风险评估在等保中的应用.ppt

2013年2月,基于风险评估的 信息安全等级保护最佳实践,风险评估,目录,实践心得,产品介绍,评估依据的标准和规范,信息安全管理标准ISO17799（GB/T19716）、ISO27001 信息安全管理指南ISO 13335（GB/T19715) 信息安全通用准则ISO 15408（GB/T18336） 系统安全工程能力成熟模型SSE-CMM 国家信息中心风险评估指南 国家信息中心风险管理指南 计算机信息系统安全等级保护划分准则（GB17859） 计算机信息系统等级保护相关规范 其他相关标准（AS/NZS 4360，GAO/AIMD-00-33， GAO/AIMD-98-68， BSI PD3000 ，IATF） 相关法规及行业政策,风险评估要素关系图,风险评估流程,确定评估范围 资产的识别和估价 脆弱性评估 威胁评估 风险分析 风险管理,风险评估流程,风险评估实施流程,风险评估内容-技术部分,风险评估内容-管理部分,风险计算模型,XX省国税广域网主要由省局局域网、11个下属市局局域网及各市辖属的区、县、农村分局局域网络共同组成，它与国税总局网络形成了总局、省局、市局、县（区）局、农村分局的分级结构的专线网络。该广域网承载了全省范围内的所有国税业务系统。,案例分析1-某省国税风险评估项目,省局拓扑结构图,通过风险评估大致确定有操作错误、滥用授权、行为抵赖、身份假冒、利用漏洞、拒绝服务、物理破坏等15种风险之多。 物理层面：进入机房无登记、机房机柜为了方便未上锁、缺乏对于重要业务数据的主机输入输出媒介（软驱、光驱、口等）的严格控制措施。 网络层面：整体网络中关键地方出现单点故障、互联网出口没有做冗余备份 网络通信安全 -无DDOS防御设备、IDS监控范围不够、检测策略未设置； 网络边界安全 -不信任网络间无ACL，VLAN划分粒度粗，IPMAC未绑定； 网络设备安全 -无超时重登陆、Telnet未关闭、针对SNMP、CDP无ACL配置； 网络管理 -设备日志（攻击日志、登陆日志）没有有效地审计、分析； 系统层面：系统安全漏洞、系统配置安全 应用层面：数据库存在严重漏洞，部分重要终端没有做到身份认证、访问控制、口令存储加密。 管理层面：11个方面（ISO27001）对整个体系风险进行了分析总结。,风险分析,风险应对,风险评估的结果确定安全水平，对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。 风险处理的方式： 规避风险 - 减少单点故障的发生率，对重要链路、设备进行冗余备份； 降低风险 - 网络之间添加ACL、VLAN，并对重要数据服务器定期更换口令； 转移风险 - 机房、设备的风险由企业转移给持有门卡的管理员，机房责任制； 接受风险 - 所有设备的安全日志收集、整理、分析就是对风险的记录；做好灾备 工作，以及应急响应流程； 风险控制措施： 安全策略 、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作安全、访问控制、系统开发和维护、信息安全事故管理、业务连续性管理、合规性管理 11个方面进行考虑、分析和规划。,XX系统风险评估报告 XX系统现状分析报告-技术部分 XX系统现状分析报告-管理部分,输出报告,风险评估,目录,实践心得,产品介绍,4 个系统的定级备案 安全管理体系的设计 安全技术方案的设计 整改阶段的实施工作 辅助通过第三方测评,项目需求,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,业务系统调研定级,安全现状调研 技术,安全体系调研 管理,18,建设步骤,较多被入侵的痕迹和后门 网络 总体网络结构杂乱，缺乏系统接入规范和组网规范 没有划分安全域，边界不清晰 太多出口，没有统一的公网接入管理 目前两网合一后办公网和网管等系统之间的边界控制不严格 缺乏网络安全监控措施 对第三方的网络接入缺乏相应的规范和管理手段 目前很多业务系统没有和现状完全相符的拓扑图 主机安全状况较差 很多系统难以及时打上安全补丁 大部分系统没有经过安全配置 主机之间采用强信任方式,技术方面调研评估,安全建设缺乏总体规划 各部门缺乏协调、安全建设五花八门 安全管理权力分散，缺乏统一管理 缺乏落地的安全组织；各部门的管理自成体系，部门之间缺乏协作 各部门安全管理状况参差不齐，安全管理水平普遍较低。 普遍缺乏公司、部门和系统层面的安全制度、标准和流程 人员安全意识和技能不足 运行维护有较大安全隐患 目前很多系统网络、主机、应用、数据库的管理权限集中到一个管理员 不同管理员使用同一个维护账号，同时缺乏内审机制 很多系统的日常维护没有具体、有效的流程指导 现有安全设备没有充分发挥作用,管理方面调研评估,技术现状报告对比等保对应技术部分等级要求 管理现状报告对比等保对应管理部分等级要求 针对不同的分项输出符合、部分符合、不符合，并提出差异点 输出XX系统差距分析报告-技术部分 输出XX系统差距分析报告-管理部分,差距分析方法,差距分析样例,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,系统定级,专家评审,定级备案,23,建设步骤,依据国标定级指南 依据行标、主管部门意见 专家评审会 评审意见 定级备案单位 定级备案材料,系统定级备案,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,设计方案,实施方案,专家评审,25,建设步骤,物理安全,技术要求,管理要求,基本要求,网络安全,主机安全,应用安全,数据安全,安全管理机构,安全管理制度,人员安全管理,系统建设管理,系统运维管理,26,基本要求,技术规划总体原则,设计规划严格按照国标安全设计技术要求 具体内容分为四部分：安全区域边界、安全通信网络、安全计算环境、应用安全 具体可采用3年的规划方式，逐步达到等保相应的级别要求,技术与产品,服务与管理,举例：边界访问控制解决方案,购置安全设备,配置安全策略,信息安全管理体系建设,组织体系,关键成功因素,安全体系框架,管理体系,技术体系,安全策略 风险评估程序 企业安全计划 安全项目管理 安全审计程序持续改进计划 。,准 备 预 防 检 测 保 护 响 应 监 控 评 价,安全战略,运行体系,终端操作规范 第三方人员规范 业务系统操作规范 应急响应与演练 表单、记录 。,安全组织体系,决策层,管理层,业务安全决策,安全战略规划,安全保证决策,信息安全领导小组,信息安全管理部门,安全管理,系统安全工程,安全保证管理,信息安全执行部门,实施与运作,运行管理,安全保证实施,执行层,组织体系为核心！,安全管理体系,管理体系为保障！,安全运行体系,运行体系为基础！,等级保护信息安全管理体系,表单,表单,表单,表单,表单,表单,表单,表单,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,集成实施,人员培训,系统交付,39,建设步骤,1.明确需求,2.进场调研,3.辅助定级,4.方案设计,5.项目实施,6.辅助测评,测评准备,内部测评,辅助测评,40,建设步骤,测评流程,谢 谢!,