1、信息安全風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估流程介紹風(fēng)險(xiǎn)評(píng)估特點(diǎn)介紹風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)的結(jié)合綠盟科技 服務(wù)產(chǎn)品部 孫鐵 2008年3月第1頁(yè)，共51頁(yè)。員工和客戶訪問(wèn)資源可用性客戶和業(yè)務(wù)信息的保護(hù)機(jī)密性客戶和業(yè)務(wù)信息的可信賴性完整性信息安全的涵義Confidentiality：阻止未經(jīng)授權(quán)的用戶讀取數(shù)據(jù)Integrity：阻止未經(jīng)授權(quán)的用戶修改或刪除數(shù)據(jù)Availability：保證授權(quán)實(shí)體在需要時(shí)可以正常地使用系統(tǒng)第2頁(yè)，共51頁(yè)。Confidentiality保密性Availability可用性Integrity完整性在某些組織中， 完整性和/或可用性比保密性更重要信息安全的概念第3頁(yè)，共51頁(yè)。Integr

2、ityAvailabilityConfidentialityCorrectnessCompletenessValidityAuthenticityNon-repudiationContinuityPunctualityExclusivityManipulationDestructionFalsificationRepudiationDivulgationInterruptionDelaySECURITY = QUALITY第4頁(yè)，共51頁(yè)。四種信息安全工作模式事件導(dǎo)向 沒(méi)有統(tǒng)一的安全管理部門(mén) 沒(méi)有安全預(yù)算 非正規(guī)的安全組織和流程實(shí)施了基本的安全工具流程導(dǎo)向 信息安全由IT部門(mén)管理 有科學(xué)的安全

3、預(yù)算 有正式的安全組織和流程 實(shí)施了基本的安全工具 風(fēng)險(xiǎn)導(dǎo)向 信息安全由CIO直接負(fù)責(zé)有與風(fēng)險(xiǎn)平衡的安全預(yù)算 基于風(fēng)險(xiǎn)而整合的基礎(chǔ)設(shè)施 使用主動(dòng)性安全技術(shù)信息安全由IT部門(mén)管理有科學(xué)的安全預(yù)算分布式管理和非正規(guī)流程 有較強(qiáng)的安全技術(shù)資源 技術(shù)導(dǎo)向技術(shù)要求高流程要求高第5頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)避免，風(fēng)險(xiǎn)降低，風(fēng)險(xiǎn)轉(zhuǎn)移，風(fēng)險(xiǎn)接受安全性風(fēng)險(xiǎn)性安全需求 高高低安全風(fēng)險(xiǎn) 支出平衡點(diǎn)安全的風(fēng)險(xiǎn)管理第6頁(yè)，共51頁(yè)。 風(fēng)險(xiǎn)評(píng)估的發(fā)展現(xiàn)狀 第7頁(yè)，共51頁(yè)。信息安全風(fēng)險(xiǎn)評(píng)估在美國(guó)的發(fā)展 第一個(gè)階段（60-70年代）以計(jì)算機(jī)為對(duì)象的信息保密階段 1967年11月到1970年2月，美國(guó)國(guó)防科學(xué)委員會(huì)委托蘭德公司、邁特

4、公司（MITIE）及其它和國(guó)防工業(yè)有關(guān)的一些公司對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究，分析。作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估。 特點(diǎn)： 僅重點(diǎn)針對(duì)了計(jì)算機(jī)系統(tǒng)的保密性問(wèn)題提出要求，對(duì)安全的評(píng)估只限于保密性，且重點(diǎn)在于安全評(píng)估，對(duì)風(fēng)險(xiǎn)問(wèn)題考慮不多。第二個(gè)階段（80-90年代）以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息系統(tǒng)安全保護(hù)階段 評(píng)估對(duì)象多為產(chǎn)品，很少延拓至系統(tǒng)，因而在嚴(yán)格意義上仍不是全面的風(fēng)險(xiǎn)評(píng)估。 第三個(gè)階段（90年代末，21世紀(jì)初）以信息系統(tǒng)為對(duì)象的信息保障階段隨著信息保障的研究的深入，保障對(duì)象明確為信息和信息系統(tǒng)；保障能力明確來(lái)源于技術(shù)、管理和人員三個(gè)方面；逐步形成了風(fēng)險(xiǎn)評(píng)估、自評(píng)估、認(rèn)證認(rèn)可的工作思路

