国内网络安全风险评估市场与技术操作

1、国内网络安全风险评估市场与技术操作 HYPERLINK /wlj.asc.txt 吴鲁加 04/19/2004 个人主页： HYPERLINK / / 网络日志： HYPERLINK /wlj/ /wlj/版本控制v0.1 04/01/20004 文文档创建建，包含含大量示示例文件件内部发发布v0.2 04/19/20004 删删除部份份敏感信信息，增增加国内内市场分分析、BBS77799和和OCTTAVEE概述后后，对外外发布近两年网络络安全风风险评估估渐渐为为人们所所重视，不不少大型型企业尤尤其是运运营商、金金融业都都请了专专业公司司进行评评估。本本文提出出作者个个人对国国内安全全风险评评

2、估操作作的一些些评价，并并试图阐阐述作者者所理解解的，可可裁剪、易易操作的的风险评评估方式式。由于于内容与与商业公公司有关关，因此此不可避避免会涉涉及部份份商业利利益，在在文中作作者尽量量隐去可可能产生生直接利利害关系系的文字字，并声声明所有有评价纯纯属个人人观点，如如果你有有不同意意见，欢欢迎来函函探讨。1. 什么么是风险险评估说起风险评评估，大大家脑海海中首先先浮现的的可能是是：风险险、资产产、影响响、威胁胁、弱点点等一连连串的术术语，这这些术语语看起来来并不难难理解，但但一旦综综合考虑虑就会象象绕口令令般组合合。比如如风险，用用ISOO/IEEC TR 133335-1:119966中的

3、定定义可以以解释为为： 特特定威胁胁利用某某个(些些)资产产的弱点点，造成成资产损损失或破破坏的潜潜在可能能性。为了帮助理理解，我我们举一一个下里里巴人的的例子：我口袋袋里有1100块块钱，因因为打瞌瞌睡，被被小偷偷偷走了，搞搞得晚上上没饭吃吃。用风险评估估的观点点来描述述这个案案例，我我们可以以对这些些概念作作如下理理解：风险 = 钱被偷偷走资产 = 1000块钱影响 = 晚上没没饭吃威胁 = 小偷弱点 = 打瞌睡睡回到阳春白白雪来，假假设这么么个案例例：某证证券公司司的数据据库服务务器因为为存在RRPC DCOOM的漏漏洞，遭遭到入侵侵者攻击击，被迫迫中断33天。让我们尝试试做一道道小学时

4、时常做的的连线题题，把左左右两边边相对应应的内容容用线段段连接起起来：风险RRPC DCOOM漏洞洞资产服服务器遭遭到入侵侵影响数数据库服服务器威胁入入侵者弱点中中断三天天如果这道题题对你没没什么难难度，那那么恭喜喜你，你你已经和和国内大大多数风风险评估估的操作作者差不不多站在在同一个个起跑线线上了。2. 国内内现有风风险评估估操作模模式2.1 评评估市场场和竞争争分析如果按照高高、中、低低端简单单对国内内的风险险评估市市场进行行分类，那那么我们们可以很很清晰地地看到，几几类市场场的操作作方式完完全不同同。国内高端市市场主要要被如IIBM(普华永永道)、毕毕马威这这样类型型会计师师事务所所类型

5、的的公司占占领，往往往网络络安全评评估就涵涵盖在他他们的整整个审计计体系之之下。中中端市场场上则盘盘踞着国国内外大大多数较较有实力力的网络络安全公公司，其其中包括括较早提提出安全全评估并并且在运运营商市市场有比比较好的的实践的的安氏、有有作风稳稳健但却却一步一一个脚印印打下大大片疆土土的启明明星辰、也也有异军军突起极极具竞争争力的绿绿盟科技技低端端厂商则则数量庞庞大，往往往只是是通过简简单的漏漏洞扫描描、病毒毒查杀等等方式操操作。2.2 主主要中端端厂商的的评估模模式分析析以下分析中中的数据据来源为为笔者在在从事网网络安全全评估实实践时通通过各种种渠道获获得。但但由于信信息的时时效性，未未能确

