評(píng)估體系及相關(guān)標(biāo)準(zhǔn)培訓(xùn).平安評(píng)估體系及標(biāo)準(zhǔn)平安評(píng)估效勞體系風(fēng)險(xiǎn)評(píng)估內(nèi)容與過(guò)程風(fēng)險(xiǎn)評(píng)估效勞組件ISO/IEC17799(BS7799)、ISO/IECTR13335國(guó)家標(biāo)準(zhǔn)?信息平安評(píng)估指南?.平安評(píng)估體系基線(xiàn)平安評(píng)估網(wǎng)絡(luò)架構(gòu)評(píng)估業(yè)務(wù)系統(tǒng)評(píng)估管理平安評(píng)估平安風(fēng)險(xiǎn)評(píng)估全面平安解決方案〔TotalSolution〕平安咨詢(xún)平安加固平安產(chǎn)品部署平安培訓(xùn)緊急響應(yīng)客戶(hù)需求定制.平安評(píng)估組件的關(guān)系安全風(fēng)險(xiǎn)評(píng)估安全體系建設(shè)安全規(guī)劃安全策略安全解決方案周期評(píng)估加固安全項(xiàng)目建設(shè)應(yīng)急響應(yīng)安全培訓(xùn)資產(chǎn)價(jià)值.平安評(píng)估效勞體系風(fēng)險(xiǎn)評(píng)估內(nèi)容與過(guò)程風(fēng)險(xiǎn)評(píng)估效勞組件公司介紹成功案例介紹.威脅影響概率弱點(diǎn)價(jià)值資產(chǎn)擁有者信息資產(chǎn)威脅來(lái)源風(fēng)險(xiǎn)后果可能性現(xiàn)有平安措施影響影響半定量分析模型.平安風(fēng)險(xiǎn)評(píng)估組件資產(chǎn)調(diào)查基線(xiàn)平安評(píng)估安全威脅評(píng)估工具掃描弱點(diǎn)網(wǎng)絡(luò)架構(gòu)平安評(píng)估業(yè)務(wù)系統(tǒng)平安評(píng)估主機(jī)弱點(diǎn)人工評(píng)估網(wǎng)絡(luò)配置弱點(diǎn)評(píng)估平安設(shè)備弱點(diǎn)評(píng)估保護(hù)對(duì)象分析.基線(xiàn)平安評(píng)估特點(diǎn)是一種技術(shù)評(píng)估操作最簡(jiǎn)單內(nèi)容最根底歷時(shí)最短結(jié)果最直觀.基線(xiàn)平安評(píng)估內(nèi)容基線(xiàn)平安評(píng)估BaseLineSecurityEvaluation工具掃描(Scanning)登錄檢查(LoginCheck)Vulnerability(漏洞)WeakPass(弱口令)Configuration(配置)Information(信息)Sharing(共享)LocalVul.(本地漏洞)Mechanism(平安機(jī)制)Foresic(入侵取證).工具掃描掃描器終端漏洞庫(kù)升級(jí)接入IP地址交換機(jī)端口電源網(wǎng)線(xiàn)配合人員掃描申請(qǐng)報(bào)告授權(quán)范圍列表掃描范圍核實(shí)非業(yè)務(wù)頂峰期雙機(jī)熱備分開(kāi)拒絕效勞項(xiàng)關(guān)閉固定范圍準(zhǔn)備階段掃描30-60分鐘風(fēng)險(xiǎn)躲避開(kāi)始掃描系統(tǒng)分類(lèi)現(xiàn)場(chǎng)培訓(xùn)保密協(xié)議.登錄檢查控制臺(tái)操作賬號(hào)口令配合人員登錄授權(quán)范圍選定檢查項(xiàng)審核準(zhǔn)備階段檢查40-60分鐘風(fēng)險(xiǎn)躲避開(kāi)始檢查現(xiàn)場(chǎng)培訓(xùn)一人操作一人監(jiān)督檢查項(xiàng)列表操作記錄無(wú)寫(xiě)操作保密協(xié)議.