5、 第8頁(yè)，共51頁(yè)。我國(guó)風(fēng)險(xiǎn)評(píng)估發(fā)展2002年在863計(jì)劃中首次規(guī)劃了系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法研究課題 2003年8月至今年在國(guó)信辦直接指導(dǎo)下，組成了風(fēng)險(xiǎn)評(píng)估課題組 2004年,國(guó)家信息中心風(fēng)險(xiǎn)評(píng)估指南, 風(fēng)險(xiǎn)管理指南 2005年,全國(guó)風(fēng)險(xiǎn)評(píng)估試點(diǎn)在試點(diǎn)和調(diào)研基礎(chǔ)上，由國(guó)信辦會(huì)同公安部，安全部，等起草了關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)征求意見(jiàn)稿 2006年, 所有的部委和所有省市選擇1-2單位開(kāi)展本地風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作 第9頁(yè)，共51頁(yè)。銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引 2006年度信息科技風(fēng)險(xiǎn)內(nèi)部和外部評(píng)價(jià)審計(jì)的通知提綱第10頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)評(píng)估要素關(guān)系模型安

6、全措施 抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴擁有被滿足利用暴露降低增加增加導(dǎo)出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值第11頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)評(píng)估流程確定評(píng)估范圍資產(chǎn)的識(shí)別和影響分析威脅識(shí)別脆弱性評(píng)估威脅分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)管理第12頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)評(píng)估原則符合性原則標(biāo)準(zhǔn)性原則 規(guī)范性原則可控性原則 保密性原則 整體性原則 重點(diǎn)突出原則最小影響原則 第13頁(yè)，共51頁(yè)。評(píng)估依據(jù)的標(biāo)準(zhǔn)和規(guī)范信息安全管理標(biāo)準(zhǔn)ISO17799（GB/T19716）、ISO27001信息安全管理指南ISO 13335（GB/T19715)信息安全通用準(zhǔn)則ISO 15408（GB/T18336）

7、 系統(tǒng)安全工程能力成熟模型SSE-CMM 國(guó)家信息中心風(fēng)險(xiǎn)評(píng)估指南國(guó)家信息中心風(fēng)險(xiǎn)管理指南計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則（GB/T17859）計(jì)算機(jī)信息系統(tǒng)等級(jí)保護(hù)相關(guān)規(guī)范其他相關(guān)標(biāo)準(zhǔn)（AS/NZS 4360，GAO/AIMD-00-33， GAO/AIMD-98-68， BSI PD3000 ，GB/T17859，IATF）相關(guān)法規(guī)及行業(yè)政策第14頁(yè)，共51頁(yè)。資產(chǎn)的識(shí)別與影響分析業(yè)務(wù)應(yīng)用系統(tǒng)調(diào)研業(yè)務(wù)影響分析資產(chǎn)屬性：可用性、完整性、保密性影響分析：經(jīng)濟(jì)損失、業(yè)務(wù)影響、系統(tǒng)破壞、信譽(yù)影響、商機(jī)泄露、法律責(zé)任、人身安全、公共秩序、商業(yè)利益 估價(jià)公式：Asset Value = Round1

