亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作(轉(zhuǎn)) [打印本頁]
作者: 一起走過的日子    時(shí)間: 2004-06-16 11:37
標(biāo)題: 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作(轉(zhuǎn))
3. BS7799和OCTAVE
3.1 BS7799的優(yōu)勢和弱點(diǎn)
要初步了解BS7799,我覺得從兩個(gè)角度入手

了解BS7799的安全管理流程,也就是建立信息安全管理體系的方法和步驟


系統(tǒng)了解BS7799中提到的10類127個(gè)控制項(xiàng)的內(nèi)容

并且能夠在此基礎(chǔ)上針對(duì)不同行業(yè)選擇(甚至新增)控制項(xiàng)。就如最近移動(dòng)集團(tuán)提出的NISS(網(wǎng)絡(luò)與信息安全標(biāo)準(zhǔn))一樣。

個(gè)人感覺BS7799的最大缺陷就在于可操作性不強(qiáng),如果僅僅按BS7799的要求操作(類似ISO9000的評(píng)審),有可能最終達(dá)不到初始的安全目標(biāo)。這或許也是BS7799和ISO17799呼聲很高,但實(shí)際應(yīng)用或者通過評(píng)審的企業(yè)并不多的原因之一。作為參考,這里給出一份sans提供的BS7799檢查列表。

3.2 OCTAVE的有效補(bǔ)充
所謂OCTAVE,實(shí)際上是Operationally Critical Threat, Asset, and Vulnerability Evaluation的縮寫,指的是可操作的關(guān)鍵威脅、資產(chǎn)和弱點(diǎn)評(píng)估。在我的理解中,OCTAVE首先強(qiáng)調(diào)的是O,其次是C,也就是說,它最注重可操作性,其次對(duì)關(guān)鍵性很關(guān)注,把握80/20原則

簡單描述我理解OCTAVE的幾個(gè)重點(diǎn)(實(shí)際上在OCTAVE中的每個(gè)環(huán)節(jié)都是不可忽視的,這里所說的幾個(gè)重點(diǎn)是我認(rèn)為OCTAVE較好、或者評(píng)估過程中比較關(guān)鍵的部份環(huán)節(jié)):

過程控制(整體)
OCTAVE將整體網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估過程分為三個(gè)階段九個(gè)環(huán)節(jié),分別是:

階段一:建立基于資產(chǎn)的威脅配置文件

01. 標(biāo)識(shí)高層管理知識(shí)
02. 標(biāo)識(shí)業(yè)務(wù)區(qū)域知識(shí)
03. 標(biāo)識(shí)一般員工知識(shí)
04. 建立威脅配置文件

階段二:標(biāo)識(shí)基礎(chǔ)結(jié)構(gòu)的弱點(diǎn)

05. 標(biāo)識(shí)關(guān)鍵資產(chǎn)
06. 評(píng)估選定的資產(chǎn)

階段三:確定安全策略和計(jì)劃

07. 執(zhí)行風(fēng)險(xiǎn)分析
8A. 開發(fā)保護(hù)策略A
8B. 開發(fā)保護(hù)策略B

下圖是CERT在為一家醫(yī)院進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)的進(jìn)程時(shí)間表,我們可以作為參考。



創(chuàng)建威脅統(tǒng)計(jì)(process 4)
這個(gè)過程實(shí)際上完成兩件事,一是對(duì)前面三個(gè)過程中收集的數(shù)據(jù)進(jìn)行整理,使數(shù)據(jù)分析清晰。二是能夠通過分析資產(chǎn)的威脅,創(chuàng)建重要資產(chǎn)及資產(chǎn)面臨威脅的全局視圖。

從下圖我們可以看到,OCTAVE對(duì)某一資產(chǎn)的資產(chǎn)、訪問、動(dòng)機(jī)、參與者和結(jié)果都進(jìn)行了分析(該圖僅是針對(duì)一項(xiàng)資產(chǎn)──個(gè)人計(jì)算機(jī),和一種訪問──網(wǎng)絡(luò)而建立的威脅視圖),這種方式的確有助于我們看清企業(yè)內(nèi)部的威脅情況。



