信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)手段綜述

1、信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)手段綜述    摘要：信息安全成為國(guó)家安全的重要組成部分，因此為保證信息安全，建立信息安全管理體系已成為目前安全建設(shè)的首要任務(wù)。風(fēng)險(xiǎn)評(píng)估作為信息安全管理體系建設(shè) 的基礎(chǔ)，在體系建設(shè)的各個(gè)階段發(fā)揮著重要的作用。風(fēng)險(xiǎn)評(píng)估的進(jìn)行離不開(kāi)風(fēng)險(xiǎn)評(píng)估工具，本文在對(duì)風(fēng)險(xiǎn)評(píng)估工具進(jìn)行分類(lèi)的基礎(chǔ)上，探討了目前主要的風(fēng)險(xiǎn)評(píng)估工 具的研究現(xiàn)狀及發(fā)展方向。 關(guān)鍵詞：風(fēng)險(xiǎn)評(píng)估 綜合風(fēng)險(xiǎn)評(píng)估 信息基礎(chǔ)設(shè)施 工具 引言 當(dāng)今時(shí)代，信息是一個(gè)國(guó)家最重要的資源之一，信息與網(wǎng)絡(luò)的運(yùn)用亦是二十一世紀(jì)國(guó)力的象征，以網(wǎng)絡(luò)為載體、信息資源為核心的新經(jīng)濟(jì)改變了傳統(tǒng)的資產(chǎn)運(yùn)營(yíng)模 式，沒(méi)有各種信

2、息的支持，企業(yè)的生存和發(fā)展空間就會(huì)受到限制。信息的重要性使得他不但面臨著來(lái) 自各方面的層出不窮的挑戰(zhàn)，因此，需要對(duì)信息資產(chǎn)加以妥善保護(hù)。正如中國(guó)工程院院長(zhǎng)徐匡迪所說(shuō)：“沒(méi)有安全的工程就是豆腐渣工程”。信息同樣需要安全工 程。而人們?cè)趯?shí)踐中逐漸認(rèn)識(shí)到科學(xué)的管理是解決信息安全問(wèn)題的關(guān)鍵。信息安全的內(nèi)涵也在不斷的延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控 性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻（攻擊）、防 （防范）、測(cè)（檢測(cè)）、控（控制）、管（管理）、評(píng)（評(píng)估）”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。 如何保證組織一直保持一個(gè)比較安全的狀態(tài)，保證企業(yè)的信息安全管理手段和安全技術(shù)發(fā)揮最大的作用，是企業(yè)

3、最關(guān)心的問(wèn)題。同時(shí)企業(yè)高層開(kāi)始意識(shí)到信息安全策 略的重要性。突然間，IT專(zhuān)業(yè)人員發(fā)現(xiàn)自己面臨著挑戰(zhàn)：設(shè)計(jì)信息安全政策該從何處著手？如何擬訂具有約束力的安全政策？如何讓公司員工真正接受安全策略并 在日常工作中執(zhí)行？借助于信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)評(píng)估工具，能夠回答以上的問(wèn)題。 信息安全風(fēng)險(xiǎn)評(píng)估與評(píng)估工具 風(fēng)險(xiǎn)評(píng)估是對(duì)信息及信息處理設(shè)施的威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程，即利用定性或定量的方法，借助于風(fēng)險(xiǎn)評(píng) 估工具，確定信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)和優(yōu)先風(fēng)險(xiǎn)控制。 風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的最根本依據(jù)，是對(duì)現(xiàn)有網(wǎng)絡(luò)的安全性進(jìn)行分析的第一手資料，也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之

4、一。企業(yè)在進(jìn)行網(wǎng)絡(luò)安全設(shè)備選型、網(wǎng)絡(luò)安 全需求分析、網(wǎng)絡(luò)建設(shè)、網(wǎng)絡(luò)改造、應(yīng)用系統(tǒng)試運(yùn)行、內(nèi)網(wǎng)與外網(wǎng)互聯(lián)、與第三方業(yè)務(wù)伙伴進(jìn)行網(wǎng)上業(yè)務(wù)數(shù)據(jù)傳輸、電子政務(wù)等業(yè)務(wù)之前，進(jìn)行風(fēng)險(xiǎn)評(píng)估會(huì)幫助組織 在一個(gè)安全的框架下進(jìn)行組織活動(dòng)。它通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別風(fēng)險(xiǎn)大小，通過(guò)制定信息安全方針，采取適當(dāng)?shù)目刂颇繕?biāo)與控制方式對(duì)風(fēng)險(xiǎn)進(jìn)行控制，使風(fēng)險(xiǎn)被避免、轉(zhuǎn) 移或降至一個(gè)可被接受的水平。 信息安全風(fēng)險(xiǎn)評(píng)估經(jīng)歷了很長(zhǎng)一段的發(fā)展時(shí)期。風(fēng)險(xiǎn)評(píng)估的重點(diǎn)也從操作系統(tǒng)、網(wǎng)絡(luò)環(huán)境發(fā)展到整個(gè)管理體系。西方國(guó)家在實(shí)踐中不斷發(fā)現(xiàn)，風(fēng)險(xiǎn)評(píng)估作為保證信息 安全的重要基石發(fā)揮的關(guān)鍵的作用。在信息安全、安全技術(shù)的相關(guān)標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)評(píng)估均作為關(guān)鍵步驟進(jìn)行

5、闡述，如ISO13335、FIPS-30、 BS7799-2等。風(fēng)險(xiǎn)評(píng)估模型也從借鑒其他領(lǐng)域的模型發(fā)展到開(kāi)發(fā)出適用于風(fēng)險(xiǎn)評(píng)估的模型。風(fēng)險(xiǎn)評(píng)估方法的定性分析和定量分析不斷被學(xué)者和安全分析人員 完善與擴(kuò)充。 最主要的是，風(fēng)險(xiǎn)評(píng)估的過(guò)程逐漸轉(zhuǎn)向自動(dòng)化和標(biāo)準(zhǔn)化。應(yīng)用于風(fēng)險(xiǎn)評(píng)估的工具層出不窮，越來(lái)越多的科研人員發(fā)現(xiàn)，自動(dòng)化的風(fēng)險(xiǎn)評(píng)估工具不僅可以將分析人員從 繁重的手工勞動(dòng)中解脫出來(lái)，最主要的是它能夠?qū)?zhuān)家知識(shí)進(jìn)行集中，使專(zhuān)家的經(jīng)驗(yàn)知識(shí)被廣泛的應(yīng)用。 風(fēng)險(xiǎn)評(píng)估工具的分類(lèi) 目前對(duì)風(fēng)險(xiǎn)評(píng)估工具的分類(lèi)還沒(méi)有一個(gè)統(tǒng)一的理解。文獻(xiàn)將風(fēng)險(xiǎn)評(píng)估工具被分為三類(lèi)：預(yù)防、相應(yīng)和檢測(cè)。通常情況下技術(shù)人員會(huì)把漏洞掃描工具稱(chēng)為風(fēng)險(xiǎn)

6、評(píng)估 工具，文獻(xiàn)提到的風(fēng)險(xiǎn)評(píng)估工具就是漏洞評(píng)估掃描器。確實(shí)在對(duì)信息基礎(chǔ)設(shè)施進(jìn)行風(fēng)險(xiǎn)評(píng)估過(guò)程中，漏洞掃描工具發(fā)揮著不可替代的作用，通過(guò)漏洞掃描工具發(fā) 現(xiàn)系統(tǒng)存在的漏洞、不合理配置等問(wèn)題，根據(jù)漏洞掃描結(jié)果提供的線索，利用滲透性測(cè)試分析系統(tǒng)存在的風(fēng)險(xiǎn)。隨著人們對(duì)信息資產(chǎn)的深入理解，發(fā)現(xiàn)信息資產(chǎn)不只 包括存在于計(jì)算機(jī)環(huán)境中的數(shù)據(jù)、文檔，信息在組織中的各種載體中傳播，包括紙質(zhì)載體、人員等，因此信息安全包括更廣泛的范圍。同時(shí)，信息安全管理者發(fā)現(xiàn)解 決信息安全的問(wèn)題在于預(yù)防。在此基礎(chǔ)上，許多國(guó)家和組織都建立了針對(duì)于預(yù)防安全事件發(fā)生的風(fēng)險(xiǎn)評(píng)估指南和方法?；谶@些方法，開(kāi)發(fā)出了一些工具，如 CRAMM、RA等，

