《信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)材料》由會(huì)員分享，可在線閱讀，更多相關(guān)《信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估培訓(xùn)材料（54頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,*,通信網(wǎng),絡(luò),絡(luò)信息,安,安全風(fēng),險(xiǎn),險(xiǎn)評(píng)估,培,培訓(xùn),提,綱,綱,基礎(chǔ)概,念,念,相關(guān)背,景,景介紹,什么是,風(fēng),風(fēng)險(xiǎn)評(píng),估,估,為什么,要,要風(fēng)險(xiǎn),評(píng),評(píng)估,風(fēng)險(xiǎn)評(píng),估,估意義,風(fēng)險(xiǎn)評(píng),估,估內(nèi)容,相關(guān)術(shù),語,語,相關(guān)標(biāo),準(zhǔn),準(zhǔn),風(fēng)險(xiǎn)評(píng),估,估通用,流,流程及,具,具體實(shí),施,施,實(shí)施要,點(diǎn),點(diǎn)及示,例,例說明,我們的,安,安全形,勢(shì),勢(shì),威脅無,處,處不在,網(wǎng)絡(luò),拒絕服,務(wù),務(wù)攻擊,邏輯炸,彈,彈,特洛伊,木,木馬,

2、黑客攻,擊,擊,計(jì)算機(jī),病,病毒,信息丟,失,失、篡,改,改、銷,毀,毀,后門、,隱,隱蔽通,道,道,怎么辦,？,？,-,風(fēng)險(xiǎn)評(píng),估,估,網(wǎng)絡(luò)面,臨,臨的最,大,大威脅,是,是什么,？,？有哪,些,些安全,問,問題？,什么是,最,最關(guān)鍵,的,的信息,資,資產(chǎn)？,網(wǎng)絡(luò)設(shè),備,備是否,安,安全？,操,操作系,統(tǒng),統(tǒng)、數(shù),據(jù),據(jù)庫(kù)系,統(tǒng),統(tǒng)是否,安,安全？,您需要,什,什么安,全,全技術(shù),保,保障？,風(fēng),風(fēng)險(xiǎn)控,制,制手段,？,？,采用了,哪,哪些安,全,全措施,？,？是否,有,有效？,如何應(yīng),對(duì),對(duì)未來,的,的威脅,?,我們的網(wǎng)絡(luò)有多安全,?,如何知道,?,-,面臨的,問,問題,風(fēng)險(xiǎn)評(píng),估,估相關(guān)

3、,概,概念,脆弱性,/ Vulnerability,資產(chǎn),/ Asset,存在,利用,破壞,威脅,/Threat,風(fēng)險(xiǎn),/ Risk,什么是,風(fēng),風(fēng)險(xiǎn)評(píng),估,估,國(guó)信辦,20065,號(hào)文件,風(fēng)險(xiǎn)評(píng),估,估,（RiskAssessment）,是從風(fēng),險(xiǎn),險(xiǎn)管理,角,角度，,運(yùn),運(yùn)用科,學(xué),學(xué)的方,法,法和手,段,段，系,統(tǒng),統(tǒng)地分,析,析網(wǎng)絡(luò),與,與信息,系,系統(tǒng)所,面,面臨的威脅及其存,在,在的脆弱性，評(píng)估安,全,全事件,一,一旦發(fā),生,生可能,造,造成的,危,危害程,度,度，提出有,針,針對(duì)性,的,的抵御,威,威脅的防護(hù)對(duì),策,策和整,改,改措施,。,。并為防,范,范和化,解,解信息,安,安

4、全風(fēng),險(xiǎn),險(xiǎn)，或,者,者將風(fēng),險(xiǎn),險(xiǎn)控制,在,在可接,受,受的水,平,平，從,而,而最大,限,限度地,為,為保障,網(wǎng),網(wǎng)絡(luò)和,信,信息安,全,全提供,科,科學(xué)依,據(jù),據(jù),風(fēng)險(xiǎn)評(píng),估,估內(nèi)容,評(píng)估內(nèi)容,管理層面,技術(shù)層面,部分相,關(guān),關(guān)標(biāo)準(zhǔn),評(píng)估項(xiàng),參照標(biāo)準(zhǔn),資產(chǎn)評(píng)估,ISO17799/BS7799,加拿大威脅和風(fēng)險(xiǎn)評(píng)估工作指南,風(fēng)險(xiǎn)分析方法,ISO13335 IT,風(fēng)險(xiǎn)管理系列,風(fēng)險(xiǎn)分析模型,AS/NZS 4360: 2004,風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),計(jì)算模型,AS/NZS 4360: 2004,風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),GAO/AIMD-00-33,信息安全風(fēng)險(xiǎn)評(píng)估,評(píng)估過程,GBT20984-2007,信息安全

