網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告

1、網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估目錄【最新資料，WORD文檔，可編輯修改】1 .風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估（RiskAssessment）是指，在風(fēng)險(xiǎn)事件發(fā)生之前或之后（但還沒(méi)有結(jié)束），該事件給人們的生活、生命、財(cái)產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。即，風(fēng)險(xiǎn)評(píng)估就是量化測(cè)評(píng)某一事件或事物帶來(lái)的影響或損失的可能程度。從信息安全的角度來(lái)講，風(fēng)險(xiǎn)評(píng)估是對(duì)信息資產(chǎn)（即某事件或事物所具有的信息集）所面臨的威脅、存在的弱點(diǎn)、造成的影響，以及三者綜合作用所帶來(lái)風(fēng)險(xiǎn)的可能性的評(píng)估。作為風(fēng)險(xiǎn)管理的基礎(chǔ)，風(fēng)險(xiǎn)評(píng)估是組織確定信息安全需求的一個(gè)重要途徑，屬于組織信息安全管理體系策劃的過(guò)程。對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估

2、的目的就是了解系統(tǒng)目前與未來(lái)的風(fēng)險(xiǎn)所在評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的安全威脅與影響程度為安全策略的確定信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)同時(shí)通過(guò)第三方權(quán)威或者國(guó)際機(jī)構(gòu)評(píng)估和認(rèn)證也給用戶提供了信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心增強(qiáng)產(chǎn)品單位的競(jìng)爭(zhēng)力信息系統(tǒng)風(fēng)險(xiǎn)分析和評(píng)估是一個(gè)復(fù)雜的過(guò)程一個(gè)完善的信息安全風(fēng)險(xiǎn)評(píng)估架構(gòu)應(yīng)該具備相應(yīng)的標(biāo)準(zhǔn)體系技術(shù)體系組織架構(gòu)業(yè)務(wù)體系和法律法規(guī)。2 .信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系概述指標(biāo)是評(píng)估的工具，是反映評(píng)估對(duì)象屬性的指示標(biāo)志。指標(biāo)體系則是根據(jù)評(píng)估目標(biāo)和評(píng)估內(nèi)容的要求構(gòu)建的一組相關(guān)指標(biāo)，據(jù)以搜集評(píng)估對(duì)象的有關(guān)信息資料，反映評(píng)估對(duì)象的基本面貌、特征和水平。信息安全風(fēng)險(xiǎn)的評(píng)估體系是一系列指標(biāo)

3、的構(gòu)成體，這些指標(biāo)之間存在有機(jī)的聯(lián)系并相互作用。指標(biāo)體系通過(guò)揭示這種聯(lián)系和相互作用的規(guī)律來(lái)反映信息系統(tǒng)的安全狀況，考察系統(tǒng)結(jié)構(gòu)的穩(wěn)定性和抵御風(fēng)險(xiǎn)的能力，辨明安全風(fēng)險(xiǎn)及風(fēng)險(xiǎn)演變的動(dòng)向和發(fā)展趨勢(shì)，最終達(dá)到對(duì)風(fēng)險(xiǎn)進(jìn)行有效控制的目的。在信息安全的標(biāo)準(zhǔn)化進(jìn)程中，主要的風(fēng)險(xiǎn)評(píng)估模型有以下幾類：國(guó)際標(biāo)準(zhǔn)ISO15408將風(fēng)險(xiǎn)要素定義為：屬主、資產(chǎn)、攻擊者、威脅、漏洞、風(fēng)險(xiǎn)、措施等7個(gè)方面，該標(biāo)準(zhǔn)對(duì)于系統(tǒng)中人所帶來(lái)的風(fēng)險(xiǎn)比較強(qiáng)調(diào)，將屬主從資產(chǎn)中分離出來(lái)，將攻擊者從威脅分離出來(lái)。國(guó)際標(biāo)準(zhǔn)ISO13335則將風(fēng)險(xiǎn)要素定義為：資產(chǎn)、資產(chǎn)價(jià)值、威脅、脆弱性、風(fēng)險(xiǎn)、防護(hù)需求、防護(hù)措施等7個(gè)方面，該標(biāo)準(zhǔn)是將資產(chǎn)價(jià)值從資產(chǎn)

