风险评估报告

风险评估过程主要包括：“数据米集、安全评测、安全分析、报告处理”一、数据采集方法有：问卷调查、人员访谈、漏洞扫描、渗透性测试等1问卷调查：下图是微软的MicrosoftSecurityAssessmentTool一款风险评估应用程序，目的是提供一些与信息技术 （IT）基础架构中的安全最佳经验有关的信息和建议。此应用程序是专为拥有50到500台台式机和（或）100至U1,000名员工的组织设计的。它首先采集一些信息（已问卷调查的形式），如下图所示。通过填写一些配置信息（图左上），然后通过它的一套算法最后生成一个报告。

Microsoft"SecurityAssessmentTool公司名称:您公司使用的台式机m公司名称:您公司使用的台式机m便寧式公司设置基本信息请在开始设憲业务风险配置文件之前回答这些问题'显示〜衣忙绝不会共亨您公司的名称.少于50台50到149台'150到299台■'300到399台400到500台・參于50D台您公司使用的月员务器数星;「0台服务器厂1到5厂6到10俗11到25■-參于25台产生的分析报表:风险•防御分布■BRP■DiDI2、 人员访谈也可以以调查问卷的形式作为系统参数的输入配置3、 漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得，输入本系统二、安全评测、安全分析、报告处理等都属于本系统的功能，并采用前面数据采集得到的数据目前常见的自动化风险评估工具还包括：CORACORA(Cost-of-RiskAnalys)是由国际安全技术公司(InternationalSecurityTechnology,Inc.www.ist-usa.corm开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据 ，为组织的风险管理决策支持提供准确的依据。ASSET ASSET(AutomatedSecuritySelf-EvaluationTool)是美国国家标准技术协会(NationalInstituteofStandardandTechnology,NIST)发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与 NISTSP800-26指南之间的差距。NISTSpecialPublication800-26，即信息技术系统安全自我评估指南(SecuritySelf-AssessmentGuideforInformationTechnologySystems为组织进行IT系统风险评估提供了众多控制目标和建议技术。ASSET是一个免费工具，可以在NIST的网站下载：。CRAMM CRAMM(CCTARiskAnalysisandManagementMethod是由英国政府的中央计算机与电信局(CentralComputerandTelecommunicationsAgencyCCTA于1985年开发的一种定量风险分析工具，同时支持定性分析。经过多次版本更新(现在是第四版)，目前由Insight咨询公司负责管理和授权。CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法，适用于各种类型的信息系统和网络，也可以在信息系统生命周期的各个阶段使用。 CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价、威胁和弱点评估、选择合适的推荐对策这三个阶段。CRAMM与BS7799标准保持一致，它提供的可供选择的安全控制多达3000个。除了风险评估，CRAMM还可以对符合ITIL(ITInfrastructureLibrary)指南的业务连续性管理提供支持。COBRA COBRA(Consultative,ObjectiveandBi-functionalRiskAnalys)s是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据，并对组织的风险进行定性分析，最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA还支持基于知识的评估方法，可以将组织的安全现状与ISO17799标准相比较，从中找出差距，提出弥补措施 。C&A公司提供了COBRA试用版下载：/cobdown.htm。术语简称:可以用微软的那种方式采集得到，下面简称 micro-style下面是我们产生的评估报告大体的初步的框架风险评估报告风险评估项目概述1.1工程项目概况(micro-style)1.1.1建设项目基本信息1.1.2建设单位基本信息风险评估的目标三、 风险评估的依据（技术标准及相关法规文件）四、 风险评估的范围（评估对象）3.1评估对象构成及定级网络结构（micro-style）322业务应用（micro-style）333子系统构成及定级 （在3.1.1和3.2.2基础上根据国家标准对该系统安全等级定级，不同的等级采用不同的安全评估方法，最后采取的措施也不一样）3.2评估对象等级保护措施（已米取的安全措施）（micro-style）五、 风险评估的内容3.1资产识别（对组织有价值的信息或资源）资产种类（micro-style）数据（保存在信息媒介上的各种数据资料）软件（系统软件、应用软件、源程序）硬件（网络设备、计算机设备、存储设备、安全设备、其他）服务（信息服务、网络服务、办公服务）人员（掌握重要信息和核心业务的人员）其它3.1.2资产赋值（最终得到一个资产赋值列表）通过一定的算法3.121资产完整性赋值3.122资产可用性赋值资产保密性赋值3.1.3关键资产说明（得出关键资产列表）3.2威胁识别威胁来源（micro-style）环境因素（环境危害或自然灾害、软硬件通信线路方面的故障等）人为因素（恶意人员、非恶意人员）3.2.3威胁源描述与分析威胁源分析（软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改抵赖）（威胁源分析表）（micro-style）威胁行为分析（威胁行为分析表）3.2.2威胁赋值（通过一定的算法）3.3脆弱性识别3.3.1技术脆弱性（漏洞扫描器、渗透性工具等得到的数据->micro-style）物理环境的脆弱性331.2网络结构331.3系统软件应用中间件应用系统管理脆弱性（micro-style）技术管理组织管理3.3.3脆弱性赋值六、 风险分析4.1风险评估模型（通过不同的风险评估模型得到的系统安全等级是不一样的）4.2风险结果判断（等级评定，采用中国标准）七、 风险导致的可能事件 （可以涵盖在威胁、脆弱性章节中）八、 风险补救措施（处理计划，依据是中国国家标准）九、 附录统计图表等信息（柱形图等）本系统采用典型的基于知识的分析方法和定量、定性分析方法图表生成、趋势分析……简单报告的生成详细报告的生成出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。宫中府中，俱为一体；陟罚臧否，不宜异同。若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰 能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。先帝在时,每与臣论此事，未尝不叹息痛恨于桓、灵也。侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也k!T臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。后值倾覆，受任于败军之际，奉命于危难之间，尔来二十有一年矣。先帝知臣谨慎，故临崩寄臣以大事也。受命以来，夙夜忧叹，恐托付不效，以伤先帝之明；故五月渡泸，深入不毛