风险评估概念.docx

《风险评估概念.docx》由会员分享，可在线阅读，更多相关《风险评估概念.docx（29页珍藏版）》请在三一办公上搜索。

1、安全风险评估的少数派报告2003-07-28 00:00:00.0$page.getAuthor() 本报记者 徐莉 如果说安全市场本身在中国仍处于方兴未艾的阶段，那么，安全风险评估就只能算作尚在萌芽的种子。因为，作为更高级别的服务，安全风险评估更像安全系统这道门上的一把锁，需要有个大前提。换句话说，只有企业的IT系统足够复杂，安全需求达到一定级别，这把锁才会派上用场。尽管很多人看好安全风险评估的未来，但是，目前国内提供真正安全风险评估服务的却只有少数企业。不过，通过对这些企业的采访，我们印证了大多数人的设想安全风险评估确是一支开始萌芽的“潜力股”。 提起2002年年底的互联网大会，启明星辰首

2、席技术官刘恒至今印象深刻。在那次会议上，作为安全专题的讲演者之一，刘恒颇为有趣地体会了一回什么叫英雄所见，因为与刘恒一样，另外三名安全专家也不约而同选择了同一个演讲主题安全风险评估管理。 在会后的交流中，四位“英雄”半开玩笑地指出:“既然大家都看好安全风险评估市场，那索性将2003年定名为安全风险评估年。” 半年多时间过去了，市场为这个带有玩笑性质的预测做了最好的注脚。“进入2003年后，公司关于安全风险评估的单子明显增多，200万以上的项目正在执行的有两个，”刘恒说。在记者的追问下，刘恒对市场做了一个保守估计：“以2003年上半年的落单情况看，安全风险评估市场的总额应该在八千万到一个亿的样子

3、。”安络科技的CTO谢朝霞对这个问题的回答很干脆: “用在安全风险评估上的投资能占用户总投资的1%5%，电信和金融用户能达到3%5%。”按此比例换算，仅银行市场，每年用于网络安全评估的费用将超过几个亿。 我们无意求证这些数字的精确程度，因为这不重要。重要的是，从这些最前沿市场中人的判断，我们看到了安全风险评估正在从概念走向应用，从空中楼阁走向触手可及。而对那些已经开始这项业务却无斩获或将要开始却有迷茫的企业来说，先行成功者的体验无疑是最可宝贵的。 安全风险评估的内涵与外延 什么是安全风险评估？夸张地讲，一千个人有一千个答案。 这些答案或许没有本质区别，但是，因为现阶段的市场尚没有一个明确的定义

4、，每个人对安全风险评估的理解，将会因为内涵与外延的不同，呈现溢出或缺损的现象。或许，从用户的需求角度，更容易将这个问题讲明白，也更具有现实意义。 作为一家电子商务公司的网管，小路深感责任重大。自从2001年成立以来，公司网络多次受到来自黑客的攻击，最严重的一次，业务因此停顿了24小时。为此，小路需要经常上网查找最新安全动态。到目前为止，仅在IE浏览器上，小路就已经打了不下7个补丁。但是，从IE浏览器、Apache HTTP Server、到域名软件BIND，都可能是下一个风险的发源地。“风险无处不在，”小路说，“如果想到种种可能性，真会让人晚上睡不着觉。”为了让小路和公司领导都能睡上好觉，20

5、03年初，小路所在的公司请了一家专业公司为自己的网络系统作安全评估，合同期为一年，除了最开始两个月对系统、网络、应用作全面地扫描和评测外，在后面的10个月里，安全公司将全面检测小路公司网络流量的进出情况，并将最新发布的安全漏洞以及补丁情况及时通报给小路。一旦发生问题，服务商承诺在1个小时内做出反应。 小路公司的要求几乎涵盖了安全风险评估的大部分内容。如漏洞扫描，可以划归脆弱性分析; 评测过程，可以算作威胁分析、风险分析。通常来讲，风险咨询公司都会从资产调查开始，逐步进行脆弱性分析、威胁分析、风险分析，针对风险提出解决方案，并提供业务连续性综合办法。有些咨询公司，还会应客户的要求，为加固后的网络