5、風(fēng)險(xiǎn)評(píng)估規(guī)范,NIST-SP800-26,信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)自評(píng)估指南,NIST-SP800-30,信息技術(shù)系統(tǒng)風(fēng)險(xiǎn)管理指南,安全管理工作的評(píng)估,ISO17799/BS7799,ISO13335 IT,風(fēng)險(xiǎn)管理系列,物理安全評(píng)估,ISO17799/BS7799,GB50174-2008,電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范,網(wǎng)絡(luò)設(shè)備安全性,ISO15408,（,CC,）,GB17859,工信部,安,安全防,護(hù),護(hù)系列,標(biāo),標(biāo)準(zhǔn),提,綱,綱,基礎(chǔ)概,念,念,風(fēng)險(xiǎn)評(píng),估,估流程,風(fēng)險(xiǎn)準(zhǔn),備,備,資產(chǎn)識(shí),別,別,威脅識(shí),別,別,脆弱性識(shí)別,已有安全措,施,施的確認(rèn),風(fēng)險(xiǎn)分析,實(shí)施要點(diǎn)及,示,示例說明,風(fēng)險(xiǎn)評(píng)估流,

6、程,程,資產(chǎn)識(shí)別,脆弱性識(shí)別,威脅識(shí)別,已有安全措,施,施的確認(rèn),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)估準(zhǔn),備,備,實(shí)施風(fēng)險(xiǎn)管,理,理,風(fēng)險(xiǎn)評(píng)估準(zhǔn),備,備,工作內(nèi)容,風(fēng)險(xiǎn)評(píng)估準(zhǔn),備,備,信息安全風(fēng),險(xiǎn),險(xiǎn)評(píng)估方案,檢查記錄表,模,模板,支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢查記,錄,錄表,業(yè)務(wù)安全,支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢查記,錄,錄表,網(wǎng)絡(luò)安全,支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢查記,錄,錄表,主機(jī)安全,支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢查記,錄,錄表,應(yīng)用安全,支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢查記,錄,錄表,數(shù)據(jù)安全及,備,備份恢復(fù),支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢查記,錄,錄表,物理環(huán)境安,全,全,支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢查記,錄,錄表,管理安全,支撐網(wǎng)安全,評(píng),評(píng)測(cè)檢

7、查記,錄,錄表,災(zāi)難備份及,恢,恢復(fù),調(diào)查問卷及,其,其他,需求文檔清,單,單,文檔交接單,資產(chǎn)調(diào)查問,卷,卷,資產(chǎn)識(shí)別清,單,單,重要資產(chǎn)清,單,單,脆弱性調(diào)查,問,問卷,現(xiàn)場(chǎng)配合人,員,員名單,工作輸出,風(fēng)險(xiǎn)評(píng)估流,程,程,資產(chǎn)識(shí)別,脆弱性識(shí)別,威脅識(shí)別,已有安全措,施,施的確認(rèn),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)估準(zhǔn),備,備,實(shí)施風(fēng)險(xiǎn)管,理,理,主要任務(wù),資產(chǎn)識(shí)別,資產(chǎn)信息搜,集,集,資產(chǎn)分類,資產(chǎn)賦值,資產(chǎn)類別,網(wǎng)絡(luò)設(shè)備（,包,包括路由器,、,、交換機(jī)等,）,）,安全設(shè)備（,包,包括防火墻,、,、入侵檢測(cè),系,系統(tǒng)、防病,毒,毒軟件等）,主機(jī)（包括,服,服務(wù)器、,PC,終端等）,機(jī)房及相關(guān),設(shè),設(shè)施,(