4、中提煉出來(lái)，將防護(hù)需求從防護(hù)措施中提煉出來(lái)，這是對(duì)于系統(tǒng)中要素屬性的強(qiáng)調(diào)。我國(guó)國(guó)務(wù)院信息化工作辦公室推出的信息安全風(fēng)險(xiǎn)評(píng)估指南，將風(fēng)險(xiǎn)要素定義為：使命、資產(chǎn)、資產(chǎn)價(jià)值、威脅、脆弱性、事件、風(fēng)險(xiǎn)、殘余風(fēng)險(xiǎn)、防護(hù)需求、防護(hù)措施等10個(gè)方面，它比ISO13335擴(kuò)展了三個(gè)要素：使命、殘余風(fēng)險(xiǎn)和事件。引入使命要素是將工作本身之外的原因納入到模型中，強(qiáng)調(diào)了整個(gè)風(fēng)險(xiǎn)管理工作是被機(jī)構(gòu)的高層推動(dòng)的。殘余風(fēng)險(xiǎn)是風(fēng)險(xiǎn)的一個(gè)部分，主要是強(qiáng)調(diào)“安全不可能做到百分之百”。信息安全風(fēng)險(xiǎn)評(píng)估的工作過(guò)程(1)資產(chǎn)識(shí)別資產(chǎn)是對(duì)組織具有價(jià)值的信息資源，是安全策略保護(hù)的對(duì)象?？蓪①Y產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。對(duì)資

5、產(chǎn)的重要性可以賦予不同的等級(jí)，并對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值。資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出一個(gè)綜合結(jié)果的過(guò)程。(2)威脅識(shí)別威脅是一種對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素。造成威脅的因素可分為人為因素和環(huán)境因素。識(shí)別威脅需要考慮的因素包括：資產(chǎn)的吸引力、資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度、威脅的技術(shù)力量、脆弱性被利用的難易程度、通過(guò)過(guò)去的安全事件報(bào)告或記錄統(tǒng)計(jì)各種發(fā)生過(guò)的威脅及其發(fā)生頻率、在評(píng)估體實(shí)際環(huán)境中通過(guò)入侵檢測(cè)系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計(jì)和分析、各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計(jì)和分析、過(guò)去一年或兩年來(lái)國(guó)際機(jī)構(gòu)發(fā)布的對(duì)于整個(gè)社會(huì)

6、或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計(jì)數(shù)據(jù)均值。另外，已有控制措施的情況也是影響威脅可能性的重要因素。(3)脆弱性識(shí)別脆弱性是對(duì)一個(gè)或多個(gè)資產(chǎn)弱點(diǎn)的總稱。脆弱性的識(shí)別可以以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性；也可以分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅合起來(lái)。脆弱性的識(shí)別對(duì)象包括物理環(huán)境、服務(wù)器、網(wǎng)絡(luò)結(jié)構(gòu)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、技術(shù)管理、組織管理等。(4)已有安全措施的確認(rèn)對(duì)已經(jīng)采取的安全措施的效果進(jìn)行評(píng)估。安全措施可以分為預(yù)防性安全措施和保護(hù)性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，如入侵檢測(cè)系統(tǒng)；保護(hù)性安全

7、措施可以減少因發(fā)生安全事件對(duì)信息系統(tǒng)造成的影響，如業(yè)務(wù)持續(xù)性計(jì)劃。已有安全措施的確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來(lái)說(shuō)，安全措施的使用將減少脆弱性，但安全措施的確認(rèn)并不需要像脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的弱點(diǎn)，而是一類具體措施的集合。比較明顯的例子是防火墻的訪問(wèn)控制策略，不必要描述具體的端口控制策略、用戶控制策略，只需要表明采用的訪問(wèn)控制措施。(5)風(fēng)險(xiǎn)識(shí)別對(duì)風(fēng)險(xiǎn)的可能性和后果進(jìn)行評(píng)估。在做威脅、脆弱性評(píng)估時(shí)先不考慮已有控制措施，根據(jù)通常狀況進(jìn)行威脅和脆弱性賦值，然后在最后的風(fēng)險(xiǎn)評(píng)估時(shí)再考慮，那么以此推理出來(lái)的風(fēng)險(xiǎn)計(jì)算公式是：風(fēng)險(xiǎn)值=資產(chǎn)值X威脅值X脆弱性值-已有控制措施值。風(fēng)險(xiǎn)評(píng)

