绝服务项关闭,固定范围,准备阶段,扫描,30-60,分钟,风险规避,开始扫描,系统分类,现场培训,保密协议,.,工具扫描扫描器终端漏洞库升级接入IP地址交换机端口电源网线配,10,登录检查,控制台操作,账号口令,配合人员,登录授权,范围选定,检查项审核,准备阶段,检查,40-60,分钟,风险规避,开始检查,现场培训,一人操作一人监督,检查项列表,操作记录,无写操作,保密协议,.,登录检查控制台操作账号口令配合人员登录授权范围选定检查项审核,11,网络架构评估特点,技术,+,管理评估,过程复杂,内容广泛,历时较长,结果分定性与定量,.,网络架构评估特点技术+管理评估.,12,网络架构评估内容,网,络,架,构,评,估,规范文档,网络拓扑,运行维护,数据安全,网络管理,产品部署,安全域划分,安全控制,运维管理,安全管理,应急管理,接入规范,日常维护,变更记录,密码策略,日志策略,审核策略,联系列表,应急流程,应急预案,.,网络架构评估内容网规范文档网络拓扑运行维护数据安全网络管理产,13,网络架构评估方法,网络架构方面安全问题分为,8,个大类,每个类内容有,3-5,个子类,每个子类分为,3-8,个子项,每个子项分为,5-15,个知识点,根据,稳定性、安全性、冗余性、扩展性、经济性、易于管理性,共六项内容对每个知识点进行分配权重,按照可选、必选的规则,定义,8,大类的比重,进行综合加权评估,.,网络架构评估方法网络架构方面安全问题分为8个大类.,14,网络架构评估结果,网络安全状况分级,安全风险分布图表,最严重的安全问题列表,安全风险综述,.,网络架构评估结果网络安全状况分级.,15,业务系统评估特点,针对业务和应用,过程复杂,内容与业务关系密切,历时较长,结果定性,.,业务系统评估特点针对业务和应用.,16,业务系统评估内容,IT,业,务,系,统,评,估,支撑系统,应用系统,前置系统,中间件,数据库,安全系统,管理安全,物理安全,业务相关性分析，根据信息,数据流向，对整个业务系统,进行综合评估。,.,业务系统评估内容IT支撑系统应用系统前置系统中间件数据库安全,17,管理安全评估特点,针对策略、流程、资产、人员管理,后续改善工作是持续的过程,内容广泛,历时较长,效果不直接,.,管理安全评估特点针对策略、流程、资产、人员管理.,18,管理安全评估内容,IT,管理安全评估,文档审计,顾问访谈,问卷调查,实地考察,策略文档,资产管理,流程管理,规章制度,安全组织,策略发布,策略修订,入网流程,维护流程,备份流程,应急流程,资产统计,资产定级,资产维护,岗位职责,人员流动,登记制度,保密制度,.,管理安全评估内容IT管理安全评估文档审计顾问访谈问卷调查实地,19,项目的主要阶段,1,2,3,4,5,1-,项目准备与范围确定,项目计划项目组织结构、人员确认项目工作环境,Kick off,需求调研，背景讨论范围确定,2-,项目定义和蓝图,完成详细方案设计定义详细项目范围定义报告格式定义项目目标作好网络环境准备完成蓝图并与用户签署,3-,评估,资产调查,等级保护和分域保护,风险评估,资产管理和风险信息库,4-,综合评估阶段,网络风险评估报告,安全现状报告,数据导入信息库和整理,安全需求分析,5-,体系规划和策略方案阶段,安全体系设计、安全规划安全策略制定网络安全管理和技术解决方案,6,6-,支持和维护,培训漏洞跟踪售后服务电话热线支持售后服务,安全通告服务,评估方法介绍（）,风险评估方案的确定（）,甲方项目组各负责人根据提供的需要准备的各类资料进行准备（双方）,提交项目各阶段的报告模版并双方确认（双方）,以,kickoff meeting,为启动标志,之前做好会前沟通和准备。如：,评估设备范围整理（甲方）,双方项目组通讯录（甲方涉及到的各部门或者各业务系统的负责人）,实施计划草案,会上进行计划的确认,会后对于未确认问题最快速度确认,过程：,基础工作：资产调查,分,team,工作：顾问评估、专业安全评估,小组,group,工作：各,team,中又各分两个小组,顾问组,group A-,网络架构、安全设备评估,group B-,应用安全、策略及威胁评估,专业组：,工具小组,-,终端设备评估,人工小组,-,核心设备评估,方法：,资产评估（评估模型）,威胁评估（评估模型）,网络架构评估（网络架构、接入方式等）,安全设备评估（安全产品策略收集、防病毒部署等）,应用安全评估（业务流程、数据流、业务连续性等）,策略评估（文档格式、文档体系、文档内容,),安全审计（调查问卷）,方法：,根据蓝图规定，在综合了专业组和顾问组的评估成果基础上（评估记录单、问卷、访谈记录,),，完成综合的风险评估报告和现状报告,安全体系及建设规划建议报告,根据业务、设备等的评估结果安全体系框架设计报告,依据,ISO 