【正文】 效的方法，就得為此制定一個(gè)風(fēng)險(xiǎn)評(píng)估策略。風(fēng)險(xiǎn)評(píng)估策略的具體內(nèi)容是根據(jù)實(shí)際的評(píng)估對(duì)象和評(píng)估項(xiàng)目來(lái)決定的，因此，不同的評(píng)估對(duì)象的風(fēng)險(xiǎn)評(píng)估策略是不相同，就是同一評(píng)估對(duì)象，如果評(píng)估的具體項(xiàng)目不同，其風(fēng)險(xiǎn)評(píng)估策略也不會(huì)相同。同時(shí)，成員必需在人員安全評(píng)估（確定某個(gè)人員可以信任風(fēng)險(xiǎn)評(píng)估工作）通過后確定。評(píng)估人員確定后，就要分配相應(yīng)的評(píng)估任務(wù)給具體的人員。同時(shí)，要為評(píng)估任務(wù)指定一個(gè)總的負(fù)責(zé)人，來(lái)監(jiān)督整個(gè)評(píng)估過程，并協(xié)調(diào)處理評(píng)估過程中出現(xiàn)的臨時(shí)狀況。（2）、確定風(fēng)險(xiǎn)評(píng)估的范圍和目的確定風(fēng)險(xiǎn)評(píng)估的范圍也就是指指定具體的評(píng)估對(duì)象和評(píng)估項(xiàng)目，風(fēng)險(xiǎn)評(píng)估的目的就是指此次風(fēng)險(xiǎn)評(píng)估要達(dá)到的期望值。也只有確定了風(fēng)險(xiǎn)評(píng)估的范圍和目的，我們的風(fēng)險(xiǎn)評(píng)估才能有的放矢地進(jìn)行。評(píng)估項(xiàng)目是網(wǎng)絡(luò)操作痕跡信息檢查。具體的評(píng)估任務(wù)有：①、檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫(kù)和緩存中的內(nèi)容。③、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息。⑤、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時(shí)間使用即時(shí)通信工具，并在法律條件允許的條件下監(jiān)控即時(shí)通信的內(nèi)容。⑦、檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容。（4）、考慮一些在風(fēng)險(xiǎn)評(píng)估過程中可能發(fā)生的情況，以不影響正常的業(yè)務(wù)為基本條件。根據(jù)評(píng)估項(xiàng)目和要完成的評(píng)估任務(wù)制作風(fēng)險(xiǎn)評(píng)估表單風(fēng)險(xiǎn)評(píng)估表單就是在一張表單上將要評(píng)估的項(xiàng)目及評(píng)估任務(wù)一一列出，然后在進(jìn)行具體的風(fēng)險(xiǎn)評(píng)估時(shí)，就可以按表單中的內(nèi)容來(lái)依次進(jìn)行。 網(wǎng)絡(luò)操作痕跡信息檢查的風(fēng)險(xiǎn)評(píng)估表單信息安全風(fēng)險(xiǎn)評(píng)估評(píng)估項(xiàng)目： 網(wǎng)絡(luò)操作痕跡信息檢查 評(píng)估的目的： 檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密 評(píng) 估 任 務(wù) 紅勾 順序 評(píng) 估 任 務(wù) 描 述 結(jié)果描述 結(jié)束時(shí)間 評(píng)估人 備注 1 檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫(kù)和緩存中的內(nèi)容 2 檢查機(jī)構(gòu)內(nèi)部員工是否通過個(gè)人主頁(yè)、博客、論壇，以及發(fā)布網(wǎng)絡(luò)求職簡(jiǎn)歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息 3 調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息 4 了解機(jī)構(gòu)內(nèi)部員工的計(jì)算機(jī)技術(shù)水平，以及了解計(jì)算機(jī)技術(shù)水平較高的員工所處的部門及其操作權(quán)限 