企业安全评估

October2006NSFOCUS咨询设计部*****@nsfocus.comProfessionalSecuritySolutionProvider**安全风险评估技术交流1ProfessionalSecuritySolutionProvider提纲•**科技简介•如何选择安全服务提供商•风险评估是安全体系建设的前提和基础•**科技主要案例介绍2ProfessionalSecuritySolutionProvider**科技简介3ProfessionalSecuritySolutionProvider公司概况**科技是国内最早提出专业安全服务的公司，国家级应急响应服务提供单位目前为止，在全国共有员工340人全国各地设立23个运营机构，各机构的技术力量都能满足本地化的技术支持客户中包括了电信、移动、金融、政府、能源、企业以及涉密等多个行业参与了多项国内安全标准的制定和国家安全研究课题的工作机构分布总部与研发中心：北京分公司：上海广州沈阳成都办事处-深圳海口福州长沙南京贵阳海口-西安昆明重庆兰州南宁新疆-济南杭州长春哈尔滨武汉4ProfessionalSecuritySolutionProvider公司资质、荣誉•服务资质–2001年首批安全服务试点企业–2002年首批安全服务一级资质企业–2004年首批安全服务二级资质企业–2004年首批国家级安全紧急响应服务单位–2005年通过CVE兼容性最高认证–ISO9001：2000国际国内双认证•用户认可–连续四年最值得信赖的安全服务品牌–连续获得三年电子政务百强称号–荣获中关村最佳客户服务奖专业资质荣誉证书5ProfessionalSecuritySolutionProvider公司稳定发展的历程•研发和专业服务技术人员占总人数的2/3以上，达到280人的技术力量•**科技以安全服务为公司成长的基点，以技术研究为公司发展源动力，使公司稳步向前发展•6年来，公司业务规模持续稳定增长，在多个行业积累了丰富的行业经验，获得了行业客户的广泛认可业务规模的增长02000400060008000100002000年2001年2002年2003年20042005业务规模(万元)人员数目的增长01002003004005002000200120022003200420052006人员数目(人)6ProfessionalSecuritySolutionProvider•拥有顶级安全专家组成的独立安全研究机构•发现包括Microsoft、HP、CISCO、SUN、Juniper等多家厂商的31个严重安全漏洞•六年来一直维护国内最大最权威的中文安全漏洞库NSBL，数目已经达到9265条。同时漏洞库已经成为同行业重要的参考依据和标准•入侵检测规则库从2002年起出口到美国市场，底层技术获得国际的广泛认可•多年来的研究成果，奠定了**科技在国际安全界的地位，同时为国家信息安全研究和发展做出了重大贡献•06年7月12日，又独立发现了MSOFFICE3个最为严重的漏洞雄厚的技术实力7ProfessionalSecuritySolutionProvider强大的研发创新能力•保持每年一款新产品的推出•原有产品每六个月进行一次升级2000年2001年2002年2003年2004年2005年2006年V5.0V4.0V4.0V1.5V5.0V1.0国内主流安全厂商中，唯一的全部产品线完全自主研发。8ProfessionalSecuritySolutionProvider**科技安全产品•网络入侵检测系统•漏洞扫描系统•抗拒绝服务系统•内网安全管理系统•网络入侵保护系统•网络流量管理系统9ProfessionalSecuritySolutionProvider专业安全服务NSPS项目经验专业团队服务方法论项目组织经过5年专业安全服务的执着实践，形成了国内最完善的专业安全服务体系和完善的专业安全服务方法论。•丰富的行业服务实践经验。•具有大规模的丰富的安全产品实施经验。•紧急响应小组(NSIRT)多次为用户解决不同层次的安全问题•具备国际一流的基础研究能力**科技安全小组(NSFOCUSSecurityTeam)•服务部门拥有多位CISSP、CISP、CCIE、CIW、PMP等国际认证专家。•DIEM工程实施模型•通过严格的二级服务资质评审•经过ISO9001认证的服务过程形成积累总结培养**科技NSPS专业安全服务体系10ProfessionalSecuritySolutionProvider专业安全服务体系构成•部分服务用户–中国电信–中国移动–中国联通–银河证券–华泰证券–山东通信–国家民政部–国家质检总局–山东通信–TOM.COM•所获荣誉–2003值得信赖的服务品牌–2003中关村最佳客户服务奖–2004值得信赖的服务品牌–2005值得信赖的服务品牌NSPS安全咨询•日常安全咨询•安全架构设计•安全体系设计安全管理•安全问题通告•安全加固•补丁管理•紧急响应安全评估•全面风险评估•技术脆弱性评估•应用安全评估•渗透测试安全培训•初级安全培训•中级安全培训•高级安全培训安全外包集中监控11ProfessionalSecuritySolutionProvider**科技技术实力总结•面向全球提供具备核心竞争力的安全解决方案•公司服务资质–国家安全服务资质（二级）–国家级公共互联网应急处理试点单位–ISO9001质量管理体系国际国内双认证•公司产品资质产品入围情况–入侵检测产品EAL3认证–中国国家信息安全产品测评认证中心认证–中国国家公安部认证–中国人民解放军安全产品测评中心认证–国家保密局认证•2003－2005年蝉联“中国信息安全值得信赖的安全服务品牌”•2003—2005年度“中关村最具发展潜力的十佳中小高新技术企业”•2004—2005年赛迪评测”年度IDS千兆产品精品大奖“和”年度IDS产品工程师推荐奖“•2004—2005年度中国计算机报“编辑选择奖”定位获奖情况证书资