信息安全风险评估--毕红军

信息安全风险评估

通信1204 。。。

随着计算机和网络技术在我们生活中越来越普及，发挥着越来越重要的作用，可以说和我们的生活形影不离，渗透在我们生活中的方方面面。我们的许多信息都存在网络中，于是信息安全就成了摆在我们面前的一件大事儿，谁都不想让我们的信息暴露在所有人的面前。

下面我从信息安全风险评估这方面讲诉我自己的理解，并结合我自己对淘宝网可能造成信息安全问题的某些方面来说明这些问题。

一，信息安全及信息安全的风险评估的基本概念。

1.信息安全是指对信息的保密性、完整性、可用性的保持。信息安全

风险评估则是指对信息和信息处理措施的威胁、影响和薄弱点以及威胁发生的可能性进行评估。（这是网上的一个例子，可以更好地帮助我们理解信息安全风险评估的相关概念：A公司的主机数据库由于存在XX漏洞，然后攻击者B利用此漏洞对主机数据库进行了攻击，造成A公司业务中断3天。

其中资产是指主机数据库；风险则是数据库被攻击者攻击；威胁是攻击者B；弱点为XX漏洞；影响则是业务中断3天。）

2.风险评估原理：

（1）对资产进行识别，并对资产的价值进行赋值；

（2）对威胁进行识别，描述威胁的属性，并对威胁出现的概率赋值；

（3）对威胁的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；（4）根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；（5）根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；

（6）根据安全事件发生的可能性及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

3.风险评估工作流程：

1）评估准备阶段：本阶段主要是前期的准备和计划工作，包括明确评估目标，确定评估范围，组建评估管理与实施团队，对主要业务、组织结构、规章制度和信息系统等进行初步调研，沟通和确认风险分析方法，协商并确定评估项目的实施方案，并得到被评估单位的高层许可。尽管评估准备阶段的工作比较琐碎，但准备阶段中充分、细致和沟通和合理、精确的计划，是保证评估工作得以顺利实施的关键。

这次老师课上让我们进行风险评估，前期也没有太多的准备和计划工作，我的评估目标是淘宝网，评估范围是淘宝网可能出现的信息泄露现象，实施

团队就是个人，由于只是我个人的一些理解，所以没有征得被评估单位同意，但是我学会了正式的信息安全风险评估前期的准备工作。

2）要素识别阶段：在准备阶段完成之后，将依靠已建立起来的评估管理和实

施团队，遵照准备阶段中确定的实施方案进行评估。首先要进行的就是识别信

息安全风险的构成要素——资产、威胁和脆弱性，以及识别和验证已有安全控

制措施的有效性——为下一阶段的风险分析收集必要的基础数据。本阶段除了

要进行有关要素的识别活动以外，还需要进行要素的分类、赋值以及要素间的

关联等活动，这由所选用的具体评估方法而定。

对于淘宝网来说，我个人认为泄露个人信息的事儿还是有很多的。那我对

信息安全风险的构成要素意义的分析，资产就是我们的个人信息，威胁是可能

造成泄漏的所有可能事件，比如会遭到黑客的攻击，或者有些店铺老板会将具

体的收货信息卖给某些有不当目的的人，脆弱性则为系统的某些漏洞，还有人

们的一些私人心理。

3)风险分析阶段：经过识别阶段之后，已经得到了影响被评估系统安全风险的

基本数据，包括资产、威胁、脆弱性和安全控制措施等。接下来需要根据被评估单位的实际情况制定出一套合理、清晰的影响及可能性等级判据；然后根据这些判据，对主要威胁场景进行分析，描述和评价各主要威胁场景的潜在影响及其发生的可能性，从而确定信息安全风险。经过与被评估单位的沟通与协商，风险分析团队应以被评估单位所接受的形式，提交风险分析报告和风险控制建议。

具体的我认为应该不断完善网络的安全，不断的提高网络的抗攻击能力，

同时完善网络管理体制，同时完善淘宝网泄露信息的惩罚体制，让威胁信息安

全的事件不会发生。

4.风险评估过程中使用的一些方法：

1）安全工具扫描

在网络安全体系的建设中，安全扫描工具花费低、效果好、见效快、与网

络的运行相对独立、安装运行简单，可以大规模减少安全管理员的手工劳动，

有利于保持全网安全政策的统一和稳定，是进行风险分析的有力工具。

2）人工安全检查

系统扫描是利用安全评估工具对绝大多数评估范围内的主机、网络设备等方面进行漏洞的扫描。但是，评估范围内的网络设备安全策略的弱点和部分主机

的安全配置错误等并不能被扫描器全面发现，因此有必要对评估工具扫描范围

之外的系统和设备进行手工检查。

3）渗透测试

渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、分析方法

来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效的

发现最严重的安全漏洞，尤其是与全面的代码审计相比，其使用的时间更短，

也更有效率。通过对某些重点服务器进行准确、全面的测试，可以发现系统最

脆弱的环节，以便对危害性严重的漏洞及时修补，以免后患。

4）安全审计

安全管理机制定义了如何管理和维护网络的安全保护机制，确保这些安全

保护机制正常且正确地发挥其应有的作用。绿盟科技评估遵循ISO17799信息安全管理标准的要求，通过问卷调查和顾问访谈等方式对信息系统的安全管理状

况进行调查，并进一步与国际信息安全管理标准进行差距分析。

5）安全策略评估

安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详

细的策略性描述，它是整个网络安全的依据。对存在的问题做出详细回答，并

确定相应的防护手段和实施办法，就是针对整个网络的一份完整的安全策略。

策略一旦制订，应当作为整个网络安全行为的准则。

5.综述

这就是这次我的报告，其中的一些侍从网上找的，也有我看了这些资料以

后联系淘宝网的一些问题做出的理解，有什么不对的地方希望老师多多指正。6.参考文献

1）http://www.wendangku.net/doc/26982bdbf12d2af90342e639.html/p-7896802597152.html《信息安全风险评估浅谈》2）http://www.wendangku.net/doc/26982bdbf12d2af90342e639.html/uid-21546393-id-2209416.html 《信息安全风险评估简介》

推荐访问: 计算机保密风险评估报告 信息安全 风险评估 毕红军