信息安全风险评估技术手段综述

1、信息平安风险评估技术手段综述信息平安风险评估技术手段综述摘要：信息平安成为国家平安的重要组成局部，因此为保证信息平安，建立信息平安管理体系已成为目前平安建立的首要任务。风险评估作为信息平安管理体系建立 的根底，在体系建立的各个阶段发挥着重要的作用。风险评 估的进展离不开风险评估工具， 本文在对风险评估工具进展分类的根底上，探讨了目前主要的风险评估工 具的研究现状及开展方向。关键词：风险评估综合风险评估信息根底设施工具引言当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产 运营模 式，没有各种信息的支持，企业的

2、生存和开展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。 正如中国工程院院长徐匡迪所说：“没有平安的工程就是豆腐渣工程。信息同样需要平安工程。而人们在实践中逐渐认识到科学的管理是解决信息平安问题的关键。信息平安的内涵也在不断的延伸， 从最初的信息保密性开展到信息的完整性、可用性、可控性和不可否认性，进而又开展为“攻攻击、防防范、测检测、控控制、管管理、 评评估"等多方面的根底理论和实施技术。如何保证组织一直保持一个比拟平安的状态，保证企业的信息平安管理手段和平安技术发挥最大的作用，是企业最关心的问题。同时企业高层开场意识到

3、信 息平安策 略的重要性。突然间，IT专业人员发现自己面临着挑战：设计信息 平安政策该从何处着手？如何拟订具有约束力的平安政策？如何让公司员工 真正承受平安策略并 在日常工作中执行？借助于信息平安风险评估和风险评 估工具，能够答复以上的问题。信息平安风险评估与评估工具 风险评估是对信息及信息处理设施的威胁、 影响、脆弱性及三者发生的可能性 的评估。 它是确认平安风险及其大小的过程， 即利用定性或定量的方法， 借助 于风险评 估工具，确定信息资产的风险等级和优先风险控制。风险评估是风险管理的最根本依据， 是对现有网络的平安性进展分析的第一手 资料，也是网络平安领域内最重要的内容之一。 企业在进展

4、网络平安设备选型、 网络安 全需求分析、网络建立、网络改造、应用系统试运行、内网与外网互 联、 与第三方业务伙伴进展网上业务数据传输、 电子政务等业务之前， 进展风 险评估会帮助组织 在一个平安的框架下进展组织活动。它通过风险评估来识 别风险大小， 通过制定信息平安方针， 采取适当的控制目标与控制方式对风险 进展控制，使风险被防止、转 移或降至一个可被承受的水平。 信息平安风险评估经历了很长一段的开展时期。风险评估的重点也从操作系 统、 网络环境开展到整个管理体系。 西方国家在实践中不断发现， 风险评估作 为保证信息 平安的重要基石发挥的关键的作用。在信息平安、平安技术的相 关标准中，风险评估

5、均作为关键步骤进展阐述，如ISO13335、 FIPS-30 、BS7799-2 等。风险评估模型也从借鉴其他领域的模型开展到开发出适用于风 险评估的模型。 风险评估方法的定性分析和定量分析不断被学者和平安分析人 员 完善与扩大。最主要的是， 风险评估的过程逐渐转向自动化和标准化。 应用于风险评估的工 具层出不穷， 越来越多的科研人员发现， 自动化的风险评估工具不仅可以将分析人员从繁重的手工劳动中解脱出来，最主要的是它能够将专家知识进展集中，使专家的经历知识被广泛的应用。风险评估工具的分类目前对风险评估工具的分类还没有一个统一的理解。文献将风险评估工具被分为三类：预防、相应和检测。通常情况下技

6、术人员会把漏洞扫描工具称为风 险评估 工具，文献提到的风险评估工具就是漏洞评估扫描器。确实在对信 息根底设施进展风险评估过程中，漏洞扫描工具发挥着不可替代的作用，通过漏洞扫描工具发 现系统存在的漏洞、不合理配置等问题，根据漏洞扫描结果 提供的线索，利用渗透性测试分析系统存在的风险。随着人们对信息资产的深入理解，发现信息资产不只包括存在于计算机环境中的数据、文档，信息在组织中的各种载体中传播，包括纸质载体、人员等，因此信息平安包括更广泛的范围。同时，信息平安管理者发现解决信息平安的问题在于预防。在此根底上，许多国家和组织都建立了针对于预防平安事件发生的风险评估指南和方 法。基于这些方法，开发出了