8、Log2(2Conf+2Int+2Avail)/3 劃分邊界 區(qū)分子系統(tǒng)輔助定級(jí)信息資產(chǎn)識(shí)別物理資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)其他資產(chǎn)第15頁(yè)，共51頁(yè)。業(yè)務(wù)調(diào)研方法第16頁(yè)，共51頁(yè)。威脅評(píng)估威脅識(shí)別系統(tǒng)合法用戶 操作錯(cuò)誤，濫用授權(quán) ，行為抵賴 系統(tǒng)非法用戶 身份假冒，密碼分析 ，漏洞利用，拒絕服務(wù) ，惡意代碼 ， 竊聽(tīng)數(shù)據(jù) ，物理破壞 ，社會(huì)工程系統(tǒng)組件 意外故障 ，通信中斷物理環(huán)境 電源中斷 ，災(zāi)難 威脅屬性：威脅的可能性第17頁(yè)，共51頁(yè)。TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無(wú)線網(wǎng)絡(luò)SATNETARPNET應(yīng)用程序攻擊監(jiān)聽(tīng)，拒絕服務(wù)系統(tǒng)漏洞利用硬件設(shè)備破壞電磁監(jiān)聽(tīng)物理竊取Win

9、dows*nix*BSDLinux應(yīng)用層系統(tǒng)層網(wǎng)絡(luò)層物理層管理層信息系統(tǒng)每個(gè)層次都存在威脅第18頁(yè)，共51頁(yè)。脆弱性評(píng)估技術(shù)脆弱性評(píng)估管理脆弱性評(píng)估現(xiàn)有安全措施評(píng)估脆弱性的屬性：脆弱性被威脅利用成功的可能性存在的攻擊方法技術(shù)脆弱程度管理脆弱程度第19頁(yè)，共51頁(yè)。脆弱性數(shù)據(jù)來(lái)源技術(shù)方面工具掃描功能驗(yàn)證人工檢查滲透測(cè)試日志分析網(wǎng)絡(luò)架構(gòu)分析管理方面文檔審核問(wèn)卷調(diào)查顧問(wèn)訪談安全策略分析第20頁(yè)，共51頁(yè)。威脅及脆弱性評(píng)估工具網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)遠(yuǎn)程評(píng)估系統(tǒng)安全檢測(cè)包（LSAS） Microsoft安全基準(zhǔn)分析器風(fēng)險(xiǎn)評(píng)估分析工具風(fēng)險(xiǎn)信息庫(kù)工具第21頁(yè)，共51頁(yè)。工具掃描 信息探測(cè)類 網(wǎng)絡(luò)設(shè)備與防火墻 RP

10、C服務(wù) Web服務(wù) CGI問(wèn)題 文件服務(wù) 域名服務(wù) Mail服務(wù)SQL注入檢查 Windows遠(yuǎn)程訪問(wèn) 數(shù)據(jù)庫(kù)問(wèn)題 后門(mén)程序 其他服務(wù) 網(wǎng)絡(luò)拒絕服務(wù)(DOS) 其他問(wèn)題 第22頁(yè)，共51頁(yè)。工具掃描第23頁(yè)，共51頁(yè)。人工檢查路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的配置是否最優(yōu)，是否配置了安全參數(shù)；主機(jī)系統(tǒng)的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強(qiáng)；終端設(shè)備的安全配置策略是否最優(yōu)，是否進(jìn)行了安全增強(qiáng);對(duì)終端設(shè)備和主機(jī)系統(tǒng)抽查進(jìn)行病毒掃描；對(duì)防火墻、入侵檢測(cè)、SUS、SMS等安全產(chǎn)品安全策略及其日志進(jìn)行分析。第24頁(yè)，共51頁(yè)。IDS采樣分析第25頁(yè)，共51頁(yè)。滲透測(cè)試完全模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)