5 調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時(shí)間使用即時(shí)通信工具，并在法律條件允許的條件下監(jiān)控即時(shí)通信的內(nèi)容 6 使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、論壇及博客中搜索 7 檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容 備注：評(píng)估開始時(shí)間：年 月 日 時(shí) 分 評(píng)估結(jié)束時(shí)間：年 月 日 時(shí) 分項(xiàng)目負(fù)責(zé)人： 考慮完成評(píng)估任務(wù)時(shí)會(huì)用到的各種工具，并準(zhǔn)備妥當(dāng)。在本次風(fēng)險(xiǎn)評(píng)估中，會(huì)對(duì)機(jī)構(gòu)內(nèi)部人員進(jìn)行網(wǎng)絡(luò)操作行為監(jiān)控，因此，得為它準(zhǔn)備相應(yīng)的網(wǎng)絡(luò)操作行為分析設(shè)備，或者是安裝有網(wǎng)絡(luò)操作行為分析軟件的計(jì)算機(jī)，最好當(dāng)然是筆記本電腦。一個(gè)風(fēng)險(xiǎn)評(píng)估策略不僅可以包括上面已經(jīng)列出的這四個(gè)方面，還可以在其中添加與評(píng)估任務(wù)實(shí)際需求相關(guān)的內(nèi)容，例如加入說(shuō)明此次評(píng)估任務(wù)的具體流程和細(xì)節(jié)，各種注意事項(xiàng)等等。一個(gè)風(fēng)險(xiǎn)評(píng)估策略是一個(gè)需要技術(shù)和經(jīng)驗(yàn)并重的工作，而且需要考慮的內(nèi)容很多，一個(gè)人不可能將風(fēng)險(xiǎn)評(píng)估項(xiàng)目相關(guān)的所有方面考慮周到。對(duì)于信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估來(lái)說(shuō)，如果準(zhǔn)備工作越充分，后續(xù)的風(fēng)險(xiǎn)評(píng)估過程就越有效率，評(píng)估過程中出現(xiàn)的錯(cuò)誤就越少，評(píng)估的最終給果就越真實(shí)有效。二、安全風(fēng)險(xiǎn)檢測(cè)階段當(dāng)所有風(fēng)險(xiǎn)評(píng)估工作的事前準(zhǔn)備工作全部妥善完成后，就可以按風(fēng)險(xiǎn)評(píng)估策略中確定的日期和時(shí)間，開始對(duì)指定的評(píng)估對(duì)象的評(píng)估項(xiàng)目做相應(yīng)的安全風(fēng)險(xiǎn)評(píng)估。要完成風(fēng)險(xiǎn)評(píng)估表單列出的評(píng)估任務(wù)，需要使用一些針對(duì)某個(gè)評(píng)估任務(wù)的具體解決方法。其中的某些方法只對(duì)某個(gè)評(píng)估任務(wù)有效，而一些工具可能一次自動(dòng)完成多個(gè)項(xiàng)目。同時(shí)，在進(jìn)行某些評(píng)估任務(wù)的評(píng)估工作時(shí)，例如系統(tǒng)弱點(diǎn)掃描，應(yīng)當(dāng)從由外向內(nèi)看和由內(nèi)向外看的兩個(gè)方式分別進(jìn)行。而進(jìn)行由里向外看測(cè)試時(shí)，我們就應(yīng)該從內(nèi)部人員對(duì)系統(tǒng)使用權(quán)限的角度，去審查系統(tǒng)的安全性，此時(shí)，我們會(huì)得到比由外向內(nèi)看更多的安全信息。每個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目中的所有評(píng)估任務(wù)，如沒有特殊要求，就必需按照風(fēng)險(xiǎn)評(píng)估表單中排列的順序來(lái)進(jìn)行。如果此時(shí)評(píng)估的順序相互置換，那么就會(huì)造成錯(cuò)誤的最終評(píng)估結(jié)果。