7、一些工具，如CRAMM RA等，这些工具统称为风险评估工具。这些工具主要从管理的层面上，考虑包括信息平安技术在内的一系列与信息平安有关的问题，如平安规定、人员管理、通信保障、业务连续性以及法律法规等各方面的因素， 对信息平安有一个整体宏观的评价。 其实, 一个完整的风险评估所考虑的问题不只关键资产在是某个时间状态下的威胁、脆弱点情况，以往一段时间内的攻击情况和 平安事故都是风险分析过程中用于确定风险的客观支持。那么对这些攻击事件的 检测和记录工具也是风险评估过程中不可缺少的工具。因此，文献1中将入侵监测系 统也作为风险评估工具的一种。可见，对风险评估工具的类型划分是人们在对信息平安风险评估不断

8、认识、以及对评估过程不断完善的过程中逐渐形成的。本文根据在风险评估过程中的主要任务和作用原理的不同， 将风险评分为三类：综合风险 评估与管理工具、信息根底设施风险评估工具、风险评估辅助工具。综合风险评估与管理工具。 这种工具根据信息所面临的威胁的不同分布进展全 面考虑，在风险评估的同时根据面临的风险提供相应的控制措施和解决方法。这种风险 评估工具通常建立在一定的算法之上，风险由关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三者来确定，如RA也有通过建立专家系统，利用专家经 验进展风险分析，给出专家结论，这种评估工具需要不 断进展知识库的扩大，以适应不同的需要，女口COBRA信息根底设施风

9、险评估工具。包括脆弱点评估工具和渗透性测试工具。脆弱点评估工具也称为平安扫描、漏洞扫描器，评估网络或主机系统的平安性并且报 告系统脆 弱点。这些工具能够扫描网络、效劳器、防火墙、路由器和应用程 序发现其中的漏洞。通常情况下，这些工具能够发现软件和 硬件中的平安漏洞，以决定系统是否易受 攻击的影 响，并且寻找系统脆弱点，比方安装方面 与建立的平安策略相悖等。渗透性测试工具是根据漏洞扫描工具提供的漏洞， 进展模拟黑客测试，判断是否这些漏洞能够被他人利用。这种工具通常包括一些黑客工具，也可以是一些 脚本文件。风险评估辅助工具。这种工具在风险评估过程中不可缺少，它用来收集评估所需要的数据和资料，帮助完

10、成现状分析和趋势分析。如入侵监测系统，帮助检测各种攻击试探和 误造作，它可以作为一个警报器，提醒管理员发生的平安 状况。同时平安漏洞库、知识库都是风险评估不可或缺的支持手段。从风险评估工具的分类来看，风险评估辅助工具涉及到信息平安的其他技术体 系，因此这里只分析综合风险评估与管理工具和脆弱点评估工具， 他们构成了 风险评估 工具的主体局部。综合风险评估与管理工具的研究与开发现状 下面从不同角度比拟综合风险评估与管理工具的研究现状。1、基于国家或政府公布的信息平安管理标2、 准或指 3、 南建立风险评估工具。目 前世 界上 存在 多种 不同 的 风险 分析 指 南 和方 法。 如 ， NIST(

11、National Institute of standards and Technology) 的 FIPS 65 ； DoJ Department of Justice的 SRAG和 GAO(Government Accounting Office)的信息平安管理的实施指南。 针对这些方法， 由美国开发了自动的风险评估工具 。英国推 行基于BS7799的认证产 业，BS7799是一个信息平安管理标准与规定，在建立信息平安管理体系过程中要进展风险评估，根据PD3000中提供风险评估的方法，建立了的 CRAMM、RA 等风险分析工具。许多国家也在使用或开展 国际标准化组织的ISO/IEC，JTC

12、/SC27信息技术平安管理指南的根底上建立自 己的 风险评估工具 。4、 基于专家系统的风险评估工具。这种方法经常利用专家系统建立规那么和外部知识库， 通过调查问卷的方式收 集组织内部信息平安的状态。 对重要资产的威胁和脆弱点进展评估， 产生专家 推荐的平安 控制措施。这种工具通常会自动形成风险评估报告，平安风险的 严重程度提供风险指数， 同时分析可能存在的问题， 以及处理方法。 如 COBRA Consultative,Objective and Bi-functional Risk Analysis 是一 个基于专家系统的风险评估工具， 它是一个问卷调查形式的风险分析工具， 有三个 局部组