7、這些工具統(tǒng)稱(chēng)為風(fēng)險(xiǎn)評(píng)估工具。這些工具主要從管理的層面上，考慮包括信息安全技術(shù)在內(nèi)的一系列與信息安全有關(guān)的問(wèn)題，如安全規(guī)定、人 員管理、通信保障、業(yè)務(wù)連續(xù)性以及法律法規(guī)等各方面的因素，對(duì)信息安全有一個(gè)整體宏觀的評(píng)價(jià)。其實(shí)，一個(gè)完整的風(fēng)險(xiǎn)評(píng)估所考慮的問(wèn)題不只關(guān)鍵資產(chǎn)在是某個(gè) 時(shí)間狀態(tài)下的威脅、脆弱點(diǎn)情況，以往一段時(shí)間內(nèi)的攻擊情況和 安全事故都是風(fēng)險(xiǎn)分析過(guò)程中用于確定風(fēng)險(xiǎn)的客觀支持。那么對(duì)這些攻擊事件的 檢測(cè)和記錄工具也是風(fēng)險(xiǎn)評(píng)估過(guò)程中不可缺少的工具。因此，文獻(xiàn)1中將入侵監(jiān)測(cè)系 統(tǒng)也作為風(fēng)險(xiǎn)評(píng)估工具的一種?？梢?jiàn)，對(duì)風(fēng)險(xiǎn)評(píng)估工具的類(lèi)型劃分是人們?cè)趯?duì)信息安全風(fēng)險(xiǎn)評(píng)估不斷認(rèn)識(shí)、以及對(duì)評(píng)估過(guò)程不斷完善的過(guò)程

8、中逐漸形成的。本文根據(jù) 在風(fēng)險(xiǎn)評(píng)估過(guò)程中的主要任務(wù)和作用原理的不同，將風(fēng)險(xiǎn)評(píng)分為三類(lèi)：綜合風(fēng)險(xiǎn)評(píng)估與管理工具、信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具、風(fēng)險(xiǎn)評(píng)估輔助工具。 綜合風(fēng)險(xiǎn)評(píng)估與管理工具。這種工具根據(jù)信息所面臨的威脅的不同分布進(jìn)行全面考慮，在風(fēng)險(xiǎn)評(píng)估的同時(shí)根據(jù)面臨的風(fēng)險(xiǎn)提供相應(yīng)的控制措施和解決辦法。這種風(fēng)險(xiǎn) 評(píng)估工具通常建立在一定的算法之上，風(fēng)險(xiǎn)由關(guān)鍵信息資產(chǎn)、資產(chǎn)所面臨的威脅以及威脅所利用的脆弱點(diǎn)三者來(lái)確定，如RA。也有通過(guò)建立專(zhuān)家系統(tǒng)，利用專(zhuān)家經(jīng) 驗(yàn)進(jìn)行風(fēng)險(xiǎn)分析，給出專(zhuān)家結(jié)論，這種評(píng)估工具需要不斷進(jìn)行知識(shí)庫(kù)的擴(kuò)充，以適應(yīng)不同的需要，如COBRA。 信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具。包括脆弱點(diǎn)評(píng)估工具和滲透

9、性測(cè)試工具。脆弱點(diǎn)評(píng)估工具也稱(chēng)為安全掃描、漏洞掃描器，評(píng)估網(wǎng)絡(luò)或主機(jī)系統(tǒng)的安全性并且報(bào)告系統(tǒng)脆 弱點(diǎn)。這些工具能夠掃描網(wǎng)絡(luò)、服務(wù)器、防火墻、路由器和應(yīng)用程序發(fā)現(xiàn)其中的漏洞。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和 硬件中已知的安全漏洞，以決定系統(tǒng)是否易受已知攻擊的影 響，并且尋找系統(tǒng)脆弱點(diǎn)，比如安裝方面與建立的安全策略相悖等。滲透性測(cè)試工具是根據(jù)漏洞掃描工具提供的漏洞，進(jìn)行模擬黑客測(cè)試，判斷是否這些漏洞能夠被他人利用。這種工具通常包括一些黑客工具，也可以是一些腳本文件。 風(fēng)險(xiǎn)評(píng)估輔助工具。這種工具在風(fēng)險(xiǎn)評(píng)估過(guò)程中不可缺少，它用來(lái)收集評(píng)估所需要的數(shù)據(jù)和資料，幫助完成現(xiàn)狀分析和趨勢(shì)分析。如入侵監(jiān)測(cè)系統(tǒng)，

10、幫助檢測(cè)各種攻擊試探和 誤造作，它可以作為一個(gè)警報(bào)器，提醒管理員發(fā)生的安全狀況。同時(shí)安全漏洞庫(kù)、知識(shí)庫(kù)都是風(fēng)險(xiǎn)評(píng)估不可或缺的支持手段。 從風(fēng)險(xiǎn)評(píng)估工具的分類(lèi)來(lái)看，風(fēng)險(xiǎn)評(píng)估輔助工具涉及到信息安全的其他技術(shù)體系，因此這里只分析綜合風(fēng)險(xiǎn)評(píng)估與管理工具和脆弱點(diǎn)評(píng)估工具，他們構(gòu)成了風(fēng)險(xiǎn)評(píng)估 工具的主體部分。 綜合風(fēng)險(xiǎn)評(píng)估與管理工具的研究與開(kāi)發(fā)現(xiàn)狀 下面從不同角度比較綜合風(fēng)險(xiǎn)評(píng)估與管理工具的研究現(xiàn)狀。 1、 基于國(guó)家或政府頒布的信息安全管理標(biāo)2、 準(zhǔn)或指3、 南建立風(fēng)險(xiǎn)評(píng)估工具。 目前世界上存在多種不同的風(fēng)險(xiǎn)分析指南和方法。如，NIST(National Institute of standards an

11、d Technology)的FIPS 65；DoJ（Department of Justice）的SRAG和GAO(Government Accounting Office)的信息安全管理的實(shí)施指南。針對(duì)這些方法，由美國(guó)開(kāi)發(fā)了自動(dòng)的風(fēng)險(xiǎn)評(píng)估工具。英國(guó)推行基于BS7799的認(rèn)證產(chǎn) 業(yè)，BS7799是一個(gè)信息安全管理標(biāo)準(zhǔn)與規(guī)定，在建立信息安全管理體系過(guò)程中要進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)PD3000中提供風(fēng)險(xiǎn)評(píng)估的方法，建立了的 CRAMM、RA等風(fēng)險(xiǎn)分析工具。許多國(guó)家也在使用或發(fā)展國(guó)際標(biāo)準(zhǔn)化組織的ISO/IEC，JTC/SC27信息技術(shù)安全管理指南的基礎(chǔ)上建立自己的 風(fēng)險(xiǎn)評(píng)估工具。 4、 基于專(zhuān)家系統(tǒng)的風(fēng)險(xiǎn)

12、評(píng)估工具。 這種方法經(jīng)常利用專(zhuān)家系統(tǒng)建立規(guī)則和外部知識(shí)庫(kù)，通過(guò)調(diào)查問(wèn)卷的方式收集組織內(nèi)部信息安全的狀態(tài)。對(duì)重要資產(chǎn)的威脅和脆弱點(diǎn)進(jìn)行評(píng)估，產(chǎn)生專(zhuān)家推薦的安全 控制措施。這種工具通常會(huì)自動(dòng)形成風(fēng)險(xiǎn)評(píng)估報(bào)告，安全風(fēng)險(xiǎn)的嚴(yán)重程度提供風(fēng)險(xiǎn)指數(shù)，同時(shí)分析可能存在的問(wèn)題，以及處理辦法。如 COBRA（Consultative,Objective and Bi-functional Risk Analysis）是一個(gè)基于專(zhuān)家系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工具，它是一個(gè)問(wèn)卷調(diào)查形式的風(fēng)險(xiǎn)分析工具，有三個(gè)部分組成：?jiǎn)柧斫⑵?、風(fēng)險(xiǎn)測(cè)量器和結(jié)果產(chǎn)生器。 問(wèn)卷測(cè)量器有四個(gè)獨(dú)立的知識(shí)庫(kù)支持分析工作，這四個(gè)知識(shí)庫(kù)分別是：IT安全知識(shí)庫(kù)