8、,如,UPS,、門禁、滅,火,火器、溫濕,計(jì),計(jì),),重要數(shù)據(jù)（,如,如計(jì)費(fèi)數(shù)據(jù),、,、用戶信息,數(shù),數(shù)據(jù)、用戶,帳,帳單）,管理制度及,文,文檔,人員,資產(chǎn)分類,安全屬性賦,值,值,資產(chǎn)賦值,社會(huì)影響力,業(yè)務(wù)價(jià)值,可用性,資產(chǎn)賦值（,示,示例）,風(fēng)險(xiǎn)評(píng)估流,程,程,資產(chǎn)識(shí)別,脆弱性識(shí)別,威脅識(shí)別,已有安全措,施,施的確認(rèn),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)估準(zhǔn),備,備,實(shí)施風(fēng)險(xiǎn)管,理,理,威脅識(shí)別,主要任務(wù)：,-,識(shí)別對(duì)系統(tǒng),、,、組織及其,資,資產(chǎn)構(gòu)成潛,在,在破壞能力,的,的可能性因,素,素或,者事件,-,威脅出現(xiàn)頻,率,率賦值（簡(jiǎn),稱,稱威脅賦值,）,）,威脅賦值,通過被評(píng)估,對(duì),對(duì)象體的歷,史,史故障

9、報(bào)告,或,或記錄，統(tǒng),計(jì),計(jì)各種發(fā)生,過,過的威脅和,其,其發(fā)生頻率,；,；,通過網(wǎng)管或,安,安全管理系,統(tǒng),統(tǒng)的數(shù)據(jù)統(tǒng),計(jì),計(jì)和分析；,通過整個(gè)社,會(huì),會(huì)同行業(yè)近,年,年來曾發(fā)生,過,過的威脅統(tǒng),計(jì),計(jì)數(shù)據(jù)均值,。,賦值方法,判斷威脅出,現(xiàn),現(xiàn)頻率，需,要,要結(jié)合以下,三,三個(gè)方面：,威脅賦值,資產(chǎn)識(shí)別,脆弱性識(shí)別,威脅識(shí)別,已有安全措,施,施的確認(rèn),風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)評(píng)估準(zhǔn),備,備,實(shí)施風(fēng)險(xiǎn)管,理,理,風(fēng)險(xiǎn)評(píng)估流,程,程,脆弱性識(shí)別,主要任務(wù),-,查找脆弱性,-,脆弱性嚴(yán)重,程,程度賦值（,簡(jiǎn),簡(jiǎn)稱脆弱性,賦,賦值）,訪談,現(xiàn)場(chǎng)勘察,漏洞掃描,滲透測(cè)試,人工審計(jì),-,文檔檢查,-,控制臺(tái)審計(jì),

10、以前的審計(jì),和,和評(píng)估結(jié)果,脆弱性識(shí)別,相,相關(guān)方法,脆弱性識(shí)別,方,方法,-,訪談,訪談可以采,取,取現(xiàn)場(chǎng)訪談,的,的方式，也,可,可以采取調(diào),查,查問卷的方,式,式，通常是,兩,兩種方式的,結(jié),結(jié)合,通過一套審,計(jì),計(jì)問題列表,問,問答的形式,對(duì),對(duì)企業(yè)信息,資,資產(chǎn)所有人,和,和管理人員,進(jìn),進(jìn)行訪談,脆弱性識(shí)別,方,方法,-,漏洞掃描,多種掃描工,具,具優(yōu)化組合,掃描內(nèi)容,服務(wù)與端口,開,開放情況,枚舉帳號(hào),/,組,檢測(cè)弱口令,各種系統(tǒng)、,服,服務(wù)和協(xié)議,漏,漏洞,脆弱性識(shí)別,方,方法,-,滲透測(cè)試,什么是滲,透,透測(cè)試,模擬黑客,對(duì),對(duì),網(wǎng)絡(luò)中的,核,核心服務(wù),器,器及重要,的,的網(wǎng)

