安全風(fēng)險(xiǎn)評(píng)估課件

計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施第9章安全風(fēng)險(xiǎn)評(píng)估國(guó)家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫(kù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施第9章安全風(fēng)險(xiǎn)評(píng)估國(guó)家高等職業(yè)教育了解風(fēng)險(xiǎn)評(píng)估的基本概念了解并掌握風(fēng)險(xiǎn)評(píng)估的一般步驟掌握H3C公司安全風(fēng)險(xiǎn)評(píng)估最佳實(shí)踐的步驟和方法課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：了解風(fēng)險(xiǎn)評(píng)估的基本概念課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：風(fēng)險(xiǎn)評(píng)估的基本概念安全風(fēng)險(xiǎn)評(píng)估H3C風(fēng)險(xiǎn)評(píng)估最佳實(shí)踐目錄風(fēng)險(xiǎn)評(píng)估的基本概念目錄信息安全的基本觀念信息安全需要評(píng)估風(fēng)險(xiǎn)和損失針對(duì)可能的威脅和風(fēng)險(xiǎn)加以防范安全防范包括兩個(gè)方面：技術(shù)防范、制度保障提到信息安全，專家們的普遍觀點(diǎn)：3分技術(shù)、7分管理信息安全的基本觀念信息安全需要評(píng)估風(fēng)險(xiǎn)和損失提到信息安全，專風(fēng)險(xiǎn)的要素風(fēng)險(xiǎn)資產(chǎn)脆弱性威脅影響風(fēng)險(xiǎn)的要素風(fēng)險(xiǎn)風(fēng)險(xiǎn)風(fēng)險(xiǎn)作為風(fēng)險(xiǎn)評(píng)估重要的組成要素，是我們想要進(jìn)行量化或評(píng)估的目標(biāo)。它是指一種可能性，一種遭受損失的可能性。

風(fēng)險(xiǎn)風(fēng)險(xiǎn)作為風(fēng)險(xiǎn)評(píng)估重要的組成要素，是我們想要進(jìn)行量化或評(píng)估資產(chǎn)資產(chǎn)是指任何對(duì)組織有價(jià)值的東西，可以是文件、資料，也可以是打印機(jī)、復(fù)印紙等等。資產(chǎn)包括電子信息資產(chǎn)、紙介資產(chǎn)、軟件資產(chǎn)、物理資產(chǎn)、人員、服務(wù)性資產(chǎn)、公司形象和名譽(yù)等。信息也是一種資產(chǎn)，也有遭受丟失或損失的可能性，因此我們要對(duì)信息的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估。

資產(chǎn)資產(chǎn)是指任何對(duì)組織有價(jià)值的東西，可以是文件、資料，也可以脆弱性脆弱性是指與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。脆弱性本身并不對(duì)資產(chǎn)構(gòu)成危害，但是在一定條件得到滿足時(shí)，脆弱性會(huì)被威脅加以利用來(lái)對(duì)信息資產(chǎn)造成危害。脆弱性分為技術(shù)性和非技術(shù)性的，舉例來(lái)講系統(tǒng)漏洞、程序BUG都可以看做脆弱性，物理環(huán)境不安全、管理疏漏等也可以看做脆弱性。

脆弱性脆弱性是指與信息資產(chǎn)有關(guān)的弱點(diǎn)或安全隱患。 威脅威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動(dòng)。威脅是利用脆弱性來(lái)造成后果。黑客入侵、病毒、人為誤操作等都可以看做是威脅，因?yàn)檫@些會(huì)對(duì)信息資產(chǎn)造成損失。

威脅威脅是可能導(dǎo)致信息安全事故和組織信息資產(chǎn)損失的活動(dòng)。威脅影響影響是指假如威脅發(fā)生后所造成的損失。例如，不幸在外面丟了錢包，則影響就是“沒錢吃飯、沒錢坐車回家”。

