风险评估流程及标准

4
5
6
安全需求分析
售后服务
安全通告服务
项目阶段和提交文档
1
项目计 划 组织结 构 项目人 员 项目范 围
2
需求调研
3
BS7799审 计报告
4
安全风险评 估报告 安全策略评 估报告
5
客户安全现状 总体安全 解决方案
6
安全漏洞 跟踪、紧 急响应、 安全通告 服务、日 常安全信 息库维护
安全策略 建议
Hale Waihona Puke Baidu
项目蓝图
规章制度
岗位职责 登记制度 人员流动 保密制度
项目的主要阶段
1-项目准备与范围确定 5-体系规划和策略方案阶段安
项目计划 全体系设计、安全规划 3评估 过程： 项目组织结构、人员确认 安全策略制定 安全体系及建设规划建议报告 以 kickoff meeting 为启动标志 资产调查 方法： 项目工作环境 网络安全管理和技术解决方案 基础工作：资产调查 根据业务、设备等的评估结果 方法： 之前做好会前沟通和准备。如： 等级保护和分域保护 Kick off •资产评估（评估模型） 评估方法介绍（） 分 team 工作：顾问评估、专业安全评估 安全体系框架设计报告 需求调研，背景讨论 根据蓝图规定，在综合了 风险评估 评估设备范围整理（甲方） •威胁评估（评估模型） 风险评估方案的确定（） 小组 group 工作：各 team 中又各分两个小组 范围确定 依据ISO 17799 的安全管理标准 专业组和顾问组的评估成 资产管理和风险信息库 双方项目组通讯录（甲方涉及到的各
• • • • • 是一种技术评估 操作最简单 内容最基础 历时最短 结果最直观
基线安全评估内容
基线安全评估 BaseLine Security Evaluation
工具扫描(Scanning) Information(信息) Weak Pass(弱口令) Vulnerability(漏洞) Sharing(共享) 登录检查(Login Check) Configuration(配置) Mechanism(安全机制) Local Vul.(本地漏洞) Foresic(入侵取证)
• • • • • • • • • •
BS7799-2 是建立信息安全管理系统（ISMS）的一 套规范（Specification for Information Security Management Systems），其中详细说明了建立、实 施和维护信息安全管理系统的要求，指出实施机构 应该遵循的风险评估标准，当然，如果要得到BSI 最终的认证（对依据BS7799-2 建立的ISMS 进行认 证），还有一系列相应的注册认证过程。作为一套 管理标准，BS7799-2 指导相关人员怎样去应用 ISO/IEC 17799，其最终目的，还在于建立适合企业 需要的信息安全管理系统（ISMS）。
保持已有的安全措施
是
风险是否接受
否
制定和实施风险处理 计划并评估残余风险
. . . . . . . . . . . . . . . . . .
是否接受残余风险
否
评估过程文档
是
实施风险管理
风险评估文件记录
国家标准《信息安全评估指南》－风险 评估要素关系图
业务战略
依赖
脆弱性
暴露
资产
具有
资产价值
利用
未被满足 增加
成本
威胁
增加
风险
导出
安全需求
演变
抵御
降低
被满足
安全事件
可能诱发
残余风险
未控制
安全措施
方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要 素相关的属性。风险评估围绕着资产、威胁、脆弱性和安全措施这些基本 要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价 值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。
工具扫描
扫描器终端 漏洞库升级 接入IP地址 交换机端口 电源网线 范围列表 配合人员
准备阶段 风险规避
扫描申请报告授权 扫描范围核实 保密协议
非业务高峰期 双机热备分开 拒绝服务项关闭 固定范围
系统分类
开始扫描
扫描30-60分钟
现场培训
登录检查
范围选定 控制台操作 账号口令 登录授权 检查项审核 操作记录 检查40-60分钟 保密协议 无写操作 现场培训 检查项列表 配合人员
国家标准《信息安全评估指南》－风险 分析原理图
威胁识别 威胁出现的频率 安全事件的可能性 脆弱性识别 脆弱性的严重程度 安全事件的损失 资产识别 资产价值 风险值
国家标准《信息安全评估指南》－风险 评估实施流程图
风险评估准备 资产识别 威胁识别 脆弱性识别
已有安全措施的确认
评估过程文档
风险计算
风险分析 评估过程文档
安全解决方 案建议
总体策略建 议
• • • • •
安全评估服务体系 风险评估内容与过程 风险评估服务相关组件 公司介绍 成功案例介绍
风险评估的跟进支持组件
cost
安全培训 应急响应
安全信息通告
安全加固 Osstmm2.1
time
安全加固服务流程
安全加固流程图
网络优化方案及系统加固方案
根据规范及系统特点生成风险规避方案
网络架构评估结果
• • • • 网络安全状况分级 安全风险分布图表 最严重的安全问题列表 安全风险综述
业务系统评估特点
• • • • • 针对业务和应用 过程复杂 内容与业务关系密切 历时较长 结果定性
业务系统评估内容
支撑系统
应用系统
IT 业 务 系 统 评 估 前置系统 中间件 数据库 安全系统 管理安全 物理安全 业务相关性分析，根据信息 数据流向，对整个业务系统 进行综合评估。
准备阶段
风险规避
一人操作一人监督
开始检查
网络架构评估特点
• • • • • 技术+管理评估 过程复杂 内容广泛 历时较长 结果分定性与定量
网络架构评估内容
规范文档 运维管理 接入规范 日常维护 变更记录 运行维护 数据安全 网络管理 产品部署 安全管理 密码策略
网络拓扑
网 络 架 构 评 估
日志策略
审核策略
应急管理
