信息安全风险评估技术手段综述.doc

信息安全风险评估技术手段综述 摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设 的基础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具，本文在对风险评估工具进行分类的基础上，探讨了目前主要的风险评估工 具的研究现状及发展方向。 关键词：风险评估 综合风险评估 信息基础设施 工具 引言 当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模 式，没有各种信息的支持，企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来 自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程”。信息同样需要安全工 程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控 性和不可否认性，进而又发展为“攻（攻击）、防 （防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。 如何保证组织一直保持一个比较安全的状态，保证企业的信息安全管理手段和安全技术发挥最大的作用，是企业最关心的问题。同时企业高层开始意识到信息安全策 略的重要性。突然间，IT专业人员发现自己面临着挑战：设计信息安全政策该从何处着手？如何拟订具有约束力的安全政策？如何让公司员工真正接受安全策略并 在日常工作中执行？借助于信息安全风险评估和风险评估工具，能够回答以上的问题。 信息安全风险评估与评估工具 风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程，即利用定性或定量的方法，借助于风险评 估工具，确定信息资产的风险等级和优先风险控制。 风险评估是风险管理的最根本依据，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一。企业在进行网络安全设备选型、网络安 全需求分析、网络建设、网络改造、应用系统试运行、内网与外网互联、与第三方业务伙伴进行网上业务数据传输、电子政务等业务之前，进行风险评估会帮助组织 在一个安全的框架下进行组织活动。它通过风险评估来识别风险大小，通过制定信息安全方针，采取适当的控制目标与控制方式对风险进行控制，使风险被避免、转 移或降至一个可被接受的水平。 信息安全风险评估经历了很长一段的发展时期。风险评估的重点也从操作系统、网络环境发展到整个管理体系。西方国家在实践中不断发现，风险评估作为保证信息 安全的重要基石发挥的关键的作用。在信息安全、安全技术的相关标准中，风险评估均作为关键步骤进行阐述，如ISO13335、FIPS-30、 BS7799-2等。风险评估模型也从借鉴其他领域的模型发展到开发出适用于风险评估的模型。风险评估方法的定性分析和定量分析不断被学者和安全分析人员 完善与扩充。 最主要的是，风险评估的过程逐渐转向自动化和标准化。应用于风险评估的工具层出不穷，越来越多的科研人员发现，自动化的风险评估工具不仅可以将分析人员从 繁重的手工劳动中解脱出来，最主要的是它能够将专家知识进行集中，使专家的经验知识被广泛的应用。 风险评估工具的分类 目前对风险评估工具的分类还没有一个统一的理解。文献将风险评估工具被分为三类：预防、相应和检测。通常情况下技术人员会把漏洞扫描工具称为风险评估 工具，文献提到的风险评估工具就是漏洞评估扫描器。确实在对信息基础设施进行风险评估过程中，漏洞扫描工具发挥着不可替代的作用，通过漏洞扫描工具发 现系统存在的漏洞、不合理配置等问题，根据漏洞扫描结果提供的线索，利用渗透性测试分析系统存在的风险。随着人们对信息资产的深入理解，发现信息资产不只 包括存在于计算机环境中的数据、文档，信息在组织中的各种载体中传播，包括纸质载体、人员等，因此信息安全包括更广泛的范围。同时，信息安全管理者发现解 决信息安全的问题在于预防。在此基础上，许多国家和组织都建立了针对于预防安全事件发生的风险评估指南和方法。基于这些方法，开发出了一些工具，如 CRAMM、RA等，这些工具统称为风险评估工具。