11、技術(shù)，對(duì)重點(diǎn)目標(biāo)系統(tǒng)的安全作深入的探測(cè)，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測(cè)試的目的不是發(fā)現(xiàn)系統(tǒng)所有的問(wèn)題，而是從一個(gè)側(cè)面反映系統(tǒng)現(xiàn)有的安全狀況和安全強(qiáng)度，從而以一種直觀的方式增強(qiáng)單位的信息安全認(rèn)知度，提高單位對(duì)信息安全的重視程度。 根據(jù)用戶方需求決定是否采用。第26頁(yè)，共51頁(yè)。調(diào)查對(duì)象網(wǎng)絡(luò)系統(tǒng)管理員、安全管理員、技術(shù)負(fù)責(zé)人等調(diào)查內(nèi)容業(yè)務(wù)、資產(chǎn)、威脅、脆弱性（管理方面）設(shè)計(jì)原則完整性具體性簡(jiǎn)潔性一致性問(wèn)卷調(diào)查第27頁(yè)，共51頁(yè)。訪談對(duì)象安全管理員、技術(shù)負(fù)責(zé)人、網(wǎng)絡(luò)系統(tǒng)管理員等訪談內(nèi)容確認(rèn)問(wèn)卷調(diào)查結(jié)果詳細(xì)獲取管理執(zhí)行現(xiàn)狀聽(tīng)取用戶想法和意見(jiàn)顧問(wèn)訪談第28頁(yè)，共51頁(yè)。安全策略分析安全策略文檔是否全面覆蓋

12、了整體網(wǎng)絡(luò)在各方各面的安全性描述，與BS7799進(jìn)行差距分析；在安全策略中描述的所有安全控制、管理和使用措施是否正確和有效；安全策略中的每一項(xiàng)內(nèi)容是否都得到確認(rèn)和具體落實(shí)。第29頁(yè)，共51頁(yè)。系統(tǒng)架構(gòu)分析系統(tǒng)建設(shè)的規(guī)范性：網(wǎng)絡(luò)安全規(guī)劃、設(shè)備命名規(guī)范性、網(wǎng)絡(luò)架構(gòu)安全性；網(wǎng)絡(luò)的可靠性：網(wǎng)絡(luò)設(shè)備和鏈路冗余、設(shè)備選型及可擴(kuò)展性；網(wǎng)絡(luò)邊界安全：網(wǎng)絡(luò)設(shè)備的ACL、防火墻、隔離網(wǎng)閘、物理隔離、VLAN（二層ACL）等；網(wǎng)絡(luò)協(xié)議分析：路由、交換、組播 、IGMP、CGMP、IPv4、IPv6等協(xié)議；網(wǎng)絡(luò)流量分析：帶寬流量分析、異常流量分析、QOS配置分析、抗拒絕服務(wù)能力；網(wǎng)絡(luò)通信安全：通信監(jiān)控、通信加密、VP

13、N分析等；設(shè)備自身安全：SNMP、口令、設(shè)備版本、系統(tǒng)漏洞、服務(wù)、端口等；網(wǎng)絡(luò)管理：網(wǎng)管系統(tǒng)、客戶端遠(yuǎn)程登陸協(xié)議、日志審計(jì)、設(shè)備身份驗(yàn)證等。第30頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算：RF（A，T，V）威脅路徑風(fēng)險(xiǎn)綜合分析：對(duì)所有風(fēng)險(xiǎn)進(jìn)行識(shí)別、統(tǒng)計(jì)、分析，確定極度風(fēng)險(xiǎn)，為下一步安全措施的選擇提供依據(jù)。極度風(fēng)險(xiǎn)SWOT分析。第31頁(yè)，共51頁(yè)。 優(yōu)勢(shì)弱勢(shì)機(jī)會(huì)威脅矩陣（SWOT)優(yōu)勢(shì)S優(yōu)勢(shì)項(xiàng)目弱勢(shì)W弱勢(shì)項(xiàng)目1 2 n1 2 n1 2 n1 2 n機(jī)會(huì)O威脅TSOWOSTWT利用機(jī)會(huì)發(fā)揮優(yōu)勢(shì)利用機(jī)會(huì)克服弱勢(shì)利用優(yōu)勢(shì)降低威脅減少弱勢(shì)回避威脅在內(nèi)部、外部關(guān)鍵要素確定的基礎(chǔ)上，根據(jù)判斷結(jié)果將內(nèi)部?jī)?yōu)勢(shì)與劣勢(shì)、外部

