前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇資產(chǎn)安全評(píng)估范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

資產(chǎn)安全評(píng)估范文第1篇

 

一、引言

 

信息時(shí)代為國(guó)家和個(gè)人提供了全新的發(fā)展機(jī)遇和生活空間，但也帶來(lái)了新的安全威脅。信息安全的威脅可能來(lái)自內(nèi)部的破壞、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等，因此我們應(yīng)按照風(fēng)險(xiǎn)管理的思想，對(duì)可能的威脅和需要保護(hù)的信息資源進(jìn)行風(fēng)險(xiǎn)分析，以便采取安全措施，妥善應(yīng)對(duì)可能發(fā)生的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估是依據(jù)國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其存儲(chǔ)、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評(píng)價(jià)的過(guò)程。根據(jù)ISO27001的管理思想，信息安全風(fēng)險(xiǎn)評(píng)估在信息安全管理的PDCA環(huán)中是一個(gè)很重要的過(guò)程，如何處理信息安全風(fēng)險(xiǎn)評(píng)估所產(chǎn)生的數(shù)據(jù)，是每一個(gè)信息安全管理者都非常迫切需要解決的一個(gè)問(wèn)題。最好的解決方法是開(kāi)發(fā)出一套實(shí)用性強(qiáng)、可操作性高的系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估管理工具。

 

二、風(fēng)險(xiǎn)評(píng)估過(guò)程

 

信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)是針對(duì)組織開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程。這個(gè)過(guò)程包括對(duì)信息系統(tǒng)中的安全風(fēng)險(xiǎn)識(shí)別、信息收集、評(píng)估和報(bào)告等。風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程如下頁(yè)圖1。

 

1.評(píng)估前準(zhǔn)備。在風(fēng)險(xiǎn)評(píng)估實(shí)施前，需要對(duì)以下工作進(jìn)行確定：確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)、確定風(fēng)險(xiǎn)評(píng)估的范圍、組建風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)、進(jìn)行系統(tǒng)調(diào)研、確定評(píng)估依據(jù)和方法、制定評(píng)估計(jì)劃和評(píng)估方案、獲得最高管理者對(duì)工作的支持。

 

2.資產(chǎn)識(shí)別。資產(chǎn)識(shí)別過(guò)程分為資產(chǎn)分類(lèi)和資產(chǎn)評(píng)價(jià)兩個(gè)階段。資產(chǎn)分類(lèi)是將單位的信息資產(chǎn)分為實(shí)物資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和無(wú)形資產(chǎn)六類(lèi)資產(chǎn)進(jìn)行識(shí)別;資產(chǎn)評(píng)價(jià)是對(duì)資產(chǎn)的三個(gè)安全屬性保密性、可用性及完整性分別等級(jí)評(píng)價(jià)及賦值，經(jīng)綜合評(píng)定后，得出資產(chǎn)的價(jià)值。

 

3.威脅識(shí)別。威脅識(shí)別主要工作是評(píng)估者需要從每項(xiàng)識(shí)別出的資產(chǎn)出發(fā)，找到可能遭受的威脅。識(shí)別威脅之后，還需要確定威脅發(fā)生的可能性。

 

4.脆弱性識(shí)別。評(píng)估者需要從每項(xiàng)識(shí)別出的資產(chǎn)和對(duì)應(yīng)的威脅出發(fā)，找到可能被利用的脆弱性。識(shí)別脆弱性之后，還需要確定弱點(diǎn)可被利用的嚴(yán)重性。

 

5.已有安全措施確認(rèn)。在識(shí)別脆弱性的同時(shí)，評(píng)估人員將對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)，評(píng)估其是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。

 

6.風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)評(píng)估中完成資產(chǎn)賦值、威脅評(píng)估、脆弱性評(píng)估后，在考慮已有安全措施的情況下，利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)。

 

三、系統(tǒng)設(shè)計(jì)

 

1.用角色設(shè)計(jì)。系統(tǒng)角色分為三種類(lèi)型，各用戶在登錄后自動(dòng)轉(zhuǎn)入各自的操作頁(yè)面。A.超級(jí)管理員：擁有系統(tǒng)所有權(quán)限;B.評(píng)估項(xiàng)目管理員：可以對(duì)所負(fù)責(zé)的評(píng)估項(xiàng)目進(jìn)行管理，對(duì)評(píng)估人員進(jìn)行分工和權(quán)限管理;C.評(píng)估人員：負(fù)責(zé)由項(xiàng)目管理員分配的測(cè)評(píng)工作，將評(píng)估數(shù)據(jù)導(dǎo)入系統(tǒng)。

 

2.系統(tǒng)模型。根據(jù)信息安全風(fēng)險(xiǎn)評(píng)估管理的業(yè)務(wù)需求，我們構(gòu)建了以安全知識(shí)庫(kù)為支撐，以風(fēng)險(xiǎn)評(píng)估流程為系統(tǒng)主要業(yè)務(wù)流，以受測(cè)業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的風(fēng)險(xiǎn)評(píng)估要素為對(duì)象的信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)模型，系統(tǒng)模型如圖2所示。

 