影響影響是指假如威脅發(fā)生后所造成的損失。例如，不幸在外面丟了信息安全管理面臨的諸多問題加強(qiáng)信息安全管理被普遍認(rèn)為是解決信息安全問題的重要途徑，但是需要一定的標(biāo)準(zhǔn)來(lái)指導(dǎo)！信息安全管理面臨的諸多問題加強(qiáng)信息安全管理被普遍認(rèn)為是解決信風(fēng)險(xiǎn)評(píng)估意義依據(jù)標(biāo)準(zhǔn)，利用風(fēng)險(xiǎn)分析管理工具，結(jié)合企業(yè)資產(chǎn)列表、威脅來(lái)源的調(diào)查分析以及系統(tǒng)安全弱點(diǎn)評(píng)估等結(jié)果，綜合評(píng)估影響企業(yè)整體的因素，以制定適當(dāng)?shù)男畔踩吲c信息安全操作準(zhǔn)則來(lái)降低潛在的風(fēng)險(xiǎn)危機(jī)。BS7799、ISO17799/27001、GB/T17859等標(biāo)準(zhǔn)為我們提供了一套管理潛在的信息“風(fēng)險(xiǎn)評(píng)估”的方法。風(fēng)險(xiǎn)評(píng)估意義依據(jù)標(biāo)準(zhǔn)，利用風(fēng)險(xiǎn)分析管理工具，結(jié)合企業(yè)資產(chǎn)列表國(guó)家信息安全等級(jí)保護(hù)政策建設(shè)過(guò)程要求整改評(píng)估定級(jí)評(píng)測(cè)確定系統(tǒng)或者子系統(tǒng)的安全等級(jí)依據(jù)等級(jí)要求，對(duì)現(xiàn)有技術(shù)和管理手段的進(jìn)行評(píng)估，并給出改進(jìn)建議針對(duì)評(píng)估過(guò)程中發(fā)現(xiàn)的不滿足等保要求的地方進(jìn)行整改評(píng)測(cè)機(jī)構(gòu)依據(jù)等級(jí)要求，對(duì)系統(tǒng)是否滿足要求進(jìn)行評(píng)測(cè)，并給出結(jié)論監(jiān)管對(duì)系統(tǒng)進(jìn)行周期性的檢查，以確定系統(tǒng)依然滿足等級(jí)保護(hù)的要求風(fēng)險(xiǎn)評(píng)估意義國(guó)家信息安全等級(jí)保護(hù)政策建設(shè)過(guò)程要求整改評(píng)估定級(jí)評(píng)測(cè)確定系統(tǒng)風(fēng)險(xiǎn)評(píng)估的基本概念安全風(fēng)險(xiǎn)評(píng)估H3C風(fēng)險(xiǎn)評(píng)估最佳實(shí)踐目錄風(fēng)險(xiǎn)評(píng)估的基本概念目錄安全風(fēng)險(xiǎn)評(píng)估方法適用范圍：適用于IT項(xiàng)目中安全風(fēng)險(xiǎn)分析和評(píng)估目的：如何使用評(píng)估方法去評(píng)估客戶的IT項(xiàng)目、產(chǎn)品和系統(tǒng)的安全風(fēng)險(xiǎn)，并給出改進(jìn)建議輸出：各個(gè)階段都輸出有風(fēng)險(xiǎn)評(píng)估報(bào)告安全風(fēng)險(xiǎn)評(píng)估方法適用范圍：適用于IT項(xiàng)目中安全風(fēng)險(xiǎn)分析和評(píng)估風(fēng)險(xiǎn)評(píng)估的步驟一、明確安全保護(hù)目標(biāo)二、明確需安全保護(hù)對(duì)象三、評(píng)估脆弱性四、評(píng)估威脅五、評(píng)估影響六、風(fēng)險(xiǎn)評(píng)估七、風(fēng)險(xiǎn)處置措施風(fēng)險(xiǎn)評(píng)估的步驟一、明確安全保護(hù)目標(biāo)明確安全保護(hù)的目標(biāo)安全保護(hù)的目標(biāo)可以是下面的部分或全部明確安全保護(hù)的目標(biāo)安全保護(hù)的目標(biāo)可以是下面的部分或全部明確安全保護(hù)的對(duì)象網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器、安全設(shè)備、綜合網(wǎng)絡(luò)布線等計(jì)算機(jī)設(shè)備：個(gè)人計(jì)