6、系统做二次评估。 从范围上看，安全风险评估又可分为基线风险评估、非正式（快速）风险评估、详细风险评估与综合风险评估。其中，基线评估通常会在启动一个系统建设项目之前开始。非正式评估是针对具体问题，通过工具和人的经验，找到问题，提出解决办法。详细评估则需从物理系统上、数据上以及管理等方面进行全面的评测。绿盟科技工程部安全工程师于慧龙认为，目前，国内第二种评估比较多。 从评估主体上看，安全风险评估又可分为自评、国家授权的专业评估机构评测和以服务商为主体的市场化评估行为。“目前，国内缺乏相关网络安全定级标准，因此，国家还没有设定这样的专业评估机构，”北京中科网威技术中心副总经理吴云坤说。 作为目前市场

7、最主要的群体，安全服务公司提供的评估又可分为两大类：评估加固与评估咨询。“中小客户通常喜欢采用前者。”刘恒说，“他们通常会就网络现状做一个调查，从主机到网络到安全设备，全面查找安全漏洞，然后，要求咨询公司提供加固服务。大客户则需要全面掌握网络安全的情况，要求服务商从系统到管理，提出全面的风险管理办法。” 自测系统安全的几个渐进方法 测试类别敏感性系统的实施周期普通系统的实施周期复杂性工作难度风险任务和作用网络映射3个月12个月中中中确定网络结构、使用中的主机个数和软件确定未经授权但却连接在网络上的主机确定打开的端口确定未经授权的服务脆弱性扫描3个月6个月12个月高高中确定网络结构、使用中的主机

8、和软件确定需要进行脆弱性分析的计算机在分析目标的计算机中找出可能被攻击的漏洞确定OS和主要应用软件是否及时升级或者打补丁渗透性测试12个月12个月高高高决定测试目标，确定脆弱性等级，以及可能产生的破坏程度检查系统人员在发生安全问题时的响应速度、对安全政策的执行情况以及安全方面的基础知识等安全测试与评估至少3年一次，或在系统做出大的改变的时候至少3年一次高高高发现设计、实施、以及运行中存在的安全问题从物理措施、保险等各个角度，重新部署安全措施，来保证安全制度的实施评估系统文件与实际状况之间的差异性解码1个月12个月低低低确认生成密码的原则是有效且可行的确认用户是否按照系统制订的原则设置密码日志检

9、查1周1周中中低确保系统按照设定的原则运行完整性检查1个月或根据实际需要随时进行1个月低低低发现未经授权的文件修改病毒检测1周或根据需要随时进行1周或根据需要随时进行低低低在病毒发作前，发现并删除病毒拨号检测12个月12个月低低中发现非法Modems，阻止未经授权的进入细节之中见真章 很多情况下，细节决定结果。特定到安全风险评估领域，在完成最初的认知之后，今天的服务商们，又有谁，不是力争在细节上打败对手？ 如果三年前，有人提到安全风险评估概念，那他多半是指漏洞扫描。即便在今天，很多企业仍将这个原本宏大的评估概念狭义地限定为漏洞扫描与修补。如果是这样，服务公司很难区分彼此，“现成的扫描工具与产品

10、有很多，我们自己也可以买来工具做扫描，”作为用户，深圳电信的陈波对此狭义理解也很不能接受。 事实上，真正的安全评估服务价值远远超越简单的扫描。 最基本的，网络安全风险是动态的。仅从2001年12月到2002年12月，关于SQL服务器上的漏洞，就有11个报告。而这期间，跟踪漏洞报告及时与否，就显得格外重要。一些专家还明确指出，在使用SQL服务器的时候，不要将1433端口和1434端口打开。如果一定要联接，就不要采用SQL服务器，除非你能保证在第一时间打补丁。为了这个“第一时间”，小路所在的公司才会找来专业公司帮忙。 除了硬件系统、网络、操作系统等的安全风险评估外，应用的安全评估更显“真功夫”。湖

11、北移动梦网部的张明峻认为，应用系统安全隐患很多。 作为非标准化的软件产品，很多应用在开发过程中都缺乏对安全问题的统筹考虑。“1.0版本的软件通常会有很多安全方面的问题，”一个专家警告说。在升级过程中，某证券公司的网络管理员发现，自从公司的股票交易系统升级后，用户投诉开始增多。很多用户反映，在输入账户、密码、端口号码以及代理服务器的地址后，却无法进入交易系统。经过查证，请来解决问题的安全服务公司发现，因为新版本与原来的网络环境，包括安全系统不匹配，用户无法通过防火墙。“因为证券公司有五个不同的防火墙。在这种情况下，只有在防火墙上新打开一个入口，用户才能进入系统，”服务工程师说。 最后，在服务公司