11、絡(luò)設(shè),備,備，包括,服,服務(wù)器、,網(wǎng),網(wǎng)絡(luò)設(shè)備,、,、防火墻,等,等進(jìn)行,非破壞性,質(zhì),質(zhì)的攻擊,行,行為,，以發(fā)現(xiàn),系,系統(tǒng)深層,次,次的漏洞,，,，并將整,個(gè),個(gè)過程與,細(xì),細(xì)節(jié)報(bào)告,給,給用戶。,滲透測(cè)試,的,的必要性,工具掃描,存,存在一定,的,的誤報(bào)率,和,和漏報(bào)率,，,，并且不,能,能發(fā)現(xiàn)高,層,層次、復(fù),雜,雜、并且,相,相互關(guān)聯(lián),的,的安全問,題,題；,滲透測(cè)試,可,可以發(fā)現(xiàn),邏,邏輯性更,強(qiáng),強(qiáng)、更深,層,層次的弱,點(diǎn),點(diǎn)，同時(shí),滲,滲透測(cè)試,可,可以對(duì)漏,洞,洞掃描結(jié),果,果進(jìn)行驗(yàn),證,證；,滲透測(cè)試,難,難點(diǎn),對(duì)測(cè)試者,的,的專業(yè)技,能,能要求很,高,高。,滲透測(cè)試,內(nèi),

12、內(nèi)容,信息泄露,：,：對(duì)外服,務(wù),務(wù)是否暴,露,露了可能,被,被黑客利,用,用的敏感,信,信息,業(yè)務(wù)邏輯,測(cè),測(cè)試：系,統(tǒng),統(tǒng)是否在,業(yè),業(yè)務(wù)邏輯,設(shè),設(shè)計(jì)上存,在,在被黑客,利,利用的漏,洞,洞,認(rèn)證測(cè)試,：,：系統(tǒng)是,否,否存在弱,口,口令、繞,過,過身份認(rèn),證,證、瀏覽,器,器緩存管,理,理等漏洞,會(huì)話管理,測(cè),測(cè)試：系,統(tǒng),統(tǒng)是否存,在,在會(huì)話劫,持,持、,CSRF,等漏洞,拒絕服務(wù),測(cè),測(cè)試：系,統(tǒng),統(tǒng)是否易,受,受,DDOS,攻擊,Web,服務(wù)測(cè)試,：,：,SQL,注入、跨,站,站腳本,AJAX,測(cè)試,滲透測(cè)試,一,一般方法,遠(yuǎn)程溢出,攻,攻擊測(cè)試,口令破解,Web,腳本及應(yīng),用,

13、用測(cè)試（,SQL,注入、,XSS,等）,本地權(quán)限,提,提升測(cè)試,網(wǎng)絡(luò)嗅探,監(jiān),監(jiān)聽,其它（社,會(huì),會(huì)工程學(xué),等,等）,滲透測(cè)試,分,分類,黑盒測(cè)試,（”,zero-knowledge testing”,）滲透者,完,完全處于,對(duì),對(duì)系統(tǒng)一,無,無所知的,狀,狀態(tài)。通,常,常，這種,類,類型的測(cè),試,試，最初,的,的信息獲,取,取來自,DNS,、,Web,、,Email,及各種公,開,開對(duì)外的,服,服務(wù)器。,白盒測(cè)試,測(cè)試者可,以,以通過正,常,常渠道向,被,被測(cè)單位,取,取得各種,資,資料，包,括,括網(wǎng)絡(luò)拓,撲,撲、員工,資,資料甚至,網(wǎng),網(wǎng)站或其,他,他程序的,代,代碼片段,，,，也能與,單

14、,單位其他,員,員工進(jìn)行,面,面對(duì)面的,溝,溝通這類,的,的測(cè)試目,的,的是模擬,企,企業(yè)內(nèi)部,雇,雇員的越,權(quán),權(quán)操作,滲透測(cè)試,一,一般流程,計(jì)劃與準(zhǔn),備,備,測(cè)試計(jì)劃,測(cè)試準(zhǔn)備,偵查分析,階,階段,信息收集,目標(biāo)判別,漏洞查找,攻擊階段,獲取權(quán)限,權(quán)限提升,脆弱性識(shí),別,別方法,-,人工審計(jì),采用人工,審,審計(jì)方式,可,可以對(duì)漏,洞,洞掃描的,結(jié),結(jié)果進(jìn)行,驗(yàn),驗(yàn)證和分,析,析，也可,以,以檢查某,些,些無法利,用,用工具掃,描,描的內(nèi)容,人工審計(jì),內(nèi),內(nèi)容,網(wǎng)絡(luò)安全,網(wǎng)絡(luò)拓?fù)?結(jié),結(jié)構(gòu),子網(wǎng)劃分,網(wǎng)絡(luò)邊界,審計(jì)日志,網(wǎng)絡(luò)流量,與,與擁塞控,制,制,網(wǎng)絡(luò)設(shè)備,的,的安全配,置,置,.,主