8、估具體思路與流程目標(biāo)：評(píng)估確定范圍內(nèi)信息系統(tǒng)安全威脅的風(fēng)險(xiǎn)及相應(yīng)的風(fēng)險(xiǎn)級(jí)別。參加部門：管理部門、關(guān)鍵業(yè)務(wù)部門、IT部門。評(píng)估方法：工具評(píng)估、人工評(píng)估、滲透測(cè)試等。圖1安全風(fēng)險(xiǎn)評(píng)估流程圖預(yù)期收益：企業(yè)范圍內(nèi)哪些業(yè)務(wù)系統(tǒng)的信息安全風(fēng)險(xiǎn)最大？什么是信息與網(wǎng)絡(luò)系統(tǒng)中最關(guān)鍵的數(shù)據(jù)，采取了哪些安全手段業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)的級(jí)別？安全風(fēng)險(xiǎn)可能導(dǎo)致的損失是多少？當(dāng)前主要的安全威脅是什么？工作流程：1、組建安全風(fēng)險(xiǎn)審計(jì)小組：成員包含管理機(jī)構(gòu)、IT機(jī)構(gòu)、各關(guān)鍵業(yè)務(wù)單位熟悉相關(guān)業(yè)務(wù)的人員。2、準(zhǔn)備如下文檔：當(dāng)前組織機(jī)構(gòu)圖、列出當(dāng)前使用的業(yè)務(wù)軟件和辦公軟件、網(wǎng)絡(luò)框架圖、列出關(guān)鍵網(wǎng)絡(luò)應(yīng)用、列出公司的主要產(chǎn)品和服務(wù)、公司的商

9、業(yè)計(jì)劃（概要）、公司的IT規(guī)劃、已有的安全策略和規(guī)定、關(guān)鍵應(yīng)用的訪問(wèn)控制規(guī)范和步驟系統(tǒng)管理步驟。3、現(xiàn)場(chǎng)調(diào)查：現(xiàn)場(chǎng)調(diào)查應(yīng)包含主要的業(yè)務(wù)部門和典型應(yīng)用機(jī)構(gòu)，以下列出主要的調(diào)查內(nèi)容：當(dāng)前的員工安全行為。包含：是否了解企業(yè)的主要安全規(guī)范、Internet使用設(shè)備的安全使用、介質(zhì)的標(biāo)記和存放、出現(xiàn)安全問(wèn)題時(shí)的處理過(guò)程。 物理措施。關(guān)鍵服務(wù)器放置、機(jī)房安全（訪問(wèn)控制、記錄、UPS防火措施、值班監(jiān)控等）。 訪問(wèn)控制列表。關(guān)鍵應(yīng)用的訪問(wèn)控制列表及訪問(wèn)申請(qǐng)步驟。 使用的辦公軟件及方式。 應(yīng)用系統(tǒng)的主要工作流程。 應(yīng)用系統(tǒng)故障的損失。 應(yīng)用系統(tǒng)的主要故障、防范措施、補(bǔ)救措施。 網(wǎng)絡(luò)系統(tǒng)的主要故障、防范措施、補(bǔ)救

10、措施。 服務(wù)器的主要故障、防范措施、補(bǔ)救措施。4、弱點(diǎn)分析：主要從下列方面進(jìn)行弱點(diǎn)分析： 規(guī)范和步驟,安全培訓(xùn)。 訪問(wèn)控制和訪問(wèn)日志。,安全管理和日志。 軟件和系統(tǒng)錯(cuò)誤。 網(wǎng)絡(luò)和系統(tǒng)穩(wěn)定性。 計(jì)算機(jī)系統(tǒng)的物理防護(hù)。 備份和冗余措施。 應(yīng)用系統(tǒng)風(fēng)險(xiǎn)分析 關(guān)鍵應(yīng)用系統(tǒng)詳細(xì)風(fēng)險(xiǎn)分析。 主要的安全威脅分析。 風(fēng)險(xiǎn)等級(jí)劃分。 安全威脅對(duì)關(guān)鍵應(yīng)用的風(fēng)險(xiǎn)分析。 關(guān)鍵應(yīng)用和設(shè)施的安全風(fēng)險(xiǎn)計(jì)算。 專業(yè)獨(dú)到的客戶化分析與總結(jié) 威脅分析與總結(jié)。 脆弱性分析與總結(jié)。 風(fēng)險(xiǎn)分析與總結(jié)。分析結(jié)果：形成信息與網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告3.國(guó)內(nèi)外安全標(biāo)準(zhǔn)介紹“沒(méi)有規(guī)矩，不成方圓”這句話在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估領(lǐng)域也是適用的，沒(méi)有標(biāo)準(zhǔn)指導(dǎo)