13、成：问卷建立器、风险测量器和结果产生器。 问卷测量器有四个独立 的知识库支持分析工作，这四个知识库分别是： IT 平安知识库、操作风险知 识库和高风险知识库。除此以外，还有RISK、BDSS(The Bayesian Decision Support System) 等工具。5、 基于定性或定量算法的风险分析工具。 风险评估根据对各要素的指标量化以及计算方法不同分为定性和定量的风险 分析工具。 风险分析作为重要的信息平安保障原那么已经很长时间。 信息平安 风险分析算法 在很久以前就提出来，而且一些算法被作为正式的信息平安标 准。这些标准大局部是定性的也就是， 他们对风险产生的可能性和风险产 生

14、的后果基于“低 / 中 / 高这种表达方式，而不是准确的可能性和损失量。 随着人们对信息平安风险了解的不断深入， 获得了更多的经历数据， 因此人们 越来越希望用定量的风险分析方 法反映事故方式的可能性。定量的信息平安 风险管理标准包括美国联邦标准 FIPS31和FIPS191，提供定量风险分析技术 的手册包括GAO和新版的NISTRMG好的数据是采用定量风险分析的先决条 件。但是“可靠的评估信息平安风险比其他种类的风险更难， 因为信息平安风 险因素的可能数据经常是非常 有限的，因为风险因素持续改变 。但无论 如何，目前产生的一些列风险评估工具都在定量和定性方面各有侧重。如 CONTROL-IT

15、 Definitive Seenario、JANBER都是定性的风险评估工具。而RISK、 The Buddy System、 RiskCALC、 CORA(Cost-of-Risk Analysis) 是半定 量定性与定量方法相结合 的风险评估工具。 目前还没有完全定量的风险评 估工具，因为对于信息平安风险因素的数据的获得还存在很大问题/效此外，根据风险评估工具体系构造不同，风险评估工具还包括基于客户机劳器模式以及单机版风险评估工具。如COBR/就是基于C/S模式，而目前大多数 的风险评估工具识基于单机版的。另外基于平安因素调查方式的不同，风 险评估工具还包括文件式或过程式，如RA就是过程式

16、风险评估工具。根据以上对综合风险评估与管理工具的分析， 笔者对目前比拟流行的工具进展 了比照：工具名称 COBRA RA CRAMM RISK BDSS国家 /组织 BSI/Britain CCTA/Britain Palisade/ America The IntegratedRisk Management Group/American体系构造 客户机 / 效劳器模式 单机版 单机版 单机版 单机版采用方法 专家系统 过程式算法 过程式算法 专家系统 专家系统定性/ 定量算法 定性/ 定量结合 定性 / 定量结合 定性 /定量结合 定性/ 定量结 合 定性 / 定量结合数据采集形式 调查文件

17、 过程 过程 调查文件 调查问卷对使用人员的要求 不需要有风险评估的专业知识 依靠评估人员的知识与经 历 依靠评估人员的知识与经历 不需要有风险评估的专业知识 不需要有风险 评估的专业知识结果输出形式 结果报告：风险等基于控制措施 风险等级与控制措施基于BS7799提供的控制措施风险等级与控制措施基于BS7799提供的控制措施 决策支持信息 平安防护措施列表 信息根底设施风险评估工具的研究与开发现状 目前，每年有数以百计的新的平安漏洞被发现，每月都会发布一打新的补丁。 对于系统和网络管理原来说评估和管理网络系统潜在的平安风险变得越来越重要。主动的漏洞扫描能够在证明危险发生前帮助识别不需要的效劳

18、或平安漏洞。信息根底设施风险评估工具的研发现状主要分析漏洞扫描工具。漏洞扫描工具是提供网络或主机系统平安漏洞监测和分析的软件。漏洞扫描器扫描 网络或主机的平安漏洞，并发布扫描结果使用户对关键漏洞迅速响应。目前对漏洞扫描工具的研发主要分为以下几种类型。1、基于网络的扫描器：在网络中运行。能够监测如防火墙错误配置或连接到网络上的易受攻击的网络效劳器的关键漏洞。2、基于主机的扫描器：发现主机的操作系统、特殊效劳和配置的细节。能够 发现潜在的用户行为风险，比方密码强度不够。对于文件系统的检查也是一个 很好的工具。3、战争拨号器wardialer：通过拨打一系列号码或简单的随机号码能够找到响应的调制解调

19、器。这样用于检查未授权的或不平安的调制解调器，这些 调制解调器一旦被渗透将使攻击者越过防火墙进入用户网络。平安专家和系统管理员可以通过战争拨号器评估和测量调制解调器平安策略的有效性。4、数据库漏洞扫描：对数据库的授权，认证和完整性进展详细的分析。也可以识别数据库系统中潜在的平安漏洞。5、分布式网络扫描器：用于企业级网络的漏洞评估，广泛地分布和位于不同的位置，城市甚至不同的国家。 通常分布式网络扫描器由远程扫描代理、对这些代理的 即插即用更新机制和中心管理点构成。这样漏洞评估可以从一个地 方对多个地理分布的网络进展。目前对漏洞扫描工具衡量标准是：监测到主要漏洞的准确性。过去，对漏洞扫描工具的宣传