13、、操作風(fēng)險(xiǎn)知識(shí)庫(kù)和高風(fēng)險(xiǎn)知識(shí)庫(kù)。除此以外，還有RISK、 BDSS(The Bayesian Decision Support System)等工具。 5、 基于定性或定量算法的風(fēng)險(xiǎn)分析工具。 風(fēng)險(xiǎn)評(píng)估根據(jù)對(duì)各要素的指標(biāo)量化以及計(jì)算方法不同分為定性和定量的風(fēng)險(xiǎn)分析工具。風(fēng)險(xiǎn)分析作為重要的信息安全保障原則已經(jīng)很長(zhǎng)時(shí)間。信息安全風(fēng)險(xiǎn)分析算法 在很久以前就提出來(lái)，而且一些算法被作為正式的信息安全標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)大部分是定性的也就是，他們對(duì)風(fēng)險(xiǎn)產(chǎn)生的可能性和風(fēng)險(xiǎn)產(chǎn)生的后果基于“低/中 /高”這種表達(dá)方式，而不是準(zhǔn)確的可能性和損失量。隨著人們對(duì)信息安全風(fēng)險(xiǎn)了解的不斷深入，獲得了更多的經(jīng)驗(yàn)數(shù)據(jù)，因此人們?cè)絹?lái)

14、越希望用定量的風(fēng)險(xiǎn)分析方 法反映事故方式的可能性。定量的信息安全風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)包括美國(guó)聯(lián)邦標(biāo)準(zhǔn)FIPS31和FIPS191，提供定量風(fēng)險(xiǎn)分析技術(shù)的手冊(cè)包括GAO和新版的 NISTRMG。好的數(shù)據(jù)是采用定量風(fēng)險(xiǎn)分析的先決條件。但是“可靠的評(píng)估信息安全風(fēng)險(xiǎn)比其他種類(lèi)的風(fēng)險(xiǎn)更難，因?yàn)樾畔踩L(fēng)險(xiǎn)因素的可能數(shù)據(jù)經(jīng)常是非常 有限的，因?yàn)轱L(fēng)險(xiǎn)因素持續(xù)改變”。但無(wú)論如何，目前產(chǎn)生的一些列風(fēng)險(xiǎn)評(píng)估工具都在定量和定性方面各有側(cè)重。如CONTROL-IT、 Definitive Scenario、JANBER都是定性的風(fēng)險(xiǎn)評(píng)估工具。而RISK、The Buddy System、RiskCALC、CORA(Cost-

15、of-Risk Analysis)是半定量（定性與定量方法相結(jié)合）的風(fēng)險(xiǎn)評(píng)估工具。目前還沒(méi)有完全定量的風(fēng)險(xiǎn)評(píng)估工具，因?yàn)閷?duì)于信息安全風(fēng)險(xiǎn)因素的數(shù)據(jù)的獲得還存在很 大問(wèn)題。 此外，根據(jù)風(fēng)險(xiǎn)評(píng)估工具體系結(jié)構(gòu)不同，風(fēng)險(xiǎn)評(píng)估工具還包括基于客戶(hù)機(jī)/服務(wù)器模式以及單機(jī)版風(fēng)險(xiǎn)評(píng)估工具。如COBRA就是基于C/S模式，而目前大多數(shù) 的風(fēng)險(xiǎn)評(píng)估工具識(shí)基于單機(jī)版的。另外基于安全因素調(diào)查方式的不同，風(fēng)險(xiǎn)評(píng)估工具還包括文件式或過(guò)程式，如RA就是過(guò)程式風(fēng)險(xiǎn)評(píng)估工具。 根據(jù)以上對(duì)綜合風(fēng)險(xiǎn)評(píng)估與管理工具的分析，筆者對(duì)目前比較流行的工具進(jìn)行了對(duì)比： 工具名稱(chēng) COBRA RA CRAMM RISK BDSS 國(guó)家/組織 BS

16、I/Britain CCTA/Britain Palisade/ America The Integrated Risk Management Group/American 體系結(jié)構(gòu) 客戶(hù)機(jī)/服務(wù)器模式 單機(jī)版 單機(jī)版 單機(jī)版 單機(jī)版 采用方法 專(zhuān)家系統(tǒng) 過(guò)程式算法 過(guò)程式算法 專(zhuān)家系統(tǒng) 專(zhuān)家系統(tǒng) 定性/定量算法 定性/定量結(jié)合 定性/定量結(jié)合 定性/定量結(jié)合 定性/定量結(jié)合 定性/定量結(jié)合 數(shù)據(jù)采集形式 調(diào)查文件 過(guò)程 過(guò)程 調(diào)查文件 調(diào)查問(wèn)卷 對(duì)使用人員的要求 不需要有風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)知識(shí) 依靠評(píng)估人員的知識(shí)與經(jīng)驗(yàn) 依靠評(píng)估人員的知識(shí)與經(jīng)驗(yàn) 不需要有風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)知識(shí) 不需要有風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)

17、知識(shí) 結(jié)果輸出形式 結(jié)果報(bào)告：風(fēng)險(xiǎn)等基于控制措施 風(fēng)險(xiǎn)等級(jí)與控制措施（基于BS7799提供的控制措施） 風(fēng)險(xiǎn)等級(jí)與控制措施（基于BS7799提供的控制措施） 決策支持信息 安全防護(hù)措施列表 信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具的研究與開(kāi)發(fā)現(xiàn)狀 目前，每年有數(shù)以百計(jì)的新的安全漏洞被發(fā)現(xiàn)，每月都會(huì)發(fā)布一打新的補(bǔ)丁。對(duì)于系統(tǒng)和網(wǎng)絡(luò)管理原來(lái)說(shuō)評(píng)估和管理網(wǎng)絡(luò)系統(tǒng)潛在的安全風(fēng)險(xiǎn)變得越來(lái)越重要。主動(dòng) 的漏洞掃描能夠在證明危險(xiǎn)發(fā)生前幫助識(shí)別不需要的服務(wù)或安全漏洞。信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估工具的研發(fā)現(xiàn)狀主要分析漏洞掃描工具。漏洞掃描工具是提供網(wǎng)絡(luò)或主 機(jī)系統(tǒng)安全漏洞監(jiān)測(cè)和分析的軟件。漏洞掃描器掃描網(wǎng)絡(luò)或主機(jī)的安全漏洞，并發(fā)布掃

18、描結(jié)果使用戶(hù)對(duì)關(guān)鍵漏洞迅速響應(yīng)。 目前對(duì)漏洞掃描工具的研發(fā)主要分為以下幾種類(lèi)型。 1、基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運(yùn)行。能夠監(jiān)測(cè)如防火墻錯(cuò)誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞。 2、基于主機(jī)的掃描器：發(fā)現(xiàn)主機(jī)的操作系統(tǒng)、特殊服務(wù)和配置的細(xì)節(jié)。能夠發(fā)現(xiàn)潛在的用戶(hù)行為風(fēng)險(xiǎn)，比如密碼強(qiáng)度不夠。對(duì)于文件系統(tǒng)的檢查也是一個(gè)很好的工 具。 3、戰(zhàn)爭(zhēng)撥號(hào)器（wardialer）：通過(guò)撥打一系列號(hào)碼或簡(jiǎn)單的隨機(jī)號(hào)碼能夠找到響應(yīng)的調(diào)制解調(diào)器。這樣用于檢查未授權(quán)的或不安全的調(diào)制解調(diào)器，這些 調(diào)制解調(diào)器一旦被滲透將使攻擊者越過(guò)防火墻進(jìn)入用戶(hù)網(wǎng)絡(luò)。安全專(zhuān)家和系統(tǒng)管理員可以通過(guò)戰(zhàn)爭(zhēng)撥號(hào)器評(píng)估和測(cè)量調(diào)制解調(diào)

