返回
启明星辰技术风险评估白皮书v.

启明星辰技术风险评估白皮书v.

ID:16131513

大小:576.00 KB

页数:40页

时间:2018-08-08

启明星辰技术风险评估白皮书v._第1页
启明星辰技术风险评估白皮书v._第2页
启明星辰技术风险评估白皮书v._第3页
启明星辰技术风险评估白皮书v._第4页
启明星辰技术风险评估白皮书v._第5页
资源描述:

《启明星辰技术风险评估白皮书v.》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、启明星辰专业安全服务技术风险评估服务技术白皮书Ver1.0北京启明星辰信息技术股份有限公司VenusInformationtechnology2008年10月版权声明启明星辰©2008版权所有,保留一切权力。未经北京启明星辰信息技术股份有限公司(以下简称启明星辰)书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归启明星辰所有并受中国知识产权法和国际公约的保护。信息更新本文档及其相关计算机软件程序(以下文中称为“文档”)仅用于为最终用户提供信息,并且随时可由启明星辰更改或撤回。信息反馈如有任何宝贵意见,请反馈:信箱:北京市海淀区东北旺西路8号中关村软件园21号楼

2、启明星辰大厦电话:010-82779088传真:010-82779238免责条款根据适用法律的许可范围,启明星辰按“原样”提供本文档而不承担任何形式的担保,包括(但不限于)任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下,启明星辰都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责,即使启明星辰明确得知这些损失或损坏,这些损坏包括(但不限于)利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。出版时间本文档由启明星辰2008年10月制作出版。目录1概述11.1评估简介21.2评估目的21.3评估关键因素31.4指

3、导原则41.5参考标准52评估模型63评估内容与方法93.1评估内容93.1.1资产评估93.1.2主机安全性评估93.1.3数据库安全性评估103.1.4安全设备评估103.1.5网络安全性评估113.1.6安全加固(可选)123.2主要评估方法123.2.1资产识别与赋值133.2.2漏洞扫描153.2.3控制台审计153.2.4技术访谈163.2.5网络架构分析173.2.6数据流分析174评估过程184.1制定项目计划194.1.1项目培训194.1.2项目范围、目标和职责194.1.3工作限制要求194.1.4项目进度安排194.1.5项目协调会204.2收集资料204.2.1资产调

4、查表204.2.2网络规划信息204.2.3其他文档信息214.3现场评估214.3.1资产赋值214.3.2漏洞扫描214.3.3控制台审计224.3.4技术访谈224.4数据分析224.4.1分析内容234.4.2定义风险234.4.3识别风险244.5形成评估报告254.5.1评估报告254.5.2安全建议264.6安全加固274.6.1加固方案274.6.2加固报告275项目组织295.1人员组成及职责295.2工程接口306项目质量管理与保障316.1项目管理方法316.2变更控制管理316.3项目沟通管理316.4评估过程控制316.5风险规避措施317启明星辰风险评估特点338服

5、务和支持351概述随着近年来我国网络建设和信息化建设速度的加快,企业、政府机关等组织的业务和信息化的结合越来越紧密,业务信息化在给组织带来巨大经济和社会效益的同时,也给组织的信息安全和管理带来了严峻的挑战。一方面,信息安全由于其专业性,组织信息安全管理人员在数量和技能上的缺乏给全网的安全管理带来了很大的难度;另一方面,网络攻击技术更新很快,往往会在短时间内造成巨大的破坏,互联网的传播使黑客技术具有更大的普及性和破坏性,会给组织造成很大的威胁。必须全面认知组织所面临的信息安全风险,加强信息安全技术和安全管理的能力和水平,才能减少组织的运营风险。在考虑组织的信息安全时,我们需要考虑或回答以下问题:

6、ü网络面临的最大威胁是什么?ü有哪些安全问题?ü什么是最关键的信息资产?ü网络设备是否安全?ü操作系统、数据库系统是否安全?ü在系统中采用了哪些安全措施?是否有效?ü您需要什么风险控制手段?ü您需要什么安全技术保障?ü对于安全事故,是否具备应急响应与恢复能力?ü是否有合理的业务连续性和灾难恢复计划?……面对这些问题,我们会自然地想到:对组织的信息系统,我们应该保护什么?应该如何保护?……这些问题有的看似简单,有的非常复杂,要准确回答这些问题,首先就需要进行风险评估。正是在这样的背景下,启明星辰结合自身多年在安全行业的积累,提出了具有国内领先水平的安全服务体系,并将常见的风险评估服务以产品的形式

7、提供给客户。本白皮书描述了启明星辰技术风险评估服务。1.1评估简介风险评估是风险管理的重要组成部分,要想更好地理解风险评估,首先要了解风险管理。风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程,是一个识别、控制、降低或消除安全风险的活动。通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。