这些工具主要从管理的层面上，考虑包括信息安全技术在内的一系列与信息安全有关的问题，如安全规定、人 员管理、通信保障、业务连续性以及法律法规等各方面的因素，对信息安全有一个整体宏观的评价。其实，一个完整的风险评估所考虑的问题不只关键资产在是某个 时间状态下的威胁、脆弱点情况，以往一段时间内的攻击情况和 安全事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的 检测和记录工具也是风险评估过程中不可缺少的工具。因此，文献1中将入侵监测系 统也作为风险评估工具的一种。可见，对风险评估工具的类型划分是人们在对信息安全风险评估不断认识、以及对评估过程不断完善的过程中逐渐形成的。本文根据 在风险评估过程中的主要任务和作用原理的不同，将风险评分为三类：综合风险评估与管理工具、信息基础设施风险评估工具、风险评估辅助工具。 综合风险评估与管理工具。这种工具根据信息所面临的威胁的不同分布进行全面考虑，在风险评估的同时根据面临的风险提供相应的控制措施和解决办法。这种风险 评估工具通常建立在一定的算法之上，风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定，如RA。也有通过建立专家系统，利用专家经 验进行风险分析，给出专家结论，这种评估工具需要不断进行知识库的扩充，以适应不同的需要，如COBRA。 信息基础设施风险评估工具。包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为安全扫描、漏洞扫描器，评估网络或主机系统的安全性并且报告系统脆 弱点。这些工具能够扫描网络、服务器、防火墙、路由器和应用程序发现其中的漏洞。通常情况下，这些工具能够发现软件和 硬件中已知的安全漏洞，以决定系统是否易受已知攻击的影 响，并且寻找系统脆弱点，比如安装方面与建立的安全策略相悖等。渗透性测试工具是根据漏洞扫描工具提供的漏洞，进行模拟黑客测试，判断是否这些漏洞能够被他人利用。这种工具通常包括一些黑客工具，也可以是一些脚本文件。 风险评估辅助工具。这种工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完成现状分析和趋势分析。如入侵监测系统，帮助检测各种攻击试探和 误造作，它可以作为一个警报器，提醒管理员发生的安全状况。同时安全漏洞库、知识库都是风险评估不可或缺的支持手段。 从风险评估工具的分类来看，风险评估辅助工具涉及到信息安全的其他技术体系，因此这里只分析综合风险评估与管理工具和脆弱点评估工具，他们构成了风险评估 工具的主体部分。 综合风险评估与管理工具的研究与开发现状 下面从不同角度比较综合风险评估与管理工具的研究现状。 1、 基于国家或政府颁布的信息安全管理标2、 准或指3、 南建立风险评估工具。 目前世界上存在多种不同的风险分析指南和方法。如，NIST(National Institute of standards and Technology)的FIPS 65；DoJ（Department of Justice）的SRAG和GAO(Government Accounting Office)的信息安全管理的实施指南。针对这些方法，由美国开发了自动的风险评估工具。英国推行基于BS7799的认证产 业，BS7799是一个信息安全管理标准与规定，在建立信息安全管理体系过程中要进行风险评估，根据PD3000中提供风险评估的方法，建立了的 CRAMM、RA等风险分析工具。许多国家也在使用或发展国际标准化组织的ISO/IEC，JTC/SC27信息技术安全管理指南的基础上建立自己的 风险评估工具。 4、 基于专家系统的风险评估工具。 这种方法经常利用专家系统建立规则和外部知识库，通过调查问卷的方式收集组织内部信息安全的状态。对重要资产的威胁和脆弱点进行评估，产生专家推荐的安全 控制措施。这种工具通常会自动形成风险评估报告，安全风险的严重程度提供风险指数，同时分析可能存在的问题，以及处理办法。如 COBRA（Consultative,Objective and Bi-functional Risk Analysis）是一个基于专家系统的风险评估工具，它是一个问卷调查形式的风险分析工具，有三个部分组成：问卷建立器、风险测量器和结果产生器。 