網(wǎng)絡(luò)架構(gòu)評(píng)估特點(diǎn)技術(shù)+管理評(píng)估過(guò)程復(fù)雜內(nèi)容廣泛歷時(shí)較長(zhǎng)結(jié)果分定性與定量.網(wǎng)絡(luò)架構(gòu)評(píng)估內(nèi)容網(wǎng)絡(luò)架構(gòu)評(píng)估標(biāo)準(zhǔn)文檔網(wǎng)絡(luò)拓?fù)溥\(yùn)行維護(hù)數(shù)據(jù)平安網(wǎng)絡(luò)管理產(chǎn)品部署平安域劃分平安控制運(yùn)維管理平安管理應(yīng)急管理接入標(biāo)準(zhǔn)日常維護(hù)變更記錄密碼策略日志策略審核策略聯(lián)系列表應(yīng)急流程應(yīng)急預(yù)案.網(wǎng)絡(luò)架構(gòu)評(píng)估方法網(wǎng)絡(luò)架構(gòu)方面平安問(wèn)題分為8個(gè)大類(lèi)每個(gè)類(lèi)內(nèi)容有3-5個(gè)子類(lèi)每個(gè)子類(lèi)分為3-8個(gè)子項(xiàng)每個(gè)子項(xiàng)分為5-15個(gè)知識(shí)點(diǎn)根據(jù)穩(wěn)定性、平安性、冗余性、擴(kuò)展性、經(jīng)濟(jì)性、易于管理性共六項(xiàng)內(nèi)容對(duì)每個(gè)知識(shí)點(diǎn)進(jìn)行分配權(quán)重按照可選、必選的規(guī)那么定義8大類(lèi)的比重進(jìn)行綜合加權(quán)評(píng)估.網(wǎng)絡(luò)架構(gòu)評(píng)估結(jié)果網(wǎng)絡(luò)平安狀況分級(jí)平安風(fēng)險(xiǎn)分布圖表最嚴(yán)重的平安問(wèn)題列表平安風(fēng)險(xiǎn)綜述.業(yè)務(wù)系統(tǒng)評(píng)估特點(diǎn)針對(duì)業(yè)務(wù)和應(yīng)用過(guò)程復(fù)雜內(nèi)容與業(yè)務(wù)關(guān)系密切歷時(shí)較長(zhǎng)結(jié)果定性.業(yè)務(wù)系統(tǒng)評(píng)估內(nèi)容IT業(yè)務(wù)系統(tǒng)評(píng)估支撐系統(tǒng)應(yīng)用系統(tǒng)前置系統(tǒng)中間件數(shù)據(jù)庫(kù)平安系統(tǒng)管理平安物理平安業(yè)務(wù)相關(guān)性分析，根據(jù)信息數(shù)據(jù)流向，對(duì)整個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行綜合評(píng)估。.管理平安評(píng)估特點(diǎn)針對(duì)策略、流程、資產(chǎn)、人員管理后續(xù)改善工作是持續(xù)的過(guò)程內(nèi)容廣泛歷時(shí)較長(zhǎng)效果不直接.管理平安評(píng)估內(nèi)容IT管理平安評(píng)估文檔審計(jì)參謀訪(fǎng)談問(wèn)卷調(diào)查實(shí)地考察策略文檔資產(chǎn)管理流程管理規(guī)章制度平安組織策略發(fā)布策略修訂入網(wǎng)流程維護(hù)流程備份流程應(yīng)急流程資產(chǎn)統(tǒng)計(jì)資產(chǎn)定級(jí)資產(chǎn)維護(hù)崗位職責(zé)人員流動(dòng)登記制度保密制度.工程的主要階段123451-工程準(zhǔn)備與范圍確定

