【正文】 連接入目標(biāo)網(wǎng)絡(luò)的所需的線纜，以及其它與此次風(fēng)險(xiǎn)評(píng)估相關(guān)的所有工具和文檔，并將它們統(tǒng)一管理。一個(gè)風(fēng)險(xiǎn)評(píng)估策略不僅可以包括上面已經(jīng)列出的這四個(gè)方面，還可以在其中添加與評(píng)估任務(wù)實(shí)際需求相關(guān)的內(nèi)容，例如加入說(shuō)明此次評(píng)估任務(wù)的具體流程和細(xì)節(jié)，各種注意事項(xiàng)等等。并要求所有的評(píng)估人員，嚴(yán)格按照這個(gè)風(fēng)險(xiǎn)評(píng)估策略中的內(nèi)容來(lái)進(jìn)行具體的評(píng)估工作。一個(gè)風(fēng)險(xiǎn)評(píng)估策略是一個(gè)需要技術(shù)和經(jīng)驗(yàn)并重的工作，而且需要考慮的內(nèi)容很多，一個(gè)人不可能將風(fēng)險(xiǎn)評(píng)估項(xiàng)目相關(guān)的所有方面考慮周到。因此，在制定風(fēng)險(xiǎn)評(píng)估策略時(shí)，應(yīng)當(dāng)發(fā)動(dòng)所有評(píng)估人員，以及評(píng)估對(duì)象的使用人員和設(shè)備供應(yīng)商代表等一起來(lái)分析制定。對(duì)于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估來(lái)說(shuō)，如果準(zhǔn)備工作越充分，后續(xù)的風(fēng)險(xiǎn)評(píng)估過(guò)程就越有效率，評(píng)估過(guò)程中出現(xiàn)的錯(cuò)誤就越少，評(píng)估的最終給果就越真實(shí)有效。如果在準(zhǔn)備過(guò)程中疏忽了某些內(nèi)容，特別是制定的安全風(fēng)險(xiǎn)評(píng)估策略出現(xiàn)考慮不周的情況，要是沒(méi)能在執(zhí)行風(fēng)險(xiǎn)評(píng)估前檢查出來(lái)，就會(huì)使最終的風(fēng)險(xiǎn)評(píng)估結(jié)果偏離實(shí)際，這樣就會(huì)讓我們空擔(dān)心一場(chǎng)，或空歡喜一場(chǎng)。二、安全風(fēng)險(xiǎn)檢測(cè)階段當(dāng)所有風(fēng)險(xiǎn)評(píng)估工作的事前準(zhǔn)備工作全部妥善完成后，就可以按風(fēng)險(xiǎn)評(píng)估策略中確定的日期和時(shí)間，開(kāi)始對(duì)指定的評(píng)估對(duì)象的評(píng)估項(xiàng)目做相應(yīng)的安全風(fēng)險(xiǎn)評(píng)估。安全風(fēng)險(xiǎn)的評(píng)估過(guò)程就是使用具體的方法，來(lái)解答在準(zhǔn)備階段制定的評(píng)估項(xiàng)目表單中所有列出的評(píng)估任務(wù)的過(guò)程。要完成風(fēng)險(xiǎn)評(píng)估表單列出的評(píng)估任務(wù)，需要使用一些針對(duì)某個(gè)評(píng)估任務(wù)的具體解決方法。解決評(píng)估任務(wù)的方法有很多種，包括問(wèn)卷調(diào)查、訪談、模擬社會(huì)工程攻擊、使用風(fēng)險(xiǎn)評(píng)估工具（包括軟硬件方式的工具）、審查各種日志、審查各種設(shè)備和安全設(shè)備的配置文檔，以及使用實(shí)際的模擬或真實(shí)的攻擊來(lái)檢驗(yàn)等方法，都可以用來(lái)解答評(píng)估項(xiàng)目中所需要完成的評(píng)估任務(wù)。其中的某些方法只對(duì)某個(gè)評(píng)估任務(wù)有效，而一些工具可能一次自動(dòng)完成多個(gè)項(xiàng)目。為了能減少使用工具產(chǎn)生的誤報(bào)和漏洞，可以使用二種以上的工具來(lái)檢測(cè)同一個(gè)評(píng)估任務(wù)，或者使用手工測(cè)試的方式來(lái)確認(rèn)檢測(cè)結(jié)果的真實(shí)性。同時(shí)，在進(jìn)行某些評(píng)估任務(wù)的評(píng)估工作時(shí)，例如系統(tǒng)弱點(diǎn)掃描，應(yīng)當(dāng)從由外向內(nèi)看和由內(nèi)向外看的兩個(gè)方式分別進(jìn)行。進(jìn)行由外向內(nèi)看的測(cè)試時(shí)，是試圖從組織網(wǎng)絡(luò)邊界的外部檢測(cè)系統(tǒng)，它能為我們提供一個(gè)從外部攻擊相同的方式來(lái)審視系統(tǒng)的安全性。而進(jìn)行由里向外看測(cè)試時(shí)，我們就應(yīng)該從內(nèi)部人員對(duì)系統(tǒng)使用權(quán)限的角度，去審查系統(tǒng)的安全性，此時(shí)，我們會(huì)得到比由外向內(nèi)看更多的安全信息。恰當(dāng)?shù)厥褂眠@兩種方式，能將目前大部分的安全威脅都考慮進(jìn)來(lái)。