风险评估流程及标准演示文稿_第1页
风险评估流程及标准演示文稿_第2页
风险评估流程及标准演示文稿_第3页
风险评估流程及标准演示文稿_第4页
风险评估流程及标准演示文稿_第5页
已阅读5页,还剩29页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

风险评估流程及标准演示文稿现在是1页\一共有34页\编辑于星期四安全评估体系及标准安全评估服务体系风险评估内容与过程风险评估服务组件ISO/IEC

17799(BS7799)、ISO/IECTR13335国家标准《信息安全评估指南》现在是2页\一共有34页\编辑于星期四安全评估体系基线安全评估网络架构评估业务系统评估管理安全评估安全风险评估全面安全解决方案(TotalSolution)安全咨询安全加固安全产品部署安全培训紧急响应客户需求定制现在是3页\一共有34页\编辑于星期四安全评估组件的关系安全风险评估安全体系建设安全规划安全策略安全解决方案周期评估加固安全项目建设应急响应安全培训资产价值现在是4页\一共有34页\编辑于星期四安全评估服务体系风险评估内容与过程风险评估服务组件公司介绍成功案例介绍现在是5页\一共有34页\编辑于星期四威胁影响概率弱点价值资产拥有者信息资产威胁来源风险后果可能性现有安全措施影响影响半定量分析模型现在是6页\一共有34页\编辑于星期四安全风险评估组件资产调查基线安全评估安全威胁评估工具扫描弱点网络架构安全评估业务系统安全评估主机弱点人工评估网络配置弱点评估安全设备弱点评估保护对象分析现在是7页\一共有34页\编辑于星期四基线安全评估特点是一种技术评估操作最简单内容最基础历时最短结果最直观现在是8页\一共有34页\编辑于星期四基线安全评估内容基线安全评估BaseLineSecurityEvaluation工具扫描(Scanning)登录检查(LoginCheck)Vulnerability(漏洞)WeakPass(弱口令)Configuration(配置)Information(信息)Sharing(共享)LocalVul.(本地漏洞)Mechanism(安全机制)Foresic(入侵取证)现在是9页\一共有34页\编辑于星期四工具扫描扫描器终端漏洞库升级接入IP地址交换机端口电源网线配合人员扫描申请报告授权范围列表扫描范围核实非业务高峰期双机热备分开拒绝服务项关闭固定范围准备阶段扫描30-60分钟风险规避开始扫描系统分类现场培训保密协议现在是10页\一共有34页\编辑于星期四登录检查控制台操作账号口令配合人员登录授权范围选定检查项审核准备阶段检查40-60分钟风险规避开始检查现场培训一人操作一人监督检查项列表操作记录无写操作保密协议现在是11页\一共有34页\编辑于星期四网络架构评估特点技术+管理评估过程复杂内容广泛历时较长结果分定性与定量现在是12页\一共有34页\编辑于星期四网络架构评估内容网络架构评估规范文档网络拓扑运行维护数据安全网络管理产品部署安全域划分安全控制运维管理安全管理应急管理接入规范日常维护变更记录密码策略日志策略审核策略联系列表应急流程应急预案现在是13页\一共有34页\编辑于星期四网络架构评估方法网络架构方面安全问题分为8个大类每个类内容有3-5个子类每个子类分为3-8个子项每个子项分为5-15个知识点根据稳定性、安全性、冗余性、扩展性、经济性、易于管理性共六项内容对每个知识点进行分配权重按照可选、必选的规则定义8大类的比重进行综合加权评估现在是14页\一共有34页\编辑于星期四网络架构评估结果网络安全状况分级安全风险分布图表最严重的安全问题列表安全风险综述现在是15页\一共有34页\编辑于星期四业务系统评估特点针对业务和应用过程复杂内容与业务关系密切历时较长结果定性现在是16页\一共有34页\编辑于星期四业务系统评估内容IT业务系统评估支撑系统应用系统前置系统中间件数据库安全系统管理安全物理安全业务相关性分析,根据信息数据流向,对整个业务系统进行综合评估。现在是17页\一共有34页\编辑于星期四管理安全评估特点针对策略、流程、资产、人员管理后续改善工作是持续的过程内容广泛历时较长效果不直接现在是18页\一共有34页\编辑于星期四管理安全评估内容IT管理安全评估文档审计顾问访谈问卷调查实地考察策略文档资产管理流程管理规章制度安全组织策略发布策略修订入网流程维护流程备份流程应急流程资产统计资产定级资产维护岗位职责人员流动登记制度保密制度现在是19页\一共有34页\编辑于星期四项目的主要阶段123451-项目准备与范围确定

项目计划

项目组织结构、人员确认

项目工作环境

Kickoff

需求调研,背景讨论

范围确定2-项目定义和蓝图

完成详细方案设计

定义详细项目范围

定义报告格式

定义项目目标

作好网络环境准备

完成蓝图并与用户签署3-评估资产调查等级保护和分域保护风险评估资产管理和风险信息库4-综合评估阶段网络风险评估报告安全现状报告数据导入信息库和整理安全需求分析5-体系规划和策略方案阶段安全体系设计、安全规划

