风险评估概念

渗透服务只是风险评估的一种内容

风险评估的概念

是识别,控制,降低,或者消除可能影响到信息系统的安全风险过程。

风险评估的定义:

就是量化测评一种事情带来的影响,整个量化的过程是偏主观化(客户觉得)

风险的特性:

偶然性 相对性 社会性 客观性 不确定性 可识别性 可控性

可控性:可接受风险和不可接受风险

可接受风险:一般老机房有些系统漏洞什么的,说明风险造成的后果在可承受范围内,但是可不可以承受是由客户来解决的。所以我们要告诉他们风险有多大,具体决定是看他自己接受不接受。

不可接受风险“”

一般风险定级

1-2 低位

2-4 中危

5 高危 

最终决定其实还是客户说的算

项目交互好要怎么做?

1 技术角度 

2 销售角度

3 甲方角度(识别关闭干系人)

渗透测试前后对比

以前:挖漏洞就行

现在 : 前期沟通,交付,加固。复测,汇报

风险评估成果:

生成风险评估的报告,一定要在乎客户的需求,去迎合客户为主,才会受到夸奖

风险处理方法:

被动:身体生病》去看医生

        系统中毒   》应急杀毒

主动:体检》预防生病

        风险评估  > 风险控制

服务方法:

尽量去引导甲方的需求

在写日报的时候,都应该做一个主动的思考。就是尽量采用主动处理的方法,比如风险评估。

我的思考:

风险评估处理方法主要就是建立在甲方(客户)的需求下,再去主动的引导客户。比如惠普的客服。

未发生的风险?》客户看不到价值

值守十天,没有任何风险产生,你有价值吗?

比如今天没受到任何攻击,日志总不能写没事发生,那要怎么写。(一定要注意写过程)

1    处理??2w条日志,通过排查,其中两千条存在威胁,但排查发现为误报。

2 沉浸处理af sip 100条ip 通过分析其中80条来自国外,怀疑黑客 20条怀疑为红队攻击,已封禁

成果具体表现:分析数据+结果

信息安全风险评估

自评估:自家部门

优点:不会带来新的风险  缺点:专业性和客观性差

检查评估: 上级部门或有关组织部门检查评估

优点:公正专业 缺点:需要组建一队专门的评估小组

风险评估操纵方法

定性评估:凭经验或者直接,或者业界的标准,具有很强主观性。

定量评估: 分析各种组成部分,分析数字值,具有很强客观性

定性和定量相结合:(实际项目中经常采用)

基础术语和逻辑关系:

基础术语

业务战略:即一个组织通过信息系统完成的任务,如果对他的依赖越高,要求其风险最小。

资产:最组织有价值的信息或资源:比如计算机

资产:资产都是有价值的,当组织对资产的依赖性越高,那么资产价值越大

威胁:一个单位的信息资产安全容易被侵害。比如拔电等

脆弱性:信息资产在安全方面的不足,脆弱性通常也被称作漏洞 

残余风险:采取安全措施后,提高保证能力后,仍可能存在或者未识别的风险,均属于残余风险

安全需求:为保证单位使命正常行驶,对信息安全保障的措施提出要求

安全措施:减少危险等的措施

逻辑关系

风险构成

技术评估:

风险评估内容

资产梳理:

1资产梳理

客户资产特别多,怎么进行梳理?

不知道的资产叫做隐资资产,这些就可以用信息收集,真是在项目中其实就是去扫,

2识别评估范围 

与客户对齐,一定要得到客户认可。最好一日一汇报,但是一般关键节点汇报就行。

3业务系统梳理

客户自己甄选,我们再评估重要性,再继续与客户对。

4安全措施梳理

购买了哪些安全产品,有哪些安全措施

威胁识别和脆弱性识别

额外提一下安全工程师并不是只会渗透就行了,还要掌握售前的能力,也就是商机发现能力(带货能力)

风险评估准备哪些?