每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目中的所有評(píng)估任務(wù)，如沒(méi)有特殊要求，就必需按照風(fēng)險(xiǎn)評(píng)估表單中排列的順序來(lái)進(jìn)行。這是因?yàn)樵谠u(píng)估過(guò)程中，當(dāng)前的評(píng)估任務(wù)完成后產(chǎn)生的結(jié)果，可能會(huì)用來(lái)作為下一個(gè)任務(wù)的檢測(cè)條件。如果此時(shí)評(píng)估的順序相互置換，那么就會(huì)造成錯(cuò)誤的最終評(píng)估結(jié)果。在本文中的網(wǎng)絡(luò)操作痕跡信息檢測(cè)評(píng)估項(xiàng)目中，所有的評(píng)估任務(wù)都是由內(nèi)向外看的方式來(lái)進(jìn)行的。這些評(píng)估任務(wù)可以通過(guò)機(jī)構(gòu)員工檔案審查，檢查員工使用的計(jì)算機(jī)中的瀏覽器COOKIE，檢查機(jī)構(gòu)WEB服務(wù)器緩存，審查機(jī)構(gòu)邊界位置網(wǎng)絡(luò)操作行為管理設(shè)備的各種日志，通過(guò)網(wǎng)絡(luò)搜索引擎，通過(guò)搜索一些獨(dú)特的位置（如新聞組、博客及論壇）來(lái)完成。同時(shí)，還可以通過(guò)模擬發(fā)送機(jī)密信息的方式，審查已有的網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能攔截它發(fā)送到互聯(lián)網(wǎng)中，是否能夠限制員工使用即時(shí)通信軟件和P2P軟件，員工是否可以突破封鎖等任務(wù)。并且檢驗(yàn)網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能將違規(guī)行為記錄到相應(yīng)的日志當(dāng)中，能否提供有效的警報(bào)，收到警報(bào)能否產(chǎn)生有效的攔截等等。有時(shí)，會(huì)將所有的評(píng)估任務(wù)分配給幾個(gè)人來(lái)進(jìn)行，因此，當(dāng)某個(gè)評(píng)估人員完成屬于他（她）的評(píng)估任務(wù)后，就應(yīng)當(dāng)在評(píng)估任務(wù)答案后評(píng)估人一欄中簽上他的名字。當(dāng)所有評(píng)估任務(wù)完成后，將已經(jīng)填入評(píng)測(cè)答案和評(píng)估人簽名的風(fēng)險(xiǎn)評(píng)估表單上報(bào)給評(píng)估負(fù)責(zé)人，經(jīng)評(píng)估負(fù)責(zé)人確認(rèn)并簽字后，這個(gè)風(fēng)險(xiǎn)評(píng)估表單中的內(nèi)容才能算真正有效，并在風(fēng)險(xiǎn)評(píng)估表單中填入評(píng)估結(jié)束時(shí)間。然后就可以進(jìn)入下一個(gè)風(fēng)險(xiǎn)評(píng)估環(huán)節(jié)。三、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)檢測(cè)結(jié)果分析及給出評(píng)估報(bào)告階段當(dāng)評(píng)估項(xiàng)目的所有評(píng)估任務(wù)完成后，就應(yīng)當(dāng)組織整個(gè)評(píng)估人員，將風(fēng)險(xiǎn)評(píng)估表單中每個(gè)評(píng)估任務(wù)的評(píng)測(cè)結(jié)果分析并匯總，給出一個(gè)具體安全和風(fēng)險(xiǎn)等級(jí)。然后，通過(guò)分析目前可以使用的安全防范技術(shù)，從機(jī)構(gòu)可以接受的安全風(fēng)險(xiǎn)防范投入成本出發(fā)，同時(shí)給出一個(gè)相應(yīng)的安全風(fēng)險(xiǎn)解決方案，并在解決方案中說(shuō)明方案實(shí)施后能解決的風(fēng)險(xiǎn)，達(dá)到的具體安全等級(jí)，以及仍然存在的風(fēng)險(xiǎn)狀況等內(nèi)容。所有的這些信息都可以一個(gè)報(bào)告文件的方式記錄下來(lái)。每個(gè)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告都是針對(duì)某個(gè)具體的評(píng)估對(duì)象而言的。在本文的實(shí)例中，應(yīng)當(dāng)給出一個(gè)包括下列內(nèi)容的風(fēng)險(xiǎn)評(píng)估報(bào)告，其它評(píng)估對(duì)象的風(fēng)險(xiǎn)評(píng)估報(bào)告給出的內(nèi)容至少也應(yīng)當(dāng)包括下列所示的內(nèi)容：列出完成的評(píng)估任務(wù)清單。列出評(píng)估對(duì)象目前存在的威脅和弱點(diǎn)，給出具體的安全和風(fēng)險(xiǎn)等級(jí)。列出防范這些檢測(cè)到的威脅和弱點(diǎn)的保障措施。