风险评估概念

渗透服务只是风险评估的一种内容

风险评估的概念

是识别，控制，降低，或者消除可能影响到信息系统的安全风险过程。

风险评估的定义：

就是量化测评一种事情带来的影响，整个量化的过程是偏主观化(客户觉得)

风险的特性：

偶然性 相对性 社会性 客观性 不确定性 可识别性 可控性

可控性：可接受风险和不可接受风险

可接受风险：一般老机房有些系统漏洞什么的，说明风险造成的后果在可承受范围内，但是可不可以承受是由客户来解决的。所以我们要告诉他们风险有多大，具体决定是看他自己接受不接受。

不可接受风险“”

一般风险定级

1-2 低位

2-4 中危

5 高危 

最终决定其实还是客户说的算

项目交互好要怎么做？

1 技术角度 

2 销售角度

3 甲方角度(识别关闭干系人)

渗透测试前后对比

以前：挖漏洞就行

现在 ： 前期沟通，交付，加固。复测，汇报

风险评估成果：

生成风险评估的报告，一定要在乎客户的需求，去迎合客户为主，才会受到夸奖

风险处理方法：

被动：身体生病》去看医生

        系统中毒   》应急杀毒

主动：体检》预防生病

        风险评估  > 风险控制

服务方法：

尽量去引导甲方的需求

在写日报的时候，都应该做一个主动的思考。就是尽量采用主动处理的方法，比如风险评估。

我的思考：

风险评估处理方法主要就是建立在甲方(客户)的需求下，再去主动的引导客户。比如惠普的客服。

未发生的风险？》客户看不到价值

值守十天，没有任何风险产生，你有价值吗？

比如今天没受到任何攻击，日志总不能写没事发生，那要怎么写。(一定要注意写过程)

1    处理？？2w条日志，通过排查，其中两千条存在威胁，但排查发现为误报。

2 沉浸处理af sip 100条ip 通过分析其中80条来自国外，怀疑黑客 20条怀疑为红队攻击，已封禁

成果具体表现：分析数据＋结果

信息安全风险评估

自评估：自家部门

优点：不会带来新的风险  缺点：专业性和客观性差

检查评估： 上级部门或有关组织部门检查评估

优点：公正专业 缺点：需要组建一队专门的评估小组

风险评估操纵方法

定性评估：凭经验或者直接，或者业界的标准，具有很强主观性。

定量评估: 分析各种组成部分，分析数字值，具有很强客观性

定性和定量相结合：(实际项目中经常采用)

基础术语和逻辑关系：

基础术语

业务战略：即一个组织通过信息系统完成的任务，如果对他的依赖越高，要求其风险最小。

资产：最组织有价值的信息或资源：比如计算机

资产：资产都是有价值的，当组织对资产的依赖性越高，那么资产价值越大

威胁：一个单位的信息资产安全容易被侵害。比如拔电等

脆弱性：信息资产在安全方面的不足，脆弱性通常也被称作漏洞 

残余风险：采取安全措施后，提高保证能力后，仍可能存在或者未识别的风险，均属于残余风险

安全需求：为保证单位使命正常行驶，对信息安全保障的措施提出要求

安全措施：减少危险等的措施

逻辑关系

风险构成

技术评估：

风险评估内容

资产梳理：

1资产梳理

客户资产特别多，怎么进行梳理？

不知道的资产叫做隐资资产，这些就可以用信息收集，真是在项目中其实就是去扫，

2识别评估范围 

与客户对齐，一定要得到客户认可。最好一日一汇报，但是一般关键节点汇报就行。

3业务系统梳理

客户自己甄选，我们再评估重要性，再继续与客户对。

4安全措施梳理

购买了哪些安全产品，有哪些安全措施

威胁识别和脆弱性识别

额外提一下安全工程师并不是只会渗透就行了，还要掌握售前的能力，也就是商机发现能力(带货能力)

风险评估准备哪些？

准备阶段工作内容：

为什么要安全工程师来参与，是因为销售和售前指定的评估目标看看能不能实现。

开完内部启动会之后，开外部启动会

准备工作产出示例：

实现流程及方式

资产识别：软硬件资产，网络设备，安全设备

成果：

资产识别会议纪要非常重要，要由销售或者其他发给客户，客户进行反馈才有意义

威胁识别：

环境因素，人为因素

然后根据威胁产出表

风险识别工作内容：

风险值计算

风险处置方式：

1风险转移：转移给另外一个单位。

2风险规避：

3风险降低

4风险接受：耗费成本远远超过了本身价值

风险识别工作产出：

风险评估报告：

记住报告要有落地性，大白话。