3.系統(tǒng)功能設(shè)計(jì)。信息安全風(fēng)險(xiǎn)評(píng)估綜合管理系統(tǒng)的功能模塊包括：①風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理：評(píng)估項(xiàng)目管理模塊包括評(píng)估項(xiàng)目的建立、項(xiàng)目列表、項(xiàng)目設(shè)置等功能。主要輸入項(xiàng)：項(xiàng)目名稱(chēng)、評(píng)估時(shí)間、評(píng)估對(duì)象等;主要輸出項(xiàng)：項(xiàng)目計(jì)劃書(shū)。②信息安全需求調(diào)研管理：該模塊用于用戶填寫(xiě)安全調(diào)研問(wèn)卷，為安全評(píng)估提供數(shù)據(jù)支持。主要輸入項(xiàng)：用戶ID、調(diào)查答案;主要輸出項(xiàng)：?jiǎn)柧順?biāo)題、調(diào)查題內(nèi)容。③資產(chǎn)識(shí)別。系統(tǒng)提供的資產(chǎn)識(shí)別，包括：硬件、軟件、數(shù)據(jù)等，根據(jù)業(yè)務(wù)系統(tǒng)對(duì)組織戰(zhàn)略的影響程度，對(duì)相關(guān)資產(chǎn)的重要性進(jìn)行評(píng)價(jià);主要輸入項(xiàng)：評(píng)估對(duì)象(信息資產(chǎn))、賦值規(guī)則;主要輸出項(xiàng)：資產(chǎn)識(shí)別匯總表、資產(chǎn)識(shí)別報(bào)告。④威脅識(shí)別。威脅識(shí)別：系統(tǒng)提供多種網(wǎng)絡(luò)環(huán)境的威脅模板，支持和幫助用戶進(jìn)行威脅識(shí)別和分析，并提供資產(chǎn)、脆弱性、威脅自動(dòng)關(guān)聯(lián)功能：主要輸入項(xiàng)：評(píng)估對(duì)象、賦值規(guī)則;主要輸出項(xiàng)：威脅識(shí)別匯總表、威脅識(shí)別報(bào)告。⑤脆弱性識(shí)別。脆弱性識(shí)別：系統(tǒng)可提供多種系統(tǒng)的脆弱性識(shí)別功能，包括：主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等對(duì)象的脆弱性識(shí)別。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導(dǎo)入，目前支持的掃描系統(tǒng)有：Nessus、NMap等，主機(jī)系統(tǒng)支持：Windows、Linux、Unix等，數(shù)據(jù)庫(kù)支持：MSSQL、Oracle等：主要輸入項(xiàng)：評(píng)估對(duì)象、漏洞掃描結(jié)果、賦值規(guī)則;主要輸出項(xiàng)：漏洞掃描報(bào)告、脆弱性識(shí)別匯總表、脆弱性識(shí)別報(bào)告。⑥安全措施識(shí)別。安全措施識(shí)別：系統(tǒng)提供基于技術(shù)、管理等方面的安全措施檢查功能，幫助用戶了解目前的安全狀況，找到安全管理問(wèn)題，確定安全措施的有效性：主要輸出項(xiàng)：安全措施識(shí)別匯總表、安全措施識(shí)別報(bào)告。⑦風(fēng)險(xiǎn)分析。系統(tǒng)通過(guò)資產(chǎn)評(píng)價(jià)、脆弱性評(píng)價(jià)、威脅評(píng)價(jià)、安全措施有效性評(píng)價(jià)、風(fēng)險(xiǎn)分析等工作，可自動(dòng)生成安全風(fēng)險(xiǎn)評(píng)估分析報(bào)告。主要輸入項(xiàng)：評(píng)估對(duì)象、資產(chǎn)值、脆弱性值、威脅值、安全措施值、計(jì)算規(guī)則;主要輸出項(xiàng)：風(fēng)險(xiǎn)計(jì)算匯總表、風(fēng)險(xiǎn)分析報(bào)告。⑧評(píng)估結(jié)果管理。主要功能是對(duì)歷史記錄查詢與分析。匯總所有的安全評(píng)估結(jié)果進(jìn)行綜合分析，并生成各階段風(fēng)險(xiǎn)評(píng)估工作報(bào)告，主要包括如下：《資產(chǎn)識(shí)別報(bào)告》、《漏洞掃描報(bào)告》、《威脅識(shí)別報(bào)告》、《脆弱性識(shí)別報(bào)告》、《控制措施識(shí)別報(bào)告》、《風(fēng)險(xiǎn)分析報(bào)告》。并可對(duì)當(dāng)期風(fēng)險(xiǎn)評(píng)估結(jié)果和原始數(shù)據(jù)進(jìn)行轉(zhuǎn)存或備份。在有需要時(shí)能調(diào)出評(píng)估歷史數(shù)據(jù)進(jìn)行查詢及風(fēng)險(xiǎn)趨勢(shì)分析。⑨信息安全知識(shí)庫(kù)更新維護(hù)。信息安全知識(shí)庫(kù)的更新維護(hù)主要對(duì)象有：系統(tǒng)漏洞庫(kù)、安全威脅庫(kù)、安全脆弱點(diǎn)庫(kù)、控制措施庫(kù)。為避免造成數(shù)據(jù)的冗余，系統(tǒng)將在各評(píng)估項(xiàng)目中需要反復(fù)使用的數(shù)據(jù)歸入基礎(chǔ)數(shù)據(jù)庫(kù)進(jìn)行管理，在進(jìn)行評(píng)估活動(dòng)時(shí)再?gòu)幕A(chǔ)庫(kù)提取有關(guān)數(shù)據(jù)，這樣也能減少重復(fù)的輸入工作。⑩數(shù)據(jù)接口。導(dǎo)入數(shù)據(jù)接口：資產(chǎn)庫(kù)、脆弱點(diǎn)庫(kù)、威脅庫(kù)、控制措施庫(kù)。支持以下常用的格式：如EXCEL文件等;常用的漏洞掃描工具：如綠盟、啟明星辰、NESSUS、NMAP等。

 

四、結(jié)束語(yǔ)

 

該系統(tǒng)設(shè)計(jì)是以信息安全風(fēng)險(xiǎn)評(píng)估工作流程為基礎(chǔ)，進(jìn)行信息安全評(píng)估項(xiàng)目管理、風(fēng)險(xiǎn)要素?cái)?shù)據(jù)收集與輔助風(fēng)險(xiǎn)分析的系統(tǒng)，在實(shí)際風(fēng)險(xiǎn)管理過(guò)程中，可引入了質(zhì)量管理理念——PDCA循環(huán)，即通過(guò)監(jiān)控每一階段的信息系統(tǒng)風(fēng)險(xiǎn)情況，及時(shí)發(fā)現(xiàn)問(wèn)題，不斷調(diào)險(xiǎn)控制工作計(jì)劃，從而實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理的工作目標(biāo)。