12、的建议下，这个证券公司选择使用另外一个应用系统。“这是一个明智的选择，否则，这个应用将带来潜在的安全隐患，”谢朝霞评价说。 能在事前帮助用户排除风险固然不错，但并非每个用户都会做出同样的选择，当发生问题时，作为安全风险评估公司，是否能在最短的时间，排除其他可能性，从应用层面找到问题症结，同样至关重要。 另外，无论自己提供安全产品与否，作为提供服务的安全公司，不要忘了，网络安全产品本身同样可能存在漏洞。去年，在为政府部门检测一个安全评估工具时，一家安全风险评估公司发现了扫描软件自身存在漏洞，这个漏洞，在某种程度上，使整个网络暴露在危险之中。 实践者的方法论 实践需要理论指导，但市场往往等不得成熟

13、理论的出台，就已经急切地凭着直觉向前奔去。不过，聪明的实践者总能在忽左忽右的摸索中找到平衡点，进而形成自己的方法论，高明的，更会在日后成为完整理论的奠基者。 在采访中，众多被调查者一致认为，眼下安全风险评估市场最大的问题之一是缺乏评估标准，这个答案几乎是此次采访中唯一例外的“标准”答案。 从目前的市场情况看，有关安全的标准已有一大堆，如美国TCSEC、BS7799、ISO15408、ISO/IEC17799和ISO13335等。但具体到安全风险评估上，每个标准却都有其局限性。按照于慧龙的说法，ISO15408，虽然在功能上比较全面，但却没有安全管理方面的规范，对系统评测方面的规范也不足；ISO

14、13335，因为制订的时间早，与目前的市场情况有些脱节；BS7799，虽然详尽但非常复杂，虽然全面但不够有针对性。由BS7799派生出来的ISO17799，强调了针对性，却在安全评估方面比较简单，缺乏对照的标准。 来自实战的经验表明，在评估过程中，咨询工程师最常面对的问题是，资产多重要才算重要？什么样的系统损失可能构成什么样的经济损失？怎样的技术体系达到怎样的安全等级？一个病毒中断了邮件系统，企业因此造成的经济损失和社会影响如何计算？如果黑客入侵，尽管没有造成经济损失，但企业的名誉损失又该如何衡量？ 事实上，这些问题将从各个角度决定一个系统安全评估的结果。在没有一个相关标准的情况下，各家公司更

15、多的是参考国外标准，凭借各自积累的经验、与用户多做沟通来解决。有心的公司，更是将这些经验累计下来，形成文档，总结出各自的咨询规范。谢朝霞说：“通过三年的时间，我们积累了一个巨大的知识库和工具库，新来的员工，借助这些手段，也能很快进入工作状态。”启明星辰则将这些宝贵的工作总结出来，与国际上的先进产品结合起来，做成有针对性的评估软件产品。 从发展过程看，国内安全风险评估市场经历了三个阶段：1、不注重标准，2、过于依赖标准，3、跨越标准。“我们现在处于第三阶段，在具有适应性特点的国家标准出台之前，我们先在内部制定具有可操作性的行为规范，”刘恒说。 清内忧难于除外患 在受过黑客攻击和病毒的“洗礼”之后

16、，很多用户开始在防御外来风险方面提高了警戒，但是，在漏洞更多、管理更复杂的内部风险方面，大多数企业仍疏于防范，或缺少规则。与之相对应的，内部安全风险评估难度也就更高。 按照北京中科网威技术中心副总经理吴云坤的说法，系统越复杂，企业越需要风险评估，评估过程也会更有挑战性。 对一个B2B或B2C的网站来说，它的网络结构可以统一归类为单点对多点模式。 但内部的网络结构，则通常属于多点对多点。业务部与业务部之间、业务部与办公室之间，每个人与每个人之间，都将连接在一起。“关联点越多，系统越复杂，”吴云坤说，“相应的工作流也呈现多样化和多角度的形态。”因此，在提供安全评估的过程中，服务商必须对企业内部的业

17、务流程、管理模式有相当的了解，才能切中要害。 据有关机构统计，目前，国内银行与网络相关的经济犯罪100%属于内部作案或内外勾结。这样一个触目惊心的数字令人不禁想到，银行业内部的安全防范是怎样的脆弱。 通过为一些银行用户做评估，谢朝霞发现，很多风险出在管理上，如银行的生产环境与网络开发环境本应该严格分开，非业务操作人员进出营业现场应该有严格的登记制度。但是，在实际中，很多技术开发人员随便出入生产现场。最早的一起银行网络安全事故，就是因为开发人员偷看了操作人员登录密码，偷走了26万元现金。就是这样一些与网络、与技术没有本质关联的问题，造成了大量事实上的安全风险。还有一些银行，基础设施落后，有些甚至