19、器安全策略的有效性。 4、數(shù)據(jù)庫(kù)漏洞掃描：對(duì)數(shù)據(jù)庫(kù)的授權(quán)，認(rèn)證和完整性進(jìn)行詳細(xì)的分析。也可以識(shí)別數(shù)據(jù)庫(kù)系統(tǒng)中潛在的安全漏洞。 5、分布式網(wǎng)絡(luò)掃描器：用于企業(yè)級(jí)網(wǎng)絡(luò)的漏洞評(píng)估，廣泛地分布和位于不同的位置，城市甚至不同的國(guó)家。通常分布式網(wǎng)絡(luò)掃描器由遠(yuǎn)程掃描代理、對(duì)這些代理的 即插即用更新機(jī)制和中心管理點(diǎn)構(gòu)成。這樣漏洞評(píng)估可以從一個(gè)地方對(duì)多個(gè)地理分布的網(wǎng)絡(luò)進(jìn)行。 目前對(duì)漏洞掃描工具衡量標(biāo)準(zhǔn)是：監(jiān)測(cè)到主要漏洞的準(zhǔn)確性。過(guò)去，對(duì)漏洞掃描工具的宣傳和開(kāi)發(fā)似乎成了玩弄數(shù)字的游戲。廠商經(jīng)常以能夠檢測(cè)到的漏洞的數(shù)量來(lái) 宣傳他們的產(chǎn)平。而純粹數(shù)量計(jì)算在很多時(shí)候都會(huì)給人以誤導(dǎo)。比如，入侵監(jiān)測(cè)系 統(tǒng)的廠商當(dāng)提到他們的

20、產(chǎn)品所采用的入侵特征時(shí) 會(huì)強(qiáng)調(diào)采用特征的數(shù)量。病毒掃描軟件廠 商也通過(guò)強(qiáng)調(diào)數(shù)量來(lái)支持他們監(jiān)測(cè)惡意代碼的有效性。漏洞掃描也不例外，也會(huì)強(qiáng)調(diào)它們產(chǎn)品嵌入的漏洞檢測(cè)的數(shù)量。也許很多人認(rèn)為數(shù)量越多越好，但事實(shí)上我們 需要的不止這些。我們需要的是能夠準(zhǔn)確的識(shí)別并對(duì)緊急漏洞進(jìn)行報(bào)告，而不是不正確報(bào)告結(jié)論卻要經(jīng)過(guò)上億次掃描的工具。 一個(gè)好的漏洞掃描工具應(yīng)包括以下幾個(gè)特性： 最新的漏洞檢測(cè)庫(kù)，為此工具開(kāi)發(fā)上應(yīng)各有不同的辦法監(jiān)控新發(fā)現(xiàn)的漏洞。漏洞庫(kù)的更新不能在一個(gè)重大漏洞發(fā)現(xiàn)一個(gè)月后才進(jìn)行。 掃描工具必須準(zhǔn)確并使誤報(bào)率減少到最小。在小范圍的漏洞掃描報(bào)告中存在幾個(gè)不確定的警告是一回事，經(jīng)過(guò)大范圍的掃描后出現(xiàn)成百上

21、千的不確定警報(bào)是另外一 回事。如果在掃描既有十臺(tái)機(jī)器的環(huán)境下的誤報(bào)率是3%，那么依據(jù)此情況類(lèi)推在大型網(wǎng)絡(luò)環(huán)境下回是什么結(jié)果呢? 掃描器有某種可升級(jí)的后端，能夠存儲(chǔ)多個(gè)掃描結(jié)果并提供趨勢(shì)分析的手段。比如Internet Scanner能夠?qū)⑦^(guò)去掃描的結(jié)果調(diào)出與本次掃描地進(jìn)行比較，而eEye's Retina 沒(méi)有管理多組掃描數(shù)據(jù)的功能。 理想的掃描工具應(yīng)包括清晰的且準(zhǔn)確地提供彌補(bǔ)發(fā)現(xiàn)問(wèn)題的信息。如Axent's NetRecon，Internet Scanner能夠提供漏洞修復(fù)信息，而SAINT和SARA在這方面有所欠缺。 漏洞掃描工具是風(fēng)險(xiǎn)評(píng)估人員、系統(tǒng)工程師和網(wǎng)絡(luò)管理員經(jīng)常使

22、用的工具，大家對(duì)它并不陌生，這里對(duì)幾種常用的漏洞掃描工具進(jìn)行分析比較。 NetRecon BindView HarkerShield EEye Digital Security Retina ISS Internet Scanner Nessus Security Network Associates CyberCop Scanner SARA World Wide Digital Security SAINT 操作系統(tǒng) Windows Windows Windows Windows Unix Windows Unix Unix 內(nèi)建的自動(dòng)更新特征 能夠自動(dòng)更新（從網(wǎng)絡(luò)下載） 能夠自動(dòng)更新 能

23、夠自動(dòng)更新 能夠自動(dòng)更新 能夠自動(dòng)更新（從網(wǎng)絡(luò)下載） 能夠自動(dòng)更新 無(wú)此功能 無(wú)此功能 掃描類(lèi)型 基于網(wǎng)絡(luò)的掃描 基于主機(jī)的掃描 基于主機(jī)的掃描 基于主機(jī)的掃描 基于網(wǎng)絡(luò)的掃描 基于主機(jī)的掃描 基于網(wǎng)絡(luò)的掃描 基于網(wǎng)絡(luò)的掃描 CVE對(duì)照 沒(méi)有對(duì)應(yīng)CVE列表 對(duì)應(yīng)CVE列表 沒(méi)有對(duì)應(yīng)CVE列表 對(duì)應(yīng)CVE列表 對(duì)應(yīng)CVE列表 沒(méi)有對(duì)應(yīng)CVE列表 對(duì)應(yīng)CVE列表 對(duì)應(yīng)CVE列表 是否能夠?qū)x點(diǎn)的漏洞進(jìn)行修復(fù) 否 能夠 能夠 否 否 能夠 否 否 軟件開(kāi)放類(lèi)型 購(gòu)買(mǎi) 購(gòu)買(mǎi) 購(gòu)買(mǎi) 購(gòu)買(mǎi) 開(kāi)源 購(gòu)買(mǎi) 開(kāi)源 開(kāi)源 表現(xiàn)形式 用戶(hù)界面 用戶(hù)界面 用戶(hù)界面 命令行 命令行 命令行 命令行 命令行 信息安全風(fēng)險(xiǎn)

24、評(píng)估工具的研究發(fā)展方向 隨著人們對(duì)信息安全風(fēng)險(xiǎn)評(píng)估重要性的認(rèn)識(shí)，風(fēng)險(xiǎn)評(píng)估工具也慢慢得到廣泛的應(yīng)用。同時(shí)也對(duì)風(fēng)險(xiǎn)評(píng)估工具的發(fā)展提出新的要求。 1、風(fēng)險(xiǎn)評(píng)估工具應(yīng)整合多種安全技術(shù)。風(fēng)險(xiǎn)評(píng)估過(guò)程中要用到多種技術(shù)手段，如入侵檢測(cè)、 系統(tǒng)審計(jì)、漏洞掃描等，將這些技術(shù)整合到一起，提供綜合的風(fēng)險(xiǎn)分析工具，不僅解決了數(shù)據(jù)的多元獲取問(wèn)題，而且為整個(gè)信息安全管理創(chuàng)造良好的條件。 2、風(fēng)險(xiǎn)評(píng)估工具應(yīng)實(shí)現(xiàn)功能的集成。風(fēng)險(xiǎn)評(píng)估工具應(yīng)具有狀態(tài)分析、趨勢(shì)分析和預(yù)見(jiàn)性分析等功能。同時(shí)，風(fēng)險(xiǎn)評(píng)估工具應(yīng)提供對(duì)系統(tǒng)及管理方面漏洞的修復(fù)和補(bǔ) 償辦法。可以調(diào)動(dòng)其他安全設(shè)施如，防火墻、IDS等配功能，使網(wǎng)絡(luò)安全設(shè)備可以聯(lián)動(dòng)。風(fēng)險(xiǎn)分析是動(dòng)