資產(chǎn)安全評(píng)估范文第2篇

數(shù)字校園是以校園網(wǎng)為背景的集教學(xué)、管理和服務(wù)為一體的一種新型的數(shù)字化工作、學(xué)習(xí)和生活環(huán)境。一個(gè)典型的數(shù)字校園包括各種常用網(wǎng)絡(luò)服務(wù)、共享數(shù)據(jù)庫(kù)、身份認(rèn)證平臺(tái)、各種業(yè)務(wù)管理系統(tǒng)和信息門(mén)戶網(wǎng)站等[1]。數(shù)字校園作為一個(gè)龐大復(fù)雜的信息系統(tǒng)，構(gòu)建和維護(hù)一個(gè)良好的信息安全管理體系是一項(xiàng)非常重要的基礎(chǔ)管理工作。

信息安全風(fēng)險(xiǎn)評(píng)估是構(gòu)建和維護(hù)信息安全管理體系的基礎(chǔ)和關(guān)鍵環(huán)節(jié)，它通過(guò)識(shí)別組織的重要信息資產(chǎn)、資產(chǎn)面臨的威脅以及資產(chǎn)自身的脆弱性，評(píng)估外部威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性，判斷安全事件發(fā)生后對(duì)組織造成的影響。對(duì)數(shù)字校園進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估有助于及時(shí)發(fā)現(xiàn)和解決存在的信息安全問(wèn)題，保證數(shù)字校園的業(yè)務(wù)連續(xù)性，并為構(gòu)建一個(gè)良好的信息安全管理體系奠定堅(jiān)實(shí)基礎(chǔ)。

二、評(píng)估標(biāo)準(zhǔn)

由于信息安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)性作用，包括我國(guó)在內(nèi)的信息化程度較高的國(guó)家以及相關(guān)國(guó)際組織都非常重視相關(guān)標(biāo)準(zhǔn)和方法的研究。目前比較成熟的標(biāo)準(zhǔn)和方法有ISO制定的《IT信息安全管理指南》（ISO/IEC13335）和《信息安全管理體系要求》（ISO/IEC27001：2005）、美國(guó)NIST制定的SP800系列標(biāo)準(zhǔn)、美國(guó)CMU軟件工程研究所下屬的CERT協(xié)調(diào)中心開(kāi)發(fā)的OCTAVE2.0以及我國(guó)制定的《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）。

ISO/IEC27001系列標(biāo)準(zhǔn)于2005年10月15日正式，作為一種全球性的信息安全管理國(guó)際標(biāo)準(zhǔn)適用于任何組織的信息安全管理活動(dòng)，同時(shí)也為評(píng)估組織的信息安全管理水平提供依據(jù)。但是ISO27001系列標(biāo)準(zhǔn)沒(méi)有制定明確的信息安全風(fēng)險(xiǎn)評(píng)估流程，組織可以自行選擇適合自身特點(diǎn)的信息安全風(fēng)險(xiǎn)評(píng)估方法，如OCTAVE2.0等[2][3]。

為了指導(dǎo)我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估工作的開(kāi)展，我國(guó)于2007年11月正式頒布了《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007），這是我國(guó)自主研究和制定的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)與ISO27001系列標(biāo)準(zhǔn)思想一致，但對(duì)信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程進(jìn)行了細(xì)化，使得更加適合我國(guó)企業(yè)或者組織的信息安全風(fēng)險(xiǎn)評(píng)估工作開(kāi)展。

三、評(píng)估流程

《信息安全技術(shù)——信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）等標(biāo)準(zhǔn)為風(fēng)險(xiǎn)評(píng)估提供了方法論和流程，為風(fēng)險(xiǎn)評(píng)估各個(gè)階段的工作制定了規(guī)范，但標(biāo)準(zhǔn)沒(méi)有規(guī)定風(fēng)險(xiǎn)評(píng)估實(shí)施的具體模型和方法，由風(fēng)險(xiǎn)評(píng)估實(shí)施者根據(jù)業(yè)務(wù)特點(diǎn)和組織要求自行決定。本文根據(jù)數(shù)字校園的業(yè)務(wù)流程和所屬資產(chǎn)的特點(diǎn)，參考模糊數(shù)學(xué)、OCTAVE的構(gòu)建威脅場(chǎng)景理論和通用弱點(diǎn)評(píng)價(jià)體系（CVSS）等風(fēng)險(xiǎn)評(píng)估技術(shù)，提出了數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的具體流程和整體框架，如圖1所示。

據(jù)圖1可知，數(shù)字校園的信息安全風(fēng)險(xiǎn)評(píng)估首先在充分識(shí)別數(shù)字校園的信息資產(chǎn)、資產(chǎn)面臨的威脅以及可被威脅利用的資產(chǎn)脆弱性的基礎(chǔ)上，確定資產(chǎn)價(jià)值、威脅等級(jí)和脆弱性等級(jí)，然后根據(jù)風(fēng)險(xiǎn)矩陣計(jì)算得出信息資產(chǎn)的風(fēng)險(xiǎn)值分布表。數(shù)字校園信息安全風(fēng)險(xiǎn)評(píng)估的詳細(xì)流程如下：

（1）資產(chǎn)識(shí)別：根據(jù)數(shù)字校園的業(yè)務(wù)流程，從硬件、軟件、電子數(shù)據(jù)、紙質(zhì)文檔、人員和服務(wù)等方面對(duì)數(shù)字校園的信息資產(chǎn)進(jìn)行識(shí)別，得到資產(chǎn)清單。資產(chǎn)的賦值要考慮資產(chǎn)本身的實(shí)際價(jià)格，更重要的是要考慮資產(chǎn)對(duì)組織的信息安全重要程度，即信息資產(chǎn)的機(jī)密性、完整性和可用性在受到損害后對(duì)組織造成的損害程度，預(yù)計(jì)損害程度越高則賦值越高。

