风险评估报告

理”一、数据采集方法有：问卷调查、人员访谈、漏洞扫描、渗透性测试等1MicrosoftSecurityAssessmentTool一款风险评估应用程序，目的是提供一些与信息技术(IT)基础架到500台台式机和（或）100到1,000名员工的组织设计的。它首先采集一些信息（已问卷调查的形式），如下图所示。通过填写（图左上产生的分析报表：2、人员访谈也可以以调查问卷的形式作为系统参数的输入配置3、漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得，输入本系统二、安全评测、安全分析、报告处理等都属于本系统的功能，并采用前面数据采集得到的数据目前常见的自动化风险评估工具还包括：CORACORA（Cost-of-Risk是由国际安全技术公司（InternationalSecurityTechnologyInc组织的风险管理决策支持提供准确的依据。ASSET——ASSET（AutomatedSecuritySelf-Evaluation是美国国家标准技术协会（NationalInstituteofStandardandTechnology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与 NIST SP800-26 指南之间的差距。SpecialPublication 800-26，即信息技术系统安全自我评估指南（Securityerny，为组织进行T系统风险评估提供了众多控制目标和建议技术ASSET是一个免费工具可以在NIST的网站下载：。CRAMM——CRAMM（CCTARiskAnalysisandManagementMethod）是由英国政府的中央计算机与电信局（CentralComputerandTelecommunications于1985年开发的一种定量风险分析工具，同时支持定性分经过多次版本更（现在是第四版目前由Insight咨询公司负责管理和授权CRAMM是一种可以评估信息系统风险并确定恰当对策的结构化方法适用于各种类型的信息系统和网络也可以在信息系统生命周期的各个阶段使用CRAMM的安全模型数据库基于著名的“资产/威胁/弱点”模型，评估过程经过资产识别与评价威胁和弱点评估选择合适的推荐对策这三个阶段CRAMM与BS7799标准保持一致它提供的可供选择的安全控制多达3000个除了风险评估还可以对符合ITIL（ITInfrastructureLibrary）指南的业务连续性管理提供支持。COBRA——COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）是英国的C&A系统安全公司推出的一套风险分析工具软件，它通过问卷的方式来采集和分析数据并对组织的风险进行定性分析最终的评估报告中包含已识别风险的水平和推荐措施。此外，COBRA还支持基于知识的评估方法，可以将组织的安全现状与ISO17799标准相比较，从中找出差距，提出弥补措施。C&A公司 提 供 了 COBRA 试 用 版 下 载 ：。术语简称：可以用微软的那种方式采集得到，下面简称micro-style下面是我们产生的评估报告大体的初步的框架风险评估报告一、风险评估项目概述工程项目概况（micro-style）建设项目基本信息建设单位基本信息二、风险评估的目标三、风险评估的依据（技术标准及相关法规文件）四、风险评估的范围（评估对象）评估对象构成及定级网络结构（micro-style）3.2.2业务应用（micro-style）3.3.3子系统构成及定级（在3.1.1和3.2.2基础上根据国家标准对该系统安全等级定级，不同的等级采用不同的安全评估方法，最后采取的措施也不一样评估对象等级保护措施（已采取的安全措施）（micro-style）五、风险评估的内容资产识别（对组织有价值的信息或资源）资产种类（micro-style）数据（保存在信息媒介上的各种数据资料）软件（系统软件、应用软件、源程序）硬件（备、安全设备、其他）（）（掌握重要信息和核心业务的人员）其它（最终得到一个资产赋值列表）通过一定的算法资产完整性赋值资产可用性赋值资产保密性赋值关键资产说明（得出关键资产列表）威胁识别威胁来源（micro-style）环境因素（件通信线路方面的故障等）人为因素（恶意人员、非恶意人员）威胁源描述与分析威胁源分析（软硬件故障、物理环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改抵赖（表（micro-style）威胁行为分析（威胁行为分析表）3.2.2威胁赋值（通过一定的算法）脆弱性识别技术脆弱性（的数据->micro-style）物理环境的脆弱性网络结构系统软件应用中间件应用系统管理脆弱性（micro-style）技术管理组织管理六、风险分析风险评估模型（安全等级是不一样的）风险结果判断（等级评定，采用中