25、態(tài)的分析過(guò)程，又是管理人員進(jìn)行控制措施選擇的決策支持 手段，因此全面完備的風(fēng)險(xiǎn)分析功能是避免安全事件的前提條件。 3、風(fēng)險(xiǎn)評(píng)估工具逐步向智能化的決策支持系統(tǒng)發(fā)展。專(zhuān)家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)等技術(shù)的引入使風(fēng)險(xiǎn)評(píng)估工具不是單純的按照定制的控制措施為用戶(hù)提供解決方案，而是 根據(jù)專(zhuān)家經(jīng)驗(yàn)，進(jìn)行推理分析后給出最佳的、具有創(chuàng)新性質(zhì)的控制方法。智能化的風(fēng)險(xiǎn)評(píng)估工具具有學(xué)習(xí)能力，可以在不斷地使用中產(chǎn)生新的知識(shí)，面對(duì)不斷出現(xiàn)的 新的問(wèn)題。智能化的決策支持能夠?yàn)槠胀ㄓ脩?hù)在面對(duì)各種安全現(xiàn)狀的情況下提供專(zhuān)家級(jí)的解決方案。 4、風(fēng)險(xiǎn)分析工具向定量化方向發(fā)展。目前的風(fēng)險(xiǎn)分析工具主要通過(guò)對(duì)風(fēng)險(xiǎn)的排序，來(lái)提示用戶(hù)重大風(fēng)險(xiǎn)需要首先處理

26、，而沒(méi)有計(jì)算出重大風(fēng)險(xiǎn)會(huì)給組織帶來(lái)多大的 經(jīng)濟(jì)損失。而組織管理人員所關(guān)心的正是經(jīng)濟(jì)損失的問(wèn)題，因?yàn)樗麄円延邢薜馁Y金用于信息安全管理，同時(shí)權(quán)衡費(fèi)用與價(jià)值比。因此，人們?cè)絹?lái)越傾向于一個(gè)量化 的風(fēng)險(xiǎn)預(yù)測(cè)。 總之，人們對(duì)風(fēng)險(xiǎn)評(píng)估工具的期望不斷提高，希望他在風(fēng)險(xiǎn)評(píng)估過(guò)程中能夠發(fā)揮更大的作用。 結(jié)束語(yǔ): 風(fēng)險(xiǎn)評(píng)估工作是一項(xiàng)費(fèi)時(shí)、需要人力支持以及相關(guān)專(zhuān)業(yè)或業(yè)務(wù)知識(shí)支持的工作。通常，這項(xiàng)工作由專(zhuān)業(yè)的顧問(wèn)來(lái)完成，這些顧問(wèn)可以是來(lái)自被評(píng)估的組織也可以來(lái)自 顧問(wèn)公司，這些具有專(zhuān)業(yè)素質(zhì)的顧問(wèn)在風(fēng)險(xiǎn)評(píng)估中發(fā)揮重要的作用。為了是風(fēng)險(xiǎn)評(píng)估工作能夠在各行各業(yè)中廣泛開(kāi)展，風(fēng)險(xiǎn)評(píng)估工具稱(chēng)為不可或缺的技術(shù)支持手段。 目前，許多組

27、織根據(jù)一些安全管理指南和標(biāo)注開(kāi)發(fā)出風(fēng)險(xiǎn)評(píng)估工具，為風(fēng)險(xiǎn)評(píng)估的進(jìn)行提供了便利條件。通過(guò)本文的分析，可以看出風(fēng)險(xiǎn)評(píng)估工具經(jīng)過(guò)一段時(shí)間的發(fā) 展，從基于安全標(biāo)準(zhǔn)到基于專(zhuān)家系統(tǒng)，從定性分析到半定量決策，不斷的滿(mǎn)足人們的需要。但風(fēng)險(xiǎn)評(píng)估工具的完善還需要很長(zhǎng)一段時(shí)間，綜觀這些工具的現(xiàn)狀，還存 在許多問(wèn)題，如工具運(yùn)用的結(jié)果如何能夠反映客觀實(shí)質(zhì)、如何有效度量、工具的使用如何能夠綜合協(xié)調(diào)等。同時(shí)，我國(guó)在風(fēng)險(xiǎn)評(píng)估工具的開(kāi)發(fā)方面還處于萌芽階段， 沒(méi)有成型的風(fēng)險(xiǎn)評(píng)估工具。因此我們應(yīng)在加強(qiáng)風(fēng)險(xiǎn)評(píng)估理論的基礎(chǔ)上，可發(fā)出具有自主知識(shí)產(chǎn)權(quán)的風(fēng)險(xiǎn)評(píng)估工具。在開(kāi)始進(jìn)行實(shí)際的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估操作前，先來(lái)了解一些有關(guān)信息系統(tǒng)安全風(fēng)

28、險(xiǎn)評(píng)估的基礎(chǔ)知識(shí)，明白一些與安全風(fēng)險(xiǎn)評(píng)估相關(guān)的術(shù)語(yǔ)，將有助于讓你明了要 如何才能完成一次信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。一、我們?yōu)槭裁葱枰畔⑾到y(tǒng)安全風(fēng)險(xiǎn)評(píng)估很顯然，當(dāng) 要我們很欣然地接受和使用某一種新技術(shù)來(lái)協(xié)助我們進(jìn)行安全防范工作時(shí)，這種技術(shù)就必需有能夠驅(qū)使我們?nèi)ナ褂盟睦碛?。這此理由也就是這種技術(shù)在某 個(gè)安全防范方面的主要作用，而我們也就是沖它的這些主要作用才去使用它的。對(duì)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估來(lái)說(shuō)，我們?cè)诘拈_(kāi)頭中已經(jīng)大概了解了他的 定義，從它的定義當(dāng)中，我們可以了解到風(fēng)險(xiǎn)評(píng)估可以在信息系統(tǒng)的生命周期的各個(gè)階段使用。由于信息系統(tǒng)生命周期的各個(gè)階段的安全防范目的不同，致使使用風(fēng) 險(xiǎn)評(píng)估的目的也各不相同

29、，因此，信息系統(tǒng)生命周期每個(gè)階段進(jìn)行的風(fēng)險(xiǎn)評(píng)估產(chǎn)生的作用也各不相同。信息系統(tǒng)的生命周期分為設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù) 和最終銷(xiāo)毀這四個(gè)主要階段，每個(gè)階段進(jìn)行相應(yīng)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的主要作用如下所示：1、在信息系統(tǒng)生命周期的設(shè)計(jì)和實(shí)施階段，使用信息 系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說(shuō)服機(jī)構(gòu)領(lǐng)導(dǎo)同意安全策 略的完全實(shí)施等作用。2、在信息系統(tǒng)生命周期的運(yùn)行維護(hù)階段，使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以起到如下的作用：（1）了解防火墻、 IDS及其它安全設(shè)備是否真的按原先配置的意圖在運(yùn)行，它們實(shí)際的安全防范效果是否有滿(mǎn)足安

30、全目標(biāo)的要求；（2）了解安全防范策略是否切合實(shí) 際，是否被全面執(zhí)行；（3）檢驗(yàn)機(jī)構(gòu)內(nèi)部員工的安全意識(shí)，網(wǎng)絡(luò)操作行為及數(shù)據(jù)使用方式是否正常；（4）當(dāng)信息系統(tǒng)因某種原因做出 硬件或軟件調(diào)整后，使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估來(lái)確定原本的安全措施是否依然有效，如果不行，應(yīng)當(dāng)在哪些方面做出相應(yīng)的修改等等。 3、在信息系統(tǒng)生命周期的最終銷(xiāo)毀階段，可以使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估來(lái)檢驗(yàn)應(yīng)當(dāng)完全銷(xiāo)毀的數(shù)據(jù)或設(shè)備，確實(shí)已經(jīng)不能被任何方式所恢復(fù)；淘汰 的信息系統(tǒng)中的設(shè)備確實(shí)已經(jīng)被妥善保管，沒(méi)有被流失出去的危險(xiǎn)等作用。二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的通用處理流程 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估不是一個(gè)可以隨意就能完成的任務(wù)，為了能保證風(fēng)險(xiǎn)評(píng)

