风险评估在等保中的应用.ppt

《风险评估在等保中的应用.ppt》由会员分享，可在线阅读，更多相关《风险评估在等保中的应用.ppt（42页珍藏版）》请在装配图网上搜索。

1、2013年2月,基于风险评估的 信息安全等级保护最佳实践,风险评估,目录,实践心得,产品介绍,评估依据的标准和规范,信息安全管理标准ISO17799（GB/T19716）、ISO27001 信息安全管理指南ISO 13335（GB/T19715) 信息安全通用准则ISO 15408（GB/T18336） 系统安全工程能力成熟模型SSE-CMM 国家信息中心风险评估指南 国家信息中心风险管理指南 计算机信息系统安全等级保护划分准则（GB17859） 计算机信息系统等级保护相关规范 其他相关标准（AS/NZS 4360，GAO/AIMD-00-33， GAO/AIMD-98-68， BSI PD3

2、000 ，IATF） 相关法规及行业政策,风险评估要素关系图,风险评估流程,确定评估范围 资产的识别和估价 脆弱性评估 威胁评估 风险分析 风险管理,风险评估流程,风险评估实施流程,风险评估内容-技术部分,风险评估内容-管理部分,风险计算模型,XX省国税广域网主要由省局局域网、11个下属市局局域网及各市辖属的区、县、农村分局局域网络共同组成，它与国税总局网络形成了总局、省局、市局、县（区）局、农村分局的分级结构的专线网络。该广域网承载了全省范围内的所有国税业务系统。,案例分析1-某省国税风险评估项目,省局拓扑结构图,通过风险评估大致确定有操作错误、滥用授权、行为抵赖、身份假冒、利用漏洞、拒绝服

3、务、物理破坏等15种风险之多。 物理层面：进入机房无登记、机房机柜为了方便未上锁、缺乏对于重要业务数据的主机输入输出媒介（软驱、光驱、口等）的严格控制措施。 网络层面：整体网络中关键地方出现单点故障、互联网出口没有做冗余备份 网络通信安全 -无DDOS防御设备、IDS监控范围不够、检测策略未设置； 网络边界安全 -不信任网络间无ACL，VLAN划分粒度粗，IPMAC未绑定； 网络设备安全 -无超时重登陆、Telnet未关闭、针对SNMP、CDP无ACL配置； 网络管理 -设备日志（攻击日志、登陆日志）没有有效地审计、分析； 系统层面：系统安全漏洞、系统配置安全 应用层面：数据库存在严重漏洞，部

4、分重要终端没有做到身份认证、访问控制、口令存储加密。 管理层面：11个方面（ISO27001）对整个体系风险进行了分析总结。,风险分析,风险应对,风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。 风险处理的方式： 规避风险 - 减少单点故障的发生率，对重要链路、设备进行冗余备份； 降低风险 - 网络之间添加ACL、VLAN，并对重要数据服务器定期更换口令； 转移风险 - 机房、设备的风险由企业转移给持有门卡的管理员，机房责任制； 接受风险 - 所有设备的安全日志收集、整理、分析就是对风险的记录；做好灾备 工作，以及应急响应流程； 风险控制措施： 安

5、全策略 、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作安全、访问控制、系统开发和维护、信息安全事故管理、业务连续性管理、合规性管理 11个方面进行考虑、分析和规划。,XX系统风险评估报告 XX系统现状分析报告-技术部分 XX系统现状分析报告-管理部分,输出报告,风险评估,目录,实践心得,产品介绍,4 个系统的定级备案 安全管理体系的设计 安全技术方案的设计 整改阶段的实施工作 辅助通过第三方测评,项目需求,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,业务系统调研定级,安全现状调研 技术,安全体系调研 管理,18,建设步骤,较多被入侵的

6、痕迹和后门 网络 总体网络结构杂乱，缺乏系统接入规范和组网规范 没有划分安全域，边界不清晰 太多出口，没有统一的公网接入管理 目前两网合一后办公网和网管等系统之间的边界控制不严格 缺乏网络安全监控措施 对第三方的网络接入缺乏相应的规范和管理手段 目前很多业务系统没有和现状完全相符的拓扑图 主机安全状况较差 很多系统难以及时打上安全补丁 大部分系统没有经过安全配置 主机之间采用强信任方式,技术方面调研评估,安全建设缺乏总体规划 各部门缺乏协调、安全建设五花八门 安全管理权力分散，缺乏统一管理 缺乏落地的安全组织；各部门的管理自成体系，部门之间缺乏协作 各部门安全管理状况参差不齐，安全管理水平普遍

7、较低。 普遍缺乏公司、部门和系统层面的安全制度、标准和流程 人员安全意识和技能不足 运行维护有较大安全隐患 目前很多系统网络、主机、应用、数据库的管理权限集中到一个管理员 不同管理员使用同一个维护账号，同时缺乏内审机制 很多系统的日常维护没有具体、有效的流程指导 现有安全设备没有充分发挥作用,管理方面调研评估,技术现状报告对比等保对应技术部分等级要求 管理现状报告对比等保对应管理部分等级要求 针对不同的分项输出符合、部分符合、不符合，并提出差异点 输出XX系统差距分析报告-技术部分 输出XX系统差距分析报告-管理部分,差距分析方法,差距分析样例,1.明确需求,2.进场调研,3.辅助定级,4.方

8、案设计,5.项目实施,6.辅助测评,系统定级,专家评审,定级备案,23,建设步骤,依据国标定级指南 依据行标、主管部门意见 专家评审会 评审意见 定级备案单位 定级备案材料,系统定级备案,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,设计方案,实施方案,专家评审,25,建设步骤,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,26,基本要求,技术规划总体原则,设计规划严格按照国标安全设计技术要求 具体内容分为四部分：安全区域边界、安全通信网络、安全计算环境

9、、应用安全 具体可采用3年的规划方式，逐步达到等保相应的级别要求,技术与产品,服务与管理,举例：边界访问控制解决方案,购置安全设备,配置安全策略,信息安全管理体系建设,组织体系,关键成功因素,安全体系框架,管理体系,技术体系,安全策略 风险评估程序 企业安全计划 安全项目管理 安全审计程序持续改进计划 。,准 备 预 防 检 测 保 护 响 应 监 控 评 价,安全战略,运行体系,终端操作规范 第三方人员规范 业务系统操作规范 应急响应与演练 表单、记录 。,安全组织体系,决策层,管理层,业务安全决策,安全战略规划,安全保证决策,信息安全领导小组,信息安全管理部门,安全管理,系统安全工程,安全保证管理,信息安全执行部门,实施与运作,运行管理,安全保证实施,执行层,组织体系为核心！,安全管理体系,管理体系为保障！,安全运行体系,运行体系为基础！,等级保护信息安全管理体系,表单,表单,表单,表单,表单,表单,表单,表单,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,集成实施,人员培训,系统交付,39,建设步骤,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,测评准备,内部测评,辅助测评,40,建设步骤,测评流程,谢 谢!,