6、认认当前文文中所进进行的表表述与分分析就代代表着各各家企业业的最新新评估发发展状态态。希望望读者自自行鉴别别。2.2.11 启明明星辰启明星辰220022年之前前始终比比较低调调，但风风险评估估项目从从最初对对某证券券公司进进行的纯纯粹漏洞洞扫描、人人工审计计、渗透透测试这这种类型型的纯技技术操作作到套用用BS777999到采用用OCTTAVEE方法再再到最终终形成自自己的网网络安全全风险评评估的方方法论、操操作模型型，有很很多专业业人员付付出了大大量劳动动。下图图是启明明星辰的的幻灯片片中摘录录的，他他们评估估发展的的历程，在在每个台台阶上有有该阶段段所经过过的项目目名称，出出于安全全原因隐

7、隐去。业务参与性性弱、解解决方案案可操作作性差往往往也是是高要求求的用户户对风险险评估队队伍批评评较多的的地方，但但从启明明星辰近近期在几几家大型型客户那那里的操操作来看看，较受受客户好好评。启明星辰有有较多在在风险评评估中可可以应用用的工具具：天镜评估版版：扫描描器，有有专门用用于风险险评估的的版本。 天清：又名名SRCC，指SSecuuritty RRiskk Maanagge，基基于ISSO1777999的量化化、可视视化的评评估工具具。 信息库：名名称不详详，能够够直接导导入天镜镜、Neessuus、IISS等等扫描器器的扫描描结果并并生成报报告。据据说是较较好的安安全评估估过程辅辅助

8、工具具。 本地评估软软件包。 我理解的启启明星辰辰风险评评估特点点为：博采众长 这一方面与与启明星星辰参与与部份安安全行业业国家标标准的制制订有关关，另一一方面则则是他们们有着较较多高学学历员工工，对高高端咨询询类型的的提炼、深深化抓得得比较好好，对评评估要求求看得透透彻，写写得清楚楚。变化较快 这可以说既既是优点点，也是是缺点。在在每次较较大的评评估项目目中他们们一般都都要求有有所突破破。这逼逼着他们们去创新新，但同同时也导导致评估估的方法法论很容容易有变变动。2.2.22 绿盟盟科技绿盟科技从从最初参参与中国国电信评评估项目目开始走走进安全全评估领领域，挟挟其强大大的系统统研究技技术优势势

9、进入市市场。下下图是他他们一份份讲稿中中的评估估流程描描述：我对绿盟科科技风险险评估方方法的总总体评价价是：它它是专业业的系统统和网络络安全评评估，不不是信息息安全评评估，具具体有如如下几点点：项目可操作作性强 管理评估存存在不足足，风险险计算方方式不够够科学 技术弱点把把握精确确 2.2.33 安氏氏安氏在国内内较早从从事网络络安全风风险评估估项目的的操作，做做过较大大的评估估项目(包括顾顾问咨询询)有：中国移移动CMMNETT全网网网络安全全评估项项目、天天津电力力公司安安全咨询询项目、中中国电信信IP网网安全咨咨询顾问问项目、上上海移动动bosss系统统安全咨咨询顾问问项目、深深圳华为为

10、科技公公司安全全咨询顾顾问项目目等。个人理解，220011年前后后，ISS-ONNE的评评估在国国内较为为领先，一一方面是是他们与与国外公公司的沟沟通较密密切，另另外其高高管层对对风险评评估、BBS77799比比较重视视。但到到了20003年年，安氏氏整体战战略转型型，产品品方面一一边中止止与ISSS合作作，一面面高调宣宣传做自自主产品品，SOOC大集集成成为为其主推推概念，在在风险评评估领域域的方法法论却缺缺乏创新新和突破破。安氏氏的安全全风险评评估有几几大优势势：项目管理较较为专业业 下图是从安安氏给某某用户汇汇报时pppt的的摘录，是是他们项项目管理理的过程程。文档体系比比较规范范 这可