這些評(píng)估任務(wù)可以通過機(jī)構(gòu)員工檔案審查，檢查員工使用的計(jì)算機(jī)中的瀏覽器COOKIE，檢查機(jī)構(gòu)WEB服務(wù)器緩存，審查機(jī)構(gòu)邊界位置網(wǎng)絡(luò)操作行為管理設(shè)備的各種日志，通過網(wǎng)絡(luò)搜索引擎，通過搜索一些獨(dú)特的位置（如新聞組、博客及論壇）來(lái)完成。并且檢驗(yàn)網(wǎng)絡(luò)操作行為監(jiān)控設(shè)備是否能將違規(guī)行為記錄到相應(yīng)的日志當(dāng)中，能否提供有效的警報(bào)，收到警報(bào)能否產(chǎn)生有效的攔截等等。當(dāng)所有評(píng)估任務(wù)完成后，將已經(jīng)填入評(píng)測(cè)答案和評(píng)估人簽名的風(fēng)險(xiǎn)評(píng)估表單上報(bào)給評(píng)估負(fù)責(zé)人，經(jīng)評(píng)估負(fù)責(zé)人確認(rèn)并簽字后，這個(gè)風(fēng)險(xiǎn)評(píng)估表單中的內(nèi)容才能算真正有效，并在風(fēng)險(xiǎn)評(píng)估表單中填入評(píng)估結(jié)束時(shí)間。三、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)檢測(cè)結(jié)果分析及給出評(píng)估報(bào)告階段當(dāng)評(píng)估項(xiàng)目的所有評(píng)估任務(wù)完成后，就應(yīng)當(dāng)組織整個(gè)評(píng)估人員，將風(fēng)險(xiǎn)評(píng)估表單中每個(gè)評(píng)估任務(wù)的評(píng)測(cè)結(jié)果分析并匯總，給出一個(gè)具體安全和風(fēng)險(xiǎn)等級(jí)。所有的這些信息都可以一個(gè)報(bào)告文件的方式記錄下來(lái)。在本文的實(shí)例中，應(yīng)當(dāng)給出一個(gè)包括下列內(nèi)容的風(fēng)險(xiǎn)評(píng)估報(bào)告，其它評(píng)估對(duì)象的風(fēng)險(xiǎn)評(píng)估報(bào)告給出的內(nèi)容至少也應(yīng)當(dāng)包括下列所示的內(nèi)容：列出完成的評(píng)估任務(wù)清單。列出防范這些檢測(cè)到的威脅和弱點(diǎn)的保障措施。說(shuō)明實(shí)施這些給出的安全建議后會(huì)帶來(lái)的效果。安全修補(bǔ)后，評(píng)估對(duì)象能達(dá)到什么樣的安全等級(jí)。說(shuō)明實(shí)施這些安全修補(bǔ)措施具體應(yīng)當(dāng)花費(fèi)的安全成本。但是，當(dāng)檢測(cè)到的弱點(diǎn)可能給機(jī)構(gòu)信息系統(tǒng)帶來(lái)中等或高等安全風(fēng)險(xiǎn)時(shí)，就應(yīng)當(dāng)按要求給出針對(duì)性的安全解決方案安全風(fēng)險(xiǎn)評(píng)估報(bào)告的內(nèi)容可以作為安全策略的一個(gè)強(qiáng)有力的補(bǔ)充，你甚至可以將它們的處理建議加入到已有的安全策略當(dāng)中，以保證安全策略的強(qiáng)壯性。這樣，你要確保你的安全風(fēng)險(xiǎn)評(píng)估報(bào)告的有效性和權(quán)威性。權(quán)威性是指這份報(bào)告應(yīng)當(dāng)出自整個(gè)評(píng)估小組在檢測(cè)分析之上，并不是某個(gè)人憑空想象造出來(lái)的。四、后期安全維護(hù)階段后期安全維護(hù)其實(shí)只是信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過程中的一個(gè)附加階段。但是，對(duì)于評(píng)估對(duì)象所在的機(jī)構(gòu)來(lái)說(shuō)，安全風(fēng)險(xiǎn)評(píng)估工作的結(jié)束，只是表示另一個(gè)重要的任務(wù)，安全修補(bǔ)任務(wù)的開始。在安全修補(bǔ)實(shí)施的過程中，如果有些安全弱點(diǎn)不能按要求進(jìn)行修補(bǔ)，你應(yīng)當(dāng)將它們記錄下來(lái)，并上報(bào)給機(jī)構(gòu)技術(shù)負(fù)責(zé)人。同時(shí)，也能給出仍然不能防范的安全弱點(diǎn)，以及這些弱點(diǎn)目前應(yīng)當(dāng)如何應(yīng)對(duì)才能降低發(fā)生的可能。29 / 29