識(shí)別關(guān)鍵資產(chǎn)(process 5)
也是第一階段的延續(xù),按OCTAVE的說法,分成兩步:標(biāo)識(shí)組件的關(guān)鍵種類和標(biāo)識(shí)要分析的基礎(chǔ)結(jié)構(gòu)組件。如果從操作靈活性考慮,我們也可以在階段一的時(shí)候?yàn)橘Y產(chǎn)和知識(shí)標(biāo)識(shí)出CIA(機(jī)密性、完整性和可用性),通過對(duì)CIA的綜合運(yùn)算得出最終結(jié)論。

進(jìn)行風(fēng)險(xiǎn)分析(process 7)
與創(chuàng)建威脅統(tǒng)計(jì)中的威脅視圖相對(duì)應(yīng),在這里需要標(biāo)識(shí)出威脅可能造成的影響。要注意到的是,風(fēng)險(xiǎn)分析并非僅象下圖那樣是單一的,而是多種系統(tǒng)之間可能交叉影響,因此這個(gè)視圖最終完成后將會(huì)是很大的一張圖表。



4. 中小企業(yè)的特點(diǎn)和對(duì)OCTAVE的重新評(píng)價(jià)
4.1 中小型企業(yè)和大型企業(yè)在評(píng)估活動(dòng)中的異同點(diǎn)
最直接的想法,大型企業(yè)和中小型企業(yè)對(duì)安全的關(guān)注要點(diǎn)是否完全相同?又是否完全不同?哪些在大型企業(yè)中做過的事是可復(fù)用的?我很少看到關(guān)于這些方面的討論,因此也想在這里將問題提出,并給出我的粗淺考慮,希望能夠引玉。

相同點(diǎn)(可以復(fù)用的部份)
1. 資產(chǎn)評(píng)估

資產(chǎn)調(diào)查表格
資產(chǎn)屬性和賦值調(diào)研表格與方法
關(guān)鍵資產(chǎn)的調(diào)查方法

2. 威脅評(píng)估(部份中小企業(yè)甚至可以不用進(jìn)行)

BS7799評(píng)審表
OCTAVE威脅分析方法和視圖
事件分析方法

3. 弱點(diǎn)評(píng)估

遠(yuǎn)程掃描方法和工具
人工審計(jì)方法和工具
滲透測試方法和工具

4. 風(fēng)險(xiǎn)分析

現(xiàn)有風(fēng)險(xiǎn)視圖提煉方法和報(bào)告

不同點(diǎn)(需要單獨(dú)開發(fā)調(diào)研的部份)
1. 資產(chǎn)評(píng)估

資產(chǎn)報(bào)告(不同行業(yè)、規(guī)模的企業(yè),關(guān)鍵資產(chǎn)有很大區(qū)別)

2. 威脅評(píng)估

面臨的威脅面比小企業(yè)更廣

3. 弱點(diǎn)評(píng)估

風(fēng)險(xiǎn)規(guī)避措施

4. 風(fēng)險(xiǎn)分析

針對(duì)組織特點(diǎn)的解決方案
管理制度和策略框架

4.2 重新評(píng)價(jià)OCTAVE
通過對(duì)OCTAVE的初步學(xué)習(xí),我們可以認(rèn)識(shí)到它具有許多BS7799的所缺乏的可操作性方面的特點(diǎn),但離完美還有一定距離,簡單談幾點(diǎn)不足:

過份強(qiáng)調(diào)對(duì)大企業(yè)的評(píng)估活動(dòng),評(píng)估流程比較繁瑣,完整視圖建立不易操作,要求組織中多人參與。
風(fēng)險(xiǎn)控制行動(dòng)列表粒度較粗,與企業(yè)后續(xù)安全建設(shè)的實(shí)際工作有一定距離。
由于強(qiáng)調(diào)了操作,執(zhí)行時(shí)所依據(jù)的標(biāo)準(zhǔn)就相對(duì)簡單(可能有主觀臆斷的因素在內(nèi))。
任何事物,就算非常優(yōu)秀,也都不能全盤照搬,是需要批判接受的,從上面對(duì)BS7799和OCTAVE的簡單分析,你是否能夠提煉出你自己的評(píng)估方法?