17799,的安全管理标准,IT,保障框架,安全策略报告,安全建设方案建议报告,.,项目的主要阶段123451-项目准备与范围确定项目计划项,20,项目阶段和提交文档,1,2,3,5,6,项目计划,组织结构,项目人员,项目范围,需求调研,项目蓝图,安全风险评估报告,总体策略建议,安全漏洞跟踪、紧急响应、安全通告服务、日常安全信息库维护,安全策略评估报告,安全解决方案建议,客户安全现状,总体安全解决方案,4,BS7799,审计报告,安全策略建议,.,项目阶段和提交文档12356项目计划组织结构项目人员项目范围,21,安全评估服务体系,风险评估内容与过程,风险评估服务相关组件,公司介绍,成功案例介绍,.,安全评估服务体系.,22,安全培训,应急响应,Osstmm2.1,风险评估的跟进支持组件,time,cost,安全加固,安全信息通告,.,安全培训应急响应Osstmm2.1风险评估的跟进支持组件ti,23,网络优化方案及系统加固方案,根据规范及系统特点生成风险规避方案,提交实施申请方案,与用户确认,系统加固,同期记录,现场培训,二次评估确认,加固报告,启用风险规避方案,/,恢复,加固异常,继续加固,修改方案,放弃加固,实施加固,新加固方案,一切正常,安全加固流程图,安全加固服务流程,.,网络优化方案及系统加固方案根据规范及系统特点生成风险规避方案,24,安装安全补丁,安全配置,安全机制,文件系统,用户管理,网络及服务,其它配置文件,加密通信,数字签名,日志,/,备份,访问控制,安全设备策略定制,资料文档,现状记录及备份,系统加固阶段,.,安装安全补丁安全配置安全机制文件系统用户管理网络及服务其它配,25,紧急响应服务,准备,识别,抑制事态发展,恢复系统,提出解决方案,总结经验教训,.,紧急响应服务准备.,26,安全通告服务,系统地向用户传递最新安全技术和安全信息,.,安全通告服务系统地向用户传递最新安全技术和安全信息.,27,安全培训服务,安全管理培训,评估方法培训,安全审计培训,安全加固培训,定制培训,CISP,培训,.,安全培训服务安全管理培训.,28,遵循以下标准：,ISO 17799/BS7799,ISO 13335,GB,信息安全风险评估指南,.,遵循以下标准：.,29,ISO17799(BS7799),BS7799-1:1999,（即,ISO/IEC 17799:2000,），信息安全管理实施细则（,Code of Practice for Information Security Management,），从,10,个方面定义了,127,项控制措施，可供信息安全管理体系实施者参考使用，这,10,个方面是：,安全策略（,Security policy,）；,组织安全（,Organization security,）；,资产分类和控制（,Asset classification and control,）；,人员安全（,Personnel security,）；,物理和环境安全（,Physical and environmental security,）；,通信和操作管理（,Communication and operation management,）；,访问控制（,Access control,）；,系统开发和维护（,System development and maintenance,）；,业务连续性管理（,Business continuity management,）；,符合性（,Compliance,）。,.,ISO17799(BS7799)BS7799-1,30,BS7799-2,是建立信息安全管理系统（,ISMS,）的一套规范（,Specification for Information Security Management Systems,），其中详细说明了建立、实施和维护信息安全管理系统的要求，指出实施机构应该遵循的风险评估标准，当然，如果要得到,BSI,最终的认证（对依据,BS7799-2,建立的,ISMS,进行认证），还有一系列相应的注册认证过程。作为一套管理标准，,BS7799-2,指导相关人员怎样去应用,ISO/IEC 17799,，其最终目的，还在于建立适合企业需要的信息安全管理系统（,ISMS,）。,.,BS7799-2 是建立信息安全管理系统（ISMS）,31,ISO/IEC TR 13335,ISO/IEC