在確定了資產(chǎn)的機(jī)密性、完整性和可用性的賦值等級(jí)后，需要經(jīng)過(guò)綜合評(píng)定得出資產(chǎn)等級(jí)。綜合評(píng)定方法一般有兩種：一種方法是選取資產(chǎn)機(jī)密性、完整性和可用性中最為重要的一個(gè)屬性確定資產(chǎn)等級(jí)；還有一種方法是對(duì)資產(chǎn)機(jī)密性、完整性和可用性三個(gè)賦值進(jìn)行加權(quán)計(jì)算，通常采用的加權(quán)計(jì)算公式有相加法和相乘法，由組織根據(jù)業(yè)務(wù)特點(diǎn)確定。

設(shè)資產(chǎn)的機(jī)密性賦值為，完整性賦值為，可用性賦值為，資產(chǎn)等級(jí)值為，則

相加法的計(jì)算公式為v=f（x，y，z）=ax+by+cz，其中a+b+c=1（1）

（2）威脅識(shí)別：威脅分為實(shí)際威脅和潛在威脅，實(shí)際威脅識(shí)別需要通過(guò)訪談和專(zhuān)業(yè)檢測(cè)工具，并通過(guò)分析入侵檢測(cè)系統(tǒng)日志、服務(wù)器日志、防火墻日志等記錄對(duì)實(shí)際發(fā)生的威脅進(jìn)行識(shí)別和分類(lèi)。潛在威脅識(shí)別需要查詢資料分析當(dāng)前信息安全總體的威脅分析和統(tǒng)計(jì)數(shù)據(jù)，并結(jié)合組織業(yè)務(wù)特點(diǎn)對(duì)潛在可能發(fā)生的威脅進(jìn)行充分識(shí)別和分類(lèi)。

（3）脆弱性識(shí)別：脆弱性是資產(chǎn)的固有屬性，既有信息資產(chǎn)本身存在的漏洞也有因?yàn)椴缓侠砘蛭凑_實(shí)施的管理制度造成的隱患。軟件系統(tǒng)的漏洞可以通過(guò)專(zhuān)業(yè)的漏洞檢測(cè)軟件進(jìn)行檢測(cè)，然后通過(guò)安裝補(bǔ)丁程序消除。而管理制度造成的隱患需要進(jìn)行充分識(shí)別，包括對(duì)已有的控制措施的有效性也一并識(shí)別。

（4）威脅—脆弱性關(guān)聯(lián)：為了避免單獨(dú)對(duì)威脅和脆弱性進(jìn)行賦值從而造成風(fēng)險(xiǎn)分析計(jì)算結(jié)果出現(xiàn)偏差，需要按照OCTAVE中的構(gòu)建威脅場(chǎng)景方法將“資產(chǎn)-威脅-脆弱性-已有安全控制措施”進(jìn)行關(guān)聯(lián)。

（5）風(fēng)險(xiǎn)值計(jì)算：在資產(chǎn)、威脅、脆弱性賦值基礎(chǔ)上，利用風(fēng)險(xiǎn)計(jì)算方法計(jì)算每個(gè)“資產(chǎn)-威脅-脆弱性”相關(guān)聯(lián)的風(fēng)險(xiǎn)值，并最終得到整個(gè)數(shù)字校園的風(fēng)險(xiǎn)值分布表，并依據(jù)風(fēng)險(xiǎn)接受準(zhǔn)則，確認(rèn)可接受和不可接受的風(fēng)險(xiǎn)。

四、評(píng)估實(shí)例

本文以筆者所在高職院校的數(shù)字校園作為研究對(duì)象實(shí)例，利用前面所述的信息安全風(fēng)險(xiǎn)評(píng)估流程對(duì)該實(shí)例對(duì)象進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。

1.資產(chǎn)識(shí)別與評(píng)估

數(shù)字校園的資產(chǎn)識(shí)別與評(píng)估包括資產(chǎn)識(shí)別和資產(chǎn)價(jià)值計(jì)算。

（1）資產(chǎn)識(shí)別

信息安全風(fēng)險(xiǎn)評(píng)估專(zhuān)家、數(shù)字校園管理技術(shù)人員和數(shù)字校園使用部門(mén)代表共同組成數(shù)字校園信息資產(chǎn)識(shí)別小組，小組通過(guò)現(xiàn)場(chǎng)清查、問(wèn)卷調(diào)查、查看記錄和人員訪談等方式，按照數(shù)字校園各個(gè)業(yè)務(wù)系統(tǒng)的工作流程，詳細(xì)地列出數(shù)字校園的信息資產(chǎn)清單。這些信息資產(chǎn)從類(lèi)別上可以分為硬件（如服務(wù)器、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備等）、軟件（OA系統(tǒng)、郵件系統(tǒng)、網(wǎng)站等）、電子數(shù)據(jù)（各種數(shù)據(jù)庫(kù)、各種電子文檔等）、紙質(zhì)文檔（系統(tǒng)使用手冊(cè)、工作日志等）、人員和服務(wù)等。為了對(duì)資產(chǎn)進(jìn)行標(biāo)準(zhǔn)化管理，識(shí)別小組對(duì)各個(gè)資產(chǎn)進(jìn)行了編碼，便于標(biāo)準(zhǔn)化和精確化管理。

（2）資產(chǎn)價(jià)值計(jì)算

獲得數(shù)字校園的信息資產(chǎn)詳細(xì)列表后，資產(chǎn)識(shí)別小 組召開(kāi)座談會(huì)確定每個(gè)信息資產(chǎn)的價(jià)值，即對(duì)資產(chǎn)的機(jī)密性、完整性、可用性進(jìn)行賦值，三性的賦值為1～5的整數(shù)，1代表對(duì)組織造成的影響或損失最低，5代表對(duì)組織造成的影響或損失最高。確定資產(chǎn)的信息安全屬性賦值后，結(jié)合該數(shù)字校園的特點(diǎn)，采用相加法確定資產(chǎn)的價(jià)值。該數(shù)字校園的軟件類(lèi)資產(chǎn)計(jì)算樣例表如下表1所示。