20、和开发似乎成了玩弄数字的游戏。厂商经常以能够检测到的漏洞的数量来 宣传他们的产平。而纯粹数量计算在很多时候都会给人以误导。比方，入侵监测系 统的厂商当提到他们的产品所采用的入侵特征时 会强调采用特征的数量。病毒扫描软件厂 商也通过强调数量来支持他们监测恶意代码的有效性。漏洞扫描也不例外， 也会强调它们产品嵌入的漏洞检测的数量。 也许 很多人认为数量越多越好，但事实上我们需要的不止这些。我们需要的是能够准确的识别并对紧急漏洞进展报告，而不是不正确报告结论却要经过上亿次扫描的工具。一个好的漏洞扫描工具应包括以下几个特性：最新的漏洞检测库，为此工具开发上应各有不同的方法监控新发现的漏洞。漏洞库的更新

21、不能在一个重大漏洞发现一个月后才进展。扫描工具必须准确并使误报率减少到最小。在小范围的漏洞扫描报告中存在几个不确定的警告是一回事，经过大范围的扫描后出现成百上千的不确定警报是另外一回事。如果在扫描既有十台机器的环境下的误报率是3%那么依据此情况类推在大型网络环境下回是什么结果呢 ？扫描器有某种可升级的后端，能够存储多个扫描结果并提供趋势分析的手段。比方In ternet Scanner能够将过去扫描的结果调出与本次扫描地进展比拟，而eEye's Ret in a没有管理多组扫描数据的功能。理想的扫描工具应包括清晰的且准确地提供弥补发现问题的信息。女口Axe nt's NetRe

22、co n ，In ternet Scanner能够提供漏洞修复信息，而SAINT 和SARA在这方面有所欠缺。漏洞扫描工具是风险评估人员、系统工程师和网络管理员经常使用的工具，大家对它并不陌生，这里对几种常用的漏洞扫描工具进展分析比拟。NetRecon BindView HarkerShield EEye Digital Security Retina ISS Internet Scanner Nessus Security Network Associates CyberCop ScannerSARA World Wide Digital Security SAINT操作系统 Windows

23、 Windows Windows Windows Unix Windows Unix Unix内建的自动更新特征 能够自动更新从网络下载能够自动更新 能够自动更新 能够自动更新 能够自动更新从网络下载 能够自动更新 无此功能 无 此功能扫描类型 基于网络的扫描基于主机的扫描基于主机的扫描 基于主机的扫描基于网络的扫描基于主机的扫描基于网络的扫描基于网络的扫描CVE对照 没有对应 CVE列表 对应CVE列表 没有对应 CVE列表 对应CVE列表 对应CVE列表 没有对应 CVE列表 对应CVE列表 对应CVE列表 是否能够对选点的漏洞进展修复否能够能够否否能够否否软件开放类型购置购置购置购置开源

24、购置开源开源表现形式用户界面用户界面用户界面命令行命令行命令行命令行命 令行信息平安风险评估工具的研究开展方向随着人们对信息平安风险评估重要性的认识，风险评估工具也慢慢得到广泛的应用。同时也对风险评估工具的开展提出新的要求。1、风险评估工具应整合多种平安技术。风险评估过程中要用到多种技术手段，如入侵检测、系统审计、漏洞扫描等，将这些技术整合到一起，提供综合的风险分析工具，不仅解决了数据的多元获取问题，而且为整个信息平安管理创 造良好的条件。 2、风险评估工具应实现功能的集成。风险评估工具应具有状态分析、趋势分 析和预见性分析等功能。 同时， 风险评估工具应提供对系统及管理方面漏洞的 修复和补

25、偿方法。可以调动其他平安设施如，防火墙、 IDS 等配功能，使网 络平安设备可以联动。 风险分析是动态的分析过程， 又是管理人员进展控制措 施选择的决策支持 手段，因此全面完备的风险分析功能是防止平安事件的前 提条件。3、风险评估工具逐步向智能化的决策支持系统开展。专家系统、神经网络等 技术的引入使风险评估工具不是单纯的按照定制的控制措施为用户提供解决 方案，而是 根据专家经历，进展推理分析后给出最正确的、具有创新性质的 控制方法。 智能化的风险评估工具具有学习能力， 可以在不断地使用中产生新 的知识，面对不断出现的 新的问题。智能化的决策支持能够为普通用户在面 对各种平安现状的情况下提供专家