18、还在使用安全性很差的HUB，这种产品，只要随便连通到一个端口上，就可监看所有的信息流量。 这些问题其实反映出同一个本质，即用户内部安全防范意识淡薄。因此，对安全评估供应商来说，打破常规，改变观念也是评估过程中需要解决的问题之一。 需求篇 多汁的酸桔子 柳传志曾说过一句话，利润像海绵里的水，是挤出来的。这句话放在任何一个成熟市场都很合适。不过，作为一个全新启动的领域，安全风险评估市场更像一个多汁但尚未成熟的桔子，汁液虽然丰富，但要想吃得好，需要先了解桔子的成分，然后想出各种新方法，或蒸或煮或加糖，重要的是，只有打破常规，才能提前品尝好味。 茶杯里的大象 从最初的市场需求看，国内的安全风险评估出产

19、于安全事故。如黑客入侵，病毒发作，网络“无缘无故”的瘫痪，用户靠自己的力量解决不了，于是开始从外部寻求帮助。 但是，从这个需求点开始，服务公司往往帮助用户发现更多的安全隐患，就像“事故”这个小茶杯里装入了“评估”这头大象，拾遗补缺式的简单要求牵扯出的是一系列评测、分析与整体解决方案的需求。 随着网络大环境与企业小网络环境的日趋复杂，各种“茶杯”多了起来。如黑客大战爆发，网络投资前的安全评估，企业领导对不断扩大的网络安全现状的了解需求，行业领头羊或总部的拉动作用、大行业的引导作用等，都可能促成一个评估合同的产生。除此之外，政策的原因，如某个行业整体提升网络安全的需求，大事件的发生，如两会期间的网

20、络安全问题，也会诱发短期需求。但真正促成这个市场发展的因素仍来自企业认识的提高以及网络变得复杂后，为保证网络可用性、可靠性、保密性，不得不借助外部力量的切实要求。 “因为政策、因为各种外在因素促成的需求是不可靠的，这样的用户，即使签了单，未来开发潜力也不会很大，”刘恒说。事实上，安全评估市场的可重复性很强，就像检查身体一样，不可能一次检查，一劳永逸。因此，了解现有用户需求动机，洞察用户发展潜力，对供应者来说，是获得事半功倍效果的关键之一。 增加手中的筹码 相比较而言，国内的网络安全评估市场远比国外滞后。从根本上讲，网络整体发展阶段的不同造成了这种差异。从不少概念片里看到的，如用手机买票，通过机

21、场免费系统查找出租车，无需见面就签合同、买卖商品（包括企业间的大订单），事实上已经成为很多美国人生活中的必要组成。而我们，尽管在信息获得上已经对网络构成依赖，但是，就买卖行为而言，更多的还是发生在网外，最多上网买个图书与CD，多数情况下，还会选择货到付款。 正是因为国外这种无处不在、随手可用的网络现状，带来方便的同时，也催生了意愿之外的副产品网络安全隐患。当然，你无需低估人类的智慧，因为紧随其后的，就是各种针对安全的产品与服务的诞生和发展。 网络环境的区别，或许是国内外网络安全风险评估市场巨大差异的本质原因。因为这样的环境，由此衍生的各种服务又反过来对评估市场带来新的动力。 如B2B业务的发展

22、。很多国外企业为了向客户证明自己的网络是安全的，在建立B2B业务之前，纷纷寻找第三方安全风险评估公司，为自己的网络安全做评估，有些在遵循评估公司的建议，修补网络后，还会进行二次评估，确定自己网络安全的等级，最终赢得用户的信任。 另外，随着近年来网络安全事件频繁发生，有关网络安全保险的业务开始萌芽。从保险公司的角度，费率的制定，与客户网络的安全等级大有关系，网络越安全，费率越低。如果企业能证明自己的网络非常安全，就有可能以极低的价格获得保险。而这一现象，同样促进安全风险评估市场的发展。作为国内安全风险评估供应商，或许可以通过与保险公司合作的方式，从侧面拉动市场的发展。 先摘够得着的果子 如果按照