准备阶段工作内容:

为什么要安全工程师来参与,是因为销售和售前指定的评估目标看看能不能实现。

开完内部启动会之后,开外部启动会

准备工作产出示例:

实现流程及方式

资产识别:软硬件资产,网络设备,安全设备

成果:

资产识别会议纪要非常重要,要由销售或者其他发给客户,客户进行反馈才有意义

威胁识别:

环境因素,人为因素

然后根据威胁产出表

风险识别工作内容:

风险值计算

风险处置方式:

1风险转移:转移给另外一个单位。

2风险规避:

3风险降低

4风险接受:耗费成本远远超过了本身价值

风险识别工作产出:

风险评估报告:

记住报告要有落地性,大白话。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/32882.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PAL: Program-aided Language Models

PAL: Program-aided Language Models ArXiv:https://arxiv.org/pdf/2211.10435 GitHub:https://reasonwithpal.com/ 一、动机 大模型与Chain-of-Thought可以很好地将一些复杂的问题分解为若干个子问题并进行逐步推理;但是对于一些较为复杂…

[技术笔记] 元器件采购之Flash的国内、外厂商Top5

国外Top5 1、Micron(镁光)半导体 2、Toshiba(东芝) 3、Hynix(海力士) 4、Samsung(三星) 5、Intel(因特尔) 6、SanDisk(闪迪) 7…

【Unity】AssetBundle打包策略

【Unity】AssetBundle打包策略 在游戏开发过程中,AssetBundle(AB)打包策略的重要性不容忽视。游戏开发者往往手动设置游戏资源包名进行管理,难免会造成资源确实或导致冗余,因此对于AB包的打包流程来说,进行策略管理显得十分重要。…

DAY11-力扣刷题

1.最小路径和 给定一个包含非负整数的 m x n 网格 grid ,请找出一条从左上角到右下角的路径,使得路径上的数字总和为最小。 说明:每次只能向下或者向右移动一步。 64. 最小路径和 - 力扣(LeetCode) class Solution {p…

Git 中 pull 操作和 rebase 操作的不同

由于在开发过程中,pull 操作和 rebase 操作都是用来合并分支的,所以我就常常分不清这两个操作具体有什么区别,所以才有了这篇博客来做个简单区分,具体细致差别还请移步到官方文档:Git - Reference (git-scm.com) 1&am…

HCIA 18 结束 企业总部-分支综合实验(上)

1.实验介绍及拓扑 (1)总部和分支机构都可以上互联网访问8.8.8.8; (2)总部和分支机构使用广域网专线互访作为主线,并且通过互联网建立GRE隧道互访作为备线; (3)总部内为…

【pytorch06】 维度变换

常用API view/reshapesqueeze/unsqueezetranspose/t/permuteexpand/repeat view和reshape view操作的基本前提是保证numel()一致 a.view(4,28*28)的物理意义是把行宽以及通道合并在一起,对于4张图片,我们直接把所有数据都合在一起,用一个7…

预备资金有5000-6000买什么电脑比较好?大学生电脑选购指南

小新pro14 2024 处理器:采用了英特尔酷睿Ultra5 125H或Ultra9 185H两种处理器可选,这是英特尔最新的高性能低功耗处理器,具有18个线程,最高可达4.5GHz的加速频率,支持PCIe 4.0接口,内置了强大的ARC核芯显卡…

Faiss:加速大规模数据相似性搜索的利器

在机器学习和数据挖掘领域,相似性搜索是一项基本且重要的任务,它涉及到在大型数据集中找到与特定对象最相似的对象。Faiss是一个由Facebook AI Research开发的库,专门用于高效地进行相似性搜索和聚类,它之所以重要,是因…

双指针算法——部分OJ题详解

目录 关于双指针算法: 1,对撞指针 2,快慢指针 部分OJ题详解 283.移动零 1089.复写零 202.快乐数 11.盛水最多的容器 611.有效三角形的个数 剑指offer 57.和为s的两个数字 15.三数之和 18.四数之和 关于双指针算法: …