由于資產(chǎn)價(jià)值的計(jì)算結(jié)果為1～5之間的實(shí)數(shù)，為了與資產(chǎn)的機(jī)密性、完整性、可用性賦值相對(duì)應(yīng)，需要對(duì)資產(chǎn)價(jià)值的計(jì)算結(jié)果歸整，歸整后的數(shù)字校園軟件類(lèi)資產(chǎn)的資產(chǎn)等級(jí)結(jié)果如表1所示。

因?yàn)閿?shù)字校園的所有信息資產(chǎn)總數(shù)龐大，其中有些很重要，有些不重要，重要的需要特別關(guān)注重點(diǎn)防范，不重要的可以不用考慮或者減少投入。在識(shí)別出所有資產(chǎn)后，還需要列出所有的關(guān)鍵信息資產(chǎn)，在以后的日常管理中重點(diǎn)關(guān)注。不同的組織對(duì)關(guān)鍵資產(chǎn)的判斷標(biāo)準(zhǔn)不完全相同，本文將資產(chǎn)等級(jí)值在4以上（包括4）的資產(chǎn)列為關(guān)鍵信息資產(chǎn)，并在資產(chǎn)識(shí)別清單中予以注明，如表1所示。

2.威脅和脆弱性識(shí)別與評(píng)估

數(shù)字校園與其他計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)一樣面臨著各種各樣的威脅，同時(shí)數(shù)字校園作為一種在校園內(nèi)部運(yùn)行的網(wǎng)絡(luò)信息系統(tǒng)面臨的威脅的種類(lèi)和分布有其自身特點(diǎn)。任何威脅總是通過(guò)某種具體的途徑或方式作用到特定的信息資產(chǎn)之上，通過(guò)破壞資產(chǎn)的一個(gè)或多個(gè)安全屬性而產(chǎn)生信息安全風(fēng)險(xiǎn)，即任何威脅都是與資產(chǎn)相關(guān)聯(lián)的，一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，一個(gè)威脅可能作用于多項(xiàng)資產(chǎn)。威脅的識(shí)別方法是在資產(chǎn)識(shí)別階段形成的資產(chǎn)清單基礎(chǔ)上，以關(guān)鍵資產(chǎn)為重點(diǎn)，從系統(tǒng)威脅、自然威脅、環(huán)境威脅和人員威脅四個(gè)方面對(duì)資產(chǎn)面臨的威脅進(jìn)行識(shí)別。在分析數(shù)字校園實(shí)際發(fā)生的網(wǎng)絡(luò)威脅時(shí)，需要檢查入侵檢測(cè)系統(tǒng)、服務(wù)器日志文件等記錄的數(shù)據(jù)。

脆弱性是指資產(chǎn)中可能被威脅所利用的弱點(diǎn)。數(shù)字校園的脆弱性是數(shù)字校園在開(kāi)發(fā)、部署、運(yùn)維等過(guò)程中由于技術(shù)不成熟或管理不完善產(chǎn)生的一種缺陷。它如果被相關(guān)威脅利用就有可能對(duì)數(shù)字校園的資產(chǎn)造成損害，進(jìn)而對(duì)數(shù)字校園造成損失。數(shù)字校園的脆弱性可以分為技術(shù)脆弱性和管理脆弱性兩種。技術(shù)脆弱性主要包括操作系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議漏洞、應(yīng)用系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞以及網(wǎng)絡(luò)中心機(jī)房物理環(huán)境設(shè)計(jì)缺陷等等。管理脆弱性主要由技術(shù)管理與組織管理措施不完善或執(zhí)行不到位造成。

技術(shù)脆弱性的識(shí)別主要采用問(wèn)卷調(diào)查、工具檢測(cè)、人工檢查、文檔查閱、滲透性測(cè)試等方法。因?yàn)榇蟛糠旨夹g(shù)脆弱性與軟件漏洞有關(guān)，因此使用漏洞檢測(cè)工具檢測(cè)脆弱性，可以獲得較高的檢測(cè)效率。本文采用啟明星辰公司研發(fā)的天鏡脆弱性掃描與管理系統(tǒng)對(duì)數(shù)字校園進(jìn)行技術(shù)脆弱性識(shí)別和評(píng)估。

管理脆弱性識(shí)別的主要內(nèi)容就是對(duì)數(shù)字校園現(xiàn)有的安全控制措施進(jìn)行識(shí)別與確認(rèn)，有效的安全控制措施可以降低安全事件發(fā)生的可能性，無(wú)效的安全控制措施會(huì)提高安全事件發(fā)生的可能性。安全控制措施大致分為技術(shù)控制措施、管理和操作控制措施兩大類(lèi)。技術(shù)控制措施隨著數(shù)字校園的建立、實(shí)施、運(yùn)行和維護(hù)等過(guò)程同步建設(shè)與完善，具有較強(qiáng)的針對(duì)性，識(shí)別比較容易。管理和操作控制措施識(shí)別需要對(duì)照ISO27001標(biāo)準(zhǔn)的《信息安全實(shí)用規(guī)則指南》或NIST的《最佳安全實(shí)踐相關(guān)手冊(cè)》制訂的表格進(jìn)行，避免遺漏。

3.風(fēng)險(xiǎn)計(jì)算

完成數(shù)字校園的資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別和已有控制措施識(shí)別任務(wù)后，進(jìn)入風(fēng)險(xiǎn)計(jì)算階段。

對(duì)于像數(shù)字校園這類(lèi)復(fù)雜的網(wǎng)絡(luò)信息系統(tǒng)，需要采用OCTAVE標(biāo)準(zhǔn)提供的“構(gòu)建威脅場(chǎng)景”方法進(jìn)行風(fēng)險(xiǎn)分析。“構(gòu)建威脅場(chǎng)景”方法基于“具體問(wèn)題、具體分析”的原則，理清“資產(chǎn)-威脅-脆弱性-已有控制措施”的內(nèi)在聯(lián)系，避免了孤立地評(píng)價(jià)威脅導(dǎo)致風(fēng)險(xiǎn)計(jì)算結(jié)果出現(xiàn)偏差的局面。表2反映了數(shù)字校園圖書(shū)館管理系統(tǒng)的資產(chǎn)、威脅、脆弱性、已有控制措施的映射示例。