问卷测量器有四个独立的知识库支持分析工作，这四个知识库分别是：IT安全知识库、操作风险知识库和高风险知识库。除此以外，还有RISK、 BDSS(The Bayesian Decision Support System)等工具。 5、 基于定性或定量算法的风险分析工具。 风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险分析工具。风险分析作为重要的信息安全保障原则已经很长时间。信息安全风险分析算法 在很久以前就提出来，而且一些算法被作为正式的信息安全标准。这些标准大部分是定性的也就是，他们对风险产生的可能性和风险产生的后果基于“低/中 /高”这种表达方式，而不是准确的可能性和损失量。随着人们对信息安全风险了解的不断深入，获得了更多的经验数据，因此人们越来越希望用定量的风险分析方 法反映事故方式的可能性。定量的信息安全风险管理标准包括美国联邦标准FIPS31和FIPS191，提供定量风险分析技术的手册包括GAO和新版的 NISTRMG。好的数据是采用定量风险分析的先决条件。但是“可靠的评估信息安全风险比其他种类的风险更难，因为信息安全风险因素的可能数据经常是非常 有限的，因为风险因素持续改变”。但无论如何，目前产生的一些列风险评估工具都在定量和定性方面各有侧重。如CONTROL-IT、 Definitive Scenario、JANBER都是定性的风险评估工具。而RISK、The Buddy System、RiskCALC、CORA(Cost-of-Risk Analysis)是半定量（定性与定量方法相结合）的风险评估工具。目前还没有完全定量的风险评估工具，因为对于信息安全风险因素的数据的获得还存在很 大问题。 此外，根据风险评估工具体系结构不同，风险评估工具还包括基于客户机/服务器模式以及单机版风险评估工具。如COBRA就是基于C/S模式，而目前大多数 的风险评估工具识基于单机版的。另外基于安全因素调查方式的不同，风险评估工具还包括文件式或过程式，如RA就是过程式风险评估工具。 根据以上对综合风险评估与管理工具的分析，笔者对目前比较流行的工具进行了对比： 工具名称 COBRA RA CRAMM RISK BDSS 国家/组织 BSI/Britain CCTA/Britain Palisade/ America The Integrated Risk Management Group/American 体系结构 客户机/服务器模式 单机版 单机版 单机版 单机版 采用方法 专家系统 过程式算法 过程式算法 专家系统 专家系统 定性/定量算法 定性/定量结合 定性/定量结合 定性/定量结合 定性/定量结合 定性/定量结合 数据采集形式 调查文件 过程 过程 调查文件 调查问卷 对使用人员的要求 不需要有风险评估的专业知识 依靠评估人员的知识与经验 依靠评估人员的知识与经验 不需要有风险评估的专业知识 不需要有风险评估的专业知识 结果输出形式 结果报告：风险等基于控制措施 风险等级与控制措施（基于BS7799提供的控制措施） 风险等级与控制措施（基于BS7799提供的控制措施） 决策支持信息 安全防护措施列表 信息基础设施风险评估工具的研究与开发现状 目前，每年有数以百计的新的安全漏洞被发现，每月都会发布一打新的补丁。对于系统和网络管理原来说评估和管理网络系统潜在的安全风险变得越来越重要。主动 的漏洞扫描能够在证明危险发生前帮助识别不需要的服务或安全漏洞。信息基础设施风险评估工具的研发现状主要分析漏洞扫描工具。漏洞扫描工具是提供网络或主 机系统安全漏洞监测和分析的软件。漏洞扫描器扫描网络或主机的安全漏洞，并发布扫描结果使用户对关键漏洞迅速响应。 目前对漏洞扫描工具的研发主要分为以下几种类型。 1、基于网络的扫描器：在网络中运行。能够监测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。 2、基于主机的扫描器：发现主机的操作系统、特殊服务和配置的细节。能够发现潜在的用户行为风险，比如密码强度不够。对于文件系统的检查也是一个很好的工 具。 3、战争拨号器（wardialer）：通过拨打一系列号码或简单的随机号码能够找到响应的调制解调器。