算機(jī)、便攜機(jī)、網(wǎng)絡(luò)服務(wù)器、文件服務(wù)器、工作站等存儲(chǔ)介質(zhì)；軟盤、硬盤、磁帶、光盤、MO等軟件：操作系統(tǒng)、數(shù)據(jù)庫(kù)、工具軟件、辦公平臺(tái)軟件、開發(fā)用軟件等網(wǎng)上應(yīng)用系統(tǒng)：EMail系統(tǒng)、InternetProxy服務(wù)、Notes系統(tǒng)、MRPII、SAP、HR、WWW、FTP等網(wǎng)絡(luò)服務(wù)：DNS、DHCP、WINS、網(wǎng)絡(luò)路由服務(wù)等數(shù)據(jù)資料：電子文檔、數(shù)據(jù)等明確安全保護(hù)的對(duì)象網(wǎng)絡(luò)設(shè)備：交換機(jī)、路由器、安全設(shè)備、綜合網(wǎng)評(píng)估脆弱性安全弱點(diǎn)和信息資產(chǎn)緊密相連，它可能被威脅利用、引起資產(chǎn)損失或傷害場(chǎng)所風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估系統(tǒng)風(fēng)險(xiǎn)評(píng)估安全流程評(píng)估評(píng)估脆弱性安全弱點(diǎn)和信息資產(chǎn)緊密相連，它可能被威脅利用、引起評(píng)估威脅安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。非授權(quán)訪問：如沒有預(yù)先經(jīng)過(guò)同意就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源看作是非授權(quán)訪問。如：有意避開系統(tǒng)訪問控制機(jī)制，擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。信息泄漏：是否敏感數(shù)據(jù)在有意或無(wú)意中被泄漏出去或丟失。如：信息在傳輸中或在存儲(chǔ)介質(zhì)中丟失或泄漏，通過(guò)隱蔽通道竊取機(jī)密信息等。數(shù)據(jù)完整性：如非法竊得數(shù)據(jù)使用權(quán)，修改或重發(fā)某些重要信息，惡意添加、修改數(shù)據(jù)，干擾用戶的正常使用。拒絕服務(wù)攻擊：查潛在的對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行干擾的活動(dòng)，該活動(dòng)可能造成系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)

評(píng)估威脅安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的威脅屬性威脅屬性可被賦予一個(gè)數(shù)值，來(lái)表示該屬性。以下是屬性賦值參考表:賦值簡(jiǎn)稱說(shuō)明4VH不可避免3H非常有可能2M可能1L可能性很小0N不可能威脅屬性威脅屬性可被賦予一個(gè)數(shù)值，來(lái)表示該屬性。賦值簡(jiǎn)稱說(shuō)明評(píng)估影響對(duì)可能造成資產(chǎn)機(jī)密性、完整性和可用性嚴(yán)重破壞的威脅進(jìn)行影響分析。它和具體資產(chǎn)價(jià)值等直接相關(guān)。影響屬性賦值參考表:賦值簡(jiǎn)稱說(shuō)明4VH該弱點(diǎn)如果被利用可能造成資產(chǎn)全部損失3H該弱點(diǎn)如果被利用可能造成資產(chǎn)重大損失2M該弱點(diǎn)如果被利用可能引發(fā)中等資產(chǎn)損失1L該弱點(diǎn)如果被利用可能造成較小資產(chǎn)損失0N該弱點(diǎn)可能造成資產(chǎn)損失可以忽略評(píng)估影響對(duì)可能造成資產(chǎn)機(jī)密性、完整性和可用性嚴(yán)重破壞的威脅進(jìn)評(píng)估風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指某個(gè)威脅利用弱點(diǎn)引起某資產(chǎn)的損害，從而直接地或間接地引起企業(yè)或機(jī)構(gòu)的損害的可能性。