【正文】 關(guān)鍵資產(chǎn)的風(fēng)險。對計算基礎(chǔ)結(jié)構(gòu)進(jìn)行的評估。這是從組織的角度進(jìn)行的評估。（4）幫助決策制訂者綜合平衡風(fēng)險以選擇成本效益對策。這一程序可能包括對信息進(jìn)行比較分析，根據(jù)工業(yè)標(biāo)準(zhǔn)和最佳實踐對信息進(jìn)行等級評定。（3）提供詳細(xì)的分析報告，說明檢測到的技術(shù)弱點，并且可能為解決這些弱點建議具體的措施。信息安全風(fēng)險評估工具的出現(xiàn)，大大縮短了評估所花費的時間。A System Security公司推出了COBRA工具，用來進(jìn)行信息安全風(fēng)險評估。1985年，英國CCTA開發(fā)了CRAMM風(fēng)險評估工具。對于安全決策者而言，這些工作包括資產(chǎn)估價、安全投資成本以及風(fēng)險效益之間的平衡決策等。大多數(shù)安全問題深深的根植在一個或者多個組織和業(yè)務(wù)問題中。ASSET 是一個免費工具，可以在NIST 的網(wǎng)站下載：。除了風(fēng)險評估，CRAMM 還可以對符合ITIL（IT Infrastructure Library）指南的業(yè)務(wù)連續(xù)性管理提供支持。經(jīng)過多次版本更新（現(xiàn)在是第四版），目前由 Insight 咨詢公司負(fù)責(zé)管理和授權(quán)。 * Camp。目前常見的自動化風(fēng)險評估工具包括：典型工具有Nessus、ISS、CyberCop Scanner 等。 人員訪談 —— 風(fēng)險評估者通過與組織內(nèi)關(guān)鍵人員的訪談，可以了解到組織的安全意識、業(yè)務(wù)操作、管理程序等重要信息。從問卷調(diào)查中，評估者能夠了解到組織的關(guān)鍵業(yè)務(wù)、關(guān)鍵資產(chǎn)、主要威脅、管理上的缺陷、采用的控制措施和安全策略的執(zhí)行情況。 COBRA —— COBRA（Consultative, Objective and Bifunctional Risk Analysis）是英國的Camp。A 公司提供了COBRA 試用版下載：。 Special Offer... Only $US 1995 $US 895CRAMM 是一種可以評估信息系統(tǒng)風(fēng)險并確定恰當(dāng)對策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個階段使用。在實施安全方案之前，應(yīng)當(dāng)通過在業(yè)務(wù)環(huán)境中評估安全需求和風(fēng)險，刻畫出基本問題的真實本質(zhì)，決定需要保護哪些對象，為什么要保護這些對象，需要從哪些方面進(jìn)行保護，如何在生存期內(nèi)進(jìn)行保護。對于系統(tǒng)管理員而言，這些工作包括基于風(fēng)險評估的風(fēng)險管理等。CRAMM包括全面的風(fēng)險評估工具，并且完全遵循BS 7799規(guī)范，包括依靠資產(chǎn)的建模、商業(yè)影響評估、識別和評估威脅和弱點、評估風(fēng)險等級、識別需求和基于風(fēng)險評估調(diào)整控制等。COBRA由一系列風(fēng)險分析、咨詢和安全評價工具組成，它改變了傳統(tǒng)的風(fēng)險管理方法，提供了一個完整的風(fēng)險分析服務(wù)，并且兼容許多風(fēng)險評估方法學(xué)（如定性分析和定量分析等）。在系統(tǒng)應(yīng)用和配置不斷改變的情況，組織可以通過執(zhí)行另外一次評估重新設(shè)置風(fēng)險基線。 技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進(jìn)行系統(tǒng)的、及時的檢查，包括對組織內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊。技術(shù)評估是通常意義上所講的技術(shù)脆弱性評估，強調(diào)組織的技術(shù)脆弱性。（2）包括對系統(tǒng)進(jìn)行技術(shù)分析、對政策進(jìn)行評審，以及對物理安全進(jìn)行審查。1999年，卡內(nèi)基?梅隆大學(xué)的SEI發(fā)布了OCTAVE框架，這是一種自主型信息安全風(fēng)險評估方法。組織的全體員工闡述他們的看法，如什么對組織重要（與信息相關(guān)的資產(chǎn)），應(yīng)當(dāng)采取什么樣的措施保護這些資產(chǎn)等。分析團隊標(biāo)識出與每種關(guān)鍵資產(chǎn)相關(guān)的關(guān)鍵信息技術(shù)系統(tǒng)和組件，然后對這些關(guān)鍵組件進(jìn)行分析，找出導(dǎo)致對關(guān)鍵資產(chǎn)產(chǎn)生未授權(quán)行為的弱點（技術(shù)弱點）。多數(shù)定性風(fēng)險分析方法依據(jù)組織面臨的威脅、脆弱點以及控制措施等元素來決定安全風(fēng)險等級。如，設(shè)“高”的值為3，“中”的值為2，“低”的值為1。理論上可以依據(jù)ALE計算威脅事件的風(fēng)險等級，并且做出相應(yīng)的決策。也可以用事件發(fā)生的頻率估計一些系統(tǒng)問題的概率，例如系統(tǒng)崩潰和感染病毒。應(yīng)用于沒有直接根據(jù)的情形，可能只能考慮一些間接信息、有根據(jù)的猜測、直覺或者其他主觀因素，稱為主觀概率。該方法提出重用具有相似性組織（主要從組織的大小、范圍以及市場來判斷組織是否相似）的“良好實踐”。然而，組織相似性的判定、被評估組織的安全需求分析以及關(guān)鍵資產(chǎn)的確定都是該方法的制約點。該工程旨在開發(fā)一個基于面向?qū)ο蠼＜夹g(shù)的風(fēng)險評估框架，特別指出使用UML建模技術(shù)。風(fēng)險評估的基本過程識別并評估弱點風(fēng)險評估的基本過程識別并評估弱點 技術(shù)性弱點 —— 系統(tǒng)、程序、設(shè)備中存在的漏洞或缺陷，比如結(jié)構(gòu)設(shè)計問題和編程漏洞。 管理性弱點 —— 策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的不足。信息安全評估標(biāo)準(zhǔn)的發(fā)展企業(yè)的網(wǎng)絡(luò)環(huán)境和應(yīng)用系統(tǒng)愈來愈復(fù)雜，每個企業(yè)都有這樣的疑惑：自己的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有哪些安全漏洞？應(yīng)該怎樣解決？如何規(guī)劃企業(yè)的安全建設(shè)？信息安全評估回答了這些問題。進(jìn)行信息安全評估后，可以讓企業(yè)準(zhǔn)確地了解自身的網(wǎng)絡(luò)、各種應(yīng)用系統(tǒng)以及管理制度規(guī)范的安全現(xiàn)狀，從而明晰企業(yè)的安全需求。對企業(yè)進(jìn)行信息安全評估后，可以制定企業(yè)網(wǎng)絡(luò)和系統(tǒng)的安全策略及安全解決方案，從而指導(dǎo)企業(yè)信息系統(tǒng)安全技術(shù)體系（如部署防火墻、入侵檢測與漏洞掃描系統(tǒng)、防病毒系統(tǒng)、數(shù)據(jù)備份系統(tǒng)、建立公鑰基礎(chǔ)設(shè)施PKI等）與管理體系（安全組織保證、安全管理制度及安全培訓(xùn)機制等）的建設(shè)。信息技術(shù)安全評估標(biāo)準(zhǔn)（ITSEC，歐洲百皮書）是由法、英、荷、德歐洲四國90年代初聯(lián)合發(fā)布的，它提出了信息安全的機密性、完整性、可用性的安全屬性。該標(biāo)準(zhǔn)定義了評價信息技術(shù)產(chǎn)品和系統(tǒng)安全性的基本準(zhǔn)則，提出了目前國際上公認(rèn)的表述信息技術(shù)安全性的結(jié)構(gòu)，即把安全要求分為規(guī)范產(chǎn)品和系統(tǒng)安全行為的功能要求以及解決如何正確有效地實施這些功能的保證要求。