这样用于检查未授权的或不安全的调制解调器，这些 调制解调器一旦被渗透将使攻击者越过防火墙进入用户网络。安全专家和系统管理员可以通过战争拨号器评估和测量调制解调器安全策略的有效性。 4、数据库漏洞扫描：对数据库的授权，认证和完整性进行详细的分析。也可以识别数据库系统中潜在的安全漏洞。 5、分布式网络扫描器：用于企业级网络的漏洞评估，广泛地分布和位于不同的位置，城市甚至不同的国家。通常分布式网络扫描器由远程扫描代理、对这些代理的 即插即用更新机制和中心管理点构成。这样漏洞评估可以从一个地方对多个地理分布的网络进行。 目前对漏洞扫描工具衡量标准是：监测到主要漏洞的准确性。过去，对漏洞扫描工具的宣传和开发似乎成了玩弄数字的游戏。厂商经常以能够检测到的漏洞的数量来 宣传他们的产平。而纯粹数量计算在很多时候都会给人以误导。比如，入侵监测系 统的厂商当提到他们的产品所采用的入侵特征时 会强调采用特征的数量。病毒扫描软件厂 商也通过强调数量来支持他们监测恶意代码的有效性。漏洞扫描也不例外，也会强调它们产品嵌入的漏洞检测的数量。也许很多人认为数量越多越好，但事实上我们 需要的不止这些。我们需要的是能够准确的识别并对紧急漏洞进行报告，而不是不正确报告结论却要经过上亿次扫描的工具。 一个好的漏洞扫描工具应包括以下几个特性： 最新的漏洞检测库，为此工具开发上应各有不同的办法监控新发现的漏洞。漏洞库的更新不能在一个重大漏洞发现一个月后才进行。 扫描工具必须准确并使误报率减少到最小。在小范围的漏洞扫描报告中存在几个不确定的警告是一回事，经过大范围的扫描后出现成百上千的不确定警报是另外一 回事。如果在扫描既有十台机器的环境下的误报率是3%，那么依据此情况类推在大型网络环境下回是什么结果呢? 扫描器有某种可升级的后端，能够存储多个扫描结果并提供趋势分析的手段。比如Internet Scanner能够将过去扫描的结果调出与本次扫描地进行比较，而eEyes Retina 没有管理多组扫描数据的功能。 理想的扫描工具应包括清晰的且准确地提供弥补发现问题的信息。如Axents NetRecon，Internet Scanner能够提供漏洞修复信息，而SAINT和SARA在这方面有所欠缺。 漏洞扫描工具是风险评估人员、系统工程师和网络管理员经常使用的工具，大家对它并不陌生，这里对几种常用的漏洞扫描工具进行分析比较。 NetRecon BindView HarkerShield EEye Digital Security Retina ISS Internet Scanner Nessus Security Network Associates CyberCop Scanner SARA World Wide Digital Security SAINT 操作系统 Windows Windows Windows Windows Unix Windows Unix Unix 内建的自动更新特征 能够自动更新（从网络下载） 能够自动更新 能够自动更新 能够自动更新 能够自动更新（从网络下载） 能够自动更新 无此功能 无此功能 扫描类型 基于网络的扫描 基于主机的扫描 基于主机的扫描 基于主机的扫描 基于网络的扫描 基于主机的扫描 基于网络的扫描 基于网络的扫描 CVE对照 没有对应CVE列表 对应CVE列表 没有对应CVE列表 对应CVE列表 对应CVE列表 没有对应CVE列表 对应CVE列表 对应CVE列表 是否能够对选点的漏洞进行修复 否 能够 能够 否 否 能够 否 否 软件开放类型 购买 购买 购买 购买 开源 购买 开源 开源 表现形式 用户界面 用户界面 用户界面 命令行 命令行 命令行 命令行 命令行 信息安全风险评估工具的研究发展方向 随着人们对信息安全风险评估重要性的认识，风险评估工具也慢慢得到广泛的应用。同时也对风险评估工具的发展提出新的要求。 1、风险评估工具应整合多种安全技术。风险评估过程中要用到多种技术手段，如入侵检测、 系统审计、漏洞扫描等，将这些技术整合到一起，提供综合的风险分析工具，不仅解决了数据的多元获取问题，而且为整个信息安全管理创造良好的条件。 2、风险评估工具应实现功能的集成。风险评估工具应具有状态分析、趋势分析和预见性分析等功能。