風(fēng)險(xiǎn)和具體資產(chǎn)、價(jià)值、威脅等級(jí)以及相關(guān)弱點(diǎn)直接相關(guān)。風(fēng)險(xiǎn)分析可以是定性分析、半定量分析或定量分析，或者是這些分析的結(jié)合。風(fēng)險(xiǎn)評(píng)估的經(jīng)驗(yàn)公式有許多，舉例如下：評(píng)估風(fēng)險(xiǎn)風(fēng)險(xiǎn)是指某個(gè)威脅利用弱點(diǎn)引起某資產(chǎn)的損害，從而直接地風(fēng)險(xiǎn)處置可能需要成本或代價(jià)，如果用相對(duì)較低的花費(fèi)可以大大減小風(fēng)險(xiǎn)的程度，則應(yīng)選擇實(shí)施這樣的處置方法。舉例如下：風(fēng)險(xiǎn)處置風(fēng)險(xiǎn)處置可能需要成本或代價(jià)，如果用相對(duì)較低的花費(fèi)可以大大減小

從資產(chǎn)面臨的若干個(gè)風(fēng)險(xiǎn)中，評(píng)估者從自己的經(jīng)驗(yàn)出發(fā)，得出該資產(chǎn)面臨的整體風(fēng)險(xiǎn)。針對(duì)需要保護(hù)的資源，做出風(fēng)險(xiǎn)和控制措施的分析列表。舉例如下《風(fēng)險(xiǎn)分析列表》從資產(chǎn)面臨的若干個(gè)風(fēng)險(xiǎn)中，評(píng)估者從自己的經(jīng)驗(yàn)出發(fā)，得出該資風(fēng)險(xiǎn)評(píng)估的基本概念安全風(fēng)險(xiǎn)評(píng)估H3C安全風(fēng)險(xiǎn)評(píng)估最佳實(shí)踐目錄風(fēng)險(xiǎn)評(píng)估的基本概念目錄iSPN安全架構(gòu)傳統(tǒng)安全廠商防護(hù)iSPN多層的：形成系統(tǒng)安全動(dòng)態(tài)的：形成智能聯(lián)動(dòng)高性能：智能線速滲透融合的：融合式網(wǎng)絡(luò)安全人性化：以人為中心簡(jiǎn)單的：一體化集中管理H3C–智能安全防護(hù)單一的：只有單點(diǎn)保護(hù)靜態(tài)的：無(wú)聯(lián)動(dòng)配合低性能：應(yīng)用性能瓶頸割裂的：安全和網(wǎng)絡(luò)分離設(shè)備化：以設(shè)備為中心復(fù)雜的：管理分散相互割裂傳統(tǒng)安全廠家防護(hù)iSPN智能安全滲透網(wǎng)絡(luò)，其核心理念是“面向安全的網(wǎng)絡(luò)設(shè)計(jì)”，改變了過(guò)去網(wǎng)絡(luò)建成后，因?yàn)椴粩喟踩┒炊蜓a(bǔ)丁的舊模式。iSPN通過(guò)網(wǎng)絡(luò)和安全相互集成、融合和協(xié)作，為用戶構(gòu)建“不一樣的安全網(wǎng)絡(luò)”。iSPN安全架構(gòu)傳統(tǒng)安全廠商防護(hù)iSPN多層的：形成系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)標(biāo)準(zhǔn)：ISO17799/ISO13335/SEC-CMM/ISO7498-2/OCTAVE依據(jù)的理念：H3CiSPN安全框架;技術(shù)、管理、工程的支持完善的理論支撐很強(qiáng)的可操作性流程經(jīng)過(guò)實(shí)際驗(yàn)證的工具和Checklist風(fēng)險(xiǎn)評(píng)估方法依據(jù)標(biāo)準(zhǔn)：安全策略建立企業(yè)的總體安全策略是企業(yè)建立安全系統(tǒng)的指導(dǎo)性文件和基石安全策略建立企業(yè)的總體安全策略是企業(yè)建立安全系統(tǒng)的指導(dǎo)性文件針對(duì)對(duì)象的安全性檢查和評(píng)估定義檢查評(píng)估的對(duì)象分析檢查和測(cè)試可能會(huì)造成的影響測(cè)試前的準(zhǔn)備建立企業(yè)軟、硬件，配置庫(kù)根據(jù)CVE及漏洞掃描工具發(fā)現(xiàn)當(dāng)前系統(tǒng)存在的漏洞建立對(duì)應(yīng)的Patch庫(kù)及優(yōu)先級(jí)Patch測(cè)試根據(jù)不同對(duì)象分析安全性配置需求根據(jù)特定安全性配置需求建立、完善Checklist