14、機(jī)會(huì)與威脅分別列出，有內(nèi)因到外因兩種狀態(tài)相匹配，形成了SO、WO、ST、WT四種不同組合1 2 n1 2 n1 2 n1 2 n第32頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)分類處理建議E：極度風(fēng)險(xiǎn)-要求立即采取措施H：高風(fēng)險(xiǎn)-需要高級(jí)管理部門(mén)的注意M：中等風(fēng)險(xiǎn)-必須規(guī)定管理責(zé)任L: 低風(fēng)險(xiǎn)-用日常程序處理風(fēng)險(xiǎn)處理方式包括：降低、避免、轉(zhuǎn)移、接受制定安全解決方案鑒定已有措施組織安全策略的規(guī)范化安全需求補(bǔ)充 技術(shù)和費(fèi)用衡量第33頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)計(jì)算模型第34頁(yè)，共51頁(yè)。輸出結(jié)果最終報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告 風(fēng)險(xiǎn)評(píng)估范圍資產(chǎn)評(píng)估報(bào)告威脅評(píng)估報(bào)告脆弱性評(píng)估報(bào)告風(fēng)險(xiǎn)分析報(bào)告安全現(xiàn)狀分析報(bào)告安全建議方案 安全規(guī)劃方案IS

15、MS管理體系測(cè)試及加固報(bào)告安全漏洞掃描報(bào)告 網(wǎng)絡(luò)設(shè)備人工檢查報(bào)告主機(jī)設(shè)備人工檢查報(bào)告日志分析報(bào)告滲透測(cè)試報(bào)告安全修補(bǔ)及加固方案第35頁(yè)，共51頁(yè)。建議方案總體思路安全組織體系安全管理體系安全技術(shù)體系建設(shè)全面的信息安全保障體系第36頁(yè)，共51頁(yè)。安全組織體系決策層管理層業(yè)務(wù)安全決策 安全戰(zhàn)略規(guī)劃 安全保證決策信息安全領(lǐng)導(dǎo)小組信息安全管理部門(mén)安全管理 系統(tǒng)安全工程 安全保證管理信息安全執(zhí)行部門(mén)實(shí)施與運(yùn)作 運(yùn)行管理 安全保證實(shí)施執(zhí)行層 建立安全組織三層結(jié)構(gòu) 明確部門(mén)及崗位安全職責(zé) 建立兼職安全管理崗位 技術(shù)崗位任職資格規(guī)范 建立崗位資格考核制度 建立關(guān)鍵崗位審計(jì)制度 建立適宜安全培訓(xùn)體系組織體系為核

16、心！第37頁(yè)，共51頁(yè)。安全管理體系管理體系為保障！第38頁(yè)，共51頁(yè)。安全技術(shù)體系技術(shù)體系為支撐！第39頁(yè)，共51頁(yè)。安全規(guī)劃方案防病毒安全域劃分與邊界整合入侵檢測(cè)系統(tǒng)日志審計(jì)系統(tǒng)設(shè)備安全加固整體安全體系技術(shù)體系建設(shè)補(bǔ)丁分發(fā)應(yīng)用系統(tǒng)代碼審核抗拒絕服務(wù)系統(tǒng)組織體系建設(shè)管理體系建設(shè)一期二期三期流量監(jiān)控系統(tǒng)安全組織結(jié)構(gòu)組織安全職責(zé)安全崗位設(shè)置崗位安全職責(zé)基礎(chǔ)安全培訓(xùn)高級(jí)安全培訓(xùn)中級(jí)安全培訓(xùn)崗位考核管理安全管理培訓(xùn)安全巡檢小組確定總體方針統(tǒng)一安全策略體系基礎(chǔ)制度管理資產(chǎn)登記管理主機(jī)安全管理基礎(chǔ)流程管理安全技術(shù)管理網(wǎng)絡(luò)安全管理應(yīng)用安全管理數(shù)據(jù)安全管理應(yīng)急安全管理工程安全管理安全審計(jì)管理身份認(rèn)證訪問(wèn)控制