11、能与安安氏的部部份高管管强执行行力和国国外背景景有一定定关系。他他们较为为注重方方案、咨咨询建议议等经验验的可复复用，当当然，这这同时也也容易造造成他们们考虑问问题简单单化，对对小客户户容易用用大企业业的方案案来裁剪剪套用。就就现在他他们做过过的项目目来看，至至少有以以下标准准方案的的积累：安全策略评评估及建建议报告告安全解决方方案本地风险评评估报告告远程风险评评估报告告网络安全现现状报告告网络安全解解决方案案建议扫描评估申申请报告告模版数据库扫描描申请报报告系统扫描申申请报告告网络扫描申申请报告告这里列举一一份安氏氏的售前前方案目目录，相相信内行行人能看看出一些些门道来来吧 ;)第 1 章章

12、 概述述1.1 项目概概述1.2 项目目目标1.2.44 评估的的方式1.3 评估遵遵循的原原则1.3.11 保密原原则1.3.22 标准性性原则1.3.33 规范性性原则1.3.44 可控性性原则1.3.55 整体性性原则1.3.66 最小影影响原则则1.4 风险评评估模型型1.4.11 背景和和假设1.4.22 概述1.4.33 资产评评估1.4.44 威胁评评估1.4.55 弱点评评估1.4.66 风险评评估1.5 资产识识别和赋赋值1.5.11 信息资资产分类类1.5.22 信息资资产赋值值1.6 主要评评估方法法说明1.6.11 工具评评估1.6.22 人工评评估1.6.33 安全审

13、审计1.6.44 网络架架构分析析1.6.55 策略评评估1.7 项目承承诺1.8 项目组组织结构构第 2 章章 项目目范围和和评估内内容第 3 章章 项目目阶段详详述3.1 第一阶阶段项项目准备备和范围围确定3.2 第二阶阶段-项项目定义义和蓝图图3.3 第三阶阶段-风风险评估估阶段3.3.11 集团公公司层面面评估子子项目3.3.22 省网层层面评估估子项目目3.3.33 安全信信息库开开发子项项目3.3.44 安全评评估风险险规避措措施3.3.55 需要客客户配合合的工作作3.3.66 安全信信息库系系统原型型概要设设计3.4 第四阶阶段综综合评估估和策略略阶段3.4.11 报告和和建议

14、的的形成3.4.22 XXXXX网网络安全全现状报报告3.4.33 XXXXX网网络安全全策略改改进建议议3.4.44 XXXXX网网络安全全解决方方案建议议3.5 第五阶阶段项项目评审审阶段3.5.11 验收方方法和内内容3.5.22 验收标标准和流流程3.6 支持和和售后服服务3.6.11 安氏客客户服务务体系简简介3.6.22 安氏（中中国）的的客户服服务对象象3.6.33 安氏（中中国）客客户服务务中心组组织结构构3.6.44 安氏（中中国）的的服务特特点3.6.55 服务保保证体系系CRMM3.6.66 在本项项目中所所提供的的支持服服务3.6.77 安全通通告服务务第 4 章章 项

15、目目质量保保证和管管理4.1 配置管管理4.2 变更控控制管理理4.3 项目沟沟通4.4 记录和和备忘录录4.5 报告4.6 项目协协调会议议第 5 章章 项目目质量控控制第 6 章章 技术术培训6.1 安全管管理培训训（ISSO 1177999）6.2 评估方方法培训训6.3 评估结结果及漏漏洞修补补方法培培训6.4 安全信信息库系系统培训训第 7 章章 项目目软硬件件需求清清单另外，安氏氏的信息息库也能能成为他他们在风风险评估估中一项项有力的的武器。2.2.44 其它它这里所指的的其它公公司，大大部份是是实力较较强的企企业，如如联想之之流，介介入安全全行业并并凭借良良好的渠渠道和合合作伙伴

16、伴关系，打打开一定定的局面面者。需需要指出出的是安安络科技技，公司司不大，但但历经风风雨，还还能够在在行业中中有一定定位置。但是对于风风险评估估，则归归类到这这里的企企业多数数缺乏自自己的风风格，甚甚至评估估只是他他们很小小的“副业”，因此此在他们们的方案案或幻灯灯片中，常常见到的的是各种种标准的的流程、关关系图等等等，如如下面这这两副：几乎在所有有企业的的的风险险评估方方案中，我我都看到到上面的的那副安安全风险险关系图图，当然然有些公公司做了了某些修修改、美美化以强强调自己己的理解解、突出出自己评评估方法法中的核核心部份份，比如如下面这这张启明明星辰的的安全风风险关系系图： 亿阳信信通他们的

