学习信息系统安全风险评估应用

1、学习信息系统安全风险评估应用：基础知识在开始进行实际的信息系统安全风险评估操作前，先来了解一些有关信息系统安全风险评估的基础知识，明白一些与安全风险评估相关的术语，将有助于让你明了要如何才能完成一次信息系统安全风险评估。一、我们为什么需要信息系统安全风险评估很显然，当要我们很欣然地接受和使用某一种新技术来协助我们进行安全防范工作时，这种技术就必需有能够驱使我们去使用它的理由。这此理由也就是这种技术在某个安全防范方面的主要作用，而我们也就是冲它的这些主要作用才去使用它的。对于信息系统安全风险评估来说，我们在本文的开头中已经大概了解了他的定义，从它的定义当中，我们可以了解到风险评估可以在信息系统的

2、生命周期的各个阶段使用。由于信息系统生命周期的各个阶段的安全防范目的不同，致使使用风险评估的目的也各不相同，因此，信息系统生命周期每个阶段进行的风险评估产生的作用也各不相同。信息系统的生命周期分为设计、实施、运行维护和最终销毁这四个主要阶段，每个阶段进行相应的信息系统安全风险评估的主要作用如下所示：1、在信息系统生命周期的设计和实施阶段，使用信息系统安全风险评估可以起到了解目前系统到底需要什么样的安全防范措施，帮助制定有效的安全防范策略，确定安全防范的投入最佳成本，说服机构领导同意安全策略的完全实施等作用。2、在信息系统生命周期的运行维护阶段，使用信息系统安全风险评估可以起到如下的作用：（1）

3、了解防火墙、IDS及其它安全设备是否真的按原先配置的意图在运行，它们实际的安全防范效果是否有满足安全目标的要求；（2）了解安全防范策略是否切合实际，是否被全面执行；（3）检验机构内部员工的安全意识，网络操作行为及数据使用方式是否正常；（4）当信息系统因某种原因做出硬件或软件调整后，使用信息系统安全风险评估来确定原本的安全措施是否依然有效，如果不行，应当在哪些方面做出相应的修改等等。3、在信息系统生命周期的最终销毁阶段，可以使用信息系统安全风险评估来检验应当完全销毁的数据或设备，确实已经不能被任何方式所恢复；淘汰的信息系统中的设备确实已经被妥善保管，没有被流失出去的危险等作用。二、信息系统安全风

4、险评估的通用处理流程信息系统安全风险评估不是一个可以随意就能完成的任务，为了能保证风险评估按一定的方式有序、正确地执行，以及评估结果的真实有效；也为了能减少在风险评估过程中有可能产生的有意或无意错误；同时还为了提高风险评估的效率，缩短评估的时间，以减少对正常业务的影响。为信息系统安全风险的评估工作制定一个有效的处理流程是很有必要的。在现在出现了的一些信息系统风险评估标准中（例如我国，在2006年3月7日，由国务院信息化办公室印发的信息安全风险评估指南），已经提出了处理风险评估的通用流程。但是，这些通用的风险评估流程并不包括具体细节，你和你的风险评估团队应当根据需要评估的对象来自行决定。同时，我

5、们在风险评估过程中，还要以这些风险评估标准作为评估结果的参考标准，以便给出具体的风险评估值。在这里，我同样只给出这个通用信息系统安全风险评估流程的主框架，具体的处理细节会在第二节中详细说明。这个通彻的风险评估处理流程如下所示：1、信息系统安全风险评估准备阶段2、信息系统安全风险评估对象风险检测阶段3、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段4、后期安全维护阶段三、了解信息系统安全风险评估中的三个重要术语1、评估对象在信息系统安全风险评估过程中，我们首先要做的就是指定评估的具体对象，也就是限制评估的具体物理和技术范围。在信息系统当中，评估对象是与信息系统中的软硬件组成部分相对应