5. 如何制訂最適合您企業(yè)的風(fēng)險(xiǎn)評(píng)估計(jì)劃
這里考慮采用一個(gè)小企業(yè)的評(píng)估實(shí)例來說明制訂適合自身當(dāng)前狀態(tài)的企業(yè)風(fēng)險(xiǎn)評(píng)估的方法。由于暫時(shí)沒有適合的案例提供,因此留待下一版本完善。

6. 實(shí)施過程簡述
6.1 定義階段
實(shí)際上是售前工作的延續(xù),即明確項(xiàng)目范圍,清晰界定用戶的需求。這點(diǎn)看似簡單,但實(shí)際操作者卻需要相當(dāng)有經(jīng)驗(yàn),能夠判斷自己所擁有的資源;能夠在既定時(shí)間內(nèi)完成多少工作;能夠與客戶有技巧地談判將其需求控制在最恰當(dāng)?shù)乃讲⒕S持到項(xiàng)目結(jié)束。

我們?cè)谶@里列出了五個(gè)模塊:前期交流、初步方案、投標(biāo)方案、答標(biāo)文檔和參考報(bào)價(jià)。

按照實(shí)際項(xiàng)目操作流程,在售前階段這五個(gè)模塊的工作應(yīng)該完整進(jìn)行一遍。進(jìn)入項(xiàng)目定義階段時(shí),實(shí)際上用戶已經(jīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估有了一定了解,并且比較清楚自己的網(wǎng)絡(luò)環(huán)境需要評(píng)估到什么程度,因此本階段用戶會(huì)就投標(biāo)方案要求廠商進(jìn)行進(jìn)一步描述,并且就他們感興趣的細(xì)節(jié)進(jìn)行展開。

6.2 藍(lán)圖階段
雙方擬定項(xiàng)目的詳細(xì)進(jìn)度計(jì)劃,建議在計(jì)劃過程中至少要包含下面幾部份內(nèi)容:問題描述、目標(biāo)和范圍、SWOT分析、工作分解、里程碑和進(jìn)度計(jì)劃、雙方資源需求、變更控制方法。

在藍(lán)圖階段中需要召開藍(lán)圖會(huì)議,在會(huì)議結(jié)束后,必須在雙方認(rèn)可的基礎(chǔ)上制訂并簽署項(xiàng)目藍(lán)圖,后續(xù)一切工作嚴(yán)格按藍(lán)圖進(jìn)行。

評(píng)估項(xiàng)目對(duì)客戶的知識(shí)水平要求較高,通常在項(xiàng)目前期需要就評(píng)估方法進(jìn)行培訓(xùn),建議在藍(lán)圖階段完成項(xiàng)目的培訓(xùn)工作。

另外需要提醒的是,由于多數(shù)企業(yè)的資產(chǎn)并沒有很好地理順,因此資產(chǎn)評(píng)估的前期協(xié)調(diào)工作如果能夠盡早開始,可以有效地保證項(xiàng)目的時(shí)間。

6.3 執(zhí)行階段
這是最關(guān)鍵的階段,絕大多數(shù)操作都在這一階段完成,我們可以再將這一階段細(xì)分為四個(gè)環(huán)節(jié),分別如下:


資產(chǎn)評(píng)估(可以遠(yuǎn)程完成)
系統(tǒng)和業(yè)務(wù)信息收集
資產(chǎn)列表
資產(chǎn)分類與賦值
資產(chǎn)報(bào)告

