欢迎来到天天文库
浏览记录
ID:30368861
大小:2.76 MB
页数:42页
时间:2018-12-29
《风险评估在等保中的应用课件》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、2013年2月基于风险评估的信息安全等级保护最佳实践风险评估目录实践心得产品介绍评估依据的标准和规范信息安全管理标准ISO17799(GB/T19716)、ISO27001信息安全管理指南ISO13335(GB/T19715)信息安全通用准则ISO15408(GB/T18336)系统安全工程能力成熟模型SSE-CMM国家信息中心《风险评估指南》国家信息中心《风险管理指南》计算机信息系统安全等级保护划分准则(GB17859)计算机信息系统等级保护相关规范其他相关标准(AS/NZS4360,GAO/AIMD-00-33
2、,GAO/AIMD-98-68,BSIPD3000,IATF)相关法规及行业政策风险评估要素关系图风险评估流程确定评估范围资产的识别和估价脆弱性评估威胁评估风险分析风险管理风险评估流程风险评估实施流程风险评估内容-技术部分物理层安全--机房建设--环境安全--物理安全控制--办公环境安全系统层安全安全问题来自网络内使用的操作系统-系统预警防护;-系统安全漏洞;-系统安全配置;-系统日志审计。网络层安全--网络建设规范性;--网络可靠性;--网络边界安全;--网络协议分析;--网络通信安全;--设备自身安全;--网络
3、安全管理。应用层安全考虑采用的应用软件和业务数据--系统安全漏洞;--系统安全功能;--系统配置安全;--系统代码安全。风险评估内容-管理部分资产管理系统建设、开发与维护通信与操作管理访问控制物理与环境安全人力资源安全安全方针信息安全组织业务连续性管理符合性安全事件管理风险计算模型XX省国税广域网主要由省局局域网、11个下属市局局域网及各市辖属的区、县、农村分局局域网络共同组成,它与国税总局网络形成了总局、省局、市局、县(区)局、农村分局的分级结构的专线网络。该广域网承载了全省范围内的所有国税业务系统。案例分析1-
4、某省国税风险评估项目省局拓扑结构图通过风险评估大致确定有操作错误、滥用授权、行为抵赖、身份假冒、利用漏洞、拒绝服务、物理破坏等15种风险之多。物理层面:进入机房无登记、机房机柜为了方便未上锁、缺乏对于重要业务数据的主机输入输出媒介(软驱、光驱、USB口等)的严格控制措施。网络层面:整体网络中关键地方出现单点故障、互联网出口没有做冗余备份网络通信安全-无DDOS防御设备、IDS监控范围不够、检测策略未设置;网络边界安全-不信任网络间无ACL,VLAN划分粒度粗,IPMAC未绑定;网络设备安全-无超时重登陆、Telne
5、t未关闭、针对SNMP、CDP无ACL配置;网络管理-设备日志(攻击日志、登陆日志)没有有效地审计、分析;系统层面:系统安全漏洞、系统配置安全应用层面:数据库存在严重漏洞,部分重要终端没有做到身份认证、访问控制、口令存储加密。管理层面:11个方面(ISO27001)对整个体系风险进行了分析总结。风险分析风险应对风险评估的结果确定安全水平,对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。风险处理的方式:规避风险-减少单点故障的发生率,对重要链路、设备进行冗余备份;降低风险-网络之间添加ACL、VLA
6、N,并对重要数据服务器定期更换口令;转移风险-机房、设备的风险由企业转移给持有门卡的管理员,机房责任制;接受风险-所有设备的安全日志收集、整理、分析就是对风险的记录;做好灾备工作,以及应急响应流程;风险控制措施:安全策略、信息安全组织、资产管理、人力资源安全、物理与环境安全、通信和操作安全、访问控制、系统开发和维护、信息安全事故管理、业务连续性管理、合规性管理11个方面进行考虑、分析和规划。《XX系统风险评估报告》《XX系统现状分析报告-技术部分》《XX系统现状分析报告-管理部分》输出报告风险评估目录实践心得产品介
7、绍4个系统的定级备案安全管理体系的设计安全技术方案的设计整改阶段的实施工作辅助通过第三方测评项目需求1.明确需求2.进场调研3.辅助定级4.方案设计5.项目实施6.辅助测评业务系统调研定级安全现状调研技术安全体系调研管理18建设步骤较多被入侵的痕迹和后门网络总体网络结构杂乱,缺乏系统接入规范和组网规范没有划分安全域,边界不清晰太多出口,没有统一的公网接入管理目前两网合一后办公网和网管等系统之间的边界控制不严格缺乏网络安全监控措施对第三方的网络接入缺乏相应的规范和管理手段目前很多业务系统没有和现状完全相符的拓扑
8、图主机安全状况较差很多系统难以及时打上安全补丁大部分系统没有经过安全配置主机之间采用强信任方式技术方面调研评估安全建设缺乏总体规划各部门缺乏协调、安全建设五花八门安全管理权力分散,缺乏统一管理缺乏落地的安全组织;各部门的管理自成体系,部门之间缺乏协作各部门安全管理状况参差不齐,安全管理水平普遍较低。普遍缺乏公司、部门和系统层面的安全制度、标准和流程人员安全意
此文档下载收益归作者所有