風險評估重在對客戶存在的風險進行評估,發現隱患和危險之處。風險評估的流程究竟如何,聽在下一一道來。
(1)風險評估準備工作。這個準備工作很重要,主要是評估方與被評估方之間的準備。評估方需要安排人員,安排時間,安排工作內容,安排住宿,提前預定飛機票或者火車票,預定酒店。而被評估方則需要準備一些評估資料,安排被評估物件,安全策略,規章制度,安全拓撲圖,網路裝置等。
(2)風險評估動員大會。該大會相當於誓師大會,讓評估方於被評估方有第一次親密接觸,當然被評估方的頭頭必須要來,講講話,重視本次評估,動員大家積極配合和支援本次安全評估。評估方介紹一下本次評估的範圍,評估意義,講講趨勢什麼的。評估會議結束時,應當確定雙方協調員,也就是雙方代表,評估方應該是由專案經理擔任,被評估方應該是安全負責人或者指定的其他協調人員。雙方確定評估物件,評估具體的工作安排。
(3)進入評估具體實施流程。
人員訪談和資產調查以及對網路裝置、終端的安全檢查和機房現場的勘察。所有的這些主要是為了發現物理環境、網路拓撲、終端、業務系統等中存在的安全問題或者安全隱患。
網路和業務系統的***和掃瞄。掃瞄一般是專業的安全評估掃瞄工具,掃瞄工具會給出風險評估報告;***主要是通過網路對業務系統,尤其是**進行測試,找到這些系統中問題。在這些***中,需要對資料庫進行檢查,但大多由於業務系統複雜而進行較為簡單的測試。深入的測試怕帶來破壞性後果,嚴格意義上來講一些安全***已經在系統正式投入執行前進行。
(4)評估總結大會。當然也有的是先寫報告,然後再開總結大會。在寫報告前,需要跟客戶進行溝通和確認。其實在評估過程中應當每天進行總結,次日跟客戶進行溝通,但在實際工作中很難做到。
安全評估工作中的其它一些體會:
(1)衣著要得體,出去以後就代表公司。
(2)與客戶任何人打交道需要通過評估方的經理(頭頭)點頭,由他出面解決在評估過程中遇到的問題或者需要解決的事情。
(4)按照要求做事。
(5)來回行程上有一定的空餘。很多時候飛機會晚點,保險一點火車最好。比較準時,我遇到的一次飛機晚點5個小時,遇到這種情況只能認了!記住國航的飛機最差。
好了想起的就這些了!安全評估中注重整體理論知識的運用,從訪談人員的話語中找到存在的問題,從安全拓撲中發現系統存在的問題,***在評估中重要,但不是主流。
風險評估框架流程及分析原理
風險評估框架及流程風險要素關係 風險評估中各要素的關係如圖 1所示 圖 1 中方框部分的內容為風險評估的基本要素,橢圓部分的內容是與這些要素相關的屬 性。風險評估圍繞著資產 威脅 脆弱性和安全措施這些基本要素展開,在對基本要素的評估 過程中,需要充分考慮業務戰略 資產價值 安全需求 安全事件 殘餘風...
風險評估雜談
我個人覺得作為乙個優秀的服務團隊必須具備如下的一下基本要求也是我們盡量要給使用者展示的實力。1 需要先進的方 資訊保安風險評估基礎是風險量化所有的計算都是數學模型,所以風險評估的方 就顯得尤為重要了再好的團隊。如果你的方 錯了,那你擁有在先進的技術,其結果一定是錯誤的。作為乙個專業的安全服務公司你必...
測試風險評估
對於新手來說,最要命的是找不到重點,只是按照測試用例依序測試或者測試自己熟悉的 最先接觸的用例。拿到乙個需求,首先要評估最重要使用場景和功能,在最短的時間內找出最要命的問題。最要命的風險是什麼?最要命的風險是什麼?最要命的風險是什麼?乙個最簡單的測試單元,針對它的測試組合也有可能有千萬種。測試了多少...