風(fēng)險評估報告

理”一、數(shù)據(jù)采集方法有：問卷調(diào)查、人員訪談、漏洞掃描、滲透性測試等1MicrosoftSecurityAssessmentTool一款風(fēng)險評估應(yīng)用程序，目的是提供一些與信息技術(shù)(IT)基礎(chǔ)架到500臺臺式機和（或）100到1,000名員工的組織設(shè)計的。它首先采集一些信息（已問卷調(diào)查的形式），如下圖所示。通過填寫（圖左上產(chǎn)生的分析報表：2、人員訪談也可以以調(diào)查問卷的形式作為系統(tǒng)參數(shù)的輸入配置3、漏洞掃描、滲透性測試等數(shù)據(jù)可以通過漏洞掃描器等檢測工具獲得，輸入本系統(tǒng)二、安全評測、安全分析、報告處理等都屬于本系統(tǒng)的功能，并采用前面數(shù)據(jù)采集得到的數(shù)據(jù)目前常見的自動化風(fēng)險評估工具還包括：CORACORA（Cost-of-Risk是由國際安全技術(shù)公司（InternationalSecurityTechnologyInc組織的風(fēng)險管理決策支持提供準(zhǔn)確的依據(jù)。ASSET——ASSET（AutomatedSecuritySelf-Evaluation是美國國家標(biāo)準(zhǔn)技術(shù)協(xié)會（NationalInstituteofStandardandTechnology，NIST）發(fā)布的一個可用來進行安全風(fēng)險自我評估的自動化工具，它采用典型的基于知識的分析方法，利用問卷方式來評估系統(tǒng)安全現(xiàn)狀與 NIST SP800-26 指南之間的差距。SpecialPublication 800-26，即信息技術(shù)系統(tǒng)安全自我評估指南（Securityerny，為組織進行T系統(tǒng)風(fēng)險評估提供了眾多控制目標(biāo)和建議技術(shù)ASSET是一個免費工具可以在NIST的網(wǎng)站下載：。CRAMM——CRAMM（CCTARiskAnalysisandManagementMethod）是由英國政府的中央計算機與電信局（CentralComputerandTelecommunications于1985年開發(fā)的一種定量風(fēng)險分析工具，同時支持定性分經(jīng)過多次版本更（現(xiàn)在是第四版目前由Insight咨詢公司負(fù)責(zé)管理和授權(quán)CRAMM是一種可以評估信息系統(tǒng)風(fēng)險并確定恰當(dāng)對策的結(jié)構(gòu)化方法適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)也可以在信息系統(tǒng)生命周期的各個階段使用CRAMM的安全模型數(shù)據(jù)庫基于著名的“資產(chǎn)/威脅/弱點”模型，評估過程經(jīng)過資產(chǎn)識別與評價威脅和弱點評估選擇合適的推薦對策這三個階段CRAMM與BS7799標(biāo)準(zhǔn)保持一致它提供的可供選擇的安全控制多達3000個除了風(fēng)險評估還可以對符合ITIL（ITInfrastructureLibrary）指南的業(yè)務(wù)連續(xù)性管理提供支持。COBRA——COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）是英國的C&A系統(tǒng)安全公司推出的一套風(fēng)險分析工具軟件，它通過問卷的方式來采集和分析數(shù)據(jù)并對組織的風(fēng)險進行定性分析最終的評估報告中包含已識別風(fēng)險的水平和推薦措施。此外，COBRA還支持基于知識的評估方法，可以將組織的安全現(xiàn)狀與ISO17799標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補措施。C&A公司 提 供 了 COBRA 試 用 版 下 載 ：。術(shù)語簡稱：可以用微軟的那種方式采集得到，下面簡稱micro-style下面是我們產(chǎn)生的評估報告大體的初步的框架風(fēng)險評估報告一、風(fēng)險評估項目概述工程項目概況（micro-style）建設(shè)項目基本信息建設(shè)單位基本信息二、風(fēng)險評估的目標(biāo)三、風(fēng)險評估的依據(jù)（技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件）四、風(fēng)險評估的范圍（評估對象）評估對象構(gòu)成及定級網(wǎng)絡(luò)結(jié)構(gòu)（micro-style）3.2.2業(yè)務(wù)應(yīng)用（micro-style）3.3.3子系統(tǒng)構(gòu)成及定級（在3.1.1和3.2.2基礎(chǔ)上根據(jù)國家標(biāo)準(zhǔn)對該系統(tǒng)安全等級定級，不同的等級采用不同的安全評估方法，最后采取的措施也不一樣評估對象等級保護措施（已采取的安全措施）（micro-style）五、風(fēng)險評估的內(nèi)容資產(chǎn)識別（對組織有價值的信息或資源）資產(chǎn)種類（micro-style）數(shù)據(jù)（保存在信息媒介上的各種數(shù)據(jù)資料）軟件（系統(tǒng)軟件、應(yīng)用軟件、源程序）硬件（備、安全設(shè)備、其他）（）（掌握重要信息和核心業(yè)務(wù)的人員）其它（最終得到一個資產(chǎn)賦值列表）通過一定的算法資產(chǎn)完整性賦值資產(chǎn)可用性賦值資產(chǎn)保密性賦值關(guān)鍵資產(chǎn)說明（得出關(guān)鍵資產(chǎn)列表）威脅識別威脅來源（micro-style）環(huán)境因素（件通信線路方面的故障等）人為因素（惡意人員、非惡意人員）威脅源描述與分析威脅源分析（軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或濫用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改抵賴（表（micro-style）威脅行為分析（威脅行為分析表）3.2.2威脅賦值（通過一定的算法）脆弱性識別技術(shù)脆弱性（的數(shù)據(jù)->micro-style）物理環(huán)境的脆弱性網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)軟件應(yīng)用中間件應(yīng)用系統(tǒng)管理脆弱性（micro-style）技術(shù)管理組織管理六、風(fēng)險分析風(fēng)險評估模型（安全等級是不一樣的）風(fēng)險結(jié)果判斷（等級評定，采用中