23、每年几个亿计算，今天的安全风险评估市场只能算作小菜。就国内市场来看，电信行业显然是“第一个吃螃蟹的人”。根据IDC的调查，2003年，亚太电信公司花在网络安全上的开支将占整个IT开支的15%。40%的受访者表示，他们面对的安全问题有所增加。对各种新技术、新服务体验的意愿，让中国的电信市场成为全世界供应商眼中“最可爱的人”。就安全风险评估市场来说，电信同样给了供应商希望，并起到了“带头”作用。“今年，我们几个大的评估单子都是来自电信，”刘恒说。 紧随其后的是金融，包括银行、证券和保险。在这一点上，南北供应商认识不一，谢朝霞认为，银行在商务上的风险最大，因此，对网络评估的需求也最强烈。从安络科技的

24、业务组成上看，来自银行与证券的用户最多，电信其次。刘恒则指出，在安全风险评估业务上，今年，电信市场真正启动了。金融领域零散的单子虽然不少，但整个行业的大规模启动应该在明年。而吴云坤则认为，未来，随着安全评估标准的确定，银行将会以自评为主。“因为银行的业务系统大多是自己开发完成的，交给外面的公司做评估，反而增加了安全风险。” 政府方面，总体来看，目前在安全风险评估上的需求还不很明确。但随着电子政务的进一步发展，与之相关的网络安全方面的需求必然会有所加强。 各种各样的网站对安全风险评估的需求也开始放大。除了自身技术能力比较雄厚的新浪、网易等，不少网站也开始借助外力，评估自己网络的安全情况。 产品服

25、务化和服务产品化是两个发展趋势，我们希望在这其中找准自己的位置。 北京中科网威 吴云坤 越是新开发的应用，越需要进行安全评估。 安络科技 谢朝霞 服务篇 风口浪尖上的淘金者 概念多，服务少 早在2000年，绿盟科技就提出了NSPS安全服务体系，由此以后，市场上有关安全评估、安全服务的概念如雨后春笋，在各种各样的安全公司落地生根。 不过，提出概念容易，提供服务却难。而国内市场对有偿服务的接受程度过低也一直为企业界所诟病。在这样不利的外在环境和小我的局限面前，大部分企业更多地将评估等服务作为概念或者辅助手段，目的在于推进其主体业务产品的销售。即便今天，无论是卖防火墙的，还是卖控制网关的，大部分以产

26、品起家的安全公司，在安全风险评估这个环节，仍有“挂羊头，卖狗肉”之嫌。从采访的情况看，目前，能够提供完整而真实的安全风险评估的企业并不多。 坚定者的殊途同归 无论是最早提出安全服务概念的绿盟，还是爆发力十足的启明星辰，他们的共同之处在于是安全服务的坚定实践者。 在2000年就把服务作为自己的主营业务，绿盟无疑走过一段并不平坦的路。尽管在适应市场的过程中，绿盟也陆续推出相关的网络入侵检测产品、抗拒绝服务产品。但这些产品也多是围绕服务需要开发的，目的在于形成与服务的互动。应该说，绿盟自始至终都是安全服务的坚持者。最为业界津津乐道的是，绿盟网罗了不少高手，这些网络安全的守护者，构成了绿盟最难被人超越

27、的技术壁垒。 成立于1996年的启明星辰在安全检测产品方面一直有着骄人的成绩。迄今为止，已经承担了国家级、部级重点信息安全科研项目三十多项。从2002年开始，启明星辰开始逐渐加大安全风险评估服务的投入力度。“2003年上半年，安全风险评估的单子比预计的翻了一倍，”刘恒说。凭借多年的技术积累与良好的客户关系，启明星辰在评估市场可谓厚积薄发，雄厚的人才储备，使启明星辰一出手就占了先机。 服务好坏，响应速度显然是服务一个重要的衡量指标。因此，本地化在服务中更易突现其作用。地处深圳的安络科技在南方市场因此具有优势。而中国市场向来南方先行的特征，又让安络科技比别人更有机会积累宝贵的评估经验。“目前，来自

28、评估的业务已经占到总收入的60%，”谢朝霞说，“客户多来自银行和电信，单子很多，规模一般在几万到几十万。”具体到评估内容，安络强调应用系统的安全评估与安全管理的规范上。而这一点，对供应商的行业理解要求很高。 另外，安氏在安全风险评估方面业务开展得也比较早，通过代理ISS的几个检测工具，安氏早期获得了不错的市场口碑。与安氏类似，玛赛网络也曾在这个市场显山露水，并为业界培养了不少人才。但是，因为人事变动等原因，玛赛已经被投资方亚信收回，它下一步的市场举动还有待观察。而原来以产品为主的中科网威，近期开始向服务倾斜，并召集了不少精英，意欲在这个潜力巨大的市场一展身手。 安全评估很重要，应该每年至少做一