11、下的風(fēng)險(xiǎn)評(píng)估是沒(méi)有任何意義的。通過(guò)依據(jù)某個(gè)標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估或者得到該標(biāo)準(zhǔn)的評(píng)估認(rèn)證，不但可為信息系統(tǒng)提供可靠的安全服務(wù)，而且可以樹立單位的信息安全形象，提高單位的綜合競(jìng)爭(zhēng)力。從美國(guó)國(guó)防部1985年發(fā)布著名的可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則TCSE佻世界各國(guó)根據(jù)自己的研究進(jìn)展和實(shí)際情況，相繼發(fā)布了一系列有關(guān)安全評(píng)估的準(zhǔn)則和標(biāo)準(zhǔn)，如美國(guó)的TCSEC英、法、德、荷等國(guó)20世紀(jì)90年代初發(fā)布的信息技術(shù)安全評(píng)估準(zhǔn)則（ITSEC）;加拿大1993年發(fā)布的可信計(jì)算機(jī)產(chǎn)品評(píng)價(jià)準(zhǔn)則（CTCPEC,美國(guó)1993年制定的信息技術(shù)安全聯(lián)邦標(biāo)準(zhǔn)（FC）,美國(guó)NSA于20世紀(jì)90年代中期提出的信息技術(shù)安全性評(píng)估通用準(zhǔn)則CC由英國(guó)標(biāo)準(zhǔn)

12、協(xié)會(huì)BSI制定的信息安全管理標(biāo)準(zhǔn)BS779（ISO17799）以及最近得到（ISO）認(rèn)可的SSE-CMM（ISO/IEC21827:2002籌。我國(guó)根據(jù)具體情況也加快了對(duì)信息安全標(biāo)準(zhǔn)化的步伐和力度相繼頒布了如計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB178596信息技術(shù)安全性評(píng)估準(zhǔn)則GB/T18336以及針對(duì)不同技術(shù)領(lǐng)域其他的一些安全標(biāo)準(zhǔn)下面簡(jiǎn)單介紹其中比較典型的幾個(gè)標(biāo)準(zhǔn)。CC標(biāo)準(zhǔn)信息技術(shù)安全評(píng)估公共標(biāo)準(zhǔn)（CCITSEcommoncriteriaofinformationtechnicalsecurityevaluation）,簡(jiǎn)稱CC（ISO/IEC15408-1）是美國(guó)、加拿大及歐洲4國(guó)（共6

13、國(guó)7個(gè)組織）經(jīng)協(xié)商同意，于1993年6月起草的，是國(guó)際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果是目前最全面的評(píng)估準(zhǔn)則。CC源于TCSEC,但已經(jīng)完全改進(jìn)了TCSECCC的主要思想和框架都取自ITSEC（歐）和FC（美）它由三部分內(nèi)容組成：1）介紹以及一般模型；2）安全功能需求技術(shù)上的要求；3）安全認(rèn)證需求（非技術(shù)要求和對(duì)開發(fā)過(guò)程工程的要求）。CC與早期的評(píng)估準(zhǔn)則相比主要具有4大特征，1）CC符合PDR模型：2）CC評(píng)估準(zhǔn)則是面向整個(gè)信息產(chǎn)品生存期的；3）CC評(píng)估準(zhǔn)則不僅考慮了保密性，而且還考慮了完整性和可用性多方面的安全特性；4）CC評(píng)估準(zhǔn)則有與之配套的安全評(píng)估方法CEM（commonevaluati