同时，风险评估工具应提供对系统及管理方面漏洞的修复和补 偿办法。可以调动其他安全设施如，防火墙、IDS等配功能，使网络安全设备可以联动。风险分析是动态的分析过程，又是管理人员进行控制措施选择的决策支持 手段，因此全面完备的风险分析功能是避免安全事件的前提条件。 3、风险评估工具逐步向智能化的决策支持系统发展。专家系统、神经网络等技术的引入使风险评估工具不是单纯的按照定制的控制措施为用户提供解决方案，而是 根据专家经验，进行推理分析后给出最佳的、具有创新性质的控制方法。智能化的风险评估工具具有学习能力，可以在不断地使用中产生新的知识，面对不断出现的 新的问题。智能化的决策支持能够为普通用户在面对各种安全现状的情况下提供专家级的解决方案。 4、风险分析工具向定量化方向发展。目前的风险分析工具主要通过对风险的排序，来提示用户重大风险需要首先处理，而没有计算出重大风险会给组织带来多大的 经济损失。而组织管理人员所关心的正是经济损失的问题，因为他们要把有限的资金用于信息安全管理，同时权衡费用与价值比。因此，人们越来越倾向于一个量化 的风险预测。 总之，人们对风险评估工具的期望不断提高，希望他在风险评估过程中能够发挥更大的作用。 结束语: 风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工作。通常，这项工作由专业的顾问来完成，这些顾问可以是来自被评估的组织也可以来自 顾问公司，这些具有专业素质的顾问在风险评估中发挥重要的作用。为了是风险评估工作能够在各行各业中广泛开展，风险评估工具称为不可或缺的技术支持手段。 目前，许多组织根据一些安全管理指南和标注开发出风险评估工具，为风险评估的进行提供了便利条件。通过本文的分析，可以看出风险评估工具经过一段时间的发 展，从基于安全标准到基于专家系统，从定性分析到半定量决策，不断的满足人们的需要。但风险评估工具的完善还需要很长一段时间，综观这些工具的现状，还存 在许多问题，如工具运用的结果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。同时，我国在风险评估工具的开发方面还处于萌芽阶段， 没有成型的风险评估工具。因此我们应在加强风险评估理论的基础上，可发出具有自主知识产权的风险评估工具。在开始进行实际的信息系统安全风险评估操作前，先来了解一些有关信息系统安全风险评估的基础知识，明白一些与安全风险评估相关的术语，将有助于让你明了要 如何才能完成一次信息系统安全风险评估。一、我们为什么需要信息系统安全风险评估很显然，当 要我们很欣然地接受和使用某一种新技术来协助我们进行安全防范工作时，这种技术就必需有能够驱使我们去使用它的理由。这此理由也就是这种技术在某 个安全防范方面的主要作用，而我们也就是冲它的这些主要作用才去使用它的。对于信息系统安全风险评估来说，我们在的开头中已经大概了解了他的 定义，从它的定义当中，我们可以了解到风险评估可以在信息系统的生命周期的各个阶段使用。由于信息系统生命周期的各个阶段的安全防范目的不同，致使使用风 险评估的目的也各不相同，因此，信息系统生命周期每个阶段进行的风险评估产生的作用也各不相同。信息系统的生命周期分为设计、实施、运行维护 和最终销毁这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的主要作用如下所示：1、在信息系统生命周期的设计和实施阶段，使用信息 系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策 略的完全实施等作用。2、在信息系统生命周期的运行维护阶段，使用信息系统安全风险评估可以起到如下的作用：（1）了解防火墙、 IDS及其它安全设备是否真的按原先配置的意图在运行，它们实际的安全防范效果是否有满足安全目标的要求；（2）了解安全防范策略是否切合实 际，是否被全面执行；（3）检验机构内部员工的安全意识，网络操作行为及数据使用方式是否正常；（4）当信息系统因某种原因做出 硬件或软件调整后，使用信息系统安全风险评估来确定原本的安全措施是否依然有效，如果不行，应当在哪些方面做出相应的修改等等。 