工程方案

工程組織結(jié)構(gòu)、人員確認(rèn)

工程工作環(huán)境

Kickoff

需求調(diào)研，背景討論

范圍確定2-工程定義和藍(lán)圖

完成詳細(xì)方案設(shè)計(jì)

定義詳細(xì)工程范圍

定義報(bào)告格式

定義工程目標(biāo)

作好網(wǎng)絡(luò)環(huán)境準(zhǔn)備

完成藍(lán)圖并與用戶(hù)簽署3-評(píng)估資產(chǎn)調(diào)查等級(jí)保護(hù)和分域保護(hù)風(fēng)險(xiǎn)評(píng)估資產(chǎn)管理和風(fēng)險(xiǎn)信息庫(kù)4-綜合評(píng)估階段網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告平安現(xiàn)狀報(bào)告數(shù)據(jù)導(dǎo)入信息庫(kù)和整理平安需求分析5-體系規(guī)劃和策略方案階段平安體系設(shè)計(jì)、平安規(guī)劃

平安策略制定

網(wǎng)絡(luò)平安管理和技術(shù)解決方案

66-支持和維護(hù)

培訓(xùn)

漏洞跟蹤售后效勞

熱線(xiàn)支持

售后效勞平安通告效勞

評(píng)估方法介紹（）風(fēng)險(xiǎn)評(píng)估方案的確定（）甲方項(xiàng)目組各負(fù)責(zé)人根據(jù)提供的需要準(zhǔn)備的各類(lèi)資料進(jìn)行準(zhǔn)備（雙方）提交項(xiàng)目各階段的報(bào)告模版并雙方確認(rèn)（雙方）以kickoffmeeting為啟動(dòng)標(biāo)志之前做好會(huì)前溝通和準(zhǔn)備。如：評(píng)估設(shè)備范圍整理（甲方）雙方項(xiàng)目組通訊錄（甲方涉及到的各部門(mén)或者各業(yè)務(wù)系統(tǒng)的負(fù)責(zé)人）實(shí)施計(jì)劃草案會(huì)上進(jìn)行計(jì)劃的確認(rèn)會(huì)后對(duì)于未確認(rèn)問(wèn)題最快速度確認(rèn)過(guò)程：基礎(chǔ)工作：資產(chǎn)調(diào)查分team工作：顧問(wèn)評(píng)估、專(zhuān)業(yè)安全評(píng)估小組group工作：各team中又各分兩個(gè)小組顧問(wèn)組groupA----網(wǎng)絡(luò)架構(gòu)、安全設(shè)備評(píng)估groupB----應(yīng)用安全、策略及威脅評(píng)估專(zhuān)業(yè)組：工具小組----終端設(shè)備評(píng)估人工小組----核心設(shè)備評(píng)估方法：資產(chǎn)評(píng)估（評(píng)估模型）威脅評(píng)估（評(píng)估模型）網(wǎng)絡(luò)架構(gòu)評(píng)估（網(wǎng)絡(luò)架構(gòu)、接入方式等）安全設(shè)備評(píng)估（安全產(chǎn)品策略收集、防病毒部署等）應(yīng)用安全評(píng)估（業(yè)務(wù)流程、數(shù)據(jù)流、業(yè)務(wù)連續(xù)性等）策略評(píng)估（文檔格式、文檔體系、文檔內(nèi)容)安全審計(jì)（調(diào)查問(wèn)卷）方法：根據(jù)藍(lán)圖規(guī)定，在綜合了專(zhuān)業(yè)組和顧問(wèn)組的評(píng)估成果基礎(chǔ)上（評(píng)估記錄單、問(wèn)卷、訪(fǎng)談?dòng)涗?，完成綜合的風(fēng)險(xiǎn)評(píng)估報(bào)告和現(xiàn)狀報(bào)告安全體系及建設(shè)規(guī)劃建議報(bào)告根據(jù)業(yè)務(wù)、設(shè)備等的評(píng)估結(jié)果安全體系框架設(shè)計(jì)報(bào)告依據(jù)ISO17799的安全管理標(biāo)準(zhǔn)IT保障框架安全策略報(bào)告安全建設(shè)方案建議報(bào)告.工程階段和提交文檔12356項(xiàng)目計(jì)劃組織結(jié)構(gòu)項(xiàng)目人員項(xiàng)目范圍需求調(diào)研工程藍(lán)圖安全風(fēng)險(xiǎn)評(píng)估報(bào)告總體策略建議安全漏洞跟蹤、緊急響應(yīng)、安全通告服務(wù)、日常安全信息庫(kù)維護(hù)安全策略評(píng)估報(bào)告安全解決方案建議客戶(hù)平安現(xiàn)狀總體平安解決方案4BS7799審計(jì)報(bào)告安全策略建議.