6、的。例如，信息系统中包括各种服务器、服务器上运行的操作系统及各种服务程序、各种网络连接设备、各种安全防范设备或应用程序、物理安全保障设备，这些都可以是构成独立的评估对象，甚至连使用这些信息系统的人也可以作为一个评估对象。总的来说，目前可以将整个计算机信息系统分为六个主要的评估对象：（1）、信息安全风险评估（2）、业务流程安全风险评估（3）、网络安全风险评估（4）、通信安全风险评估（5）、无线安全风险评估（6）、物理安全风险评估2、评估项目信息系统安全风险评估的评估项目是针对某个具体的评估对象来定的，用来决定评估对象具体要评估的某个方面，例如，对于物理安全风险评估，就需要对评估对象所在的周边环境

7、进行安全风险评估，以及对评估对象已经完成的物理安全措施进行风险评估等，这些就是信息系统安全的风险评估项目。每一个评估对象都有属于自己独特的评估项目，这是每个评估对象独特的属性所决定的。下面是六个主要的安全风险评估对象的主要评估项目的简短描述：（1）、信息安全风险评估的主要评估项目、信息的安全状况评估、信息的完整性审查、机密信息调查、网络操作痕迹信息检查、信息在使用过程中的安全性审查、隐私信息机密性审查、信息可控性审查、信息存储安全性审查（2）、业务流程安全风险评估的主要评估项目、业务流程安全现状评估、业务请求安全性审查、业务反请求安全性审查、业务处理流程安全性审查、业务处理人员可信赖性测试（3

8、）、网络安全风险评估的主要评估项目、网络安全现状评估、入侵检测审查、网络传输安全性评估、网络应用安全性评估、网络弱点及漏洞检测与验证、网络中交换机及路由器安全性评估、访问控制测试、主要网络攻击方式测试（如DOS）、网络行为审查、网络安全策略、警报和日志文件审查（4）、通信安全风险评估的主要评估项目、Modem等通信设备安全性检测、VOIP安全性评估、网络传真安全性评估、远程访问安全性评估、即时通信安全性评估（包括即时聊天、网络视频会议、网络远程监控等）（5）、无线安全风险评估的主要评估项目、电磁辐射测试、802.11a/b/g无线网络安全风险评估、蓝牙安全性评估、无线输入输出设备安全性测试、无

9、线手持设备安全性测试、无线设备接入或退出安全性测试、无线传输设备安全性测试、无线通信保密性测试、其它无线通信方式检测（如RFID及红外线连接等）（6）、物理安全风险评估的主要评估项目、物理安全现状评估、物理安全访问控制的安全性测试、物理监控设备运行审查、警报响应审查、物理安全防范位置审查、计算机系统所处位置周边物理安全审查、计算机系统所处位置当地自然条件、环境因素调查评估任务评估任务就是指要达到某个风险评估项目的评估目标时，要具体进行的所有评估操作任务。评估任务与每个评估项目相对应，具体的评估任务可以由你和你的团队根据实际需求来决定。评估任务制定得全不全面，切不切合实际，会直接影响到信息系统安

10、全风险评估的最终结果是否与风险评估的目标相一致。因此，当决定这些评估任务时，参与决定的人员不仅要有丰富的经验，而且手里要有充足的与评估对象相关的各种有效的资料；同时，要对目前的安全威胁，各种系统或设备的弱点和漏洞，各种攻击手段有充分的了解；而且，还要能仔细识别评估对象的资产类型及其重要性等。由于评估任务是与具体的评估对象和评估项目来决定的，还与当前的安全威胁状况及发展趋势有关，同时由于文章篇幅的限制。因此，在本文中只能分别对这六个评估对象中的一到二个评估项目给出一些通用的评估任务。至于其它评估项目的评估任务，你和你的评估团队可以参考本文中给出的评估任务内容实例，使用头脑风暴的方法，通过分析收集

11、到的各种有效资料来自行决定。（1）、信息安全风险评估中隐私信息机密性审查的评估任务隐私信息的机密性审查，主要是为了检测机构中员工及客户的隐私信息在使用、传输和存储过程中的完全性。由于这些隐私可能涉及到机构所在位置的某些法律条规，因此，在决定这个项目的评估任务时，要充分考虑机构所在区域的国家及地区法规。通常，要进行一次全面的隐私机密性审查，应当完成下列所示的评估任务：、比对实际的隐私信息访问方式与隐私访问策略中规定的方式之间的差异；、检查隐私信息的监控保护方式符合当地的法律法规；、标识出存储的隐私信息的数据库类型和大小；、标识由机构收集到的各种隐私信息；、确定隐私信息存储的位置；、了解当前网络浏