26、级的解决方案。4、风险分析工具向定量化方向开展。目前的风险分析工具主要通过对风险的 排序， 来提示用户重大风险需要首先处理， 而没有计算出重大风险会给组织带 来多大的 经济损失。而组织管理人员所关心的正是经济损失的问题，因为他 们要把有限的资金用于信息平安管理， 同时权衡费用与价值比。 因此， 人们越 来越倾向于一个量化 的风险预测。总之， 人们对风险评估工具的期望不断提高， 希望他在风险评估过程中能够发 挥更大的作用。完毕语 : 风险评估工作是一项费时、需要人力支持以及相关专业或业务知识支持的工 作。 通常，这项工作由专业的参谋来完成， 这些参谋可以是来自被评估的组织 也可以来自 参谋公司，

27、这些具有专业素质的参谋在风险评估中发挥重要的作 用。为了是风险评估工作能够在各行各业中广泛开展， 风险评估工具称为不可 或缺的技术支持手段。 目前，许多组织根据一些平安管理指南和标注开发出 风险评估工具， 为风险评估的进展提供了便利条件。 通过本文的分析， 可以看 出风险评估工具经过一段时间的发 展，从基于平安标准到基于专家系统，从 定性分析到半定量决策， 不断的满足人们的需要。 但风险评估工具的完善还需 要很长一段时间，综观这些工具的现状，还存 在许多问题，如工具运用的结 果如何能够反映客观实质、如何有效度量、工具的使用如何能够综合协调等。 同时，我国在风险评估工具的开发方面还处于萌芽阶段，

28、 没有成型的风险评 估工具。 因此我们应在加强风险评估理论的根底上， 可发出具有自主知识产权 的风险评估工具。在开场进展实际的信息系统平安风险评估操作前，先来了解一些有关信息系统平安风险评估 的根底知识， 明白一些与平安风险评估相关的术语， 将有助于让你明了要 如何才能完成一次 信息系统平安风险评估。一、我们为什么需要信息系统平安风险评估很显然，当 要我们很欣然地承受和使用某一种新技术来协助我们进展平安防范工作时， 这种技术就必需有能够驱使我们去使用它的理由。 这此理由也就是这种技术在某 个平安防范 方面的主要作用，而我们也就是冲它的这些主要作用才去使用它的。对于信息系统平安风险评估来说， 我

29、们在的开头中已经大概了解了他的 定义，从它的定 义当中，我们可以了解到风险评估可以在信息系统的生命周期的各个阶段使用。由于信息系 统生命周期的各个阶段的平安防范目的不同，致使使用风 险评估的目的也各不一样，因此， 信息系统生命周期每个阶段进展的风险评估产生的作用也各不一样。信息系统的生命周期分为设计、 实施、 运行维护 和最终销毁这四个主要阶段， 每个阶段 进展相应的信息系统平安风险评估的主要作用如下所示：1、在信息系统生命周期的设计和实施阶段，使用信息系统平安风险评估可以起到了解目前系统到底需要什么样的平安防范措施，帮助制定有效的平安防范策略，确定平安防范的 投入最正确本钱，说服机构领导同意

30、平安策 略的完全实施等作用。2、在信息系统生命周期的运行维护阶段， 使用信息系统平安风险评估可以起到如下的作 用：1了解防火墙、 IDS 及其它平安设备是否真的按原先配置的意图在运行，它们实际 的平安防范效果是否有满足平安目标的要求；2了解平安防范策略是否切合实际，是否被全面执行；3检验机构内部员工的平安意识，网络操作行为及数据使用方式是否正常； 4当信息系统因某种原因做出硬件或软件调整后，使用信息系统平安风险评估来确定原本的平安措施是否依然有效，如果不行，应当在哪些方面做出相应的修改等等。3 、在信息系统生命周期的最终销毁阶段，可以使用信息系统平安风险评估来检验应当 完全销毁的数据或设备，

31、确实已经不能被任何方式所恢复； 淘汰 的信息系统中的设备确实已经被妥 善保管，没有被流失出去的危险等作用。二、信息系统平安风险评估的通用处理流程 信息系统平安风险评估不是一个可以随意就能完成的任务， 为了能保证风险评估按一定 的方式有序、 正确地执行， 以及评估结果的真实有效； 也为了能减少在风险 评估过程中有可 能产生的有意或无意错误；同时还为了提高风险评估的效率，缩短评估的时间，以减少对正 常业务的影响。为信息系统平安风险的评估工作制定一个 有效的处理流程是很有必要的。在现在出现了的一些信息系统风险评估标准中 例如我国， 在 2006 年 3 月 7 日，由国务 院信息化办公室印发的 ?信