31、估按一定的方式有序、正確地執(zhí)行，以及評(píng)估結(jié)果的真實(shí)有效；也為了能減少在風(fēng)險(xiǎn) 評(píng)估過(guò)程中有可能產(chǎn)生的有意或無(wú)意錯(cuò)誤；同時(shí)還為了提高風(fēng)險(xiǎn)評(píng)估的效率，縮短評(píng)估的時(shí)間，以減少對(duì)正常業(yè)務(wù)的影響。為信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估工作制定一個(gè) 有效的處理流程是很有必要的。在現(xiàn)在出現(xiàn)了的一些信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)中（例如我國(guó)，在2006年3月7日，由國(guó)務(wù)院信息化辦公室印發(fā)的信 息安全風(fēng)險(xiǎn)評(píng)估指南），已經(jīng)提出了處理風(fēng)險(xiǎn)評(píng)估的通用流程。但是，這些通用的風(fēng)險(xiǎn)評(píng)估流程并不包括具體細(xì)節(jié)，你和你的風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)?wèi)?yīng)當(dāng)根據(jù)需要評(píng)估的對(duì) 象來(lái)自行決定。同時(shí)，我們?cè)陲L(fēng)險(xiǎn)評(píng)估過(guò)程中，還要以這些風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)作為評(píng)估結(jié)果的參考標(biāo)準(zhǔn)，以便給出具體的

32、風(fēng)險(xiǎn)評(píng)估值。在這里，我同樣只給 出這個(gè)通用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估流程的主框架，具體的處理細(xì)節(jié)會(huì)在第二節(jié)中詳細(xì)說(shuō)明。這個(gè)通徹的風(fēng)險(xiǎn)評(píng)估處理流程如下所示：1、信息系統(tǒng)安全 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段2、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)檢測(cè)階段3、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)檢測(cè)結(jié)果分析及給出評(píng)估報(bào)告階段 4、后期安全維護(hù)階段三、了解信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的三個(gè)重要術(shù)語(yǔ)1、評(píng)估對(duì)象 在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，我們首先要做的就是指定評(píng)估的具體對(duì)象，也就是限制評(píng)估的具體物理和技術(shù)范圍。在信息系統(tǒng)當(dāng)中，評(píng)估對(duì)象是與信息系統(tǒng)中 的軟硬件組成部分相對(duì)應(yīng)的。例如，信息系統(tǒng)中包括各種服務(wù)器、服務(wù)器上運(yùn)行的操作系統(tǒng)及各種服務(wù)程

33、序、各種網(wǎng)絡(luò)連接設(shè)備、各種安全防范設(shè)備或應(yīng)用程序、物 理安全保障設(shè)備，這些都可以是構(gòu)成獨(dú)立的評(píng)估對(duì)象，甚至連使用這些信息系統(tǒng)的人也可以作為一個(gè)評(píng)估對(duì)象?？偟膩?lái)說(shuō)，目前可以將整個(gè)計(jì)算機(jī)信息系統(tǒng)分為六個(gè) 主要的評(píng)估對(duì)象：（1）、信息安全風(fēng)險(xiǎn)評(píng)估（2）、業(yè)務(wù)流程安全風(fēng)險(xiǎn)評(píng)估（3）、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估 （4）、通信安全風(fēng)險(xiǎn)評(píng)估（5）、無(wú)線安全風(fēng)險(xiǎn)評(píng)估（6）、物理安全風(fēng)險(xiǎn)評(píng)估2、評(píng)估項(xiàng)目信息系統(tǒng)安全 風(fēng)險(xiǎn)評(píng)估的評(píng)估項(xiàng)目是針對(duì)某個(gè)具體的評(píng)估對(duì)象來(lái)定的，用來(lái)決定評(píng)估對(duì)象具體要評(píng)估的某個(gè)方面，例如，對(duì)于物理安全風(fēng)險(xiǎn)評(píng)估，就需要對(duì)評(píng)估對(duì)象所在的周邊環(huán) 境進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，以及對(duì)評(píng)估對(duì)象已經(jīng)完成的物理安全措施進(jìn)行風(fēng)

34、險(xiǎn)評(píng)估等，這些就是信息系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估項(xiàng)目。每一個(gè)評(píng)估對(duì)象都有屬于自 己獨(dú)特的評(píng)估項(xiàng)目，這是每個(gè)評(píng)估對(duì)象獨(dú)特的屬性所決定的。下面是六個(gè)主要的安全風(fēng)險(xiǎn)評(píng)估對(duì)象的主要評(píng)估項(xiàng)目的簡(jiǎn)短描述：（1）、信息安全風(fēng)險(xiǎn) 評(píng)估的主要評(píng)估項(xiàng)目、信息的安全狀況評(píng)估、信息的完整性審查、機(jī)密信息調(diào)查、網(wǎng)絡(luò)操作痕跡信息 檢查、信息在使用過(guò)程中的安全性審查、隱私信息機(jī)密性審查、信息可控性審查、信息存儲(chǔ)安全性審 查（2）、業(yè)務(wù)流程安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目、業(yè)務(wù)流程安全現(xiàn)狀評(píng)估、業(yè)務(wù)請(qǐng)求安全性審查、業(yè) 務(wù)反請(qǐng)求安全性審查、業(yè)務(wù)處理流程安全性審查、業(yè)務(wù)處理人員可信賴(lài)性測(cè)試（3）、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng) 目、網(wǎng)絡(luò)安全現(xiàn)狀

35、評(píng)估、入侵檢測(cè)審查、網(wǎng)絡(luò)傳輸安全性評(píng)估、網(wǎng)絡(luò)應(yīng)用安全性評(píng)估 、網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測(cè)與驗(yàn)證、網(wǎng)絡(luò)中交換機(jī)及路由器安全性評(píng)估、訪問(wèn)控制測(cè)試、主要網(wǎng)絡(luò)攻擊方式測(cè)試（如 DOS）、網(wǎng)絡(luò)行為審查、網(wǎng)絡(luò)安全策略、警報(bào)和日志文件審查（4）、通信安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目 、Modem等通信設(shè)備安全性檢測(cè)、VOIP安全性評(píng)估、網(wǎng)絡(luò)傳真安全性評(píng)估、遠(yuǎn)程訪問(wèn)安全性評(píng)估 、即時(shí)通信安全性評(píng)估（包括即時(shí)聊天、網(wǎng)絡(luò)視頻會(huì)議、網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控等）（5）、無(wú)線安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目、電磁輻射 測(cè)試、802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、藍(lán)牙安全性評(píng)估、無(wú)線輸入輸出設(shè)備安全性測(cè)試 、無(wú)線手持設(shè)備安全性測(cè)試、無(wú)線設(shè)備接入或

36、退出安全性測(cè)試、無(wú)線傳輸設(shè)備安全性測(cè)試、無(wú)線通信保密性測(cè)試 、其它無(wú)線通信方式檢測(cè)（如RFID及紅外線連接等）（6）、物理安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目、物理安全現(xiàn)狀評(píng)估 、物理安全訪問(wèn)控制的安全性測(cè)試、物理監(jiān)控設(shè)備運(yùn)行審查、警報(bào)響應(yīng)審查、物理安全防范位置審查 、計(jì)算機(jī)系統(tǒng)所處位置周邊物理安全審查、計(jì)算機(jī)系統(tǒng)所處位置當(dāng)?shù)刈匀粭l件、環(huán)境因素調(diào)查| 評(píng) 估任務(wù)評(píng)估任務(wù)就是指要達(dá)到某個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目的評(píng)估目標(biāo)時(shí)，要具體進(jìn)行的所有評(píng)估操作任務(wù)。評(píng)估任務(wù)與每個(gè)評(píng)估項(xiàng)目相對(duì) 應(yīng)，具體的評(píng)估任務(wù)可以由你和你的團(tuán)隊(duì)根據(jù)實(shí)際需求來(lái)決定。評(píng)估任務(wù)制定得全不全面，切不切合實(shí)際，會(huì)直接影響到信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的最終結(jié)果是