根據(jù)Checklist檢查系統(tǒng)配置，得出違背性的配置結(jié)果利用網(wǎng)絡(luò)安全檢測(cè)工具對(duì)系統(tǒng)進(jìn)行如下測(cè)試：綜合分析和給出漏洞嚴(yán)重性分類報(bào)告，安全建議優(yōu)先級(jí)建議針對(duì)對(duì)象的安全性檢查和評(píng)估定義檢查評(píng)估的對(duì)象根據(jù)不同對(duì)象分補(bǔ)丁檢查和跟蹤服務(wù)流程低等級(jí)風(fēng)險(xiǎn)，延后測(cè)試高等級(jí)風(fēng)險(xiǎn)，立即測(cè)試補(bǔ)丁可利用性測(cè)試補(bǔ)丁檢查和跟蹤服務(wù)流程低等級(jí)風(fēng)險(xiǎn)，延后測(cè)試高等級(jí)風(fēng)險(xiǎn)，立即測(cè)物理與環(huán)境風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容機(jī)房建筑要求是否達(dá)標(biāo)電纜布放要求是否合規(guī)防靜電要求防塵要求溫度要求濕度要求噪音要求防雷接地供電安全實(shí)施方式和手段實(shí)地調(diào)查，填寫評(píng)估表格物理與環(huán)境風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容基礎(chǔ)網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)訪問控制策略風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)設(shè)備安全性評(píng)估網(wǎng)絡(luò)抗攻擊性評(píng)估網(wǎng)絡(luò)性能評(píng)估網(wǎng)絡(luò)集中安全管理系統(tǒng)評(píng)估 實(shí)施方式和手段網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)評(píng)估主要是通過(guò)對(duì)各個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖調(diào)研，設(shè)備配置調(diào)研進(jìn)行資料收集網(wǎng)絡(luò)設(shè)備安全性評(píng)估主要是通過(guò)對(duì)各個(gè)網(wǎng)絡(luò)設(shè)備的配置及版本等進(jìn)行調(diào)研采取通過(guò)系統(tǒng)掃描工具及模擬攻擊工具對(duì)網(wǎng)絡(luò)進(jìn)行抗攻擊測(cè)試網(wǎng)絡(luò)性能評(píng)估主要通過(guò)使用性能評(píng)估工具對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控集中日志分析主要實(shí)現(xiàn)方式可利用一臺(tái)高性能Solaris工作站啟動(dòng)syslog服務(wù)，從而收集各個(gè)系統(tǒng)及網(wǎng)絡(luò)設(shè)備的日志基礎(chǔ)網(wǎng)絡(luò)架構(gòu)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容主機(jī)和操作系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容操作系統(tǒng)信息，發(fā)現(xiàn)操作系統(tǒng)信息和平臺(tái)信息，補(bǔ)丁信息、漏洞信息，根據(jù)已發(fā)現(xiàn)標(biāo)準(zhǔn)漏洞庫(kù)（兼容CVE等國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)），找現(xiàn)被評(píng)估主機(jī)漏洞信息，并根據(jù)高、中、低級(jí)別分別進(jìn)行詳細(xì)描述，并給出解決建議賬號(hào)信息，列出系統(tǒng)當(dāng)前賬號(hào)和口令強(qiáng)狀性分析，找出危險(xiǎn)賬號(hào)和安全漏洞服務(wù)信息，列出系統(tǒng)提供服務(wù)和端口信息，可以根據(jù)應(yīng)用需求，通過(guò)主機(jī)定制的方式，關(guān)閉相關(guān)服務(wù)，增加系統(tǒng)安全性和性能。