32、 息平安风险评估指南 ?，已经提出了处理风险评估的通用流程。 但是，这些通用的风险评估流程并不包括具体细节，你和你的风险评估团队应当根据需要评 估的对 象来自行决定。 同时， 我们在风险评估过程中， 还要以这些风险评估标准作为评估结 果的参考标准，以便给出具体的风险评估值。在这里， 我同样只给 出这个通用信息系统平安风险评估流程的主框架， 具体的处理细节 会在第二节中详细说明。这个通彻的风险评估处理流程如下所示：1、信息系统平安 风险评估准备阶段2、信息系统平安风险评估对象风险检测阶段3、信息系统平安风险评估对象风险检测结果分析及给出评估报告阶段4、后期平安维护阶段三、了解信息系统平安风险评估

33、中的三个重要术语1、评估对象 在信息系统平安风险评估过程中， 我们首先要做的就是指定评估的具体对象， 也就是限 制评估的具体物理和技术范围。 在信息系统当中， 评估对象是与信息系统中 的软硬件组成局 部相对应的。 例如， 信息系统中包括各种效劳器、 效劳器上运行的操作系统及各种效劳程序、 各种网络连接设备、 各种平安防范设备或应用程序、 物 理平安保障设备， 这些都可以是构成 独立的评估对象，甚至连使用这些信息系统的人也可以作为一个评估对象。总的来说，目前 可以将整个计算机信息系统分为六个 主要的评估对象：1、信息平安风险评估2、业务流程平安风险评估3、网络平安风险评估4、通信平安风险评估5、

34、无线平安风险评估6、物理平安风险评估2、评估工程信息系统平安 风险评估的评估工程是针对某个具体的评估对象来定的， 用来决定评估对 象具体要评估的某个方面， 例如，对于物理平安风险评估， 就需要对评估对象所在的周边环 境 进展平安风险评估，以及对评估对象已经完成的物理平安措施进展风险评估等，这些就是信 息系统平安的风险评估工程。每一个评估对象都有属于自 己独特的评估工程，这是每个评估对象独特的属性所决定 的。下面是六个主要的平安风险评估对象的主要评估工程的简短描述：1、信息平安风险 评估的主要评估工程 、信息的平安状况评估 、信息的完整性审查 、机密信息调查 、网络操作痕迹信息检查 、信息在使用

35、过程中的平安性审查 、隐私信息机密性审查 、信息可控性审查 、信息存储平安性审查2、业务流程平安风险评估的主要评估工程 、业务流程平安现状评估 、业务请求平安性审查 、业务反请求平安性审查 、业务处理流程平安性审查 、业务处理人员可信赖性测试3、网络平安风险评估的主要评估项 目 、网络平安现状评估 、入侵检测审查 、网络传输平安性评估 、网络应用平安性评估 、网络弱点及漏洞检测与验证 、网络中交换机及路由器平安性评估 、访问控制测试 、主要网络攻击方式测试如DOS 、网络行为审查 、网络平安策略、警报和日志文件审查4、通信平安风险评估的主要评估工程 、Modem等通信设备平安性检测 、VOIP

36、平安性评估 、网络 平安性评估 、远程访问平安性评估 、即时通信平安性评估包括即时聊天、网络视频会议、网络远程监控等 5、无线平安风险评估的主要评估工程 、电磁辐射测试 、 802.11a/b/g 无线网络平安风险评估 、蓝牙平安性评估 、无线输入输出设备平安性测试 、无线手持设备平安性测试 、无线设备接入或退出平安性测试 、无线传输设备平安性测试 、无线通信保密性测试 、其它无线通信方式检测如RFID及红外线连接等 6、物理平安风险评估的主要评估工程 、物理平安现状评估 、物理平安访问控制的平安性测试 、物理监控设备运行审查 、警报响应审查 、物理平安防范位置审查 、计算机系统所处位置周边物