37、否與風(fēng) 險(xiǎn)評(píng)估的目標(biāo)相一致。因此，當(dāng)決定這些評(píng)估任務(wù)時(shí)，參與決定的人員不僅要有豐富的經(jīng)驗(yàn)，而且手里要有充足的與評(píng)估對(duì)象相關(guān)的各種有效的資料；同時(shí)，要對(duì)目 前的安全威脅，各種系統(tǒng)或設(shè)備的弱點(diǎn)和漏洞，各種攻擊手段有充分的了解；而且，還要能仔細(xì)識(shí)別評(píng)估對(duì)象的資產(chǎn)類(lèi)型及其重要性等。由于評(píng)估任務(wù) 是與具體的評(píng)估對(duì)象和評(píng)估項(xiàng)目來(lái)決定的，還與當(dāng)前的安全威脅狀況及發(fā)展趨勢(shì)有關(guān)，同時(shí)由于文章篇幅的限制。因此，在中只能分別對(duì)這六個(gè)評(píng)估對(duì)象中的一到二 個(gè)評(píng)估項(xiàng)目給出一些通用的評(píng)估任務(wù)。至于其它評(píng)估項(xiàng)目的評(píng)估任務(wù)，你和你的評(píng)估團(tuán)隊(duì)可以參考中給出的評(píng)估任務(wù)內(nèi)容實(shí)例，使用頭腦風(fēng)暴的方法，通過(guò)分析收集 到的各種有效資料來(lái)自

38、行決定。（1）、信息安全風(fēng)險(xiǎn)評(píng)估中隱私信息機(jī)密性審查的評(píng)估任務(wù)隱私信息的機(jī)密性審查，主要是為了檢測(cè)機(jī) 構(gòu)中員工及客戶(hù)的隱私信息在使用、傳輸和存儲(chǔ)過(guò)程中的完全性。由于這些隱私可能涉及到機(jī)構(gòu)所在位置的某些法律條規(guī)，因此，在決定這個(gè)項(xiàng)目的評(píng)估任務(wù)時(shí)，要 充分考慮機(jī)構(gòu)所在區(qū)域的國(guó)家及地區(qū)法規(guī)。通常，要進(jìn)行一次全面的隱私機(jī)密性審查，應(yīng)當(dāng)完成下列所示的評(píng)估任務(wù)：、比對(duì)實(shí)際的隱 私信息訪問(wèn)方式與隱私訪問(wèn)策略中規(guī)定的方式之間的差異；、檢查隱私信息的監(jiān)控保護(hù)方式符合當(dāng)?shù)氐姆煞ㄒ?guī)；、標(biāo)識(shí)出存儲(chǔ)的隱 私信息的數(shù)據(jù)庫(kù)類(lèi)型和大?。?、標(biāo)識(shí)由機(jī)構(gòu)收集到的各種隱私信息；、確定隱私信息存儲(chǔ)的位置；、了解當(dāng)前網(wǎng)絡(luò)瀏 覽時(shí)COO

39、KIE保存類(lèi)型和保留的時(shí)間；、識(shí)別保存在COOKIE中的各種隱私信息；、驗(yàn)證COOKIE使用的加密方法； 、識(shí)別機(jī)構(gòu)的WEB服務(wù)器可能產(chǎn)生錯(cuò)誤的位置，了解錯(cuò)誤發(fā)生時(shí)返回給瀏覽用戶(hù)的信息類(lèi)型。（2）、信息安全風(fēng)險(xiǎn)評(píng)估中網(wǎng)絡(luò)操作痕跡信息檢 查的評(píng)估任務(wù)網(wǎng)絡(luò)操作痕跡信息的檢查，主要是為了調(diào)查機(jī)構(gòu)內(nèi)部某些員工在網(wǎng)絡(luò)操作后留下的操作痕跡，用審查是否有一些與組織相關(guān)的機(jī)密信息遺 留在互聯(lián)網(wǎng)當(dāng)中。這個(gè)評(píng)估項(xiàng)目是信息安全風(fēng)險(xiǎn)評(píng)估中非常重要的一個(gè)部分，要完成一次全面的互聯(lián)網(wǎng)操作行為信息檢查，下面這些評(píng)估任務(wù)是不能少的： 、檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫(kù)和緩存中的內(nèi)容；、檢查機(jī)構(gòu)內(nèi)部員工是否通過(guò)個(gè)人主頁(yè)、博客、，以

40、及發(fā)布網(wǎng)絡(luò)求職簡(jiǎn)歷的方式，透露了機(jī) 構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息；、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過(guò)機(jī)構(gòu)分配的 電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息；、了解機(jī)構(gòu)內(nèi)部員工的計(jì)算機(jī)技術(shù)水平，以及了解計(jì)算機(jī)技術(shù)水平較高的員工所處的部門(mén)及其操作權(quán)限； 、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時(shí)間使用即時(shí)通信工具，并在法律條件允許的條件下監(jiān)控即時(shí)通信的內(nèi)容；、使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是 否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、及博客中搜索；、檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查 P2P通信內(nèi)容。（3）、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中網(wǎng)絡(luò)弱

41、點(diǎn)及漏洞檢測(cè)與驗(yàn)證的評(píng)估任務(wù)網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測(cè)與驗(yàn)證是為了找出網(wǎng)絡(luò)中存的 安全弱點(diǎn)和漏洞，并且驗(yàn)證這些弱點(diǎn)和漏洞是否可以真的被利用。在評(píng)估過(guò)程中使用一些基于網(wǎng)絡(luò)的弱點(diǎn)掃描及滲透測(cè)試工具，能大大提高評(píng)估工作的效率。 但是，在使用弱點(diǎn)掃描工具時(shí)不能對(duì)它檢測(cè)后的結(jié)果全盤(pán)接受，這是由于現(xiàn)在大部分的弱點(diǎn)掃描工具都是通過(guò)與自己的弱點(diǎn)和漏洞數(shù)據(jù)進(jìn)行比對(duì)，來(lái)決定檢測(cè)對(duì)象 是否存某弱點(diǎn)或漏洞的。一旦工具的漏洞數(shù)據(jù)庫(kù)不能及時(shí)更新，或不能包括所有目前已經(jīng)發(fā)現(xiàn)的漏洞，那么，其檢測(cè)結(jié)果就不一定完全可靠。并且，由于這些工具本 身設(shè)計(jì)缺陷和能力限制，在使用過(guò)程中會(huì)出現(xiàn)誤報(bào)和漏報(bào)的問(wèn)題，誤報(bào)會(huì)讓我們白擔(dān)心一場(chǎng)，而漏報(bào)卻會(huì)讓我

42、們處于重大安全事故發(fā)生的邊緣。因此，在弱點(diǎn)掃描后 進(jìn)行人工核查和滲透測(cè)試能減少漏報(bào)和誤報(bào)的發(fā)生。要完成一次徹底的網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測(cè)與驗(yàn)證的評(píng)估項(xiàng)目，下面完成下面的評(píng)估任務(wù)： 、結(jié)合目前最流行的弱點(diǎn)掃描和滲透工具，對(duì)目標(biāo)網(wǎng)段進(jìn)行測(cè)試；、使用弱點(diǎn)掃描工具，按由外向內(nèi)，由內(nèi)向外的兩種方式掃描目標(biāo)網(wǎng)段； 、確定存在弱點(diǎn)或漏洞的系統(tǒng)和應(yīng)用程序的類(lèi)型；、確定存在漏洞的服務(wù)；、確定應(yīng)用程序和服務(wù)存在漏洞的類(lèi)型； 、識(shí)別操作系統(tǒng)和應(yīng)用程序中的存在的所有漏洞，識(shí)別所有存在漏洞的操作系統(tǒng)和應(yīng)用程序；、確定這些漏洞是否可以影響到其它相似的目標(biāo)網(wǎng) 絡(luò)或系統(tǒng)；、通過(guò)人為滲透測(cè)試的方法來(lái)檢測(cè)找到的弱點(diǎn)或漏洞是否真實(shí)存在；