3、在信息系统生命周期的最终销毁阶段，可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备，确实已经不能被任何方式所恢复；淘汰 的信息系统中的设备确实已经被妥善保管，没有被流失出去的危险等作用。二、信息系统安全风险评估的通用处理流程 信息系统安全风险评估不是一个可以随意就能完成的任务，为了能保证风险评估按一定的方式有序、正确地执行，以及评估结果的真实有效；也为了能减少在风险 评估过程中有可能产生的有意或无意错误；同时还为了提高风险评估的效率，缩短评估的时间，以减少对正常业务的影响。为信息系统安全风险的评估工作制定一个 有效的处理流程是很有必要的。在现在出现了的一些信息系统风险评估标准中（例如我国，在2006年3月7日，由国务院信息化办公室印发的信 息安全风险评估指南），已经提出了处理风险评估的通用流程。但是，这些通用的风险评估流程并不包括具体细节，你和你的风险评估团队应当根据需要评估的对 象来自行决定。同时，我们在风险评估过程中，还要以这些风险评估标准作为评估结果的参考标准，以便给出具体的风险评估值。在这里，我同样只给 出这个通用信息系统安全风险评估流程的主框架，具体的处理细节会在第二节中详细说明。这个通彻的风险评估处理流程如下所示：1、信息系统安全 风险评估准备阶段2、信息系统安全风险评估对象风险检测阶段3、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段 4、后期安全维护阶段三、了解信息系统安全风险评估中的三个重要术语1、评估对象 在信息系统安全风险评估过程中，我们首先要做的就是指定评估的具体对象，也就是限制评估的具体物理和技术范围。在信息系统当中，评估对象是与信息系统中 的软硬件组成部分相对应的。例如，信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备或应用程序、物 理安全保障设备，这些都可以是构成独立的评估对象，甚至连使用这些信息系统的人也可以作为一个评估对象。总的来说，目前可以将整个计算机信息系统分为六个 主要的评估对象：（1）、信息安全风险评估（2）、业务流程安全风险评估（3）、网络安全风险评估 （4）、通信安全风险评估（5）、无线安全风险评估（6）、物理安全风险评估2、评估项目信息系统安全 风险评估的评估项目是针对某个具体的评估对象来定的，用来决定评估对象具体要评估的某个方面，例如，对于物理安全风险评估，就需要对评估对象所在的周边环 境进行安全风险评估，以及对评估对象已经完成的物理安全措施进行风险评估等，这些就是信息系统安全的风险评估项目。每一个评估对象都有属于自 己独特的评估项目，这是每个评估对象独特的属性所决定的。下面是六个主要的安全风险评估对象的主要评估项目的简短描述：（1）、信息安全风险 评估的主要评估项目、信息的安全状况评估、信息的完整性审查、机密信息调查、网络操作痕迹信息 检查、信息在使用过程中的安全性审查、隐私信息机密性审查、信息可控性审查、信息存储安全性审 查（2）、业务流程安全风险评估的主要评估项目、业务流程安全现状评估、业务请求安全性审查、业 务反请求安全性审查、业务处理流程安全性审查、业务处理人员可信赖性测试（3）、网络安全风险评估的主要评估项 目、网络安全现状评估、入侵检测审查、网络传输安全性评估、网络应用安全性评估 、网络弱点及漏洞检测与验证、网络中交换机及路由器安全性评估、访问控制测试、主要网络攻击方式测试（如 DOS）、网络行为审查、网络安全策略、警报和日志文件审查（4）、通信安全风险评估的主要评估项目 、Modem等通信设备安全性检测、VOIP安全性评估、网络传真安全性评估、远程访问安全性评估 、即时通信安全性评估（包括即时聊天、网络视频会议、网络远程监控等）（5）、无线安全风险评估的主要评估项目、电磁辐射 测试、802.11a/b/g无线网络安全风险评估、蓝牙安全性评估、无线输入输出设备安全性测试 、无线手持设备安全性测试、无线设备接入或退出安全性测试、无线传输设备安全性测试、无线通信保密性测试 、其它无线通信方式检测（如RFID及红外线连接等）（6）、物理安全风险评估的主要评估项目、物理安全现状评估 、物理安全访问控制的安全性测试、物理监控设备运行审查、警报响应审查、物理安全防范位置审查 、计算机系统所处位置周边物理安全审查、计算机系统所处位置当地自然条件、环境因素调查| 评 估任务评估任务就是指要达到某个风险评估项目的评估目标时，要具体进行的所有评估操作任务。