14、onmethodology）。BS7799(ISO/IEC17799)BS7799標(biāo)準(zhǔn)是由英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(BSI)制定的信息安全管理標(biāo)準(zhǔn)，是國(guó)際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)，包括兩部分BS7799-1:1999信息安全管理實(shí)施細(xì)則；BS7799-2:2002信息安全管理體系規(guī)范，其中BS7799-1:1999于200312月30日通過(guò)國(guó)際標(biāo)準(zhǔn)化組織(ISO)認(rèn)可，正式成為國(guó)際標(biāo)準(zhǔn),ISO/IEC17799:2000。BS7799-1:1999信息安全管理實(shí)施細(xì)則是組織建立并實(shí)施信息安全管理體系的一個(gè)指導(dǎo)性的準(zhǔn)則，BS7799-2:2002以BS7799-1:1999為指南，詳細(xì)說(shuō)明按照PD

15、CA模型建立、實(shí)施及文件化信息安全管理體系(ISMS的要求。ISO/IEC21827:2002(SSE-CMM)信息安全工程能力成熟度模型(systemsecurityengineeringcapabilitymaturitymodel)是關(guān)于信息安全建設(shè)工程實(shí)施方面的標(biāo)準(zhǔn)。SSE-CMM的目的是建立和完善一套成熟的、可度量的安全工程過(guò)程。該模型定義了一個(gè)安全工程過(guò)程應(yīng)有的特征這些特征，是完善的安全工程的根本保證。SSE-CMM型通常以下述三種方式來(lái)應(yīng)用“過(guò)程改善”一可以使一個(gè)安全工程組織對(duì)其安全工程能力的級(jí)別；有一個(gè)認(rèn)識(shí)，于是可設(shè)計(jì)出改善的安全工程過(guò)程，這樣就可以提高他們的安全工程能力；能力

16、評(píng)估使一個(gè)客戶組織可以了解其提供商的安全工程過(guò)程能力；“保證”一通過(guò)聲明提供一個(gè)成熟過(guò)程所應(yīng)具有的各種依據(jù)使得產(chǎn)品、系統(tǒng)、服務(wù)更具可信性。我國(guó)國(guó)家標(biāo)準(zhǔn)GB17859我國(guó)國(guó)家標(biāo)準(zhǔn)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859于1999年9月正式批準(zhǔn)發(fā)布該準(zhǔn)則將計(jì)算機(jī)信息系統(tǒng)安全分為5級(jí)用戶自主保護(hù)級(jí)系統(tǒng)審核保護(hù)級(jí)安全標(biāo)記保護(hù)級(jí)結(jié)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)級(jí)4風(fēng)險(xiǎn)評(píng)估方法標(biāo)準(zhǔn)在信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過(guò)程中的指導(dǎo)作用不容忽視，而在評(píng)估過(guò)程中使用何種方法對(duì)評(píng)估的有效性同樣占有舉足輕重的地位。評(píng)估方法的選擇直接影響到評(píng)估過(guò)程中的每個(gè)環(huán)節(jié)甚至可以左右最終的評(píng)估結(jié)果，所以需要根據(jù)系統(tǒng)的具體情況，選擇合適的風(fēng)險(xiǎn)評(píng)估

17、方法風(fēng)險(xiǎn)評(píng)估的方法有很多種，概括起來(lái)可分為三大類：定量的風(fēng)險(xiǎn)評(píng)估方法、定性的風(fēng)險(xiǎn)評(píng)估方法、定性與定量相結(jié)合的評(píng)估方法。(1)基于知識(shí)的評(píng)估方法這類方法主要是依靠經(jīng)驗(yàn)進(jìn)行的。經(jīng)驗(yàn)從安全專家處獲取并憑此來(lái)解決相似場(chǎng)景的風(fēng)險(xiǎn)評(píng)估問(wèn)題。它涉及到對(duì)來(lái)自類似組織(包括規(guī)模、目標(biāo)等)的“最佳慣例”的重用。通過(guò)采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施(包括識(shí)別重要資產(chǎn)、安全需求分析、當(dāng)前安全實(shí)踐分析、威脅和弱點(diǎn)發(fā)現(xiàn)、基于資產(chǎn)的風(fēng)險(xiǎn)分析和評(píng)估等)，與特定的標(biāo)準(zhǔn)和慣例進(jìn)行比較，找出不適合的地方，并按照標(biāo)準(zhǔn)或最佳慣例的推薦，選擇安全措施，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。這類方法多集中在管理方面，對(duì)技術(shù)層面涉及