29、次。我们对目前得到的服务基本满意，但就是价格太贵了。 深圳电信 陈波 目前，数据业务占的比例还不高，相关的网络攻击虽然有，但并未构成太大的威胁。因此，安全风险评估对我们来说，还不是眼下最要紧的事。 湖北移动 张明峻 信息系统安全风险评估应用：评估过程育龙网WWW.CHINA-B.C0M 2009年05月21日来源：互联网育龙网核心提示： 信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在本文中就以信息安全风险评估对象中的网络操作痕迹信息检查为信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在本文中就以信息安全风险评估对象中的网络操作痕迹信息检查为评估项目，来说明一次

30、安全风险评估该如何具体地去做。一、安全风险评估准备阶段在每次风险评估开始之前，一个最好的保证评估过程顺利完成，评估结果真实有效的方法，就得为此制定一个风险评估策略。但如果只是对某个独立的或者是临时决定的小评估项目进行风险评估， 而且你和你的评估团队以前经常对些小评估项目进行风险评估，那么，只要为它做一些相应的准备工作就可以直接进行评估了。风险评估策略的具体内容是根据实际的评估对象和评估项目来决定的，因此，不同的评估对象的风险评估策略是不相同，就是同一评估对象，如果评估的具体项目不同，其风险评估策略也不会相同。1、制定风险评估策略一个好的风险评估策略，应当包括下列所示的内容：（1）、指定评估小组

31、成员信息风险评估小组担负着机构的风险评估工作，其成员要能代表整个机构。同时，成员必需在人员安全评估（确定某个人员可以信任风险评估工作）通过后确定。具体的成员应当包括：IT部门主管、风险评估负责人、系统或网络管理员、信息安全技术人员，还可以包括安全产品供应商代表及合作伙伴代表等。评估人员确定后，就要分配相应的评估任务给具体的人员。确定每个评估人员各自的职责，所要承担的法律责任，并做成文档分发到每个评估人员手中。同时，要为评估任务指定一个总的负责人，来监督整个评估过程，并协调处理评估过程中出现的临时状况。还要说明评估结果的填写和上报方式，如说明每个评估人员完成自己的评测任务，填上评测结果后，当上交

32、给风险评估负责人时，还应当与负责人一同签名才能有效。（2）、确定风险评估的范围和目的确定风险评估的范围也就是指指定具体的评估对象和评估项目，风险评估的目的就是指此次风险评估要达到的期望值。风险评估的目的和范围是相辅相成的，只有指定了评估对象中评估项目的风险评估目的，才知道需要什么样的评估任务来达到这个目的，也就圈定了具体的评估范围。也只有确定了风险评估的范围和目的，我们的风险评估才能有的放矢地进行。在本例中，我们的评估对象是信息安全风险评估;评估项目是网络操作痕迹信息检查;评估的目的是检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密;具体的评估任务有：、检查机构内部员工WEB数据库和缓存

33、中的内容;、检查机构内部员工是否通过个人主页、博客、论坛，以及发布网络求职简历的方式，透露了机构的组织结构，或其它机构内部机密信息;、调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工是否通过机构分配的电子邮件发送机构内部机密信息;、了解机构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的部门及其操作权限;、调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容;、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息，或者可以在各种特定的新闻组、论坛及博客中搜索;、检查机构内部员工是否在使用P2P软件，在法律条件允许

34、下审查P2P通信内容。（3）、确定本次评估任务的开始和结束的具体日期和时间，如有可能，还有决定具体的风险评估时间，并在风险评估文档中留出相应的位置用来标明评估工作的开始和结束时间。（4）、考虑一些在风险评估过程中可能发生的情况，以不影响正常的业务为基本条件。应当为此制定一个应对有可能造成业务中断，或造成真实安全事件发生事件时的应急措施。2、根据评估项目和要完成的评估任务制作风险评估表单风险评估表单就是在一张表单上将要评估的项目及评估任务一一列出，然后在进行具体的风险评估时，就可以按表单中的内容来依次进行。图2.1就是网络操作痕迹信息检查评估项目的风险评估表单。图2.1 网络操作痕迹信息检查的风