資產(chǎn)評(píng)估的內(nèi)容并不復(fù)雜,在這部份工作中,重點(diǎn)在于與客戶共同進(jìn)行資產(chǎn)的分類與賦值。同時(shí)需要注意控制資產(chǎn)評(píng)估的完成時(shí)間,因?yàn)槊鞔_資產(chǎn)后才能有效進(jìn)行后續(xù)的威脅與弱點(diǎn)評(píng)估,否則容易導(dǎo)致事倍功半。

威脅評(píng)估(本地完成)
IDS部署搜集威脅源
收集并評(píng)估策略文檔
BS7799顧問訪談
事件分析
威脅報(bào)告

威脅評(píng)估中訪談?wù)剂爽F(xiàn)場工作的最大部份。但由于現(xiàn)階段業(yè)界對(duì)于威脅的界定存在多種標(biāo)準(zhǔn),因此可以說威脅評(píng)估是較難操作的一部份。建議在實(shí)施前先參考威脅評(píng)估報(bào)告樣例。

如果能夠通過訪談獲取到較為完整的安全事件信息,則可以考慮將不進(jìn)行威脅評(píng)估,以更能夠清晰分析本質(zhì)的事件分析代替。

弱點(diǎn)評(píng)估(本地完成)
遠(yuǎn)程掃描
人工審計(jì)
滲透測試
弱點(diǎn)報(bào)告

弱點(diǎn)評(píng)估屬于純技術(shù)操作,這里不加詳述。

風(fēng)險(xiǎn)分析和控制(可以遠(yuǎn)程完成)
數(shù)據(jù)整理、入庫及分析
安全現(xiàn)狀報(bào)告
安全解決方案

當(dāng)現(xiàn)場工作結(jié)束,基礎(chǔ)數(shù)據(jù)收集完畢后,如何對(duì)浩如煙海的信息進(jìn)行提煉和挖掘,其中也有很多技巧。最終的風(fēng)險(xiǎn)分析需要看得清晰透徹,而且方案的表現(xiàn)形式要比較切合客戶需求。解決方案就三個(gè)字:可操作。

6.4 報(bào)告階段
在項(xiàng)目報(bào)告階段,所有的現(xiàn)場工作和大部份文檔工作已經(jīng)完成,這時(shí)的關(guān)鍵任務(wù)是:讓用戶真正理解并且認(rèn)可我們的工作成績。因此這階段建議需要與用戶進(jìn)行深入細(xì)致的溝通(需要面對(duì)面交流,以達(dá)到最佳效果)。

報(bào)告階段需要注意各種細(xì)節(jié)調(diào)整(有些需要結(jié)合項(xiàng)目特點(diǎn)進(jìn)行考慮),例如:

1.在報(bào)告的最前面增加“文檔導(dǎo)讀”章節(jié);
2.將客戶方配合工作人員也寫入報(bào)告作者;
3.給領(lǐng)導(dǎo)提供一份簡潔有力的總結(jié);
4.等等……

6.5 售后服務(wù)
按照Octave評(píng)估方法的觀點(diǎn),用戶在完成一次安全評(píng)估之后,相當(dāng)于獲取了其當(dāng)前風(fēng)險(xiǎn)的快照(Snapshot),同時(shí)也就完成了對(duì)其信息安全風(fēng)險(xiǎn)基線的設(shè)置。之后,組織必須解決或管理評(píng)估過程中標(biāo)識(shí)的優(yōu)先級(jí)最高的風(fēng)險(xiǎn),并按照開發(fā)的解決方案進(jìn)行風(fēng)險(xiǎn)的控制和消除。

但由于組織的安全狀態(tài)會(huì)隨著時(shí)間而發(fā)生變化,所以必須通過執(zhí)行另外一次評(píng)估定期地為用戶重設(shè)基線。所以在這里我們可以按照PDCA循環(huán)(Plan、Do、Check、Action)來定義一次評(píng)估后的工作。

