1、,信息安全應(yīng)急響應(yīng)與風(fēng)險評估及加固,日程,.,應(yīng)急規(guī)劃,計 劃,流 程,技 術(shù),基礎(chǔ)信息網(wǎng)絡(luò) 重要信息系統(tǒng),應(yīng)急規(guī)劃,.,應(yīng)急計劃類型（1/2）：,.,應(yīng)急計劃類型（2/2）：,.,數(shù)據(jù)、應(yīng)用和操作系統(tǒng)的備份與異地存儲 關(guān)鍵系統(tǒng)組建或能力的冗余 系統(tǒng)配置和要求文檔 在系統(tǒng)組件間以及主備點間互操作，以加快系統(tǒng)恢復(fù) 適當(dāng)規(guī)模的電源管理系統(tǒng)和環(huán)境控制 人員隊伍保障,常見的考慮事項包括,日程,.,什么是風(fēng)險,風(fēng)險就是不利事件發(fā)生的可能性。 風(fēng)險管理是評估風(fēng)險、采取步驟將風(fēng)險消減到可接受的水平并且維持這一風(fēng)險級別的過程。 人們會意識到針對其利益的各種威脅，并采取預(yù)防措施進(jìn)行防范或?qū)⑵溆绊憸p到最小。,.,

2、什么是風(fēng)險,風(fēng)險是一種不確定性。 風(fēng)險三要素： 資產(chǎn)價值 威脅 脆弱性,風(fēng)險管理模型,網(wǎng)御神州 風(fēng)險評估,網(wǎng)御神州 安全加固,風(fēng)險評估要素及屬性,弱點/脆弱性,威脅,信息資產(chǎn),風(fēng)險,風(fēng)險 評估 要素,資產(chǎn)價值,發(fā)生的可能性,嚴(yán)重程度,風(fēng)險值的高低,屬性,屬性,屬性,屬性,.,項目概述-參考標(biāo)準(zhǔn),GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范 GB/T 22019-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求 GB/T 22020-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)定級指南 GB/T 19716-2005 信息技術(shù) 信息安全管理實用規(guī)則 ISO/IEC 27

3、001:2005 信息安全技術(shù) 信息安全管理體系要求 ISO/IEC 17799:2005 信息安全技術(shù) 信息安全管理實用規(guī)則 相關(guān)技術(shù)及管理最佳實踐,風(fēng)險評估的定位,推進(jìn),網(wǎng)絡(luò)與信息安全體系,指導(dǎo),DO:實施安全技術(shù)要求 實施安全管理要求,CHECK: 安全風(fēng)險評估,ACTION:安全實施 安全建設(shè),PLAN:安全方針、目標(biāo) 安全要求,業(yè)務(wù) 目標(biāo),業(yè)務(wù) 安全,實施風(fēng)險管理,建立核心安全體系,識別風(fēng)險和確定安全需求,安全意識和知識培訓(xùn),實施適合的安全策略和控制措施,監(jiān)督并審查安全策略和措施的有效性,風(fēng)險評估關(guān)系模型,安全措施,抗擊,脆弱性,威脅,風(fēng)險,殘余風(fēng)險,擁有,暴露,降低,增加,增加,增

4、加,導(dǎo)出,未被滿足,未控制,可能誘發(fā),安全措施,抗擊,業(yè)務(wù)戰(zhàn)略,弱點,安全需求,威脅,風(fēng)險,殘余風(fēng)險,安全事件,依賴,降低,增加,增加,增加,導(dǎo)出,未被滿足,未控制,可能誘發(fā),資產(chǎn),資產(chǎn)價值,成本,利用,演變,殘留,被滿足,ISO13335安全風(fēng)險評估模型,風(fēng)險,安全措施,信息資產(chǎn),威脅,弱點,安全需求,價值,ISO15408安全風(fēng)險評估模型,對抗性、動態(tài)性,風(fēng)險評估參考標(biāo)準(zhǔn),風(fēng)險評估的主要內(nèi)容,風(fēng)險評估實施流程,現(xiàn)有安全措施評估,.,風(fēng)險評估-評估準(zhǔn)備,資產(chǎn)識別與賦值準(zhǔn)則 脆弱性識別與賦值準(zhǔn)則 威脅識別與賦值準(zhǔn)則 已有措施識別和有效性判斷準(zhǔn)則 風(fēng)險計算準(zhǔn)則,.,風(fēng)險評估的技術(shù),調(diào)研 訪談 資

5、料文檔確認(rèn) 配置記錄審查 掃描評估 滲透測試,.,風(fēng)險評估-資產(chǎn)識別,資產(chǎn)識別 資產(chǎn)分類 資產(chǎn)賦值,.,風(fēng)險評估-資產(chǎn)識別,我們都有哪些信息資產(chǎn)？（清單） 他們都在什么地方？（物理邏輯位置） 都是誰在管理？（責(zé)任人） 他們整體狀況如何？（關(guān)聯(lián)性）,.,風(fēng)險評估-脆弱性評估,技術(shù)脆弱性 網(wǎng)絡(luò)掃描 手工檢查 管理脆弱性 顧問訪談 記錄審查,日程,安全加固的主要內(nèi)容,安全加固內(nèi)容舉例,安全加固內(nèi)容舉例,安全加固內(nèi)容舉例,安全加固流程,1 準(zhǔn)備工作，提交加固申請 一人操作，一人記錄，盡量防止可能出現(xiàn)的誤操作。 2 收集系統(tǒng)信息 加固之前收集所有的系統(tǒng)，信息和用戶服務(wù)需求，收集所有應(yīng)用和服務(wù)軟件信息，做好加固前預(yù)備工作。 3 做好備份工作，必要時進(jìn)行加固測試 系統(tǒng)加固之前，先對系統(tǒng)做完全備份。加固過程可能存在任何不可遇見的風(fēng)險，當(dāng)加固失敗時，可以恢復(fù)到加固前狀態(tài)。 4 加固系統(tǒng) 按照系統(tǒng)加固核對表，逐項按順序執(zhí)行操作。 5 復(fù)查配置 對加固后的系統(tǒng)，全部復(fù)查一次所作