風(fēng)險(xiǎn)評(píng)估報(bào)告

理”一、數(shù)據(jù)采集方法有：?jiǎn)柧碚{(diào)查、人員訪(fǎng)談、漏洞掃描、滲透性測(cè)試等1MicrosoftSecurityAssessmentTool一款風(fēng)險(xiǎn)評(píng)估應(yīng)用程序，目的是提供一些與信息技術(shù)(IT)基礎(chǔ)架到500臺(tái)臺(tái)式機(jī)和（或）100到1,000名員工的組織設(shè)計(jì)的。它首先采集一些信息（已問(wèn)卷調(diào)查的形式），如下圖所示。通過(guò)填寫(xiě)（圖左上產(chǎn)生的分析報(bào)表：2、人員訪(fǎng)談也可以以調(diào)查問(wèn)卷的形式作為系統(tǒng)參數(shù)的輸入配置3、漏洞掃描、滲透性測(cè)試等數(shù)據(jù)可以通過(guò)漏洞掃描器等檢測(cè)工具獲得，輸入本系統(tǒng)二、安全評(píng)測(cè)、安全分析、報(bào)告處理等都屬于本系統(tǒng)的功能，并采用前面數(shù)據(jù)采集得到的數(shù)據(jù)目前常見(jiàn)的自動(dòng)化風(fēng)險(xiǎn)評(píng)估工具還包括：CORACORA（Cost-of-Risk是由國(guó)際安全技術(shù)公司（InternationalSecurityTechnologyInc組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的依據(jù)。ASSET——ASSET（AutomatedSecuritySelf-Evaluation是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)（NationalInstituteofStandardandTechnology，NIST）發(fā)布的一個(gè)可用來(lái)進(jìn)行安全風(fēng)險(xiǎn)自我評(píng)估的自動(dòng)化工具，它采用典型的基于知識(shí)的分析方法，利用問(wèn)卷方式來(lái)評(píng)估系統(tǒng)安全現(xiàn)狀與 NIST SP800-26 指南之間的差距。SpecialPublication 800-26，即信息技術(shù)系統(tǒng)安全自我評(píng)估指南（Securityerny，為組織進(jìn)行T系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了眾多控制目標(biāo)和建議技術(shù)ASSET是一個(gè)免費(fèi)工具可以在NIST的網(wǎng)站下載：。CRAMM——CRAMM（CCTARiskAnalysisandManagementMethod）是由英國(guó)政府的中央計(jì)算機(jī)與電信局（CentralComputerandTelecommunications于1985年開(kāi)發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分經(jīng)過(guò)多次版本更（現(xiàn)在是第四版目前由Insight咨詢(xún)公司負(fù)責(zé)管理和授權(quán)CRAMM是一種可以評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對(duì)策的結(jié)構(gòu)化方法適用于各種類(lèi)型的信息系統(tǒng)和網(wǎng)絡(luò)也可以在信息系統(tǒng)生命周期的各個(gè)階段使用CRAMM的安全模型數(shù)據(jù)庫(kù)基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型，評(píng)估過(guò)程經(jīng)過(guò)資產(chǎn)識(shí)別與評(píng)價(jià)威脅和弱點(diǎn)評(píng)估選擇合適的推薦對(duì)策這三個(gè)階段CRAMM與BS7799標(biāo)準(zhǔn)保持一致它提供的可供選擇的安全控制多達(dá)3000個(gè)除了風(fēng)險(xiǎn)評(píng)估還可以對(duì)符合ITIL（ITInfrastructureLibrary）指南的業(yè)務(wù)連續(xù)性管理提供支持。COBRA——COBRA（Consultative,ObjectiveandBi-functionalRiskAnalysis）是英國(guó)的C&A系統(tǒng)安全公司推出的一套風(fēng)險(xiǎn)分析工具軟件，它通過(guò)問(wèn)卷的方式來(lái)采集和分析數(shù)據(jù)并對(duì)組織的風(fēng)險(xiǎn)進(jìn)行定性分析最終的評(píng)估報(bào)告中包含已識(shí)別風(fēng)險(xiǎn)的水平和推薦措施。此外，COBRA還支持基于知識(shí)的評(píng)估方法，可以將組織的安全現(xiàn)狀與ISO17799標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補(bǔ)措施。C&A公司 提 供 了 COBRA 試 用 版 下 載 ：。術(shù)語(yǔ)簡(jiǎn)稱(chēng)：可以用微軟的那種方式采集得到，下面簡(jiǎn)稱(chēng)micro-style下面是我們產(chǎn)生的評(píng)估報(bào)告大體的初步的框架風(fēng)險(xiǎn)評(píng)估報(bào)告一、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述工程項(xiàng)目概況（micro-style）建設(shè)項(xiàng)目基本信息建設(shè)單位基本信息二、風(fēng)險(xiǎn)評(píng)估的目標(biāo)三、風(fēng)險(xiǎn)評(píng)估的依據(jù)（技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件）四、風(fēng)險(xiǎn)評(píng)估的范圍（評(píng)估對(duì)象）評(píng)估對(duì)象構(gòu)成及定級(jí)網(wǎng)絡(luò)結(jié)構(gòu)（micro-style）3.2.2業(yè)務(wù)應(yīng)用（micro-style）3.3.3子系統(tǒng)構(gòu)成及定級(jí)（在3.1.1和3.2.2基礎(chǔ)上根據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)該系統(tǒng)安全等級(jí)定級(jí)，不同的等級(jí)采用不同的安全評(píng)估方法，最后采取的措施也不一樣評(píng)估對(duì)象等級(jí)保護(hù)措施（已采取的安全措施）（micro-style）五、風(fēng)險(xiǎn)評(píng)估的內(nèi)容資產(chǎn)識(shí)別（對(duì)組織有價(jià)值的信息或資源）資產(chǎn)種類(lèi)（micro-style）數(shù)據(jù)（保存在信息媒介上的各種數(shù)據(jù)資料）軟件（系統(tǒng)軟件、應(yīng)用軟件、源程序）硬件（備、安全設(shè)備、其他）（）（掌握重要信息和核心業(yè)務(wù)的人員）其它（最終得到一個(gè)資產(chǎn)賦值列表）通過(guò)一定的算法資產(chǎn)完整性賦值資產(chǎn)可用性賦值資產(chǎn)保密性賦值關(guān)鍵資產(chǎn)說(shuō)明（得出關(guān)鍵資產(chǎn)列表）威脅識(shí)別威脅來(lái)源（micro-style）環(huán)境因素（件通信線(xiàn)路方面的故障等）人為因素（惡意人員、非惡意人員）威脅源描述與分析威脅源分析（軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改抵賴(lài)（表（micro-style）威脅行為分析（威脅行為分析表）3.2.2威脅賦值（通過(guò)一定的算法）脆弱性識(shí)別技術(shù)脆弱性（的數(shù)據(jù)->micro-style）物理環(huán)境的脆弱性網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)軟件應(yīng)用中間件應(yīng)用系統(tǒng)管理脆弱性（micro-style）技術(shù)管理組織管理六、風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估模型（安全等級(jí)是不一樣的）風(fēng)險(xiǎn)結(jié)果判斷（等級(jí)評(píng)定，采用中