說(shuō)明這些安全建議是屬于物理、管理、還是技術(shù)控制。說(shuō)明實(shí)施這些給出的安全建議后會(huì)帶來(lái)的效果。說(shuō)明每一個(gè)具體的安全建議，能將風(fēng)險(xiǎn)減少到什么程度。安全修補(bǔ)后，評(píng)估對(duì)象能達(dá)到什么樣的安全等級(jí)。安全修補(bǔ)后，還有什么風(fēng)險(xiǎn)沒(méi)能完全控制，應(yīng)當(dāng)如何進(jìn)一步控制。說(shuō)明實(shí)施這些安全修補(bǔ)措施具體應(yīng)當(dāng)花費(fèi)的安全成本。有些時(shí)候，風(fēng)險(xiǎn)評(píng)估報(bào)告中不一定要求給出具體的安全修補(bǔ)建議。但是，當(dāng)檢測(cè)到的弱點(diǎn)可能給機(jī)構(gòu)信息系統(tǒng)帶來(lái)中等或高等安全風(fēng)險(xiǎn)時(shí)，就應(yīng)當(dāng)按要求給出針對(duì)性的安全解決方案安全風(fēng)險(xiǎn)評(píng)估報(bào)告的內(nèi)容可以作為安全策略的一個(gè)強(qiáng)有力的補(bǔ)充，你甚至可以將它們的處理建議加入到已有的安全策略當(dāng)中，以保證安全策略的強(qiáng)壯性。安全風(fēng)險(xiǎn)評(píng)估報(bào)告同時(shí)也可以作為上報(bào)給機(jī)構(gòu)領(lǐng)導(dǎo)或評(píng)估小組領(lǐng)導(dǎo)的書(shū)面報(bào)告，你可以在報(bào)告中標(biāo)出哪些方面是必需要修補(bǔ)的，以便能讓上級(jí)領(lǐng)導(dǎo)贊同你的建議。這樣，你要確保你的安全風(fēng)險(xiǎn)評(píng)估報(bào)告的有效性和權(quán)威性。有效性說(shuō)明這份報(bào)告是在真實(shí)檢測(cè)和分析的基礎(chǔ)上形成的，而且時(shí)間與報(bào)告的時(shí)間相吻合。權(quán)威性是指這份報(bào)告應(yīng)當(dāng)出自整個(gè)評(píng)估小組在檢測(cè)分析之上，并不是某個(gè)人憑空想象造出來(lái)的。并且有整個(gè)參與人員的所有手工簽名，以及標(biāo)出所有評(píng)估都是參照某個(gè)國(guó)家或國(guó)際標(biāo)準(zhǔn)來(lái)評(píng)定具體安全和風(fēng)險(xiǎn)級(jí)別的。四、后期安全維護(hù)階段后期安全維護(hù)其實(shí)只是信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中的一個(gè)附加階段。對(duì)于專(zhuān)門(mén)的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)或安全公司來(lái)說(shuō)，當(dāng)給出具體的安全風(fēng)險(xiǎn)評(píng)估報(bào)告后，就表明此次風(fēng)險(xiǎn)評(píng)估任務(wù)全部結(jié)束。但是，對(duì)于評(píng)估對(duì)象所在的機(jī)構(gòu)來(lái)說(shuō)，安全風(fēng)險(xiǎn)評(píng)估工作的結(jié)束，只是表示另一個(gè)重要的任務(wù)，安全修補(bǔ)任務(wù)的開(kāi)始。后期安全維護(hù)就是按照風(fēng)險(xiǎn)評(píng)估報(bào)告中給出的安全修補(bǔ)建議，決定實(shí)施額外的管理和安全防范措施，以便能修正現(xiàn)有的安全策略，降低目前存在的弱點(diǎn)可能被威脅利用后帶來(lái)的風(fēng)險(xiǎn)水平。在安全修補(bǔ)實(shí)施的過(guò)程中，如果有些安全弱點(diǎn)不能按要求進(jìn)行修補(bǔ)，你應(yīng)當(dāng)將它們記錄下來(lái)，并上報(bào)給機(jī)構(gòu)技術(shù)負(fù)責(zé)人。另外，非常重要的一點(diǎn)就是：在所有的安全修補(bǔ)工作按要求全部完成后，一定要按本文所描述的風(fēng)險(xiǎn)評(píng)估過(guò)程重新對(duì)修補(bǔ)后的評(píng)估對(duì)象進(jìn)行一次復(fù)查評(píng)估，以便確認(rèn)修補(bǔ)后評(píng)估對(duì)象是否真正達(dá)到了期望的安全水平。同時(shí)，也能給出仍然不能防范的安全弱點(diǎn)，以及這些弱點(diǎn)目前應(yīng)當(dāng)如何應(yīng)對(duì)才能降低發(fā)生的可能。從這里我們就可以看出，信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是一個(gè)風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)評(píng)測(cè)、給出風(fēng)險(xiǎn)報(bào)告與后期維護(hù)四者之間不斷循環(huán)往復(fù)的處理過(guò)程。29 / 29