17、所有有业务流流程包括括：信息息资产的的界定、策策略文档档分析、安安全审计计、网络络结构的的评估、业业务流程程分析、安安全技术术性弱点点的评估估、安全全威胁的的评估、现现有安全全措施评评估、安安全弱点点综合评评估、安安全威胁胁综合分分析、综综合风险险分析。采采用的评评估方法法包括五五种：工工具远程程/本地地评估、人人工评估估、白客客测试、安安全问卷卷、顾问问访谈。使我印象深深刻的是是，他们们对方案案中大多多数项目目都有比比较严格格的过程程说明、参参与人员员说明、主主要评估估方式、输输入、输输出、参参考规范范和标准准。比较较严谨。 亚信科科技有着深厚运运营商行行业的优优势，其其曾经的的子公司司玛赛

18、有有过相当当不错的的成绩。从从他们的的几个方方案中分分析，亚亚信对风风险评估估的研究究并不深深入，仅仅是简单单抄了一一堆基本本风险评评估法、详详细风险险评估法法、综合合风险评评估法等等的概念念。他们们的评估估分为六六大部份份：资产产、脆弱弱性、威威胁、影影响、安安全措施施评估、风风险评估估。风险险评估是是对前五五者的综综合，其其中的安安全措施施估计是是自己增增加的。我我理解起起来整体体思路感感觉比较较混乱。 华为华为的部份份合作风风格一直直令人左左右为难难他们们有庞大大而有力力的销售售队伍、运运营商方方面良好好的合作作背景，这这些都诱诱惑着其其它厂商商与之合合作。但但华为的的高速发发展和发发展

19、过程程的调整整，却往往往令合合作伙伴伴有些进进退维谷谷。仅以以防火墙墙市场为为例，华华为曾经经因为要要选择合合作伙伴伴，广邀邀防火墙墙厂商进进行产品品测试，对对各种产产品的功功能、性性能指标标、技术术特点都都了如指指掌。但但20003年华华为推出出了自己己的防火火墙产品品。2003年年可以说说是华为为将安全全由内部部建设转转向往外外部推动动的转折折年。原原因或许许是他们们发现他他们的主主要客户户运营商商已经把把安全门门槛提高高了，与与其很费费劲地迈迈这个门门槛，不不如在自自已的产产品和集集成基础础上造一一个高门门槛。华为的评估估与其它它安全公公司的评评估侧重重点略有有不同，更更侧重于于网络架架

20、构和应应用评估估(可能能是他们们这方面面的人才才更多的的缘故)。20003年年市场上上也略有有斩获。 联想联想的网络络安全事事业部和和他们网网御系列列的安全全产品一一直令我我很迷惑惑为什什么联想想投资一一方面注注资绿盟盟科技，另另一方面面却自己己力图创创立安全全产品和和服务品品牌？从从目前的的情形来来看，网网御防火火墙已经经在市场场上取得得不错的的销售成成绩，网网御入侵侵检测也也初露头头角。但但笔者个个人测试试，这两两款安全全产品从从功能、性性能上来来说都远远离联想想的大厂厂商风范范。安全服务和和风险评评估方面面，联想想介入市市场比较较迟，但但由有几几位掌握握方面论论和攻击击渗透的的安氏员员工

21、的加加盟(由由此也可可见安氏氏的方法法论积累累很不错错;)，他们们很快站站在前人人的基础础上号称称有了一一套自己己的标准准方法和和操作流流程。 安络科科技安络科技创创立伊始始，在国国内的网网络安全全界有比比较高的的知名度度。但多多年来始始终偏安安于深圳圳，失去去了飞速速增长的的机会。因因此被从从国内安安全厂商商的第一一梯队挤挤出。在他们的很很多方案案中，同同时包括括了评估估建议书书和中长长期安全全规划建建议。他他们的远远程风险险评估乏乏善可陈陈，本地地风险评评估分得得很细，包包括实施施安全、平平台安全全、数据据安全、通通信安全全、应用用安全、运运行安全全、管理理安全的的评估。但但在可操操作性方