35、险评估表单信息安全风险评估评估项目： 网络操作痕迹信息检查 评估的目的： 检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密 评 估 任 务 红勾 顺序 评 估 任 务 描 述 结果描述 结束时间 评估人 备注 1 检查机构内部员工WEB数据库和缓存中的内容 2 检查机构内部员工是否通过个人主页、博客、论坛，以及发布网络求职简历的方式，透露了机构的组织结构，或其它机构内部机密信息 3 调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工是否通过机构分配的电子邮件发送机构内部机密信息 4 了解机构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的部门及其操作

36、权限 5 调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容 6 使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息，或者可以在各种特定的新闻组、论坛及博客中搜索 7 检查机构内部员工是否在使用P2P软件，在法律条件允许下审查P2P通信内容 备注：评估开始时间：年 月 日 时 分 评估结束时间：年 月 日 时 分项目负责人： 3、考虑完成评估任务时会用到的各种工具，并准备妥当。这些工具应当是切合本次风险评估任务的，并且在已经通过在某个实验环境中测试已经证明其有效。在本次风险评估中，会对机构内部人员进行网络操作行为监控，因此，得为它准备相应的网络操作

37、行为分析设备，或者是安装有网络操作行为分析软件的计算机，最好当然是笔记本电脑。同时，还应当准备好所将设备连接入目标网络的所需的线缆，以及其它与此次风险评估相关的所有工具和文档，并将它们统一管理。一个风险评估策略不仅可以包括上面已经列出的这四个方面，还可以在其中添加与评估任务实际需求相关的内容，例如加入说明此次评估任务的具体流程和细节，各种注意事项等等。并要求所有的评估人员，严格按照这个风险评估策略中的内容来进行具体的评估工作。一个风险评估策略是一个需要技术和经验并重的工作，而且需要考虑的内容很多，一个人不可能将风险评估项目相关的所有方面考虑周到。因此，在制定风险评估策略时，应当发动所有评估人员

38、，以及评估对象的使用人员和设备供应商代表等一起来分析制定。对于信息系统风险评估来说，如果准备工作越充分，后续的风险评估过程就越有效率，评估过程中出现的错误就越少，评估的最终给果就越真实有效。如果在准备过程中疏忽了某些内容，特别是制定的安全风险评估策略出现考虑不周的情况，要是没能在执行风险评估前检查出来，就会使最终的风险评估结果偏离实际，这样就会让我们空担心一场，或空欢喜一场。二、安全风险检测阶段当所有风险评估工作的事前准备工作全部妥善完成后，就可以按风险评估策略中确定的日期和时间，开始对指定的评估对象的评估项目做相应的安全风险评估。安全风险的评估过程就是使用具体的方法，来解答在准备阶段制定的评

39、估项目表单中所有列出的评估任务的过程。要完成风险评估表单列出的评估任务，需要使用一些针对某个评估任务的具体解决方法。解决评估任务的方法有很多种，包括问卷调查、访谈、模拟社会工程攻击、使用风险评估工具（包括软硬件方式的工具）、审查各种日志、审查各种设备和安全设备的配置文档，以及使用实际的模拟或真实的攻击来检验等方法，都可以用来解答评估项目中所需要完成的评估任务。其中的某些方法只对某个评估任务有效，而一些工具可能一次自动完成多个项目。为了能减少使用工具产生的误报和漏洞，可以使用二种以上的工具来检测同一个评估任务，或者使用手工测试的方式来确认检测结果的真实性。同时，在进行某些评估任务的评估工作时，例

40、如系统弱点扫描，应当从由外向内看和由内向外看的两个方式分别进行。进行由外向内看的测试时，是试图从组织网络边界的外部检测系统，它能为我们提供一个从外部攻击相同的方式来审视系统的安全性。而进行由里向外看测试时，我们就应该从内部人员对系统使用权限的角度，去审查系统的安全性，此时，我们会得到比由外向内看更多的安全信息。恰当地使用这两种方式，能将目前大部分的安全威胁都考虑进来。每个风险评估项目中的所有评估任务，如没有特殊要求，就必需按照风险评估表单中排列的顺序来进行。这是因为在评估过程中，当前的评估任务完成后产生的结果，可能会用来作为下一个任务的检测条件。如果此时评估的顺序相互置换，那么就会造成错误的最