18、較少，組織相似性的判定、被評(píng)估組織的安全需求分析以及關(guān)鍵資產(chǎn)的確定都是該方法的制約點(diǎn)。(2)基于技術(shù)的評(píng)估方法技術(shù)評(píng)估是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)、及時(shí)的檢查，對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及其對(duì)內(nèi)外攻擊脆弱性的完整性估計(jì)。通常包括：評(píng)估整個(gè)計(jì)算基礎(chǔ)結(jié)構(gòu)；使用軟件工具分析基礎(chǔ)結(jié)構(gòu)及其全部組件；提供詳細(xì)的分析報(bào)告，說(shuō)明檢測(cè)到的技術(shù)弱點(diǎn)，并且可能為解決這些弱點(diǎn)建議具體的措施。技術(shù)評(píng)估強(qiáng)調(diào)組織的技術(shù)脆弱性。這類方法在技術(shù)上分析得比較多，技術(shù)弱點(diǎn)把握精確，但在管理上較弱，管理評(píng)估存在不足。(3)定量分析方法這類方法有模糊綜合評(píng)價(jià)法、層次分析法等。層次分析法是一種整理和綜合主觀判斷的客觀方法，適用

19、于多目標(biāo)、多準(zhǔn)則的復(fù)雜評(píng)價(jià)問(wèn)題。它將目標(biāo)層次分類展開，將目標(biāo)按邏輯分類向下展開為若干目標(biāo)，再把各個(gè)目標(biāo)分別向下展開成分目標(biāo)或準(zhǔn)則，依此類推，直到可定量或可進(jìn)行定性分析(指標(biāo)層)為止，然后在比原問(wèn)題簡(jiǎn)單得多的層次上逐步分析?？梢詫⑷说闹饔^判斷用數(shù)量形式處理，同時(shí)處理定量和不定量因素。也可以提示人們對(duì)問(wèn)題的主觀判斷是否存在一致性。定量評(píng)估方法的結(jié)果直觀，容易理解，它要求特別關(guān)注資產(chǎn)的價(jià)值和威脅的量化數(shù)據(jù)，但是資產(chǎn)價(jià)值的確定、發(fā)生概率的確定、最終數(shù)值的界定是比較困難的。(4)定性分析方法這類方法一般關(guān)注威脅事件所帶來(lái)的損失，而忽略事件發(fā)生的概率。多數(shù)定性風(fēng)險(xiǎn)分析方法依據(jù)組織面臨的威脅、脆弱點(diǎn)以及控制

20、措施等元素來(lái)決定安全風(fēng)險(xiǎn)等級(jí)。在定性評(píng)估時(shí)并不使用具體的數(shù)據(jù)，往往帶有很強(qiáng)的主觀性，需要憑借分析者的經(jīng)驗(yàn)和直覺進(jìn)行定性分級(jí)。如設(shè)定每種風(fēng)險(xiǎn)的影響值和概率值為“高”、“中”、“低”。有時(shí)單純使用期望值，并不能明顯區(qū)別風(fēng)險(xiǎn)值之間的差別。這種方法操作起來(lái)相對(duì)容易，但也可能因?yàn)椴僮髡叩慕?jīng)驗(yàn)和直覺的偏差而使分析結(jié)果失準(zhǔn)。信息安全是一個(gè)整體性概念，包括很多方面，除了依賴所采用的信息安全技術(shù)，還更多的依賴信息安全管理體制。風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的系統(tǒng)工程，其中既有硬件，也有軟件；既有外部因素也有內(nèi)部因素，而且許多方面是相互制約的。另外，不僅構(gòu)成風(fēng)險(xiǎn)的因素繁多，因素間關(guān)系錯(cuò)綜復(fù)雜，因此，綜合利用各種方法的優(yōu)勢(shì)，相

