2008年审计教学研讨会邀请函.ppt
文本预览下载声明
全面风险评估实施中需要注意的问题 内容提要 明确风险评估的目的 确定清晰的评估范围 选择有效的评估手段 科学规范的计算方法 重点突出的风险分析 动态持续的风险评估 一、明确风险评估的目的 生命周期中的风险评估 信息安全生命周期(APDRR) 评估、防护、监测、响应、恢复 评估是安全保障体系的首要和必要组成部分 信息系统开发生命周期(SDLC) 规划/启动、设计/开发/采购、实施、运行/维护、废弃 评估是SDLC各个阶段的安全保障手段 一般的风险评估目的 组织自身的要求 了解和评价信息安全现状 提出信息系统的安全需求 选择最佳的风险控制措施 建立信息安全管理体系 制订有效的安全策略 法律规范的要求 信息系统安全域划分 信息系统安全等级保护 《国家信息化领导小组关于加强信息安全保障工作的意见》中办发[2003]27号 其他具体的风险评估目的 其他具体的评估目的 应用系统的风险 系统漏洞导致的风险 技术方面的安全问题 …… 风险评估方法 基线:标准 非正式:简单实用、针对 详细:全面、完整 综合:重点突出 二、确定清晰的评估范围 确定评估范围 评估范围内的所有业务和应用系统 评估边界资产(如硬件、软件、数据) 相关人员(各业务的系统用户和应用用户、项目组人员) 环境(如建筑、设备位置) 活动(如可对设备进行的操作及其权限等) 设备IP信息 风险评估内容 物理层:机房、设备、办公、线路、环境 网络层:架构安全、设备漏洞、设备配置缺陷 系统层:系统漏洞、配置缺陷 应用层:软件漏洞、安全功能缺陷 管理层:组织、策略、技术管理 三、选择有效的评估手段 主要评估手段 四、科学规范的计算方法 评估中涉及的算法 风险评估中的计算问题 资产评估 威胁评估 脆弱性评估 风险计算 R=F(A,T,V) 一致性要求 遵循同一计算准则 五、重点突出的风险分析 风险分析 风险分析:从业务和资产两个角度对所有风险进行结果判定、统计、分析,识别风险源,为下一步安全措施的选择提供依据。 极度风险、高风险SWOT分析。 六、动态持续的风险评估 动态持续的风险评估 风险评估的操作形式 自评估 委托评估 检查评估 周期性评估 风险的持续跟踪 总结 风险评估的定位 用户:根据自己的实际需求确定真正的评估目的; 评估者:根据用户的评估目的实施适当的评估方法。 * 绿盟科技 于慧龙 确定风险评估范围 资产识别与估价 威胁评估 脆弱性评估 风险分析 风险管理 威胁问卷调查 威胁顾问访谈 工具扫描 人工检查 渗透测试 网络架构分析 管理问卷调查 安全策略分析 管理顾问访谈 IDS取样分析 技术方面 工具漏洞扫描 人工安全检查 远程渗透测试 网络架构分析 IDS采样分析 管理方面 安全问卷调查 安全顾问访谈 安全策略分析 安全文档审核 谢 谢! *
显示全部