[240622] X-CMD 发布 v0.3.12: 引入 codeberg,增强传统命令,改善对 Elvish 和 Fish 支持

目录 X-CMD 发布 v0.3.12✨ cb(codeberg.org) ,fjo,gitea✨ Elvish✨ fish✨ git✨ ls✨ last✨ ps✨ stat✨ id X-CMD 发布 v0.3.12 ✨ cb(codeberg.org) ,fjo,gitea 本次版本实验性引入了这三个代码仓库…

个性化光标和动态壁纸

光标 进入这个宝藏网页至美化 至美化 进入鼠标页面,选择自己喜欢的鼠标,进入相关页面 分为两种,那么热爱有钱的UU可以选择高清版 像我这种没钱的孩子或者觉得试用版够用的就使用上面的 点击下载 进入自己的文件夹,解压成功之…

【记录】使用远程SSH配置d2l环境(含装pytorch,同时适用于本地anaconda)

文章目录 前言一、从创建新环境开始二、使用步骤1.安装pytorch2.安装 d2l 包3.安装其他包4.使用jupyter notebook 前言 记录一下如何利用使用命令行进行anaconda配置 d2l环境、pytorch并进行训练深度学习模型。 一、从创建新环境开始 如果是本地直接装一个 anaconda 软件就行…

ReactNative和Android通信

初始化一个RN项目以后,接下来想要让Android与React Native通信 写一个继承自ReactContextBaseJavaModule类的子类,重写getName方法 package com.awesomeprojectimport android.util.Log import android.widget.Toast import com.facebook.react.bridge.…

MFC学习--CListCtrl复选框以及选择

如何展示复选框 //LVS_EX_CHECKBOXES每一行的最前面带个复选框//LVS_EX_FULLROWSELECT整行选中//LVS_EX_GRIDLINES网格线//LVS_EX_HEADERDRAGDROP列表头可以拖动m_listctl.SetExtendedStyle(LVS_EX_FULLROWSELECT | LVS_EX_CHECKBOXES | LVS_EX_GRIDLINES); 全选,全…

解析 flink sql 转化成flink job

文章目录 背景流程flink实例实现细节定义的规则定义的物理算子定义的flink exec node 背景 在很多计算引擎里,都会把sql 这种标准语言,转成计算引擎下底层实际的算子,因此理解此转换的流程对于理解整个过程非常重要 流程 flink实例 public…

视听分割相关论文阅读

1. End-to-End Referring Video Object Segmentation with Multimodal Transformers RVOS(视频中的参考对象分割)比RIS(图像中的参考对象分割)要困难得多,因为指代动作的文本表达通常无法从单个静态帧中正确推断出来。…

使用J-Link Commander查找STM32死机问题

接口:PA13,PA14,请勿连接复位引脚。 输入usb命令这里我已经连接过了STM32F407VET6了。 再输入connect命令这里我已经默认选择了SWD接口,4000K速率。 可以输入speed 4000命令选择4000K速率: 写一段崩溃代码进行测试: void CashCode(void){*((volatil…

区块链技术原理

1.起源: ➢ 中本聪(Satoshi Nakamoto), 2008 ➢ 比特币:一种点对点的电子现金系统 2.分布式账本技术原理 ➢ 将交易向全网所有节点进行广播 ➢ 众多记账节点对记账权达成共识,由共识确认的记账节点把记账区块发布给全网 ➢ 所有账本数据完整存储于区块…

机器学习基础:与Python关系和未来发展

目录 初识Python Python的由来 自由软件运动 编译方式的演进 Python语言的特点 语法简单,易于理解 语法结构清晰,快速上手 丰富的第三方库 机器学习 监督学习 无监督学习 半监督学习 欢迎回到我们的神经网络与深度学习Tensorflow实战学习&am…