12、览时COOKIE保存类型和保留的时间；、识别保存在COOKIE中的各种隐私信息；、验证COOKIE使用的加密方法；、识别机构的WEB服务器可能产生错误的位置，了解错误发生时返回给浏览用户的信息类型。（2）、信息安全风险评估中网络操作痕迹信息检查的评估任务网络操作痕迹信息的检查，主要是为了调查机构内部某些员工在网络操作后留下的操作痕迹，用审查是否有一些与组织相关的机密信息遗留在互联网当中。这个评估项目是信息安全风险评估中非常重要的一个部分，要完成一次全面的互联网操作行为信息检查，下面这些评估任务是不能少的：、检查机构内部员工WEB数据库和缓存中的内容；、检查机构内部员工是否通过个人主页、博客、论

13、坛，以及发布网络求职简历的方式，透露了机构的组织结构，或其它机构内部机密信息；、调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工是否通过机构分配的电子邮件发送机构内部机密信息；、了解机构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的部门及其操作权限；、调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容；、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息，或者可以在各种特定的新闻组、论坛及博客中搜索；、检查机构内部员工是否在使用P2P软件，在法律条件允许下审查P2P通信内容。（3）、网络安全风险评估中网络弱

14、点及漏洞检测与验证的评估任务网络弱点及漏洞检测与验证是为了找出网络中存的安全弱点和漏洞，并且验证这些弱点和漏洞是否可以真的被利用。在评估过程中使用一些基于网络的弱点扫描及渗透测试工具，能大大提高评估工作的效率。但是，在使用弱点扫描工具时不能对它检测后的结果全盘接受，这是由于现在大部分的弱点扫描工具都是通过与自己的弱点和漏洞数据进行比对，来决定检测对象是否存某弱点或漏洞的。一旦工具的漏洞数据库不能及时更新，或不能包括所有目前已经发现的漏洞，那么，其检测结果就不一定完全可靠。并且，由于这些工具本身设计缺陷和能力限制，在使用过程中会出现误报和漏报的问题，误报会让我们白担心一场，而漏报却会让我们处于重

15、大安全事故发生的边缘。因此，在弱点扫描后进行人工核查和渗透测试能减少漏报和误报的发生。要完成一次彻底的网络弱点及漏洞检测与验证的评估项目，下面完成下面的评估任务：、结合目前最流行的弱点扫描和渗透工具，对目标网段进行测试；、使用弱点扫描工具，按由外向内，由内向外的两种方式扫描目标网段；、确定存在弱点或漏洞的系统和应用程序的类型；、确定存在漏洞的服务；、确定应用程序和服务存在漏洞的类型；、识别操作系统和应用程序中的存在的所有漏洞，识别所有存在漏洞的操作系统和应用程序；、确定这些漏洞是否可以影响到其它相似的目标网络或系统；、通过人为渗透测试的方法来检测找到的弱点或漏洞是否真实存在；、检验这些漏洞可以

16、被利用的机率，利用后可能产生的后果。（4）、通信安全风险评估中Modem等通信设备安全性检测的评估任务Modem等通信设备的安全性检测主要是为了检验调制解调器的登录验证方式，是否可以被运程非法控制等等。要完成一次全面的Modem等通信设备的安全性检测项目，下面的评估任务将要被全部执行：、以由内向外，由处向内的方式全面扫描Modem等通信设备；、确保Modem等通信设备的登录用户和密码不是使用缺省设置，或者容易被猜出；、确保与Modem等通信设备直接相连的路由器、三层交换机或计算机已经做好了相应的安全措施；、检查通过远程维护Modem等通信设备是否安全；、验证远程拨号认证；、测试本地拨号认证；（