41、终评估结果。在本文中的网络操作痕迹信息检测评估项目中，所有的评估任务都是由内向外看的方式来进行的。这些评估任务可以通过机构员工档案审查，检查员工使用的计算机中的浏览器COOKIE，检查机构WEB服务器缓存，审查机构边界位置网络操作行为管理设备的各种日志，通过网络搜索引擎，通过搜索一些独特的位置（如新闻组、博客及论坛）来完成。同时，还可以通过模拟发送机密信息的方式，审查已有的网络操作行为监控设备是否能拦截它发送到互联网中，是否能够限制员工使用即时通信软件和P2P软件，员工是否可以突破封锁等任务。并且检验网络操作行为监控设备是否能将违规行为记录到相应的日志当中，能否提供有效的警报，收到警报能否产生

42、有效的拦截等等。有时，会将所有的评估任务分配给几个人来进行，因此，当某个评估人员完成属于他（她）的评估任务后，就应当在评估任务答案后评估人一栏中签上他的名字。当所有评估任务完成后，将已经填入评测答案和评估人签名的风险评估表单上报给评估负责人，经评估负责人确认并签字后，这个风险评估表单中的内容才能算真正有效，并在风险评估表单中填入评估结束时间。然后就可以进入下一个风险评估环节。三、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段当评估项目的所有评估任务完成后，就应当组织整个评估人员，将风险评估表单中每个评估任务的评测结果分析并汇总，给出一个具体安全和风险等级。然后，通过分析目前可以使用

43、的安全防范技术，从机构可以接受的安全风险防范投入成本出发，同时给出一个相应的安全风险解决方案，并在解决方案中说明方案实施后能解决的风险，达到的具体安全等级，以及仍然存在的风险状况等内容。所有的这些信息都可以一个报告文件的方式记录下来。每个信息系统安全风险评估报告都是针对某个具体的评估对象而言的。在本文的实例中，应当给出一个包括下列内容的风险评估报告，其它评估对象的风险评估报告给出的内容至少也应当包括下列所示的内容：1、列出完成的评估任务清单;2、列出评估对象目前存在的威胁和弱点，给出具体的安全和风险等级;3、列出防范这些检测到的威胁和弱点的保障措施;4、说明这些安全建议是属于物理、管理、还是技

44、术控制;5、说明实施这些给出的安全建议后会带来的效果;6、说明每一个具体的安全建议，能将风险减少到什么程度;7、安全修补后，评估对象能达到什么样的安全等级;8、安全修补后，还有什么风险没能完全控制，应当如何进一步控制;9、说明实施这些安全修补措施具体应当花费的安全成本。有些时候，风险评估报告中不一定要求给出具体的安全修补建议。但是，当检测到的弱点可能给机构信息系统带来中等或高等安全风险时，就应当按要求给出针对性的安全解决方案安全风险评估报告的内容可以作为安全策略的一个强有力的补充，你甚至可以将它们的处理建议加入到已有的安全策略当中，以保证安全策略的强壮性。安全风险评估报告同时也可以作为上报给机

45、构领导或评估小组领导的书面报告，你可以在报告中标出哪些方面是必需要修补的，以便能让上级领导赞同你的建议。这样，你要确保你的安全风险评估报告的有效性和权威性。有效性说明这份报告是在真实检测和分析的基础上形成的，而且时间与报告的时间相吻合。权威性是指这份报告应当出自整个评估小组在检测分析之上，并不是某个人凭空想象造出来的。并且有整个参与人员的所有手工签名，以及标出所有评估都是参照某个国家或国际标准来评定具体安全和风险级别的。四、后期安全维护阶段后期安全维护其实只是信息系统安全风险评估过程中的一个附加阶段。对于专门的风险评估机构或安全公司来说，当给出具体的安全风险评估报告后，就表明此次风险评估任务全

46、部结束。但是，对于评估对象所在的机构来说，安全风险评估工作的结束，只是表示另一个重要的任务，安全修补任务的开始。后期安全维护就是按照风险评估报告中给出的安全修补建议，决定实施额外的管理和安全防范措施，以便能修正现有的安全策略，降低目前存在的弱点可能被威胁利用后带来的风险水平。在安全修补实施的过程中，如果有些安全弱点不能按要求进行修补，你应当将它们记录下来，并上报给机构技术负责人。另外，非常重要的一点就是：在所有的安全修补工作按要求全部完成后，一定要按本文所描述的风险评估过程重新对修补后的评估对象进行一次复查评估，以便确认修补后评估对象是否真正达到了期望的安全水平。同时，也能给出仍然不能防范的安全弱点，以及这些弱点目前应当如何应对才能降低发生的可能。从这里我们就可以看出，信息系统安全风险评估是一个风险评估准备、风险评测、给出风险报告与后期维护四者之间不断循环往复的处理过程。