37、理平安审查 、计算机系统所处位置当地自然条件、环境因素调查III评 估任务 评估任务就是指要到达某个风险评估工程的评估目标时，要具体进展的所有评估操作任 务。评估任务与每个评估工程相对 应，具体的评估任务可以由你和你的团队根据实际需求来 决定。评估任务制定得全不全面，切不切合实际，会直接影响到信息系统平安风险评估的最 终结果是否与风 险评估的目标相一致。 因此，当决定这些评估任务时， 参与决定的人员不仅 要有丰富的经历， 而且手里要有充足的与评估对象相关的各种有效的资料； 同时，要对目 前 的平安威胁，各种系统或设备的弱点和漏洞，各种攻击手段有充分的了解；而且，还要能仔 细识别评估对象的资产类

38、型及其重要性等。由于评估任务 是与具体的评估对象和评估工程来决定的， 还与当前的平安威胁状况及开 展趋势有关，同时由于文章篇幅的限制。 因此，在中只能分别对这六个评估对象中的一到二 个 评估工程给出一些通用的评估任务。至于其它评估工程的评估任务，你和你的评估团队可以 参考中给出的评估任务内容实例， 使用头脑风暴的方法， 通过分析收集 到的各种有效资料来 自行决定。1、信息平安风险评估中隐私信息机密性审查的评估任务隐私信息的机密性审查， 主要是为了检测机 构中员工及客户的隐私信息在使用、 传输和 存储过程中的完全性。由于这些隐私可能涉及到机构所在位置的某些法律条规，因此，在决 定这个工程的评估任

39、务时，要 充分考虑机构所在区域的国家及地区法规。通常，要进展一次全面的隐私机密性审查，应当完成以下所示的评估任务： 、比对实际的隐 私信息访问方式与隐私访问策略中规定的方式之间的差异； 、检查隐私信息的监控保护方式符合当地的法律法规； 、标识出存储的隐 私信息的数据库类型和大小； 、标识由机构收集到的各种隐私信息； 、确定隐私信息存储的位置； 、了解当前网络浏 览时COOKIE呆存类型和保存的时间； 、识别保存在COOKIE中的各种隐私信息； 、验证COOKIE使用的加密方法； 、识别机构的WEB效劳器可能产生错误的位置，了解错误发生时返回给浏览用户的信 息类型。2、信息平安风险评估中网络操作

40、痕迹信息检 查的评估任务 网络操作痕迹信息的检查，主要是为了调查机构内部某些员工在网络操作后留下的操作 痕迹，用审查是否有一些与组织相关的机密信息遗 留在互联网当中。 这个评估工程是信息平 安风险评估中非常重要的一个局部，要完成一次全面的互联网操作行为信息检查，下面这些评估任务是不能少的： 、检查机构内部员工 WEB据库和缓存中的内容； 、检查机构内部员工是否通过个人主页、博客、，以及发布网络求职简历的方式，透 露了机 构的组织构造，或其它机构内部机密信息； 、调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工 是否通过机构分配的 电子邮件发送机构内部机密信息； 、了解机

41、构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的 部门及其操作权限； 、调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容； 、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息，或者可以在各种特定的新闻组、及博客中搜索； 、检查机构内部员工是否在使用P2P软件，在法律条件允许下审查P2P通信内容。3、网络平安风险评估中网络弱点及漏洞检测与验证的评估任务 网络弱点及漏洞检测与验证是为了找出网络中存的 平安弱点和漏洞， 并且验证这些弱点 和漏洞是否可以真的被利用。在评估过程中使用一些基于网络的弱点扫描及渗透测试工具， 能大大提高评估

42、工作的效率。但是， 在使用弱点扫描工具时不能对它检测后的结果全盘承受，这是由于现在大局部的弱点扫描工具都是通过与自己的弱点和漏洞数据进展比对， 来决定检测对象 是否存某弱点或 漏洞的。 一旦工具的漏洞数据库不能及时更新， 或不能包括所有目前已经发现的漏洞， 那么， 其检测结果就不一定完全可靠。 并且， 由于这些工具本 身设计缺陷和能力限制， 在使用过程 中会出现误报和漏报的问题，误报会让我们白担忧一场，而漏报却会让我们处于重大平安事 故发生的边缘。因此，在弱点扫描后 进展人工核查和渗透测试能减少漏报和误报的发生。要完成一次彻底的网络弱点及漏洞检测与验证的评估工程，下面完成下面的评估任务： 、结

43、合目前最流行的弱点扫描和渗透工具，对目标网段进展测试； 、使用弱点扫描工具，按由外向内，由内向外的两种方式扫描目标网段； 、确定存在弱点或漏洞的系统和应用程序的类型； 、确定存在漏洞的效劳； 、确定应用程序和效劳存在漏洞的类型； 、识别操作系统和应用程序中的存在的所有漏洞，识别所有存在漏洞的操作系统和应用程序； 、确定这些漏洞是否可以影响到其它相似的目标网络或系统； 、通过人为渗透测试的方法来检测找到的弱点或漏洞是否真实存在； 、检验这些漏洞可以被利用的机率，利用后可能产生的后果。4、通信平安风险评估中 Modem等通信设备平安性检测的评估任务Modem等通信设备的平安性检测主要是为了检验调制