平安評(píng)估效勞體系風(fēng)險(xiǎn)評(píng)估內(nèi)容與過(guò)程風(fēng)險(xiǎn)評(píng)估效勞相關(guān)組件公司介紹成功案例介紹.平安培訓(xùn)應(yīng)急響應(yīng)Osstmm2.1風(fēng)險(xiǎn)評(píng)估的跟進(jìn)支持組件timecost平安加固平安信息通告.網(wǎng)絡(luò)優(yōu)化方案及系統(tǒng)加固方案根據(jù)規(guī)范及系統(tǒng)特點(diǎn)生成風(fēng)險(xiǎn)規(guī)避方案提交實(shí)施申請(qǐng)方案與用戶(hù)確認(rèn)系統(tǒng)加固同期記錄現(xiàn)場(chǎng)培訓(xùn)二次評(píng)估確認(rèn)加固報(bào)告啟用風(fēng)險(xiǎn)規(guī)避方案/恢復(fù)加固異常繼續(xù)加固修改方案放棄加固實(shí)施加固新加固方案一切正常安全加固流程圖平安加固效勞流程.安裝安全補(bǔ)丁安全配置安全機(jī)制文件系統(tǒng)用戶(hù)管理網(wǎng)絡(luò)及服務(wù)其它配置文件加密通信數(shù)字簽名日志/備份訪(fǎng)問(wèn)控制安全設(shè)備策略定制資料文檔現(xiàn)狀記錄及備份系統(tǒng)加固階段.緊急響應(yīng)效勞準(zhǔn)備識(shí)別抑制事態(tài)開(kāi)展恢復(fù)系統(tǒng)提出解決方案總結(jié)經(jīng)驗(yàn)教訓(xùn).平安通告效勞系統(tǒng)地向用戶(hù)傳遞最新平安技術(shù)和平安信息.平安培訓(xùn)效勞平安管理培訓(xùn)評(píng)估方法培訓(xùn)平安審計(jì)培訓(xùn)平安加固培訓(xùn)定制培訓(xùn)CISP培訓(xùn)…….遵循以下標(biāo)準(zhǔn)：ISO17799/BS7799ISO13335GB?信息平安風(fēng)險(xiǎn)評(píng)估指南?.ISO17799(BS7799)BS7799-1:1999〔即ISO/IEC17799:2000〕，信息平安管理實(shí)施細(xì)那么〔CodeofPracticeforInformationSecurityManagement〕，從10個(gè)方面定義了127項(xiàng)控制措施，可供信息平安管理體系實(shí)施者參考使用，這10個(gè)方面是：平安策略〔Securitypolicy〕；組織平安〔Organizationsecurity〕；資產(chǎn)分類(lèi)和控制〔Assetclassificationandcontrol〕；人員平安〔Personnelsecurity〕；物理和環(huán)境平安〔Physicalandenvironmentalsecurity〕；通信和操作管理〔Communicationandoperationmanagement〕；訪(fǎng)問(wèn)控制〔Accesscontrol〕；系統(tǒng)開(kāi)發(fā)和維護(hù)〔Systemdevelopmentandmaintenance〕；業(yè)務(wù)連續(xù)性管理〔Businesscontinuitymanagement〕；符合性〔Compliance〕。.BS7799-2是建立信息平安管理系統(tǒng)〔ISMS〕的一套標(biāo)準(zhǔn)〔SpecificationforInformationSecurityManagementSystems〕，其中詳細(xì)說(shuō)明了建立、實(shí)施和維護(hù)信息平安管理系統(tǒng)的要求，指出實(shí)施機(jī)構(gòu)應(yīng)該遵循的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，當(dāng)然，如果要得到BSI最終的認(rèn)證〔對(duì)依據(jù)BS7799-2建立的ISMS進(jìn)行認(rèn)證〕，還有一系列相應(yīng)的注冊(cè)認(rèn)證過(guò)程。作為一套管理標(biāo)準(zhǔn)，BS7799-2指導(dǎo)相關(guān)人員怎樣去應(yīng)用ISO/IEC17799，其最終目的，還在于建立適合企業(yè)需要的信息平安管理系統(tǒng)〔ISMS〕。.ISO/IECTR13335ISO/IECTR13335，即IT平安管理指南〔GuidelinesfortheManagementofITSecurity，GMITS〕，是由ISO/IECJTC1制定的技術(shù)報(bào)告，是一個(gè)信息平安管理方面的指導(dǎo)性標(biāo)準(zhǔn)，其目的是為有效實(shí)施IT平安管理提供建議。ISO/IECTR13335分成5