17、5）、无线安全风险评估中802.11a/b/g无线网络安全风险评估的评估任务由于802.11a/b/g无线网络技术越来越成熟，越来越多的机构开始使用它。但是，由于802.11a/b/g无线网络技术的开放性，且大多数使用没有对其默认设置做相应的安全修改，或者设置的安全很少也很弱，从而造成802.11a/b/g无线网络带来的安全风险与它的功能一样多。因此，使用802.11a/b/g无线网络安全风险评估来识别无线网络中目前存在的安全风险，以便能采取更好的安全措施来降低无线网络应用带来的风险。完成802.11a/b/g无线网络安全风险评估项目，必需执行下列所有的评估任务：、检验机构是否已经有一个足够好

18、的无线安全策略，来保证802.11a/b/g无线网络的应用，同时评估802.11a/b/g无线网络的硬件和固件，以及更新状况等；、对连接在目标无线网终上的无线设备进行全面的清查，评估访问控制，无线信号覆盖的规定范围，并确定是否有能力防止无线信号超出规定的范围，或者能够干扰超出的无线信号；、确定无线设备水平接入目标无线网络的访问控制能力，是否能够标识所有允许的接入点，以及是否能够即时识别非授权接入点，并能定位和拒绝它的接入；、评估无线网络的配置、认证和加密方式；、评估无线接入点的默认服务设备标识符（SSID）已经更改；、验证所有无线客户端已经安装了杀毒软件和防火墙等安全工具；（6）、物理安全风险

19、评估中物理安全访问控制的安全性测试的评估任务物理安全访问控制的安全性测试，是用来检测物理方式直接接触机构中重要信息资产时是否符合安全要求的评估项目。要完成一次物理安全访问控制的安全性测试，就必需完成下列所示的评估任务：、枚举所有必需进行物理访问控制的区域；、检查所有物理访问控制点的访问控制设备及其类型；、检查触发警报的类型是否与说明的一致；、判断物理访问控制设备的安全级别；、测试物理访问控制设备是否存在弱点和漏洞；、测试物理访问控制设备是否可以被人为或其它方式失去检测能力；四、信息系统安全风险评估过程中应当遵守的规则在对信息系统进行风险评估过程中，下列的一些因素会给评估带来错误的结果：1、弱点

20、扫描软件的误报和漏报；2、系统本身设置对某类事情做出固定的某种缺陷反应。当测试带有欺骗性设置的系统时，常会对所有的评估事件做出某种指定的相同反应；3、要评估的系统中存在某种已经指定对所有事件做出安全反应的设置。4、在风险评估过程中收到了某个目标的回应，但这个回应并不是真的来自实际的评估目标，而一些没有经验的风险评估人员，对出现这样的假象不能正确识别，从而造成错误的结果；5、风险评估工具设备本身存在问题，就可能出现错误的回应。以及当风险评估的以太网路出现高噪音，或者存在干扰目标无线网络信号的设备时，都会出现错误的结果；6、当风险评估过程中的某个环境得到了错误的结果，但是没有及时识别和重新评估，而

21、其后的评估工作却使用这个错误的结果作为评估条件，这样一来，就会让这种错误继承下去，造成得到一个错误的最终风险评估结果；7、风险评估必需由人来执行，由于风险评估人员的技术水平，经验值的高低，以及他们的评估态度，对风险评估的理解的各不相同等因素，都有可能造成错误的风险评估结果。由于上述原因得到的错误信息系统安全风险评估结果，一旦被接受，那么就会给信息系统的安全防范带来新的安全风险，其后果是不可想象的。因此，我们必需在进行信息系统的风险评估过程中，遵守下面的风险评估规则，就可以有效降低上述错误因素的产生：1、明白进行风险评估时，任何细节都是一样重要的，并且了解每个评估项目的评估目的；2、注意风险评估

22、过程中的每一个小细节。风险评估结果的有效性，往往体现在一些细节上面，这是因为一些重大的安全事故都是由于一些细小的安全弱点所引起的。另外，一个单独的小细节可能不会带来某类安全风险，但是，许多小细节累积后，一不小心，就会给信息系统带来重大的信息安全事故；3、不要认为少花钱多办事就是好。现在，许多机构对于安全预算本来就少，因此，就要求安全风险评估必需在很少的时间内得到更多的效率。但是，如果你认为一个低效率的风险评估策略会为你节省一大笔的成本而决定使用它，那么，这个低效率的风险评估策略有可能不会将所有的安全风险检测出来。因而使用你在药费了时间和金钱进行风险评估的同时，你不能得到风险评估的任何好处，从侧