7. 評(píng)估中的項(xiàng)目管理
7.1 確定項(xiàng)目管理小組
明確項(xiàng)目的組織結(jié)構(gòu)
通常三人以下小項(xiàng)目以非正式結(jié)構(gòu)存在即可。但有相當(dāng)耗費(fèi)資源的大型評(píng)估項(xiàng)目時(shí),則需要恰當(dāng)考慮并論證是否采用矩陣結(jié)構(gòu)對(duì)項(xiàng)目資源進(jìn)行合理利用。

明確包含的部門和關(guān)鍵人員
通常項(xiàng)目組中會(huì)包含商務(wù)、評(píng)估組、研究部等跨部門的成員,需要提前確定并且明確管理權(quán)限和項(xiàng)目成員的工作重心,這可以有效減少后期項(xiàng)目中的障礙。

明確項(xiàng)目管理職責(zé)選擇項(xiàng)目經(jīng)理、項(xiàng)目監(jiān)理(至少是文檔監(jiān)理)、子項(xiàng)目經(jīng)理等崗位人選。如果資源充足,盡量不要資源復(fù)用,否則最終可能成為資源瓶頸。
7.2 調(diào)度與資源分配
優(yōu)化項(xiàng)目流程
類似統(tǒng)籌,將項(xiàng)目中的所有任務(wù)全盤考慮時(shí),可以發(fā)現(xiàn)有部份任務(wù)可以并行、有部份任務(wù)可以提前、有部份任務(wù)并不需要很多前置任務(wù)……由專人對(duì)項(xiàng)目流程進(jìn)行優(yōu)化,估測任務(wù)的執(zhí)行時(shí)間段。

明確項(xiàng)目重點(diǎn)并確定資源優(yōu)先次序
確定關(guān)鍵路徑和里程碑
7.3 跟蹤、報(bào)告和控制
定義數(shù)據(jù)需求
數(shù)據(jù)搜集過程中需要對(duì)數(shù)據(jù)進(jìn)行明確的定義(甚至采用標(biāo)準(zhǔn)工具進(jìn)行),這可以保證不同人獲取的數(shù)據(jù)格式、數(shù)據(jù)描述和測量尺度是一致的。

數(shù)據(jù)分析和文檔生成
交付進(jìn)度表
7.4 常見陷阱
7.4.1 授權(quán)模糊
經(jīng)常項(xiàng)目中的項(xiàng)目經(jīng)理、項(xiàng)目監(jiān)理、子項(xiàng)目經(jīng)理、咨詢顧問、技術(shù)工程師等往往一人兼任多職,如:項(xiàng)目監(jiān)理同時(shí)兼任幾個(gè)節(jié)點(diǎn)的子項(xiàng)目經(jīng)理。一人多角的最直接后果就是導(dǎo)致每個(gè)角色都沒有充當(dāng)好。

7.4.2 需求膨漲
在評(píng)估前期,用戶對(duì)安全乃至評(píng)估本身可能缺乏了解,但隨著評(píng)估的深入,他們逐漸會(huì)成為安全領(lǐng)域的“通才”,這時(shí)候會(huì)提出大量的新需求,對(duì)這些新需求的有效控制和引導(dǎo)(成為新項(xiàng)目的引子)相當(dāng)重要。

7.4.3 資源錯(cuò)位
這主要在資源不足的情況下容易發(fā)生,舉例來說:我們預(yù)定由Unix專家A和網(wǎng)絡(luò)設(shè)備專家B共同完成對(duì)甲地系統(tǒng)的弱點(diǎn)評(píng)估,但在資源不足的情況下,則有可能B正在乙地評(píng)估無法抽身,必須由A獨(dú)立完成所有操作。

7.4.4 溝通不足
多數(shù)技術(shù)型員工技術(shù)操作能力很強(qiáng),但在項(xiàng)目中的溝通相對(duì)缺乏。在一次評(píng)估項(xiàng)目的收尾階段,就有用戶委婉地指出:你們可真算是“埋頭苦干”了!