15、機(jī)安全,審計(jì)日志,自主訪問,控,控制功能,強(qiáng)制訪問,控,控制功能,目錄與文,件,件權(quán)限,口令設(shè)置,登陸設(shè)置,資源使用,設(shè),設(shè)置,進(jìn)程與端,口,口關(guān)聯(lián),.,人工審計(jì),內(nèi),內(nèi)容（續(xù),）,）,專用業(yè)務(wù),/,應(yīng)用系統(tǒng),安,安全,通訊安全,性,性,本地文件,存,存儲(chǔ)安全,性,性,登陸過程,安,安全性,自主訪問,控,控制功能,有,有效性及,安,安全策略,配,配置,強(qiáng)制訪問,控,控制功能,有,有效性及,安,安全策略,配,配置,用戶權(quán)限,審,計(jì),計(jì),日,日,志,志,并,發(fā),發(fā),會(huì),會(huì),話,話,數(shù),數(shù),限,限,制,制,數(shù),據(jù),據(jù),安,安,全,全,及,及,備,備,份,份,數(shù),據(jù),據(jù),傳,傳,輸,輸,安,安,全,全

16、,性,性,數(shù),據(jù),據(jù),存,存,儲(chǔ),儲(chǔ),安,安,全,全,性,性,備,份,份,與,與,恢,恢,復(fù),復(fù),功,功,能,能,備,份,份,數(shù),數(shù),據(jù),據(jù),(,如,用,用,戶,戶,帳,帳,單,單,備,備,份,份,數(shù),數(shù),據(jù),據(jù),),鏈,路,路,冗,冗,余,余,硬,件,件,冗,冗,余,余,(,如,計(jì),計(jì),費(fèi),費(fèi),系,系,統(tǒng),統(tǒng),雙,雙,機(jī),機(jī),備,備,份,份,),人,工,工,審,審,計(jì),計(jì),內(nèi),內(nèi),容,容,（,（,續(xù),續(xù),）,）,物,理,理,環(huán),環(huán),境,境,安,安,全,全,防,震,震,、,、,防,防,風(fēng),風(fēng),、,、,防,防,雨,雨,等,等,能,能,力,力,機(jī),房,房,出,出,入,入,安,安,全,全,區(qū),域,域

17、,隔,隔,離,離,防,水,水,防,防,潮,潮,防,靜,靜,電,電,防,盜,盜,竊,竊,和,和,防,防,破,破,壞,壞,溫,濕,濕,度,度,控,控,制,制,管,理,理,安,安,全,全,管,理,理,制,制,度,度,制,定,定,和,和,發(fā),發(fā),布,布,崗,位,位,設(shè),設(shè),置,置,人,員,員,配,配,備,備,人,員,員,錄,錄,用,用,、,、,離,離,崗,崗,安,全,全,意,意,識(shí),識(shí),教,教,育,育,和,和,培,培,訓(xùn),訓(xùn),軟,件,件,開,開,發(fā),發(fā),測(cè),試,試,驗(yàn),驗(yàn),收,收,審,計(jì),計(jì),示,示,例,例,防護(hù)要求,脆弱性檢查要點(diǎn),(HP-UX),檢查結(jié)果記錄,當(dāng)對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措

18、施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽；,/etc/inet/services,/etc/inet/inetd.conf,口令應(yīng)有復(fù)雜度要求并定期更換,/var/adm/userdb/,/etc/shadow,審計(jì)范圍應(yīng)覆蓋到服務(wù)器上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶,/var/adm/userdb/,/etc/default/security,脆,弱,弱,性,性,識(shí),識(shí),別,別,工具,掃描,工,工具,系統(tǒng),層,層：,X-scan,、,Nessus,、極,光,光漏,洞,洞掃,描,描系,統(tǒng),統(tǒng)、,天,天鏡,漏,漏洞,掃,掃描,系,系統(tǒng),應(yīng)用,層,層：,IBMAppscan,、,Fortify,、,A