23、面反而使你增加了安全成本和造成业务中断事件的可能性。很显然，风险评估是需要一定的成本投入的，因此，当你在开始进行风险评估时，你就要考虑如何平衡评估效率和投入成本的问题，只有这两方达到一个满意的平衡，才能达最好的风险评估效率和效果；4、对于涉及多个风险评估对象的风险评估过程，要有一个切合实际，考虑全面，可以被完全执行的风险评估策略。任何时候，我们都不要忽略策略在安全防范工作中的重要性。风险评估策略就是用来表明某次风险评估时的主要目的，以及要具体完成的任务，和一些操作细节等等。风险评估策略在风险评估过程中起到指导性的作用，控制整个评估过程；5、要知道如何算风险评估的经济账。风险评估的目的通常是为了

24、达到某种程序的安全性来进行的，评估的结果将会给找到的弱点提出相应的解决方案。这样，就会涉及到增加安全成本投入的问题。一个好的风险评估项目管理者，会了解机构是否有足够的经济能力来解决发现的漏洞，计算到底要多少成本才能达到机构领导可以接受的安全风险等级，怎么样的预算才会被机构决策者所接受等等。如果你不考虑这些问题，那么，不管理你的风险评估结果是多么的全面且准确，但是不被机构决策者接受，那么仍然是一个不成功的风险评估。这只会白白让机构浪费了大量的风险评估时间和金钱。因此，知道算风险评估的经济帐也是一个重要的方面；6、了解风险评估的参考标准。风险评估结果是否具有权威性的关键一点，就是你应当在评估结果中

25、注明评估的方式是遵从哪种风险评估的标准来进行，例如我在上面提到过的我国的信息安全风险评估指南。你还可以使用一些国际标准，如ISO/IEC 17799/27001国际信息安全管理体系中的风险评估标准，这些标准可以给你提供一个如何给出最终安全和风险级别的参考标准；7、风险评估人员必需在指定的权限范围内完成指定的评估任务，在评估过程中不能随意走出规定的物理范围。在评估时发现任务疑问，应当立即停止，并上报给评估小组负责人。在疑问没能明确解决之前，不能独自继续进行下一步的评估操作。评估人员的出评估现场都应当有记录，标明进出的具体时间。每个评估人员都应在身体明显处挂戴表明共身份的工作证件。每个风险评估人员

26、都应当使用规定的评估工具，不能将规定外的工具带入评估现场。明确每个风险评估人员的权限范围，和其所在的物理位置，任何评估人员都不能超出这些规定的权力或物理范围。在对上述信息系统安全风险评估的基础知识有一个系统的了解后，就会让我们懂得要如何才能有效地完成一次安全风险评估。接下来的任务，就是去掌握信息系统的安全风险评估工作要如何具体地去做。学习信息系统安全风险评估应用：评估过程信息的安全防范工作一直是整个信息系统安全防范工作中的重点之一。在本文中就以信息安全风险评估对象中的网络操作痕迹信息检查为评估项目，来说明一次安全风险评估该如何具体地去做。一、安全风险评估准备阶段在每次风险评估开始之前，一个最好

27、的保证评估过程顺利完成，评估结果真实有效的方法，就得为此制定一个风险评估策略。但如果只是对某个独立的或者是临时决定的小评估项目进行风险评估， 而且你和你的评估团队以前经常对些小评估项目进行风险评估，那么，只要为它做一些相应的准备工作就可以直接进行评估了。风险评估策略的具体内容是根据实际的评估对象和评估项目来决定的，因此，不同的评估对象的风险评估策略是不相同，就是同一评估对象，如果评估的具体项目不同，其风险评估策略也不会相同。1、制定风险评估策略一个好的风险评估策略，应当包括下列所示的内容：（1）、指定评估小组成员信息风险评估小组担负着机构的风险评估工作，其成员要能代表整个机构。同时，成员必需在