21、互補(bǔ)充是指標(biāo)采集的有效思路。5.風(fēng)險(xiǎn)評(píng)估工具風(fēng)險(xiǎn)評(píng)估與管理工具根據(jù)信息所面臨的威脅的不同分布進(jìn)行全面考慮，主要從安全管理方面入手，評(píng)估信息資產(chǎn)所面臨的威脅。風(fēng)險(xiǎn)評(píng)估與管理工具主要分為3類：1 .基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估2 .基于知識(shí)的風(fēng)險(xiǎn)評(píng)估3 .基于模型的風(fēng)險(xiǎn)評(píng)估輔助性的工具和方法可以利用一些輔助性的工具和方法來(lái)采集數(shù)據(jù)，包括:?調(diào)查問(wèn)卷一一風(fēng)險(xiǎn)評(píng)估者通過(guò)問(wèn)卷形式對(duì)組織信息安全的各個(gè)方面進(jìn)行調(diào)查，問(wèn)卷解答可以進(jìn)行手工分析，也可以輸入自動(dòng)化評(píng)估工具進(jìn)行分析。從問(wèn)卷調(diào)查中，評(píng)估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。?檢查列表一一檢查列

22、表通常是基于特定標(biāo)準(zhǔn)或基線建立的，對(duì)特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款，通過(guò)檢查列表，操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距。?人員訪談一一風(fēng)險(xiǎn)評(píng)估者通過(guò)與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的安全意識(shí)、業(yè)務(wù)操作、管理程序等重要信息。?漏洞掃描器一一漏洞掃描器（包括基于網(wǎng)絡(luò)探測(cè)和基于主機(jī)審計(jì)）可以對(duì)信息系統(tǒng)中存在的技術(shù)性漏洞（弱點(diǎn)）進(jìn)行評(píng)估。許多掃描器都會(huì)列出已發(fā)現(xiàn)漏洞的嚴(yán)重性和被利用的容易程度。典型工具有Nessus、ISS、CyberCopScanner等。?滲透測(cè)試一一這是一種模擬黑客行為的漏洞探測(cè)活動(dòng)，它不但要掃描目標(biāo)系統(tǒng)的漏洞，還會(huì)通過(guò)漏洞利用來(lái)驗(yàn)證此種威脅場(chǎng)景。自動(dòng)化風(fēng)險(xiǎn)

23、評(píng)估工具?除了這些方法和工具外，風(fēng)險(xiǎn)評(píng)估過(guò)程最常用的還是一些專用的自動(dòng)化的風(fēng)險(xiǎn)評(píng)估工具，無(wú)論是商用的還是免費(fèi)的，此類工具都可以有效地通過(guò)輸入數(shù)據(jù)來(lái)分析風(fēng)險(xiǎn)，最終給出對(duì)風(fēng)險(xiǎn)的評(píng)價(jià)并推薦相應(yīng)的安全措施。常見的自動(dòng)化風(fēng)險(xiǎn)評(píng)估工具如下：?COBRACOBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）是英國(guó)的C&A系統(tǒng)安全公司推出的一套風(fēng)險(xiǎn)分析工具軟件，它通過(guò)問(wèn)卷的方式來(lái)采集和分析數(shù)據(jù)，并對(duì)組織的風(fēng)險(xiǎn)進(jìn)行定性分析，最終的評(píng)估報(bào)告中包含已識(shí)別風(fēng)險(xiǎn)的水平和推薦措施。此外，COBRAS支持基于知識(shí)的評(píng)估方法，可以將組織的安全現(xiàn)狀與ISO17

24、799標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補(bǔ)措施。?CRAMMCRAMMCCTARiskAnalysisandManagementMethod）是由英國(guó)政府的中央計(jì)算機(jī)與電信局（CentralComputerandTelecommunicationsAgency,CCTA于1985年開發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。經(jīng)過(guò)多次版本更新（現(xiàn)在是第四版），目前由Insight咨詢公司負(fù)責(zé)管理和授權(quán)。CRAMM1一種可以評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對(duì)策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。CRAMME安全模型數(shù)據(jù)庫(kù)基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型