43、、檢驗(yàn)這些漏洞可以被利用的機(jī)率，利用后可能產(chǎn)生 的后果。（4）、通信安全風(fēng)險(xiǎn)評(píng)估中Modem等通信設(shè)備安全性檢測(cè)的評(píng)估任務(wù)Modem等通信設(shè)備的安全性檢測(cè)主要是為了檢驗(yàn) 調(diào)制解調(diào)器的登錄驗(yàn)證方式，是否可以被運(yùn)程非法控制等等。要完成一次全面的Modem等通信設(shè)備的安全性檢測(cè)項(xiàng)目，下面的評(píng)估任務(wù)將要被全部執(zhí)行： 、以由內(nèi)向外，由處向內(nèi)的方式全面掃描Modem等通信設(shè)備；、確保Modem等通信設(shè)備的登錄用戶(hù)和密碼不是使用缺省設(shè)置，或者容易 被猜出；、確保與Modem等通信設(shè)備直接相連的路由器、三層交換機(jī)或計(jì)算機(jī)已經(jīng)做好了相應(yīng)的安全措施；、檢查通過(guò)遠(yuǎn)程維護(hù) Modem等通信設(shè)備是否安全；、驗(yàn)證遠(yuǎn)程撥號(hào)

44、認(rèn)證；、測(cè)試本地?fù)芴?hào)認(rèn)證；（5）、無(wú)線安全風(fēng)險(xiǎn)評(píng)估中 802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的評(píng)估任務(wù)由于802.11a/b/g無(wú)線網(wǎng)絡(luò)技術(shù)越來(lái)越成熟，越來(lái)越多的機(jī)構(gòu)開(kāi)始使用它。但 是，由于802.11a/b/g無(wú)線網(wǎng)絡(luò)技術(shù)的開(kāi)放性，且大多數(shù)使用沒(méi)有對(duì)其默認(rèn)設(shè)置做相應(yīng)的安全修改，或者設(shè)置的安全很少也很弱，從而造成 802.11a/b/g無(wú)線網(wǎng)絡(luò)帶來(lái)的安全風(fēng)險(xiǎn)與它的功能一樣多。因此，使用802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別無(wú)線網(wǎng)絡(luò)中目前存在的安全 風(fēng)險(xiǎn)，以便能采取更好的安全措施來(lái)降低無(wú)線網(wǎng)絡(luò)應(yīng)用帶來(lái)的風(fēng)險(xiǎn)。完成802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目，必需執(zhí)行下列所有的評(píng)

45、估任務(wù)：、檢驗(yàn)機(jī)構(gòu)是否已經(jīng)有一個(gè)足夠好的無(wú)線安全策略，來(lái)保證802.11a/b/g無(wú)線網(wǎng)絡(luò)的應(yīng)用，同時(shí)評(píng)估802.11a/b/g無(wú) 線網(wǎng)絡(luò)的硬件和固件，以及更新?tīng)顩r等；、對(duì)連接在目標(biāo)無(wú)線網(wǎng)終上的無(wú)線設(shè)備進(jìn)行全面的清查，評(píng)估訪問(wèn)控制，無(wú)線信號(hào)覆蓋的規(guī)定范圍，并確定 是否有能力防止無(wú)線信號(hào)超出規(guī)定的范圍，或者能夠干擾超出的無(wú)線信號(hào)；、確定無(wú)線設(shè)備水平接入目標(biāo)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制能力，是否能夠標(biāo)識(shí)所 有允許的接入點(diǎn)，以及是否能夠即時(shí)識(shí)別非授權(quán)接入點(diǎn)，并能定位和拒絕它的接入；、評(píng)估無(wú)線網(wǎng)絡(luò)的配置、認(rèn)證和加密方式；、評(píng) 估無(wú)線接入點(diǎn)的默認(rèn)服務(wù)設(shè)備標(biāo)識(shí)符（SSID）已經(jīng)更改；、驗(yàn)證所有無(wú)線客戶(hù)端已經(jīng)安裝了殺

46、毒軟件和防火墻等安全工具； （6）、物理安全風(fēng)險(xiǎn)評(píng)估中物理安全訪問(wèn)控制的安全性測(cè)試的評(píng)估任務(wù)物理安全訪問(wèn)控制的安全性測(cè)試，是用來(lái)檢測(cè)物理方式直接接觸機(jī)構(gòu)中重要信 息資產(chǎn)時(shí)是否符合安全要求的評(píng)估項(xiàng)目。要完成一次物理安全訪問(wèn)控制的安全性測(cè)試，就必需完成下列所示的評(píng)估任務(wù)：、枚舉所有必需進(jìn)行物理訪 問(wèn)控制的區(qū)域；、檢查所有物理訪問(wèn)控制點(diǎn)的訪問(wèn)控制設(shè)備及其類(lèi)型；、檢查觸發(fā)警報(bào)的類(lèi)型是否與說(shuō)明的一致；、 判斷物理訪問(wèn)控制設(shè)備的安全級(jí)別；、測(cè)試物理訪問(wèn)控制設(shè)備是否存在弱點(diǎn)和漏洞；、測(cè)試物理訪問(wèn)控制設(shè)備是否可以被人為或其它 方式失去檢測(cè)能力；四、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中應(yīng)當(dāng)遵守的規(guī)則在對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)

47、估 過(guò)程中，下列的一些因素會(huì)給評(píng)估帶來(lái)錯(cuò)誤的結(jié)果：1、弱點(diǎn)掃描軟件的誤報(bào)和漏報(bào)；2、系統(tǒng)本身設(shè)置對(duì)某類(lèi)事情做出固定的某種缺陷 反應(yīng)。當(dāng)測(cè)試帶有欺騙性設(shè)置的系統(tǒng)時(shí)，常會(huì)對(duì)所有的評(píng)估事件做出某種指定的相同反應(yīng)；3、要評(píng)估的系統(tǒng)中存在某種已經(jīng)指定對(duì)所有事件做出安全 反應(yīng)的設(shè)置。4、在風(fēng)險(xiǎn)評(píng)估過(guò)程中收到了某個(gè)目標(biāo)的回應(yīng)，但這個(gè)回應(yīng)并不是真的來(lái)自實(shí)際的評(píng)估目標(biāo)，而一些沒(méi)有經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估人員，對(duì)出現(xiàn)這 樣的假象不能正確識(shí)別，從而造成錯(cuò)誤的結(jié)果；5、風(fēng)險(xiǎn)評(píng)估工具設(shè)備本身存在問(wèn)題，就可能出現(xiàn)錯(cuò)誤的回應(yīng)。以及當(dāng)風(fēng)險(xiǎn)評(píng)估的以太網(wǎng)路出現(xiàn)高噪 音，或者存在干擾目標(biāo)無(wú)線網(wǎng)絡(luò)信號(hào)的設(shè)備時(shí)，都會(huì)出現(xiàn)錯(cuò)誤的結(jié)果；6、當(dāng)風(fēng)險(xiǎn)評(píng)估過(guò)程中的某個(gè)環(huán)境得到了錯(cuò)誤的結(jié)果，但是沒(méi)有及時(shí)識(shí)別和重新 評(píng)估，而其后的評(píng)估工作卻使用這個(gè)錯(cuò)誤的結(jié)果作為評(píng)估條件，這樣一來(lái)，就會(huì)讓這種錯(cuò)誤繼承下去，造成得到一個(gè)錯(cuò)誤的最終風(fēng)險(xiǎn)評(píng)估結(jié)果；7、風(fēng) 險(xiǎn)評(píng)估必需由人來(lái)執(zhí)行，由于風(fēng)險(xiǎn)評(píng)估人員的技術(shù)水平，經(jīng)驗(yàn)值的高低，以及他們的評(píng)估態(tài)度，對(duì)風(fēng)險(xiǎn)評(píng)