將“資產(chǎn)—威脅—脆弱性—已有控制措施”進(jìn)行映射后，就可以按照GB/T20984-2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求進(jìn)行風(fēng)險(xiǎn)計(jì)算。為了便于計(jì)算，需要將前面各個(gè)階段獲得資產(chǎn)、威脅、脆弱性賦值與表3所示的“資產(chǎn)—威脅—脆弱性—已有控制措施”映射表合并，因?yàn)樵趯?duì)脆弱性賦值的時(shí)候已經(jīng)考慮了已有控制措施的有效性，因此可以將已有控制措施去掉。

本文采用的風(fēng)險(xiǎn)計(jì)算方法為《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中推薦的矩陣法，風(fēng)險(xiǎn)值計(jì)算公式為：R=R（A，T，V）=R（L（T，V）F（Ia，Va））。其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)重要程度；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。

風(fēng)險(xiǎn)計(jì)算的具體步驟是：

（a）根據(jù)威脅賦值和脆弱性賦值，查詢《安全事件可能性矩陣》計(jì)算安全事件可能性值；

（b）對(duì)照《安全事件可能性等級(jí)劃分矩陣》將安全事件可能性值轉(zhuǎn)換為安全事件可能性等級(jí)值；

（c）根據(jù)資產(chǎn)賦值和脆弱性賦值，查詢《安全事件損失矩陣》計(jì)算安全事件損失值；

（d）對(duì)照《安全事件損失等級(jí)劃分矩陣》將安全事件損失值轉(zhuǎn)換為安全事件損失等級(jí)值；

（e）根據(jù)安全事件可能性等級(jí)值和安全事件損失等級(jí)值，查詢《風(fēng)險(xiǎn)矩陣》計(jì)算安全事件風(fēng)險(xiǎn)值；

（f）對(duì)照《風(fēng)險(xiǎn)等級(jí)劃分矩陣》將安全事件風(fēng)險(xiǎn)值轉(zhuǎn)換為安全事件風(fēng)險(xiǎn)等級(jí)值。

所有等級(jí)值均采用五級(jí)制，1級(jí)最低，5級(jí)最高。

五、結(jié)束語(yǔ)

數(shù)字校園是現(xiàn)代高校信息化的重要基礎(chǔ)設(shè)施，數(shù)字校園的安全穩(wěn)定直接關(guān)系到校園的安全穩(wěn)定，而風(fēng)險(xiǎn)評(píng)估是保證數(shù)字校園安全穩(wěn)定的一項(xiàng)基礎(chǔ)性工作。本文的信息安全風(fēng)險(xiǎn)評(píng)估方法依據(jù)國(guó)家標(biāo)準(zhǔn)，采用定性和定量相結(jié)合的方式，保證了信息安全風(fēng)險(xiǎn)評(píng)估的有效性和科學(xué)性，使得風(fēng)險(xiǎn)評(píng)估結(jié)果能對(duì)后續(xù)建立數(shù)字校園的信息安全管理體系起到指導(dǎo)作用。

參考文獻(xiàn)：

[1]宋玉賢.高職院校數(shù)字化校園建設(shè)的策略研究[J].中國(guó)教育信息化，2010（4）.

資產(chǎn)安全評(píng)估范文第3篇

論文關(guān)鍵詞：信息安全　風(fēng)險(xiǎn)評(píng)估　風(fēng)險(xiǎn)分析

論文摘要：本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是一個(gè)多專(zhuān)家評(píng)估系統(tǒng)，主要模塊分為風(fēng)險(xiǎn)評(píng)估管理端、系統(tǒng)評(píng)估端、信息庫(kù)管理端和知識(shí)庫(kù)管理端，嚴(yán)格按照《指南》的風(fēng)險(xiǎn)評(píng)估流程進(jìn)行評(píng)估，使評(píng)估結(jié)果更全面更客觀。

一、前言

電力系統(tǒng)越來(lái)越依賴(lài)電力信息網(wǎng)絡(luò)來(lái)保障其安全、可靠、高效的運(yùn)行，該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問(wèn)題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1，2]。風(fēng)險(xiǎn)評(píng)估具體的評(píng)估方法從早期簡(jiǎn)單的純技術(shù)操作，逐漸過(guò)渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn)，以威脅為觸發(fā)，以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型[3]。

二、信息安全風(fēng)險(xiǎn)評(píng)估

在我國(guó)，風(fēng)險(xiǎn)評(píng)估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國(guó)試點(diǎn)工作階段，國(guó)信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》[4]（簡(jiǎn)稱(chēng)《指南》）得到了較好地實(shí)踐。本文設(shè)計(jì)的工具是基于《指南》的，涉及內(nèi)容包括：

（一）風(fēng)險(xiǎn)要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開(kāi)，在對(duì)基本要素的評(píng)估過(guò)程中，需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與基本要素相關(guān)的各類(lèi)屬性。

（二）風(fēng)險(xiǎn)分析原理。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

（三）風(fēng)險(xiǎn)評(píng)估流程。包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)消減[5]。

三、電力信息網(wǎng)風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)

本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn)，設(shè)計(jì)階段參考了Nipc-RiskAssessTool-V2.0，Microsoft Security Risk Self-Assessment Tool等風(fēng)險(xiǎn)評(píng)估工具。系統(tǒng)采用C/S結(jié)構(gòu)，是一個(gè)多專(zhuān)家共同評(píng)估的風(fēng)險(xiǎn)評(píng)估工具。分為知識(shí)庫(kù)管理端、信息庫(kù)管理端、系統(tǒng)評(píng)估端、評(píng)估管理端。其中前兩個(gè)工具用于更新知識(shí)庫(kù)和信息庫(kù)。后兩個(gè)工具是風(fēng)險(xiǎn)評(píng)估的主體。下面對(duì)系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹：