28、人员安全评估（确定某个人员可以信任风险评估工作）通过后确定。具体的成员应当包括：IT部门主管、风险评估负责人、系统或网络管理员、信息安全技术人员，还可以包括安全产品供应商代表及合作伙伴代表等。评估人员确定后，就要分配相应的评估任务给具体的人员。确定每个评估人员各自的职责，所要承担的法律责任，并做成文档分发到每个评估人员手中。同时，要为评估任务指定一个总的负责人，来监督整个评估过程，并协调处理评估过程中出现的临时状况。还要说明评估结果的填写和上报方式，如说明每个评估人员完成自己的评测任务，填上评测结果后，当上交给风险评估负责人时，还应当与负责人一同签名才能有效。（2）、确定风险评估的范围和目的确

29、定风险评估的范围也就是指指定具体的评估对象和评估项目，风险评估的目的就是指此次风险评估要达到的期望值。风险评估的目的和范围是相辅相成的，只有指定了评估对象中评估项目的风险评估目的，才知道需要什么样的评估任务来达到这个目的，也就圈定了具体的评估范围。也只有确定了风险评估的范围和目的，我们的风险评估才能有的放矢地进行。在本例中，我们的评估对象是信息安全风险评估；评估项目是网络操作痕迹信息检查；评估的目的是检查网络中遗留的网络操作痕迹信息中是否含有机构内部机密；具体的评估任务有：、检查机构内部员工WEB数据库和缓存中的内容；、检查机构内部员工是否通过个人主页、博客、论坛，以及发布网络求职简历的方式，

30、透露了机构的组织结构，或其它机构内部机密信息；、调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工是否通过机构分配的电子邮件发送机构内部机密信息；、了解机构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的部门及其操作权限；、调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容；、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息，或者可以在各种特定的新闻组、论坛及博客中搜索；、检查机构内部员工是否在使用P2P软件，在法律条件允许下审查P2P通信内容。（3）、确定本次评估任务的开始和结束的具体日期和时间，如有可能，

31、还有决定具体的风险评估时间，并在风险评估文档中留出相应的位置用来标明评估工作的开始和结束时间。（4）、考虑一些在风险评估过程中可能发生的情况，以不影响正常的业务为基本条件。应当为此制定一个应对有可能造成业务中断，或造成真实安全事件发生事件时的应急措施。2、根据评估项目和要完成的评估任务制作风险评估表单风险评估表单就是在一张表单上将要评估的项目及评估任务一一列出，然后在进行具体的风险评估时，就可以按表单中的内容来依次进行。图2.1就是网络操作痕迹信息检查评估项目的风险评估表单。图2.1 网络操作痕迹信息检查的风险评估表单信息安全风险评估评估项目：网络操作痕迹信息检查评估的目的：检查网络中遗留的网

32、络操作痕迹信息中是否含有机构内部机密评估任务红勾顺序评 估 任 务 描 述结果描述结束时间评估人备注1检查机构内部员工WEB数据库和缓存中的内容2检查机构内部员工是否通过个人主页、博客、论坛，以及发布网络求职简历的方式，透露了机构的组织结构，或其它机构内部机密信息3调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工是否通过机构分配的电子邮件发送机构内部机密信息4了解机构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的部门及其操作权限5调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容6使用互联网搜索引擎查找网络中是否

33、存在与机构相关的机密信息，或者可以在各种特定的新闻组、论坛及博客中搜索7检查机构内部员工是否在使用P2P软件，在法律条件允许下审查P2P通信内容备注：评估开始时间：年 月 日 时 分评估结束时间：年 月 日 时 分项目负责人：3、考虑完成评估任务时会用到的各种工具，并准备妥当。这些工具应当是切合本次风险评估任务的，并且在已经通过在某个实验环境中测试已经证明其有效。在本次风险评估中，会对机构内部人员进行网络操作行为监控，因此，得为它准备相应的网络操作行为分析设备，或者是安装有网络操作行为分析软件的计算机，最好当然是笔记本电脑。同时，还应当准备好所将设备连接入目标网络的所需的线缆，以及其它与此次风