17、（防火墻，網(wǎng)絡(luò)設(shè)備，隔離設(shè)備）安全通告漏洞掃描行為審計(jì)系統(tǒng)終端管理系統(tǒng)應(yīng)急災(zāi)備中心無(wú)此措施需要完善已有措施VPN第40頁(yè)，共51頁(yè)。遠(yuǎn)景展望一期：基礎(chǔ)安全技術(shù)保障措施建設(shè)，區(qū)、地州級(jí)基礎(chǔ)安全管理體系建設(shè)二期：增強(qiáng)性安全技術(shù)保障措施，區(qū)、地州級(jí)安全管理體系完善建設(shè)三期：安全管理中心建設(shè)，完善的安全技術(shù)、安全管理測(cè)評(píng)體系建設(shè)基線安全中級(jí)安全穩(wěn)定運(yùn)營(yíng)第41頁(yè)，共51頁(yè)。ISMS體系第42頁(yè)，共51頁(yè)。評(píng)估過(guò)程中風(fēng)險(xiǎn)的規(guī)避數(shù)據(jù)泄露的風(fēng)險(xiǎn)規(guī)避簽署保密協(xié)議實(shí)施工具的數(shù)據(jù)清除工具實(shí)施的風(fēng)險(xiǎn)規(guī)避實(shí)施前的數(shù)據(jù)備份確認(rèn)后的實(shí)施計(jì)劃確認(rèn)后的應(yīng)急和回退方案 總結(jié)階段風(fēng)險(xiǎn)的控制 采集的數(shù)據(jù)進(jìn)行確認(rèn)分析方法進(jìn)行確認(rèn)第43

18、頁(yè)，共51頁(yè)。質(zhì)量保證和管理專職的質(zhì)量控制人員 質(zhì)量控制措施配置管理 變更控制管理 項(xiàng)目溝通 合同評(píng)審 設(shè)計(jì)控制 過(guò)程控制 服務(wù)控制 報(bào)告 第44頁(yè)，共51頁(yè)。評(píng)估中的相關(guān)服務(wù)安全培訓(xùn)安全咨詢安全加固安全通告應(yīng)急響應(yīng)培養(yǎng)、提高用戶自評(píng)估能力第45頁(yè)，共51頁(yè)。等級(jí)化思想第46頁(yè)，共51頁(yè)。等級(jí)保護(hù)咨詢服務(wù)內(nèi)容 資料來(lái)源：羅蘭貝格等級(jí)保護(hù)咨詢服務(wù) 信息系統(tǒng)劃分安全運(yùn)行管理階段 安全實(shí)施/實(shí)現(xiàn)階段 安全規(guī)劃設(shè)計(jì)階段 安全定級(jí)階段 系統(tǒng)業(yè)務(wù)安全性分析 系統(tǒng)輔助定級(jí) 等級(jí)保護(hù)導(dǎo)入培訓(xùn)系統(tǒng)安全需求導(dǎo)出 等級(jí)化風(fēng)險(xiǎn)評(píng)估 系統(tǒng)安全總體設(shè)計(jì) 安全建設(shè)規(guī)劃 階段性風(fēng)險(xiǎn)評(píng)估 安全方案設(shè)計(jì) 安全管理體系設(shè)計(jì) 整改方

19、案制定及實(shí)施 安全崗位培訓(xùn) 安全技術(shù)實(shí)施 安全狀態(tài)監(jiān)控 安全事件處置應(yīng)急響應(yīng) 第47頁(yè)，共51頁(yè)。風(fēng)險(xiǎn)評(píng)估最新發(fā)展特點(diǎn)業(yè)務(wù)先導(dǎo)豐富的數(shù)據(jù)收集手段動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)結(jié)構(gòu)化規(guī)劃 設(shè)計(jì) 實(shí)施 ISMS 反向測(cè)試方法風(fēng)險(xiǎn)評(píng)估與等級(jí)保護(hù)結(jié)合 第48頁(yè)，共51頁(yè)。Q & A第49頁(yè)，共51頁(yè)。綠盟科技 巨人背后的專家謝 謝！第50頁(yè)，共51頁(yè)。5、世上最美好的事是：我已經(jīng)長(zhǎng)大，父母還未老;我有能力報(bào)答，父母仍然健康。6、沒(méi)什么可怕的，大家都一樣，在試探中不斷前行。7、時(shí)間就像一張網(wǎng)，你撒在哪里，你的收獲就在哪里。紐扣第一顆就扣錯(cuò)了，可你扣到最后一顆才發(fā)現(xiàn)。有些事一開(kāi)始就是錯(cuò)的，可只有到最后才不得不承