安全策略制定

网络安全管理和技术解决方案

66-支持和维护

培训

漏洞跟踪售后服务

电话热线支持

售后服务安全通告服务

评估方法介绍()风险评估方案的确定()甲方项目组各负责人根据提供的需要准备的各类资料进行准备(双方)提交项目各阶段的报告模版并双方确认(双方)以kickoffmeeting为启动标志之前做好会前沟通和准备。如:评估设备范围整理(甲方)双方项目组通讯录(甲方涉及到的各部门或者各业务系统的负责人)实施计划草案会上进行计划的确认会后对于未确认问题最快速度确认过程:基础工作:资产调查分team工作:顾问评估、专业安全评估小组group工作:各team中又各分两个小组顾问组groupA----网络架构、安全设备评估groupB----应用安全、策略及威胁评估专业组:工具小组----终端设备评估人工小组----核心设备评估方法:资产评估(评估模型)威胁评估(评估模型)网络架构评估(网络架构、接入方式等)安全设备评估(安全产品策略收集、防病毒部署等)应用安全评估(业务流程、数据流、业务连续性等)策略评估(文档格式、文档体系、文档内容)安全审计(调查问卷)方法:根据蓝图规定,在综合了专业组和顾问组的评估成果基础上(评估记录单、问卷、访谈记录),完成综合的风险评估报告和现状报告安全体系及建设规划建议报告根据业务、设备等的评估结果安全体系框架设计报告依据ISO17799的安全管理标准IT保障框架安全策略报告安全建设方案建议报告现在是20页\一共有34页\编辑于星期四项目阶段和提交文档12356项目计划组织结构项目人员项目范围需求调研项目蓝图安全风险评估报告总体策略建议安全漏洞跟踪、紧急响应、安全通告服务、日常安全信息库维护安全策略评估报告安全解决方案建议客户安全现状总体安全解决方案4BS7799审计报告安全策略建议现在是21页\一共有34页\编辑于星期四安全评估服务体系风险评估内容与过程风险评估服务相关组件公司介绍成功案例介绍现在是22页\一共有34页\编辑于星期四安全培训应急响应Osstmm2.1风险评估的跟进支持组件timecost安全加固安全信息通告现在是23页\一共有34页\编辑于星期四网络优化方案及系统加固方案根据规范及系统特点生成风险规避方案提交实施申请方案与用户确认系统加固同期记录现场培训二次评估确认加固报告启用风险规避方案/恢复加固异常继续加固修改方案放弃加固实施加固新加固方案一切正常安全加固流程图安全加固服务流程现在是24页\一共有34页\编辑于星期四安装安全补丁安全配置安全机制文件系统用户管理网络及服务其它配置文件加密通信数字签名日志/备份访问控制安全设备策略定制资料文档现状记录及备份系统加固阶段现在是25页\一共有34页\编辑于星期四紧急响应服务准备识别抑制事态发展恢复系统提出解决方案总结经验教训现在是26页\一共有34页\编辑于星期四安全通告服务系统地向用户传递最新安全技术和安全信息现在是27页\一共有34页\编辑于星期四安全培训服务安全管理培训评估方法培训安全审计培训安全加固培训定制培训CISP培训……现在是28页\一共有34页\编辑于星期四遵循以下标准:ISO17799/BS7799ISO13335GB《信息安全风险评估指南》现在是29页\一共有34页\编辑于星期四ISO17799(BS7799)BS7799-1:1999(即ISO/IEC17799:2000),信息安全管理实施细则(CodeofPracticeforInformationSecurityManagement),从10个方面定义了127项控制措施,可供信息安全管理体系实施者参考使用,这10个方面是:安全策略(Securitypolicy);组织安全(Organizationsecurity);资产分类和控制(Assetclassificationandcontrol);人员安全(Personnelsecurity);物理和环境安全(Physicalandenvironmentalsecurity);通信和操作管理(Communicationandoperationmanagement);访问控制(Accesscontrol);系统开发和维护(Systemdevelopmentandmaintenance);业务连续性管理(Businesscontinuitymanagement);符合性(Compliance)。现在是30页\一共有34页\编辑于星期四BS7799-2是建立信息安全管理系统(ISMS)的一套规范(SpecificationforInformationSecurityManagementSystems),其中详细说明了建立、实施和维护信息安全管理系统的要求,指出实施机构应该遵循的风险评估标准,当然,如果要得到BSI最终的认证(对依据BS7799-2建立的ISMS进行认证),还有一系列相应的注册认证过程。作为一套管理标准,BS7799-2指导相关人员怎样去应用ISO/IEC17799,其最终目的,还在于建立适合企业需要的信息安全管理系统(ISMS)。现在是31页\一共有34页\编辑于星期四ISO/IECTR13335ISO/IECTR13335,即IT安全管理指南(GuidelinesfortheManagementofITSecurity,GMITS),是由ISO/IECJTC1制定的技术报告,是一个信息安全管理方面的指导性标准,其目的是为有效实施IT安全管理提供建议。ISO/IECTR13335分成5个

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论