质情况–中国人民银行–中国农业银行–中国建设银行–中国移动测评第一名–金财工程入围第一名12ProfessionalSecuritySolutionProvider如何选择安全服务提供商13ProfessionalSecuritySolutionProvider如何选择安全服务提供商•国家认可的安全服务资质•同类行业实施项目数量及经验•企业从事安全服务的专业人员数量•企业发展战略规划及成长方向•本地化技术支持从业人员要求企业资质要求•丰富的安全服务项目经验•精湛的底层技术的研究能力•精深的安全标准掌握能力•准确的把握国家政策导向•专业的行业知识及其领域规范14ProfessionalSecuritySolutionProvider风险评估是安全体系建设的前提和基础15ProfessionalSecuritySolutionProvider子提纲－风险评估介绍•概念和术语•目的和作用•评估的内容•如何进行评估•评估的效果•操作模式16ProfessionalSecuritySolutionProvider风险评估的概念和术语•信息资产•脆弱性•威胁•风险•风险评估•风险管理•信息资产是一个完整信息系统的组成部分，是风险评估的对象。•一个信息系统的资产包括：–物理资产，包括服务器设备，终端设备，网络设备及其它设备等；–软件资产，包括系统软件，业务应用软件，办公自动化软件及其它应用软件等；–数据资产，包括系统数据，业务数据，办公数据，技术文档数据及其它数据等；–其他资产，包括公司人力、声誉等。17ProfessionalSecuritySolutionProvider风险评估的概念和术语•信息资产•脆弱性•威胁•风险•风险评估•风险管理•脆弱性是指资产或资产组中能被威胁利用的弱点。•弱点可能位于包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。•资产的脆弱性是资产所特有的，只能通过某种安全措施降低其脆弱程度，但它不可能完全被消灭。18ProfessionalSecuritySolutionProvider风险评估的概念和术语•信息资产•脆弱性•威胁•风险•风险评估•风险管理•威胁是指可能对资产或组织造成损害事故的潜在原因。它包括五类：–逻辑的威胁–通信的威胁–技术故障的威胁–人员错误的威胁–物理和环境的威胁•威胁是客观存在的，不可能被消灭或改变。更确切地说某一特定资产必然面对某些特定的威胁19ProfessionalSecuritySolutionProvider风险评估的概念和术语•信息资产•脆弱性•威胁•风险•风险评估•风险管理•信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。•风险只能预防、避免、降低、转移和接受，但不可能完全被消灭。20ProfessionalSecuritySolutionProvider风险评估的概念和术语•信息资产•脆弱性•威胁•风险•风险评估•风险管理•是指依据国际、国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学识别和评价的过程。•风险评估要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。21ProfessionalSecuritySolutionProvider风险评估的概念和术语•信息资产•脆弱性•威胁•风险•风险评估•风险管理•风险管理是基于风险评估的安全管理方法。它是以可以接受的代价识别、控制、最小化或者避免影响信息系统安全的风险的过程。–风险评估分析–风险控制•一个完整的风险评估过程实际上就是一个风险管理过程。22ProfessionalSecuritySolutionProvider子提纲－风险评估介绍•概念和术语•目的和作用•评估的内容•如何进行评估•评估的效果•操作模式23ProfessionalSecuritySolutionProvider风险评估目的与作用•发现问题•找出方法•提出建议•提供方案•人员安全意识•人员安全知识•安全管理制度•安全管理策略•资产安全属性•环境安全现状•业务运行现状•……24ProfessionalSecuritySolutionProvider风险评估目的与作用•发现问题•找出方法•提出建议•提供方案风险评估方案与培训信息资产安全风险评估方案与培训信息资产安全信息安全生命周期模型25ProfessionalSecuritySolutionProvider风险评估目的与作用•发现问题•找出方法•提出建议•提供方案•如何提高安全意识•如何提高安全知识•如何执行安全制度•如何完善安全策略•如何保障资产安全•如何保障环境安全•如何保障业务运行•……26ProfessionalSecuritySolutionProvider风险评估目的与作用•发现问题•找出方法•提出建议•提供方案•提出培训方案•安全规划方案•安全建设方案•应急响应预案•……27ProfessionalSecuritySolutionProvider子提纲－风险评估介绍•概念和术语•目的和作用•评估的内容•如何进行评估•评估的效果•操作模式28ProfessionalSecuritySolutionProvider风险评估内容•找出弱点•发现威胁•评估风险•主要内容•安全意识•安全知识•信息资产•运行环境•物理环境•……29ProfessionalSecuritySolutionProvider•找出弱点•发现威胁•评估风险•主要内容•内部安全威胁•外部安全威胁•第三方厂商安全威胁风险评估内容30ProfessionalSecuritySolutionProvider•找出弱点•发现威胁•评估风险•主要内容安全风险发现增加具有增加增加降低满足利用措施威胁抗击安全需求资产价值影响资产系统漏洞暴露产生风险评估内容31ProfessionalS