25、，評(píng)估過(guò)程經(jīng)過(guò)資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、選擇合適的推薦對(duì)策這三個(gè)階段。CRAMM與BS7799標(biāo)準(zhǔn)保持一致，它提供的可供選擇的安全控制多達(dá)3000個(gè)。除了風(fēng)險(xiǎn)評(píng)估，CRAMME可以又t符合ITIL（ITInfrastructureLibrary）指南的業(yè)務(wù)連續(xù)性管理提供支持。?ASSETASSET(AutomatedSecuritySelf-EvaluationTool)是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)(NationalInstituteofStandardandTechnology,NIST)發(fā)布的一個(gè)可用來(lái)進(jìn)行安全風(fēng)險(xiǎn)自我評(píng)估的自動(dòng)化工具，它采用典型的基于知識(shí)的分析方法，利用問(wèn)卷方式來(lái)評(píng)估系統(tǒng)

26、安全現(xiàn)狀與NISTSP800-26指南之間的差距。NISTSpecialPublication800-26,即信息技術(shù)系統(tǒng)安全自我評(píng)估指南(SecuritySelf-AssessmentGuideforInformationTechnologySystems),為組織進(jìn)行IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了眾多控制目標(biāo)和建議技術(shù)。?CORACORA(Cost-of-RiskAnalysis)是由國(guó)際安全技術(shù)公司(InternationalSecurityTechnology,Inc.)開發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲(chǔ)風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持

27、提供準(zhǔn)確的依據(jù)。6.總結(jié)風(fēng)險(xiǎn)評(píng)估行業(yè)發(fā)展到現(xiàn)在，已經(jīng)到了一個(gè)較為成熟的階段，但是社會(huì)的不斷變化，技術(shù)的不斷進(jìn)步，特別是信息行業(yè)的蓬勃發(fā)展，注定信息行業(yè)會(huì)面臨更加艱巨的挑戰(zhàn)，作為一位初出茅廬的畢業(yè)生，在往后不斷學(xué)習(xí)的過(guò)程中，也要不斷適應(yīng)各種變化同時(shí)，也要有系統(tǒng)的專業(yè)的知識(shí)做后盾，以下是我的一些看法，風(fēng)險(xiǎn)的定義就是不確定性對(duì)目標(biāo)的影響，而風(fēng)險(xiǎn)評(píng)估作為信息安全系統(tǒng)工程的重要過(guò)程和方法，已經(jīng)不能局限于傳統(tǒng)的信息安全技術(shù)角度，而應(yīng)該將技術(shù)風(fēng)險(xiǎn)的識(shí)別與業(yè)務(wù)風(fēng)險(xiǎn)的評(píng)估統(tǒng)一起來(lái)，這樣能解決不同層次的人員對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的要求，有助于風(fēng)險(xiǎn)分析從技術(shù)風(fēng)險(xiǎn)上升到業(yè)務(wù)風(fēng)險(xiǎn)，有助于分工和內(nèi)部的合作，這樣能很快的提高評(píng)估工作的效率。第二，沒(méi)有規(guī)矩，不成方圓”，沒(méi)有標(biāo)準(zhǔn)指導(dǎo)下的風(fēng)險(xiǎn)評(píng)估是沒(méi)有任何意義的。從最初開始接觸風(fēng)險(xiǎn)評(píng)估理論到現(xiàn)在，短短的一個(gè)星期的時(shí)間，對(duì)我最大的感觸是信息安全評(píng)估真的涉及到很多方面知識(shí)，安全標(biāo)準(zhǔn)也是十分龐雜，各種評(píng)估標(biāo)準(zhǔn)的側(cè)重點(diǎn)也不一樣，比如信息技術(shù)安全性評(píng)估準(zhǔn)則(CC)»和美國(guó)國(guó)防部可信計(jì)算機(jī)評(píng)估準(zhǔn)則(TCSEC)»等更側(cè)重于對(duì)系統(tǒng)和產(chǎn)品的技術(shù)指標(biāo)的評(píng)估，系統(tǒng)安全工程能力成熟模型(SSE-CMM)更側(cè)重于對(duì)安全產(chǎn)品開發(fā)、安全系統(tǒng)集成等安全工程過(guò)程的管