34、险评估相关的所有工具和文档，并将它们统一管理。一个风险评估策略不仅可以包括上面已经列出的这四个方面，还可以在其中添加与评估任务实际需求相关的内容，例如加入说明此次评估任务的具体流程和细节，各种注意事项等等。并要求所有的评估人员，严格按照这个风险评估策略中的内容来进行具体的评估工作。一个风险评估策略是一个需要技术和经验并重的工作，而且需要考虑的内容很多，一个人不可能将风险评估项目相关的所有方面考虑周到。因此，在制定风险评估策略时，应当发动所有评估人员，以及评估对象的使用人员和设备供应商代表等一起来分析制定。对于信息系统风险评估来说，如果准备工作越充分，后续的风险评估过程就越有效率，评估过程中出现

35、的错误就越少，评估的最终给果就越真实有效。如果在准备过程中疏忽了某些内容，特别是制定的安全风险评估策略出现考虑不周的情况，要是没能在执行风险评估前检查出来，就会使最终的风险评估结果偏离实际，这样就会让我们空担心一场，或空欢喜一场。二、安全风险检测阶段当所有风险评估工作的事前准备工作全部妥善完成后，就可以按风险评估策略中确定的日期和时间，开始对指定的评估对象的评估项目做相应的安全风险评估。安全风险的评估过程就是使用具体的方法，来解答在准备阶段制定的评估项目表单中所有列出的评估任务的过程。要完成风险评估表单列出的评估任务，需要使用一些针对某个评估任务的具体解决方法。解决评估任务的方法有很多种，包括

36、问卷调查、访谈、模拟社会工程攻击、使用风险评估工具（包括软硬件方式的工具）、审查各种日志、审查各种设备和安全设备的配置文档，以及使用实际的模拟或真实的攻击来检验等方法，都可以用来解答评估项目中所需要完成的评估任务。其中的某些方法只对某个评估任务有效，而一些工具可能一次自动完成多个项目。为了能减少使用工具产生的误报和漏洞，可以使用二种以上的工具来检测同一个评估任务，或者使用手工测试的方式来确认检测结果的真实性。同时，在进行某些评估任务的评估工作时，例如系统弱点扫描，应当从由外向内看和由内向外看的两个方式分别进行。进行由外向内看的测试时，是试图从组织网络边界的外部检测系统，它能为我们提供一个从外部

37、攻击相同的方式来审视系统的安全性。而进行由里向外看测试时，我们就应该从内部人员对系统使用权限的角度，去审查系统的安全性，此时，我们会得到比由外向内看更多的安全信息。恰当地使用这两种方式，能将目前大部分的安全威胁都考虑进来。每个风险评估项目中的所有评估任务，如没有特殊要求，就必需按照风险评估表单中排列的顺序来进行。这是因为在评估过程中，当前的评估任务完成后产生的结果，可能会用来作为下一个任务的检测条件。如果此时评估的顺序相互置换，那么就会造成错误的最终评估结果。在本文中的网络操作痕迹信息检测评估项目中，所有的评估任务都是由内向外看的方式来进行的。这些评估任务可以通过机构员工档案审查，检查员工使用

38、的计算机中的浏览器COOKIE，检查机构WEB服务器缓存，审查机构边界位置网络操作行为管理设备的各种日志，通过网络搜索引擎，通过搜索一些独特的位置（如新闻组、博客及论坛）来完成。同时，还可以通过模拟发送机密信息的方式，审查已有的网络操作行为监控设备是否能拦截它发送到互联网中，是否能够限制员工使用即时通信软件和P2P软件，员工是否可以突破封锁等任务。并且检验网络操作行为监控设备是否能将违规行为记录到相应的日志当中，能否提供有效的警报，收到警报能否产生有效的拦截等等。有时，会将所有的评估任务分配给几个人来进行，因此，当某个评估人员完成属于他（她）的评估任务后，就应当在评估任务答案后评估人一栏中签上他的名字。当所有评估任务完成后，将已经填入评测答案和评估人签名的风险评估表单上报给评估负责人，经评估负责人确认并签字后，这个风险评估表单中的内容才能算真正有效，并在风险评估表单中填入评估结束时间。然后就可以进入下一个风险评估环节。三、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段当评估项目的所有评估任务完成后，就应当组织整个评估人员，将风险评估表单中每个评估任务的评测结果分析并汇总，给出一个具体安全和风险等级。然后，通过分析目前可以使用