（一）評(píng)估管理端。評(píng)估管理端控制風(fēng)險(xiǎn)評(píng)估的進(jìn)度，綜合管理系統(tǒng)評(píng)估端的評(píng)估結(jié)果。具體表現(xiàn)在：開(kāi)啟評(píng)估任務(wù)；分配風(fēng)險(xiǎn)評(píng)估專(zhuān)家；對(duì)準(zhǔn)備階段、資產(chǎn)識(shí)別階段、威脅識(shí)別階段、脆弱性識(shí)別階段、已有控制措施識(shí)別階段、風(fēng)險(xiǎn)分析階段、選擇控制措施階段這七個(gè)階段多個(gè)專(zhuān)家的評(píng)估進(jìn)行確認(rèn)，對(duì)多個(gè)專(zhuān)家的評(píng)估數(shù)據(jù)進(jìn)行綜合，得到綜合評(píng)估結(jié)果。

（二）系統(tǒng)評(píng)估端。系統(tǒng)評(píng)估端由多個(gè)專(zhuān)家操作，同時(shí)開(kāi)展評(píng)估。系統(tǒng)評(píng)估端要經(jīng)歷如下階段：a.準(zhǔn)備階段：評(píng)估系統(tǒng)中CIA的相對(duì)重要性；b.資產(chǎn)識(shí)別階段；c.威脅識(shí)別階段；d.脆弱性識(shí)別階段；e.已有控制措施識(shí)別階段；f.風(fēng)險(xiǎn)分析階段；g.控制措施選擇階段。在完成了風(fēng)險(xiǎn)評(píng)估的所有階段之后，和評(píng)估管理端一樣，可以瀏覽、導(dǎo)出、打印評(píng)估的結(jié)果—風(fēng)險(xiǎn)評(píng)估報(bào)表系列。

（三）信息庫(kù)管理端。信息庫(kù)管理端由資產(chǎn)管理，威脅管理，脆弱點(diǎn)管理，控制措施管理四部分組成。具體功能是：對(duì)資產(chǎn)大類(lèi)、小類(lèi)進(jìn)行管理；對(duì)威脅列表進(jìn)行管理；對(duì)脆弱點(diǎn)大類(lèi)、列表進(jìn)行管理；對(duì)控制措施列表進(jìn)行管理。

（四）知識(shí)庫(kù)管理端。知識(shí)庫(kù)的管理分為系統(tǒng)CIA問(wèn)卷管理，脆弱點(diǎn)問(wèn)卷管理，威脅問(wèn)卷管理，資產(chǎn)屬性問(wèn)卷管理，控制措施問(wèn)卷管理，控制措施損益問(wèn)卷管理六部分。

四、總結(jié)

信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)新興的領(lǐng)域，本文在介紹了信息安全風(fēng)險(xiǎn)評(píng)估研究意義的基礎(chǔ)之上，詳細(xì)闡述了信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)主要部分的功能描述。測(cè)試結(jié)果表明系統(tǒng)能對(duì)已有的控制措施進(jìn)行識(shí)別，分析出已有控制措施的實(shí)施效果，為風(fēng)險(xiǎn)處理計(jì)劃提供依據(jù)。

參考文獻(xiàn)

[1]Huisheng Gao，Yiqun Sun，Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network，IEEE，2007.

[2]Masami Hasegawa，Toshiki Ogawa，Security Measures for the Manufacture and Control System，SICE Annual Conference 2007.

[3]左曉棟等.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估中幾個(gè)重要問(wèn)題的認(rèn)識(shí)[J].計(jì)算機(jī)安全，2004，7:64-66

資產(chǎn)安全評(píng)估范文第4篇

風(fēng)險(xiǎn)評(píng)估技術(shù)常用的工具一般有滲透測(cè)試工具和脆弱性掃描工具。滲透測(cè)試工具一般常使用人工結(jié)合滲透測(cè)試工具進(jìn)行，常用的Web滲透測(cè)試工具有IBMAppScan、AWVS、HPWEBinspect，通常需對(duì)漏洞進(jìn)行人工驗(yàn)證，以確定漏洞準(zhǔn)確性。脆弱性掃描工具主要用于評(píng)估網(wǎng)絡(luò)或主機(jī)存在的系統(tǒng)漏洞，常見(jiàn)工具有Nessus，能對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行掃描并形成脆弱性報(bào)告。此外，在風(fēng)險(xiǎn)評(píng)估過(guò)程中，除了利用上述工具來(lái)發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)外，還需要利用系統(tǒng)現(xiàn)有數(shù)據(jù)來(lái)進(jìn)行現(xiàn)狀分析和趨勢(shì)分析，這其中常用的手段有：入侵檢測(cè)日志分析、主機(jī)日志分析、應(yīng)用系統(tǒng)日志分析、主機(jī)/網(wǎng)絡(luò)檢查表等。

風(fēng)險(xiǎn)評(píng)估流程

1總體流程

根據(jù)風(fēng)險(xiǎn)評(píng)估中包含的各個(gè)要求，要分別進(jìn)行實(shí)施，整體的風(fēng)險(xiǎn)評(píng)估流程如圖3所示。

2風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段

通過(guò)做好準(zhǔn)備工作，能夠大大提升風(fēng)險(xiǎn)評(píng)估的效果，降低項(xiàng)目實(shí)施風(fēng)險(xiǎn)，該階段是風(fēng)險(xiǎn)評(píng)估整個(gè)過(guò)程的重要組成部分。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段一般應(yīng)包含如下工作內(nèi)容：明確風(fēng)險(xiǎn)評(píng)估范圍、確定風(fēng)險(xiǎn)評(píng)估目標(biāo)、組建項(xiàng)目團(tuán)隊(duì)、設(shè)定系統(tǒng)性風(fēng)險(xiǎn)評(píng)估方法、整體風(fēng)險(xiǎn)評(píng)估方案獲得高層批準(zhǔn)。