該模型闡述了信息安全評估的思路，對企業(yè)的信息安全評估工作具有指導(dǎo)意義。BS7799/ISO17799主要提供了有效地實施信息系統(tǒng)風(fēng)險管理的建議，并介紹了風(fēng)險管理的方法和過程。AS/NZS 4360:1999是風(fēng)險管理的通用指南，它給出了一整套風(fēng)險管理的流程，對信息安全風(fēng)險評估具有指導(dǎo)作用。OCTAVE將信息安全風(fēng)險評估過程分為三個階段：階段一，建立基于資產(chǎn)的威脅配置文件；階段二，標(biāo)識基礎(chǔ)結(jié)構(gòu)的弱點；階段三，確定安全策略和計劃。主要的安全考核指標(biāo)有身份認(rèn)證、自主訪問控制、數(shù)據(jù)完整性、審計等，這些指標(biāo)涵蓋了不同級別的安全要求。 然而，在安全評估過程中，評估人員常常面臨的問題是：信息資產(chǎn)的重要性如何度量？資產(chǎn)如何分級？什么樣的系統(tǒng)損失可能構(gòu)成什么樣的經(jīng)濟損失？如何構(gòu)建技術(shù)體系和管理體系達(dá)到預(yù)定的安全等級？一個由病毒中斷了的郵件系統(tǒng)，企業(yè)因此造成的經(jīng)濟損失和社會影響如何計算？如果黑客入侵，盡管沒有造成較大的經(jīng)濟損失，但企業(yè)的名譽損失又該如何衡量？另外，對企業(yè)的管理人員而言：哪些風(fēng)險在企業(yè)可承受的范圍內(nèi)？這些問題從不同角度決定了一個信息系統(tǒng)安全評估的結(jié)果。據(jù)統(tǒng)計，國外發(fā)達(dá)國家用在信息安全評估上的投資能占企業(yè)總投資的1%～5%，電信和金融行業(yè)能達(dá)到3%～5%。因此，信息安全評估有著廣闊的市場前景。　　信息資產(chǎn)的所有者關(guān)心的是如何以合理的投入獲得足夠的安全，或者，如何把信息安全風(fēng)險控制在可接受的范圍內(nèi)。　　信息安全風(fēng)險分析方法可以分為兩大類：定性分析方法與定量分析方法。　　本文分為5個部分。項目P的范圍是從系統(tǒng)A中抽取了5個節(jié)點，共計1,500臺主機與網(wǎng)絡(luò)設(shè)備進(jìn)行信息采集和分析，利用TFRAP方法進(jìn)行風(fēng)險評估，最后給出綜合風(fēng)險分析報告和風(fēng)險控制建議。Unixware），數(shù)據(jù)庫管理系統(tǒng)包括Oracle、SQL網(wǎng)絡(luò)方面，同樣采用了多種網(wǎng)絡(luò)設(shè)備；安全方面則利用防火墻、IDS、VPN、反病毒軟件等產(chǎn)品構(gòu)成網(wǎng)絡(luò)安全保障子系統(tǒng)。其中有兩個關(guān)鍵問題：　　威脅分析的結(jié)果偏差大，而且難以預(yù)測　　根據(jù)風(fēng)險分析的結(jié)果采取技術(shù)保障措施來控制風(fēng)險的原則　　3　評估方法：TFRAP　　　方法對比與選擇　　考慮到P項目的特點，我們需要選擇一種恰當(dāng)?shù)姆椒??！　　CTAVE簡介　　典型的OCTAVE過程包括3大步驟，8個階段：　　步驟1:確定全體職員的認(rèn)識　　P4:確定關(guān)鍵組件　　P6:實施風(fēng)險分析　　P8:Process）的縮寫。　　　TFRAP　　從上面的簡介可以看出，OCTAVE并不適合這個項目的要求?！　≡诩夹g(shù)層面的風(fēng)險評估中，項目也明確要求不對已經(jīng)非常完整的物理安全措施做任何評估，因此TFRAP主要集中在評估網(wǎng)絡(luò)結(jié)構(gòu)和主機系統(tǒng)方面存在的脆弱性和面臨的威脅。　　　引入事件分析　　在FRAP方法中，大致的流程如下圖所示：通常在風(fēng)險評估的相關(guān)文獻(xiàn)中都會給出幾大類一百多項可能的威脅。::=　　表示事件是針對目標(biāo)的行為，意在導(dǎo)