评估任务与每个评估项目相对 应，具体的评估任务可以由你和你的团队根据实际需求来决定。评估任务制定得全不全面，切不切合实际，会直接影响到信息系统安全风险评估的最终结果是否与风 险评估的目标相一致。因此，当决定这些评估任务时，参与决定的人员不仅要有丰富的经验，而且手里要有充足的与评估对象相关的各种有效的资料；同时，要对目 前的安全威胁，各种系统或设备的弱点和漏洞，各种攻击手段有充分的了解；而且，还要能仔细识别评估对象的资产类型及其重要性等。由于评估任务 是与具体的评估对象和评估项目来决定的，还与当前的安全威胁状况及发展趋势有关，同时由于文章篇幅的限制。因此，在中只能分别对这六个评估对象中的一到二 个评估项目给出一些通用的评估任务。至于其它评估项目的评估任务，你和你的评估团队可以参考中给出的评估任务内容实例，使用头脑风暴的方法，通过分析收集 到的各种有效资料来自行决定。（1）、信息安全风险评估中隐私信息机密性审查的评估任务隐私信息的机密性审查，主要是为了检测机 构中员工及客户的隐私信息在使用、传输和存储过程中的完全性。由于这些隐私可能涉及到机构所在位置的某些法律条规，因此，在决定这个项目的评估任务时，要 充分考虑机构所在区域的国家及地区法规。通常，要进行一次全面的隐私机密性审查，应当完成下列所示的评估任务：、比对实际的隐 私信息访问方式与隐私访问策略中规定的方式之间的差异；、检查隐私信息的监控保护方式符合当地的法律法规；、标识出存储的隐 私信息的数据库类型和大小；、标识由机构收集到的各种隐私信息；、确定隐私信息存储的位置；、了解当前网络浏 览时COOKIE保存类型和保留的时间；、识别保存在COOKIE中的各种隐私信息；、验证COOKIE使用的加密方法； 、识别机构的WEB服务器可能产生错误的位置，了解错误发生时返回给浏览用户的信息类型。（2）、信息安全风险评估中网络操作痕迹信息检 查的评估任务网络操作痕迹信息的检查，主要是为了调查机构内部某些员工在网络操作后留下的操作痕迹，用审查是否有一些与组织相关的机密信息遗 留在互联网当中。这个评估项目是信息安全风险评估中非常重要的一个部分，要完成一次全面的互联网操作行为信息检查，下面这些评估任务是不能少的： 、检查机构内部员工WEB数据库和缓存中的内容；、检查机构内部员工是否通过个人主页、博客、，以及发布网络求职简历的方式，透露了机 构的组织结构，或其它机构内部机密信息；、调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工是否通过机构分配的 电子邮件发送机构内部机密信息；、了解机构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的部门及其操作权限； 、调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容；、使用互联网搜索引擎查找网络中是 否存在与机构相关的机密信息，或者可以在各种特定的新闻组、及博客中搜索；、检查机构内部员工是否在使用P2P软件，在法律条件允许下审查 P2P通信内容。（3）、网络安全风险评估中网络弱点及漏洞检测与验证的评估任务网络弱点及漏洞检测与验证是为了找出网络中存的 安全弱点和漏洞，并且验证这些弱点和漏洞是否可以真的被利用。在评估过程中使用一些基于网络的弱点扫描及渗透测试工具，能大大提高评估工作的效率。 但是，在使用弱点扫描工具时不能对它检测后的结果全盘接受，这是由于现在大部分的弱点扫描工具都是通过与自己的弱点和漏洞数据进行比对，来决定检测对象 是否存某弱点或漏洞的。一旦工具的漏洞数据库不能及时更新，或不能包括所有目前已经发现的漏洞，那么，其检测结果就不一定完全可靠。并且，由于这些工具本 身设计缺陷和能力限制，在使用过程中会出现误报和漏报的问题，误报会让我们白担心一场，而漏报却会让我们处于重大安全事故发生的边缘。因此，在弱点扫描后 进行人工核查和渗透测试能减少漏报和误报的发生。