20、認(rèn)。8、世上的事，只要肯用心去學(xué)，沒(méi)有一件是太晚的。要始終保持敬畏之心，對(duì)陽(yáng)光，對(duì)美，對(duì)痛楚。9、別再去抱怨身邊人善變，多懂一些道理，明白一些事理，畢竟每個(gè)人都是越活越現(xiàn)實(shí)。10、山有封頂，還有彼岸，慢慢長(zhǎng)途，終有回轉(zhuǎn)，余味苦澀，終有回甘。11、人生就像是一個(gè)馬爾可夫鏈，你的未來(lái)取決于你當(dāng)下正在做的事，而無(wú)關(guān)于過(guò)去做完的事。12、女人，要么有美貌，要么有智慧，如果兩者你都不占絕對(duì)優(yōu)勢(shì)，那你就選擇善良。13、時(shí)間，抓住了就是黃金，虛度了就是流水。理想，努力了才叫夢(mèng)想，放棄了那只是妄想。努力，雖然未必會(huì)收獲，但放棄，就一定一無(wú)所獲。14、一個(gè)人的知識(shí)，通過(guò)學(xué)習(xí)可以得到;一個(gè)人的成長(zhǎng)，就必須通過(guò)磨練

21、。若是自己沒(méi)有盡力，就沒(méi)有資格批評(píng)別人不用心。開(kāi)口抱怨很容易，但是閉嘴努力的人更加值得尊敬。15、如果沒(méi)有人為你遮風(fēng)擋雨，那就學(xué)會(huì)自己披荊斬棘，面對(duì)一切，用倔強(qiáng)的驕傲，活出無(wú)人能及的精彩。5、人生每天都要笑，生活的下一秒發(fā)生什么，我們誰(shuí)也不知道。所以，放下心里的糾結(jié)，放下腦中的煩惱，放下生活的不愉快，活在當(dāng)下。人生喜怒哀樂(lè)，百般形態(tài)，不如在心里全部淡然處之，輕輕一笑，讓心更自在，生命更恒久。積極者相信只有推動(dòng)自己才能推動(dòng)世界，只要推動(dòng)自己就能推動(dòng)世界。6、人性本善，純?nèi)缜逑魉冬摖q。欲望與情緒如風(fēng)沙襲擾，把原本如天空曠蔚藍(lán)的心蒙蔽。但我知道，每個(gè)人的心靈深處，不管烏云密布還是陰淤蒼茫，但依然有一道彩虹，亮麗于心中某處。7、每個(gè)人的心里，都藏著一個(gè)了不起的自己，只要你不頹廢，不消極，一直悄悄醞釀著樂(lè)觀，培養(yǎng)著豁達(dá)，堅(jiān)持著善良，只要在路上，就沒(méi)有到達(dá)不了的遠(yuǎn)方！8、不要活在別人眼中，更不要活在別人嘴中。世界不會(huì)因?yàn)槟愕谋г共粷M而為你改變，你能做到的只有改變你自己！9、欲戴王冠，必承其重。哪有什么好命天賜，不都是一路披荊斬棘才換來(lái)的。10、放手如拔牙。牙被拔掉的那一刻，你會(huì)覺(jué)得解脫。但舌頭總會(huì)不由自主地往那個(gè)空空的牙洞里舔，一天數(shù)次。不痛了不代表你能完全無(wú)視，留下的那個(gè)空缺永遠(yuǎn)都在，偶爾甚至?xí)惓炷睢＿m應(yīng)是需要時(shí)間的，但牙總是要拔，因?yàn)樘矗越K