19、cunetixWebVulnerabilityScanner,數(shù)據(jù),庫(kù),庫(kù)：,ShadowDataBaseScanner,、,ISSDatabaseScanner,脆弱,性,性賦,值,值,等級(jí),標(biāo)識(shí),定義,5,很高,如果被威脅利用，將對(duì)資產(chǎn)造成完全損害,4,高,如果被威脅利用，將對(duì)資產(chǎn)造成重大損害,3,中等,如果被威脅利用，將對(duì)資產(chǎn)造成一般損害,2,低,如果被威脅利用，將對(duì)資產(chǎn)造成較小損害,1,很低,如果被威脅利用，對(duì)資產(chǎn)造成的損害可以忽略,脆弱,性,性賦,值,值表,賦值,方,方法,工作,輸,輸出,脆弱,性,性列,表,表,類型,、,、名,稱,稱、,描,描述,、,、賦,值,值,風(fēng)險(xiǎn),評(píng),評(píng)估,流

20、,流程,資產(chǎn),識(shí),識(shí)別,脆弱,性,性識(shí),別,別,威脅,識(shí),識(shí)別,已有,安,安全,措,措施,的,的確,認(rèn),認(rèn),風(fēng)險(xiǎn),分,分析,風(fēng)險(xiǎn),評(píng),評(píng)估,準(zhǔn),準(zhǔn)備,實(shí)施,風(fēng),風(fēng)險(xiǎn),管,管理,已有,安,安全,措,措施,確,確認(rèn),安全,措,措施,-,預(yù)防,性,性安,全,全措,施,施,-,保護(hù),性,性安,全,全措,施,施,主要,任,任務(wù),-,針對(duì),已,已識(shí),別,別的,脆,脆弱,性,性確,認(rèn),認(rèn)已,采,采取,的,的安,全,全措,施,施并,記,記錄,下,下來,工作,輸,輸出,-,已有,安,安全,措,措施,確,確認(rèn),表,表,風(fēng)險(xiǎn),評(píng),評(píng)估,流,流程,資產(chǎn),識(shí),識(shí)別,脆弱,性,性識(shí),別,別,威脅,識(shí),識(shí)別,已有,安,安全

21、,措,措施,的,的確,認(rèn),認(rèn),風(fēng)險(xiǎn),分,分析,風(fēng)險(xiǎn),評(píng),評(píng)估,準(zhǔn),準(zhǔn)備,實(shí)施,風(fēng),風(fēng)險(xiǎn),管,管理,風(fēng)險(xiǎn),分,分析,流,流程,保持,已,已有,安,安全,措,措施,提出,風(fēng),風(fēng)險(xiǎn),處,處理,計(jì),計(jì)劃,是否,接,接受,風(fēng),風(fēng)險(xiǎn),風(fēng)險(xiǎn),計(jì),計(jì)算,是,否,風(fēng)險(xiǎn),閾,閾值,風(fēng)險(xiǎn),計(jì),計(jì)算,風(fēng)險(xiǎn),計(jì),計(jì)算,方,方法,、,風(fēng)險(xiǎn),計(jì),計(jì)算,風(fēng)險(xiǎn),計(jì),計(jì)算,方,方法,（,（續(xù),）,）,相乘,法,法：,風(fēng)險(xiǎn),值,值,資,資產(chǎn),價(jià),價(jià)值,x,威脅,值,值,x,脆弱,性,性值,風(fēng)險(xiǎn),閾,閾值,的,的確,定,定,風(fēng)險(xiǎn),閾,閾值,是,是風(fēng),險(xiǎn),險(xiǎn)是,否,否可,接,接受,的,的判,斷,斷依,據(jù),據(jù),確定,方,方法,對(duì)象的安全