要完成一次彻底的网络弱点及漏洞检测与验证的评估项目，下面完成下面的评估任务： 、结合目前最流行的弱点扫描和渗透工具，对目标网段进行测试；、使用弱点扫描工具，按由外向内，由内向外的两种方式扫描目标网段； 、确定存在弱点或漏洞的系统和应用程序的类型；、确定存在漏洞的服务；、确定应用程序和服务存在漏洞的类型； 、识别操作系统和应用程序中的存在的所有漏洞，识别所有存在漏洞的操作系统和应用程序；、确定这些漏洞是否可以影响到其它相似的目标网 络或系统；、通过人为渗透测试的方法来检测找到的弱点或漏洞是否真实存在；、检验这些漏洞可以被利用的机率，利用后可能产生 的后果。（4）、通信安全风险评估中Modem等通信设备安全性检测的评估任务Modem等通信设备的安全性检测主要是为了检验 调制解调器的登录验证方式，是否可以被运程非法控制等等。要完成一次全面的Modem等通信设备的安全性检测项目，下面的评估任务将要被全部执行： 、以由内向外，由处向内的方式全面扫描Modem等通信设备；、确保Modem等通信设备的登录用户和密码不是使用缺省设置，或者容易 被猜出；、确保与Modem等通信设备直接相连的路由器、三层交换机或计算机已经做好了相应的安全措施；、检查通过远程维护 Modem等通信设备是否安全；、验证远程拨号认证；、测试本地拨号认证；（5）、无线安全风险评估中 802.11a/b/g无线网络安全风险评估的评估任务由于802.11a/b/g无线网络技术越来越成熟，越来越多的机构开始使用它。但 是，由于802.11a/b/g无线网络技术的开放性，且大多数使用没有对其默认设置做相应的安全修改，或者设置的安全很少也很弱，从而造成 802.11a/b/g无线网络带来的安全风险与它的功能一样多。因此，使用802.11a/b/g无线网络安全风险评估来识别无线网络中目前存在的安全 风险，以便能采取更好的安全措施来降低无线网络应用带来的风险。完成802.11a/b/g无线网络安全风险评估项目，必需执行下列所有的评 估任务：、检验机构是否已经有一个足够好的无线安全策略，来保证802.11a/b/g无线网络的应用，同时评估802.11a/b/g无 线网络的硬件和固件，以及更新状况等；、对连接在目标无线网终上的无线设备进行全面的清查，评估访问控制，无线信号覆盖的规定范围，并确定 是否有能力防止无线信号超出规定的范围，或者能够干扰超出的无线信号；、确定无线设备水平接入目标无线网络的访问控制能力，是否能够标识所 有允许的接入点，以及是否能够即时识别非授权接入点，并能定位和拒绝它的接入；、评估无线网络的配置、认证和加密方式；、评 估无线接入点的默认服务设备标识符（SSID）已经更改；、验证所有无线客户端已经安装了杀毒软件和防火墙等安全工具； （6）、物理安全风险评估中物理安全访问控制的安全性测试的评估任务物理安全访问控制的安全性测试，是用来检测物理方式直接接触机构中重要信 息资产时是否符合安全要求的评估项目。要完成一次物理安全访问控制的安全性测试，就必需完成下列所示的评估任务：、枚举所有必需进行物理访 问控制的区域；、检查所有物理访问控制点的访问控制设备及其类型；、检查触发警报的类型是否与说明的一致；、 判断物理访问控制设备的安全级别；、测试物理访问控制设备是否存在弱点和漏洞；、测试物理访问控制设备是否可以被人为或其它 方式失去检测能力；四、信息系统安全风险评估过程中应当遵守的规则在对信息系统进行风险评估 过程中，下列的一些因素会给评估带来错误的结果：1、弱点扫描软件的误报和漏报；2、系统本身设置对某类事情做出固定的某种缺陷 反应。当测试带有欺骗性设置的系统时，常会对所有的评估事件做出某种指定的相同反应；3、要评估的系统中存在某种已经指定对所有事件做出安全 反应的设置。4、在风险评估过程中收到了某个目标的回应，但这个回应并不是真的来自实际的评估目标，而一些没有经验的风险评估人员，对出现这 样的假象不能正确识别，从而造成错误的结果；5、风险评估工具设备本身存在问题，就可能出现错误的回应。以及当风险评估的以太网路出现高噪 音，或者存在干扰目标无线网络信号的设备时，都会出现错误的结果；6、当风险评估过程中的某个环境得到了错误的结果，但是没有及时识别和重新 评估，而其后的评估工作却使用这个错误的结果作为评估条件，这样一来，就会让这种错误继承下去，造成得到一个错误的最终风险评估结果；7、风 险评估必需由人来执行，由于风险评估人员的技术水平，经验值的高低，以及他们的评估态度，对风险评估的理