风险评估流程及标准.ppt

ISO/IEC TR 13335 ISO/IEC TR 13335，即IT 安全管理指南（Guidelines for the Management of IT Security，GMITS），是由ISO/IEC JTC1 制定的技术报告，是一个信息安全管理方面的指导性标准，其目的是为有效实施IT 安全管理提供建议。 ISO/IEC TR 13335 分成5 个部分： * 国家标准《信息安全评估指南》－风险评估要素关系图 方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 * 国家标准《信息安全评估指南》－风险分析原理图 * 国家标准《信息安全评估指南》－风险评估实施流程图 * * * * * * * * * * 评估体系及相关 标准培训 * 安全评估体系及标准 安全评估服务体系 风险评估内容与过程 风险评估服务组件 ISO/IEC 17799(BS7799)、ISO/IEC TR 13335 国家标准《信息安全评估指南》 * 安全评估体系 基线安全评估 网络架构评估 业务系统评估 管理安全评估 安全风险评估 全面安全解决方案 （Total Solution） 安全咨询 安全加固 安全产品部署 安全培训 紧急响应 客户需求定制 * 安全评估组件的关系 安全风险 评估 安全体系 建设 安全规划 安全 策略 安全 解决方案 周期评估加固 安全项目建设 应急 响应 安全 培训 资产价值 * 安全评估服务体系 风险评估内容与过程 风险评估服务组件 公司介绍 成功案例介绍 * 威胁 影响 概率 弱点 价值 资产拥有者 信息资产 威胁来源 风险 后果 可能性 现有安全措施 影响 影响 半定量分析模型 * 安全风险评估组件 资产调查 基线安全评估 安 全 威 胁 评 估 工具扫描弱点 网络架构安全评估 业务系统安全评估 主机弱点人工评估 网络配置弱点评估 安全设备弱点评估 保 护 对 象 分 析 * 基线安全评估特点 是一种技术评估 操作最简单 内容最基础 历时最短 结果最直观 * 基线安全评估内容 基线安全评估 BaseLine Security Evaluation 工具扫描(Scanning) 登录检查(Login Check) Vulnerability(漏洞) Weak Pass(弱口令) Configuration(配置) Information(信息) Sharing(共享) Local Vul.(本地漏洞) Mechanism(安全机制) Foresic(入侵取证) * 工具扫描 扫描器终端 漏洞库升级 接入IP地址 交换机端口 电源网线 配合人员 扫描申请报告授权 范围列表 扫描范围核实 非业务高峰期 双机热备分开 拒绝服务项关闭 固定范围 准备阶段 扫描30-60分钟 风险规避 开始扫描 系统分类 现场培训 必威体育官网网址协议 * 登录检查 控制台操作 账号口令 配合人员 登录授权 范围选定 检查项审核 准备阶段 检查40-60分钟 风险规避 开始检查 现场培训 一人操作一人监督 检查项列表 操作记录 无写操作 必威体育官网网址协议 * 网络架构评估特点 技术+管理评估 过程复杂 内容广泛 历时较长 结果分定性与定量 * 网络架构评估内容 网 络 架 构 评 估 规范文档 网络拓扑 运行维护 数据安全 网络管理 产品部署 安全域划分 安全控制 运维管理 安全管理 应急管理 接入规范 日常维护 变更记录 密码策略 日志策略 审核策略 联系列表 应急流程 应急预案 * 网络架构评估方法 网络架构方面安全问题分为8个大类 每个类内容有3-5个子类 每个子类分为3-8个子项 每个子项分为5-15个知识点 根据稳定性、安全性、冗余性、扩展性、经济性、易于管理性共六项内容对每个知识点进行分配权重 按照可选、必选的规则 定义8大类的比重 进行综合加权评估 * 网络架构评估结果 网络安全状况分级 安全风险分布图表 最严重的安全问题列表 安全风险综述 * 业务系统评估特点 针对业务和应用 过程复杂 内容与业务关系密切 历时较长 结果定性 * 业务系统评估内容 IT 业 务 系 统 评 估 支撑系统 应用系统 前置系统 中间件 数据库 安全系统 管理安全 物理安全 业务相关性分析，根据信息 数据流向，对整个业务系统 进行综合评估。 * 管理安全评估特点 针对策略、流程、资产、人员管理 后续改善工作是持续的过程 内容广泛 历时较长 效果不直接 * 管理安全评估内容 IT管理安全评估 文档审计 顾问访谈 问卷调查 实地考察