8 參考資料
清華大學(xué)出版社 《信息安全管理》
機(jī)械工業(yè)出版社 《信息安全管理概論》
通過網(wǎng)絡(luò)獲取的各家公司的資料

--------------------------------------------------------------------------------

Power by Debian, Created with Vim
作者: hcjia    時(shí)間: 2004-06-16 13:04
標(biāo)題: 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作(轉(zhuǎn))
不錯(cuò)!應(yīng)該是這種情況!專業(yè)的安全風(fēng)險(xiǎn)評(píng)估要找安氏!綠盟的技術(shù)實(shí)力很強(qiáng),但市場做得不好!
作者: fanyf    時(shí)間: 2004-06-19 00:20
標(biāo)題: 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作(轉(zhuǎn))
原帖由 "一起走過的日子" 發(fā)表:

吳魯加@網(wǎng)絡(luò)安全焦點(diǎn)
版本控制
v0.1 04/01/2004 文檔創(chuàng)建,包含大量示例文件內(nèi)部發(fā)布
v0.2 04/19/2004 刪除部份敏感信息,增加國內(nèi)市場分析、BS7799和OCTAVE概述后,對(duì)外發(fā)布

近兩年網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估漸漸為人..........


太好了,正需要這些資料!非常感謝!

如果有更詳細(xì)的資料就更好了!
作者: 人生五十年    時(shí)間: 2004-06-19 09:19
標(biāo)題: 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作(轉(zhuǎn))
heihei,把quack的文章轉(zhuǎn)了過來,更詳細(xì)的要看個(gè)人的思考結(jié)合經(jīng)驗(yàn)的,不同的安全廠家有不同的做法的,比如說安氏就比較規(guī)范但不靈活,做什么都是套套子做,缺乏實(shí)際的針對(duì)性,綠盟又不夠認(rèn)真,說白點(diǎn)就是低估客戶的水平,不夠敬業(yè)。。。
作者: 點(diǎn)擊鼠標(biāo)    時(shí)間: 2004-06-19 16:08
標(biāo)題: 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作(轉(zhuǎn))
[quote]原帖由 "人生五十年"]......比如說安氏就比較規(guī)范但不靈活,做什么都是套套子做,缺乏實(shí)際的針對(duì)性,綠盟又不夠認(rèn)真,說白點(diǎn)就是低估客戶的水..........[/quote 發(fā)表:

嘿嘿,安氏的給你說對(duì)了,但綠盟的好像沒你說得這樣吧,印象中。。。。

另外,文章好像出了很久地~
作者: squall_wb    時(shí)間: 2004-06-21 17:00
標(biāo)題: 國內(nèi)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估市場與技術(shù)操作(轉(zhuǎn))
上次見識(shí)了一個(gè)手提式漏洞掃描儀,是用掌上電腦做的載體,開發(fā)商自己的軟件系統(tǒng),竟然能查出上萬個(gè)漏洞并且給出詳細(xì)的介紹和解決方案,真是個(gè)不錯(cuò)的東東。
作者: supengnest    時(shí)間: 2004-06-22 14:05
提示: 作者被禁止或刪除 內(nèi)容自動(dòng)屏蔽
作者: sync550b    時(shí)間: 2010-10-21 20:30
太好了,正需要這些資料!非常感謝!

如果有更詳細(xì)的資料就更好了
作者: xoook    時(shí)間: 2010-10-22 12:12
不錯(cuò)
作者: xoook    時(shí)間: 2010-10-22 12:12
型號(hào)保留了
作者: ulovko    時(shí)間: 2012-07-25 21:18
很詳細(xì) 感謝分享 ^_^
作者: heritrix    時(shí)間: 2013-03-02 21:53
mark一下,以后慢慢看
作者: heritrix    時(shí)間: 2013-03-02 21:54
感謝樓主分享



歡迎光臨 Chinaunix (http://www.72891.cn/) Powered by Discuz! X3.2