安全域划分 安全控制
联系列表
应急流程 应急预案
网络架构评估方法
网络架构方面安全问题分为8个大类 每个类内容有3-5个子类 每个子类分为3-8个子项 每个子项分为5-15个知识点 根据稳定性、安全性、冗余性、扩展性、经济 性、易于管理性共六项内容对每个知识点进 行分配权重 按照可选、必选的规则 定义8大类的比重 进行综合加权评估
ISO/IEC TR 13335
• ISO/IEC TR 13335，即IT 安全管理指南（Guidelines for the Management of IT Security，GMITS），是由ISO/IEC JTC1 制定的技术报告，是一个信息安全管 理方面的指导性标准，其目的是为有效实施IT 安全管理提供建议。 • ISO/IEC TR 13335 分成5 个部分：
半定量分析模型
信息资产
资产拥有者
影响
价值 弱点
后果
现有安 全措施
影响
风险
影响 可能性 概率
威胁来源
威胁
安全风险评估组件
资产调查 工具扫描弱点 主机弱点人工评估 基线安全评估 网络配置弱点评估
安全设备弱点评估
保 护 对 象 分 析
安 全 威 胁 评 估
网络架构安全评估
业务系统安全评估
基线安全评估特点
客户需求定制
安全培训 安全咨询
基线安全评估
网络架构评估
管理安全评估 业务系统评估
安全评估组件的关系
安全体系 建设
安全风险 评估
安全规划
安全 解决方案
安全 策略 安全 培训 应急 响应
周期评 估加固
安全项 目建设
资产价值
• • • • •
安全评估服务体系 风险评估内容与过程 风险评估服务组件 公司介绍 成功案例介绍
评估体系及相关 标准培训
安全评估体系及标准
• • • • • 安全评估服务体系 风险评估内容与过程 风险评估服务组件 ISO/IEC 17799(BS7799)、ISO/IEC TR 13335 国家标准《信息安全评估指南》
安全评估体系
安全加固 安全产品部署 紧急响应 安全风险评估
全面安全解决方案 （Total Solution）
管理安全评估特点
• • • • • 针对策略、流程、资产、人员管理 后续改善工作是持续的过程 内容广泛 历时较长 效果不直接
管理安全评估内容
IT管理安全评估 文档审计 顾问访谈 问卷调查 实地考察
策略文档
安全组织 策略发布 策略修订
资产管理
资产统计 资产定级 资产维护
流程管理
入网流程 维护流程 备份流程 应急流程
新加固方案 提交实施申请方案
修改方案
实施加固
与用户确认
系统加固 加固异常
同期记录
现场培训
二次评估确认
启用风险规避方案/恢复 一切正常 继续加固
放弃加固
加固报告
系统加固阶段
现状记录及备份 安全设备策略定制 安装安全补丁 文件系统 安全配置 用户管理
安全机制
资料文档
网络及服务
其它配置文件
加密通信
访问控制
日志/备份
数字签名
紧急响应服务
客户
• • • • • •
准备 识别 抑制事态发展 恢复系统 提出解决方案 总结经验教训
到 达 现 场 安全服务部
电 话
是 否 是否要现场支持 问题是否解决
否 提供其他资源
是 记录并存档
安全通告服务
• 系统地向用户传递最新安全技术和安全信息
安全培训服务
• • • • • • • 安全管理培训 评估方法培训 安全审计培训 安全加固培训 定制培训 CISP培训 ……
顾问组 果基础上（评估记录单、 IT保障框架 问卷、访谈记录 )，完成综 group A---网络架构、安全设备评估 安全策略报告 合的风险评估报告和现状 group B---应用安全、策略及威胁评估 安全建设方案建议报告 报告 专业组： 工具小组----终端设备评估 人工小组 ----核心设备评估 2-项目定义和蓝图
1
2
3
完成详细方案设计 定义详细项目范围 定义报告格式 定义项目目标 作好网络环境准备 完成蓝图并与用户签署
•网络架构评估（网络架构、接入方式等 甲方项目组各负责人根据提供的需要 部门或者各业务系统的负责人） ） 准备的各类资料进行准备（双方） 实施计划草案 •安全设备评估（安全产品策略收集、防 提交项目各阶段的报告模版并双方确 会上进行计划的确认 病毒部署等） 认（双方） 会后对于未确认问题最快速度确认 •应用安全评估（业务流程、数据流、业 4-综合评估阶段 务连续性等） 6-支持和维护 网络风险评估报告 •策略评估（文档格式、文档体系、文档 培训 安全现状报告 内容) 漏洞跟踪售后服务 数据导入信息库和整理 •安全审计（调查问卷） 电话热线支持
• • • •
遵循以下标准： ISO 17799/BS7799 ISO 13335 GB《信息安全风险评估指南》
ISO17799(BS7799)
BS7799-1:1999（即ISO/IEC 17799:2000），信息安全管理实施细则（Code of Practice for Information Security Management），从10 个方面定义了127 项控 制措施，可供信息安全管理体系实施者参考使用，这10 个方面是： ������ 安全策略（Security policy）； ������ 组织安全（Organization security）； ������ 资产分类和控制（Asset classification and control）； ������ 人员安全（Personnel security）； ������ 物理和环境安全（Physical and environmental security）； ������ 通信和操作管理（Communication and operation management）； ������ 访问控制（Access control）； ������ 系统开发和维护（System development and maintenance）； ������ 业务连续性管理（Business continuity management）； ������ 符合性（Compliance）。