22、方面下的的功夫还还不够。2.3 部部份低端端厂商的的评估模模式部份低端评评估厂商商在市场场上不但但存在，而而且有很很大的生生存空间间。他们们的目标标客户群群体是小小型企业业。不会会为评估估花费太太多的精精力和金金钱，安安全也只只需要简简单达到到某一基基线即可可。通常这些厂厂商的做做法快速速简洁：漏洞扫描 - 远程程扫描报报告抽样人工审审计 - 人人工审计计报告抽样病毒扫扫描与查查杀 - 病毒毒监测报报告之后就可以以坐地分分金了，这这种操作作模式仅仅需要少少数技术术骨干就就能很好好地进行行。3. BSS77999和OOCTAAVE3.1 BBS77799的的优势和和弱点要初步了解解BS77799

23、9，我觉觉得从两两个角度度入手了解BS777999的安全全管理流流程，也也就是建建立信息息安全管管理体系系的方法法和步骤骤 系统了解BBS77799中中提到的的10类类1277个控制制项的内内容 并且能够在在此基础础上针对对不同行行业选择择(甚至至新增)控制项项。就如如最近移移动集团团提出的的NISSS(网网络与信信息安全全标准)一样。 个人感觉BBS77799的的最大缺缺陷就在在于可操操作性不不强，如如果仅仅仅按BSS77999的要要求操作作(类似似ISOO90000的评评审)，有有可能最最终达不不到初始始的安全全目标。这这或许也也是BSS77999和IISO1177999呼声声很高，但但实

24、际应应用或者者通过评评审的企企业并不不多的原原因之一一。作为为参考，这这里给出出一份ssanss提供的的 HYPERLINK /files/RiskEvaluation/files/BS7799_audit_checklist.pdf BS777999检查列列表。3.2 OOCTAAVE的的有效补补充所谓OCTTAVEE，实际际上是OOperratiionaallyy Crritiicall Thhreaat, Assset, annd VVulnneraabillityy Evaaluaatioon的缩缩写，指指的是可可操作的的关键威威胁、资资产和弱弱点评估估。在我我的理解解中，OOCTAA

25、VE首首先强调调的是OO，其次次是C，也也就是说说，它最最注重可可操作性性，其次次对关键键性很关关注，把把握800/200原则 :)简单描述我我理解OOCTAAVE的的几个重重点(实实际上在在OCTTAVEE中的每每个环节节都是不不可忽视视的，这这里所说说的几个个重点是是我认为为OCTTAVEE较好、或或者评估估过程中中比较关关键的部部份环节节)：过程控制(整体) OCTAVVE将整整体网络络安全风风险评估估过程分分为三个个阶段九九个环节节，分别别是：阶段一：建建立基于于资产的的威胁配配置文件件01. 标标识高层层管理知知识02. 标标识业务务区域知知识03. 标标识一般般员工知知识04. 建

26、建立威胁胁配置文文件阶段二：标标识基础础结构的的弱点05. 标标识关键键资产06. 评评估选定定的资产产阶段三：确确定安全全策略和和计划07. 执执行风险险分析8A. 开开发保护护策略AA8B. 开开发保护护策略BB下图是CEERT在在为一家家医院进进行风险险评估时时的进程程时间表表，我们们可以作作为参考考。创建威胁统统计(pproccesss 4) 这个过程实实际上完完成两件件事，一一是对前前面三个个过程中中收集的的数据进进行整理理，使数数据分析析清晰。二二是能够够通过分分析资产产的威胁胁，创建建重要资资产及资资产面临临威胁的的全局视视图。从下图我们们可以看看到，OOCTAAVE对对某一资资

27、产的资资产、访访问、动动机、参参与者和和结果都都进行了了分析(该图仅仅是针对对一项资资产个人计计算机，和和一种访访问网络而而建立的的威胁视视图)，这这种方式式的确有有助于我我们看清清企业内内部的威威胁情况况。识别关键资资产(pproccesss 5) 也是第一阶阶段的延延续，按按OCTTAVEE的说法法，分成成两步：标识组组件的关关键种类类和标识识要分析析的基础础结构组组件。如如果从操操作灵活活性考虑虑，我们们也可以以在阶段段一的时时候为资资产和知知识标识识出CIIA(机机密性、完完整性和和可用性性)，通通过对CCIA的的综合运运算得出出最终结结论。进行风险分分析(pproccesss 7)