44、解调器的登录验证方式，是否可以被运程非法控制等等。要完成一次全面的Modem等通信设备的平安性检测工程，下面的评估任务将要被全部执行： 、以由内向外，由处向内的方式全面扫描Modem等通信设备； 、确保Modem等通信设备的登录用户和密码不是使用缺省设置，或者容易被猜出； 、确保与Modem等通信设备直接相连的路由器、三层交换机或计算机已经做好了相应 的平安措施； 、检查通过远程维护 Modem等通信设备是否平安； 、验证远程拨号认证； 、测试本地拨号认证；5、无线平安风险评估中 802.11a/b/g 无线网络平安风险评估的评估任务由于 802.11a/b/g 无线网络技术越来越成熟， 越来

45、越多的机构开场使用它。 但 是，由于 802.11a/b/g 无线网络技术的开放性，且大多数使用没有对其默认设置做相应的平安修改， 或者设置的平安很少也很弱， 从而造成 802.11a/b/g 无线网络带来的平安风险与它的功能一 样多。因此， 使用 802.11a/b/g 无线网络平安风险评估来识别无线网络中目前存在的平安 风 险，以便能采取更好的平安措施来降低无线网络应用带来的风险。完成 802.11a/b/g 无线网络平安风险评估工程，必需执行以下所有的评 估任务： 、检验机构是否已经有一个足够好的无线平安策略，来保证802.11a/b/g 无线网络的应用，同时评估 802.11a/b/g

46、 无 线网络的硬件和固件，以及更新状况等； 、对连接在目标无线网终上的无线设备进展全面的清查，评估访问控制，无线信号覆 盖的规定范围， 并确定 是否有能力防止无线信号超出规定的范围， 或者能够干扰超出的无线 信号； 、确定无线设备水平接入目标无线网络的访问控制能力，是否能够标识所有允许的接入点，以及是否能够即时识别非授权接入点，并能定位和拒绝它的接入； 、评估无线网络的配置、认证和加密方式； 、评估无线接入点的默认效劳设备标识符SSID已经更改； 、验证所有无线客户端已经安装了杀毒软件和防火墙等平安工具； 6、物理平安风险评估中物理平安访问控制的平安性测试的评估任务 物理平安访问控制的平安性测

47、试， 是用来检测物理方式直接接触机构中重要信 息资产时 是否符合平安要求的评估工程。要完成一次物理平安访问控制的平安性测试，就必需完成以 下所示的评估任务： 、枚举所有必需进展物理访问控制的区域； 、检查所有物理访问控制点的访问控制设备及其类型； 、检查触发警报的类型是否与说明的一致； 、 判断物理访问控制设备的平安级别； 、测试物理访问控制设备是否存在弱点和漏洞； 、测试物理访问控制设备是否可以被人为或其它方式失去检测能力；四、信息系统平安风险评估过程中应当遵守的规那么在对信息系统进展风险评估 过程中，以下的一些因素会给评估带来错误的结果：1、弱点扫描软件的误报和漏报；2、 系统本身设置对某

48、类事情做出固定的某种缺陷反响。当测试带有欺骗性设置的系统 时，常会对所有的评估事件做出某种指定的一样反响；3、 要评估的系统中存在某种已经指定对所有事件做出平安反响的设置。4、 在风险评估过程中收到了某个目标的回应，但这个回应并不是真的来自实际的评估目 标，而一些没有经历的风险评估人员， 对出现这 样的假象不能正确识别， 从而造成错误的结 果；5、 风险评估工具设备本身存在问题，就可能出现错误的回应。 以及当风险评估的以太网 路出现高噪 音，或者存在干扰目标无线网络信号的设备时，都会出现错误的结果；6、 当风险评估过程中的某个环境得到了错误的结果，但是没有及时识别和重新评估， 而其后的评估工作却使用这个错误的结果作为评估条件，这样一来，就会让这种错误继承下 去，造成得到一个错误的最终风险评估结果；结果。7、风 险评估必需由人来执行，由于风险评估人员的技术水平，经历值的上下，以及他 们的评估态度，对风险评估的理解的各不一样等因素，都有可能造成错误的风险评估由于上述原因得到的