策略信息，對(duì)安全策略和系統(tǒng)策略進(jìn)行評(píng)估。性能測(cè)試，主機(jī)性能評(píng)估。實(shí)施方式和手段主機(jī)硬件檢查列表使用漏洞掃描工具等對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行掃描策略定制分析補(bǔ)丁評(píng)估操作系統(tǒng)評(píng)估主機(jī)和操作系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容數(shù)據(jù)庫(kù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容與銷售商提供的軟件相關(guān)的風(fēng)險(xiǎn)－軟件的BUG、缺少操作系統(tǒng)補(bǔ)丁、脆弱的服務(wù)和選擇不安全的默認(rèn)配置與管理有關(guān)的風(fēng)險(xiǎn)－可用的但并未正確使用的安全選項(xiàng)、危險(xiǎn)的默認(rèn)設(shè)置、給用戶更多的不適當(dāng)?shù)臋?quán)限，對(duì)系統(tǒng)配置的未經(jīng)授權(quán)改動(dòng)與用戶活動(dòng)有關(guān)的風(fēng)險(xiǎn)－密碼長(zhǎng)度不夠、對(duì)重要數(shù)據(jù)的非法訪問以及竊取數(shù)據(jù)庫(kù)內(nèi)容等惡意行動(dòng)實(shí)施方式和手段數(shù)據(jù)庫(kù)本身的命令或工具包幫助了解數(shù)據(jù)庫(kù)配置缺陷數(shù)據(jù)庫(kù)掃描工具數(shù)據(jù)庫(kù)結(jié)構(gòu)評(píng)估數(shù)據(jù)庫(kù)操作評(píng)估數(shù)據(jù)庫(kù)漏洞分析數(shù)據(jù)庫(kù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容正在使用的應(yīng)用和業(yè)務(wù)系統(tǒng)實(shí)施方式和手段應(yīng)用系統(tǒng)安全架構(gòu)應(yīng)用安全流程和管理開發(fā)審核訪問控制接入管理用戶管理內(nèi)容安全：加密、數(shù)字簽名等管理和控制能力日志統(tǒng)計(jì)和分析應(yīng)用系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容防病毒系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容針對(duì)系統(tǒng)整體使用相應(yīng)的病毒掃描和分析工具，進(jìn)行狀況檢查，同時(shí)根據(jù)病毒感染情況進(jìn)行評(píng)估分析實(shí)施方式和手段網(wǎng)絡(luò)狀況檢查主機(jī)狀況檢查特征樣機(jī)病毒掃描分析相關(guān)病毒分析工具防病毒系統(tǒng)風(fēng)險(xiǎn)評(píng)估評(píng)估內(nèi)容信息安全管理評(píng)估評(píng)估內(nèi)容信息系統(tǒng)、信息資產(chǎn)信息安全組織信息安全策略制度/流程和人員管理實(shí)施方式和手段聯(lián)系業(yè)務(wù)相關(guān)人員實(shí)地調(diào)查信息安全管理評(píng)估評(píng)估內(nèi)容信息資產(chǎn)管理框架信息資產(chǎn)管理框架信息系統(tǒng)安全管理框架信息系統(tǒng)安全管理框架人員的安全管理框架人員的安全管理框架評(píng)估實(shí)施過(guò)程評(píng)估實(shí)施過(guò)程評(píng)估實(shí)施手段調(diào)查問卷和客戶訪談歷史事件分析現(xiàn)有文檔審閱現(xiàn)場(chǎng)檢查、白客測(cè)試專家分析工具測(cè)試評(píng)估實(shí)施手段調(diào)查問卷和客戶訪談歷史事件分析現(xiàn)有文檔審閱現(xiàn)場(chǎng)檢評(píng)估實(shí)施手段評(píng)估實(shí)施手段評(píng)估工具硬件