28、与创建威胁胁统计中中的威胁胁视图相相对应，在在这里需需要标识识出威胁胁可能造造成的影影响。要要注意到到的是，风风险分析析并非仅仅象下图图那样是是单一的的，而是是多种系系统之间间可能交交叉影响响，因此此这个视视图最终终完成后后将会是是很大的的一张图图表。4. 中小小企业的的特点和和对OCCTAVVE的重重新评价价4.1 中中小型企企业和大大型企业业在评估估活动中中的异同同点最直接的想想法，大大型企业业和中小小型企业业对安全全的关注注要点是是否完全全相同？又是否否完全不不同？哪哪些在大大型企业业中做过过的事是是可复用用的？我我很少看看到关于于这些方方面的讨讨论，因因此也想想在这里里将问题题提出，并

29、并给出我我的粗浅浅考虑，希希望能够够引玉。相同点(可可以复用用的部份份) 1. 资产产评估资产调查表表格资产属性和和赋值调调研表格格与方法法关键资产的的调查方方法2. 威胁胁评估(部份中中小企业业甚至可可以不用用进行)BS77999评审审表OCTAVVE威胁胁分析方方法和视视图事件分析方方法3. 弱点点评估远程扫描方方法和工工具人工审计方方法和工工具渗透测试方方法和工工具4. 风险险分析现有风险视视图提炼炼方法和和报告不同点(需需要单独独开发调调研的部部份) 1. 资产产评估资产报告(不同行行业、规规模的企企业，关关键资产产有很大大区别)2. 威胁胁评估面临的威胁胁面比小小企业更更广3. 弱点

30、点评估风险规避措措施4. 风险险分析针对组织特特点的解解决方案案管理制度和和策略框框架4.2 重重新评价价OCTTAVEE通过对OCCTAVVE的初初步学习习，我们们可以认认识到它它具有许许多BSS77999的所所缺乏的的可操作作性方面面的特点点，但离离完美还还有一定定距离，简简单谈几几点不足足：过份强调对对大企业业的评估估活动，评评估流程程比较繁繁琐，完完整视图图建立不不易操作作，要求求组织中中多人参参与。 风险控制行行动列表表粒度较较粗，与与企业后后续安全全建设的的实际工工作有一一定距离离。 由于强调了了操作，执执行时所所依据的的标准就就相对简简单(可可能有主主观臆断断的因素素在内)。 任

31、何事物，就就算非常常优秀，也也都不能能全盘照照搬，是是需要批批判接受受的，从从上面对对BS777999和OCCTAVVE的简简单分析析，你是是否能够够提炼出出你自己己的评估估方法？5. 如何何制订最最适合您您企业的的风险评评估计划划这里考虑采采用一个个小企业业的评估估实例来来说明制制订适合合自身当当前状态态的企业业风险评评估的方方法。由由于暂时时没有适适合的案案例提供供，因此此留待下下一版本本完善。6. 实施施过程简简述6.1 定定义阶段段实际上是售售前工作作的延续续，即明明确项目目范围，清清晰界定定用户的的需求。这这点看似似简单，但但实际操操作者却却需要相相当有经经验，能能够判断断自己所所拥

32、有的的资源;能够在在既定时时间内完完成多少少工作;能够与与客户有有技巧地地谈判将将其需求求控制在在最恰当当的水平平并维持持到项目目结束。我们在这里里列出了了五个模模块：前前期交流流、初步步方案、投投标方案案、答标标文档和和参考报报价。按照实际项项目操作作流程，在在售前阶阶段这五五个模块块的工作作应该完完整进行行一遍。进进入项目目定义阶阶段时，实实际上用用户已经经对网络络安全风风险评估估有了一一定了解解，并且且比较清清楚自己己的网络络环境需需要评估估到什么么程度，因因此本阶阶段用户户会就投投标方案案要求厂厂商进行行进一步步描述，并并且就他他们感兴兴趣的细细节进行行展开。6.2 蓝蓝图阶段段双方拟