22、等級(jí),1,級(jí),2,級(jí),3.1,級(jí),3.2,級(jí),4,級(jí),5,級(jí),風(fēng)險(xiǎn)閾值（風(fēng)險(xiǎn)值大于此閾值的風(fēng)險(xiǎn)視為不可接受）,設(shè)備類風(fēng)險(xiǎn)（包括設(shè)備、機(jī)房、數(shù)據(jù)、網(wǎng)絡(luò)）,60,45,25,15,10,5,人員類風(fēng)險(xiǎn),90,60,40,30,20,10,管理制度、文檔類風(fēng)險(xiǎn),80,50,30,20,10,5,風(fēng)險(xiǎn),處,處理,建,建議,主要,任,任務(wù),風(fēng)險(xiǎn),處,處理,方,方式,降低,風(fēng),風(fēng)險(xiǎn),應(yīng)用,適,適當(dāng),的,的控,制,制措,施,施,(,預(yù)防,性,性措,施,施、,保,保護(hù),性,性措,施,施,),接受,風(fēng),風(fēng)險(xiǎn),由于,投,投入,過,過高,和,和收,效,效不,明,明顯,避免,風(fēng),風(fēng)險(xiǎn),因?yàn)?風(fēng),風(fēng)險(xiǎn),的,的代,價(jià),價(jià)

23、太,高,高，,不,不允,許,許執(zhí),行,行會(huì),產(chǎn),產(chǎn)生,風(fēng),風(fēng)險(xiǎn),的,的活,動(dòng),動(dòng),轉(zhuǎn)移,風(fēng),風(fēng)險(xiǎn),轉(zhuǎn)嫁,給,給第,三,三方,（,（保,險(xiǎn),險(xiǎn)、,供,供應(yīng),商,商）,對(duì)不,可,可接,受,受風(fēng),險(xiǎn),險(xiǎn)提,出,出控,制,制風(fēng),險(xiǎn),險(xiǎn)的,安,安全,建,建議,提,綱,綱,基礎(chǔ),概,概念,風(fēng)險(xiǎn),評(píng),評(píng)估,通,通用,流,流程,及,及具,體,體實(shí),施,施,實(shí)施,要,要點(diǎn),及,及示,例,例說,明,明,成功,實(shí),實(shí)施,要,要點(diǎn),評(píng)估,范,范圍,確,確定,分析,方,方法,及,及計(jì),算,算方,法,法的,選,選擇,建立,良,良好,的,的溝,通,通氛,圍,圍,適當(dāng),的,的評(píng),估,估工,具,具選,擇,擇及,操,操作,策,策

24、略,數(shù)據(jù),、,、報(bào),告,告應(yīng),務(wù),務(wù)必,做,做到,準(zhǔn),準(zhǔn)確,、,、詳,盡,盡、,規(guī),規(guī)范,，,，可,溯,溯,整個(gè),過,過程,應(yīng),應(yīng)遵,循,循風(fēng),險(xiǎn),險(xiǎn)評(píng),估,估原,則,則,安全,風(fēng),風(fēng)險(xiǎn),評(píng),評(píng)估,工,工作,重,重點(diǎn),管理,與,與技,術(shù),術(shù)并,重,重,三,三分,技,技術(shù),、,、七,分,分管,理,理,管,管理,工,工作,重,重視,程,程度,不,不夠,，,，比,較,較容,易,易忽,視,視,風(fēng)險(xiǎn),評(píng),評(píng)估,工,工作,的,的持,續(xù),續(xù)性,做了,風(fēng),風(fēng)險(xiǎn),評(píng),評(píng)估,，,，但,不,不代,表,表沒,有,有任,何,何隱,患,患了,或,或者,不,不存,在,在被,入,入侵,的,的可,能,能。,不管,操,操作,系,系統(tǒng),如,如何,更,更新,換,換代,，,，總,會(huì),會(huì)有,漏,漏洞,；,；不,管,管安,全,全措,施,施多,么,么完,善,善，,總,總會(huì),有,有黑,客,客和,病,病毒,。,。此,外,外，,信,信息,系,系統(tǒng),的,的網(wǎng),絡(luò),絡(luò)結(jié),構(gòu),構(gòu)和,系,系統(tǒng),設(shè),設(shè)置,不,不是,一,一成,不,不變,的,的。,再,再有,，,，黑,客,客技,術(shù),術(shù)和,攻,攻擊,手,手段,一,一直,在,在不,斷,斷發(fā),展,展，,曾,曾經(jīng),安,安全,的,的信,息,息系,統(tǒng),統(tǒng)很,可,可能,變,變得,不,不堪,一,一擊,。,。,謝,謝,謝,！,！,Thanks!,演講,完,完畢,，,，謝,謝,謝觀,看,看！,