33、定项项目的详详细进度度计划，建建议在计计划过程程中至少少要包含含下面几几部份内内容：问问题描述述、目标标和范围围、SWWOT分分析、工工作分解解、里程程碑和进进度计划划、双方方资源需需求、变变更控制制方法。在蓝图阶段段中需要要召开蓝蓝图会议议，在会会议结束束后，必必须在双双方认可可的基础础上制订订并签署署项目蓝蓝图，后后续一切切工作严严格按蓝蓝图进行行。评估项目对对客户的的知识水水平要求求较高，通通常在项项目前期期需要就就评估方方法进行行培训，建建议在蓝蓝图阶段段完成项项目的培培训工作作。另外需要提提醒的是是，由于于多数企企业的资资产并没没有很好好地理顺顺，因此此资产评评估的前前期协调调工作如

34、如果能够够尽早开开始，可可以有效效地保证证项目的的时间。6.3 执执行阶段段这是最关键键的阶段段，绝大大多数操操作都在在这一阶阶段完成成，我们们可以再再将这一一阶段细细分为四四个环节节，分别别如下： 资产评估(可以远远程完成成) 系统和业务务信息收收集资产列表资产分类与与赋值资产报告资产评估的的内容并并不复杂杂，在这这部份工工作中，重重点在于于与客户户共同进进行资产产的分类类与赋值值。同时时需要注注意控制制资产评评估的完完成时间间，因为为明确资资产后才才能有效效进行后后续的威威胁与弱弱点评估估，否则则容易导导致事倍倍功半。威胁评估(本地完完成) IDS部署署搜集威威胁源收集并评估估策略文文档B

35、S77999顾问问访谈事件分析威胁报告威胁评估中中访谈占占了现场场工作的的最大部部份。但但由于现现阶段业业界对于于威胁的的界定存存在多种种标准，因因此可以以说威胁胁评估是是较难操操作的一一部份。建建议在实实施前先先参考威威胁评估估报告样样例。如果能够通通过访谈谈获取到到较为完完整的安安全事件件信息，则则可以考考虑将不不进行威威胁评估估，以更更能够清清晰分析析本质的的事件分分析代替替。弱点评估(本地完完成) 远程扫描人工审计渗透测试弱点报告弱点评估属属于纯技技术操作作，这里里不加详详述。风险分析和和控制(可以远远程完成成) 数据整理、入入库及分分析安全现状报报告安全解决方方案当现场工作作结束，基

36、基础数据据收集完完毕后，如如何对浩浩如烟海海的信息息进行提提炼和挖挖掘，其其中也有有很多技技巧。最最终的风风险分析析需要看看得清晰晰透彻，而而且方案案的表现现形式要要比较切切合客户户需求。解解决方案案就三个个字：可可操作。6.4 报报告阶段段在项目报告告阶段，所所有的现现场工作作和大部部份文档档工作已已经完成成，这时时的关键键任务是是：让用用户真正正理解并并且认可可我们的的工作成成绩。因因此这阶阶段建议议需要与与用户进进行深入入细致的的沟通(需要面面对面交交流，以以达到最最佳效果果)。报告阶段需需要注意意各种细细节调整整(有些些需要结结合项目目特点进进行考虑虑)，例例如：1.在报告告的最前前面

37、增加加“文档导导读”章节;2.将客户户方配合合工作人人员也写写入报告告作者;3.给领导导提供一一份简洁洁有力的的总结;4.等等6.5 售售后服务务按照Octtavee评估方方法的观观点，用用户在完完成一次次安全评评估之后后，相当当于获取取了其当当前风险险的快照照(Snnapsshott)，同同时也就就完成了了对其信信息安全全风险基基线的设设置。之之后，组组织必须须解决或或管理评评估过程程中标识识的优先先级最高高的风险险，并按按照开发发的解决决方案进进行风险险的控制制和消除除。但由于组织织的安全全状态会会随着时时间而发发生变化化，所以以必须通通过执行行另外一一次评估估定期地地为用户户重设基基线。所所以在这这里我们们可以按按照PDDCA循循环(PPlann、Doo、Chheckk、Acctioon)来来定义一一次评估估后的