3資產(chǎn)識(shí)別階段

資產(chǎn)識(shí)別主要針對(duì)現(xiàn)有的信息資產(chǎn)進(jìn)行分類(lèi)識(shí)別和描述，在識(shí)別的基礎(chǔ)上從信息安全的角度，機(jī)密性、完整性和可用性對(duì)其進(jìn)行賦值，確定信息資產(chǎn)的價(jià)值，作為影響分析的基礎(chǔ)，典型資產(chǎn)類(lèi)別可以分為：網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、安全設(shè)備、物理環(huán)境、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)、文檔、組織和人員等。

4脆弱性識(shí)別

脆弱性評(píng)估常被稱(chēng)作弱點(diǎn)評(píng)估，是風(fēng)險(xiǎn)評(píng)估的重要工作，通過(guò)脆弱性評(píng)估能夠發(fā)現(xiàn)信息資產(chǎn)存在的弱點(diǎn)。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性分類(lèi)可分為技術(shù)脆弱性和管理脆弱性，其中技術(shù)脆弱性又可以細(xì)分為：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全5個(gè)方面。

5威脅識(shí)別

威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。

環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在機(jī)密性、完整性或可用性等方面造成損害，也可能是偶發(fā)的或蓄意的事件。對(duì)威脅識(shí)別的簡(jiǎn)單方法就是對(duì)威脅進(jìn)行分類(lèi)，針對(duì)不同的威脅，可以根據(jù)其表現(xiàn)形式將威脅識(shí)別分為以下幾類(lèi)：軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴(lài)等。威脅分析方法首先需要考慮威脅的來(lái)源，然后分析存在哪些威脅種類(lèi)，最后做出威脅來(lái)源和威脅種類(lèi)的交叉表進(jìn)行威脅賦值。

6風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性3個(gè)基本要素，每個(gè)要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容

信息安全風(fēng)險(xiǎn)評(píng)估包含的內(nèi)容涉及信息安全管理和技術(shù)，同時(shí)包括網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)等不同的技術(shù)層面，但根據(jù)保險(xiǎn)行業(yè)的特定需求，總體定位在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)架構(gòu)方面的技術(shù)評(píng)估。主要內(nèi)容包括：

1)信息資產(chǎn)的調(diào)查，主要針對(duì)網(wǎng)絡(luò)拓?fù)?，網(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備等。

2)網(wǎng)絡(luò)架構(gòu)弱點(diǎn)評(píng)估，針對(duì)目前的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行弱點(diǎn)分析。

3)網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)弱點(diǎn)評(píng)估，針對(duì)設(shè)備目前的系統(tǒng)配置進(jìn)行分析，確認(rèn)其是否達(dá)到應(yīng)有的安全效果，結(jié)合滲透測(cè)試的手段。

4)現(xiàn)有安全控制措施，通過(guò)分析目前的安全控制措施，綜合總結(jié)網(wǎng)絡(luò)架構(gòu)和設(shè)備的弱點(diǎn)。

5)整體網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)分析，綜合分析網(wǎng)絡(luò)中面臨的威脅和可能的風(fēng)險(xiǎn)，形成總體安全現(xiàn)狀。

6)建議安全措施和規(guī)劃。根據(jù)風(fēng)險(xiǎn)評(píng)估的成果和建設(shè)目標(biāo)，形成建議的安全措施和時(shí)間進(jìn)度，建立1-2年的信息安全規(guī)劃。

項(xiàng)目實(shí)施成果

根據(jù)以上工作內(nèi)容，項(xiàng)目的最終成果包括：

1)信息資產(chǎn)清單和分析結(jié)果。清晰明確系統(tǒng)和網(wǎng)絡(luò)信息資產(chǎn)，明確其機(jī)密性、完整性和可用性的安全目標(biāo)，同時(shí)確定資產(chǎn)的重要類(lèi)別；必要時(shí)可以建立內(nèi)部的信息資產(chǎn)庫(kù)。

2)系統(tǒng)和網(wǎng)絡(luò)脆弱性報(bào)告。明確服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)和安全設(shè)備可能存在的弱點(diǎn)。

3)系統(tǒng)和網(wǎng)絡(luò)威脅報(bào)告。根據(jù)已有的弱點(diǎn)分析目前可能面臨的威脅和威脅發(fā)生后對(duì)業(yè)務(wù)、系統(tǒng)和網(wǎng)絡(luò)造成的影響。

4)安全現(xiàn)狀報(bào)告。基于風(fēng)險(xiǎn)的安全現(xiàn)狀總體分析報(bào)告，明確目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

5)建議安全措施和規(guī)劃。從技術(shù)和管理的角度提出后期進(jìn)行系統(tǒng)建設(shè)的安全控制措施。

結(jié)語(yǔ)

資產(chǎn)安全評(píng)估范文第5篇

關(guān)鍵詞 企業(yè)網(wǎng) 信息系統(tǒng) 風(fēng)險(xiǎn)評(píng)估

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A

一、引言

信息技術(shù)在商業(yè)上的廣泛應(yīng)用，使得企業(yè)對(duì)信息系統(tǒng)的依賴(lài)性增大。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估是辨別各種系統(tǒng)的脆弱性及其對(duì)系統(tǒng)構(gòu)成威脅，識(shí)別系統(tǒng)中存在的風(fēng)險(xiǎn)，并將這些風(fēng)險(xiǎn)進(jìn)行定性，定量的分析，最后制定控制和變更措施的過(guò)程 。通過(guò)安全評(píng)估能夠明確企業(yè)信息系統(tǒng)的安全威脅，了解企業(yè)信息系統(tǒng)的脆弱性，并分析可能由此造成的損失或影響，為滿足企業(yè)信息安全需求和降低風(fēng)險(xiǎn)提供必要的依據(jù)。

二、安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素

信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的三個(gè)關(guān)鍵要素是信息資產(chǎn)、威脅、弱點(diǎn)（即脆弱性）。每個(gè)要素都有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價(jià)值。威脅的屬性是威脅發(fā)生的可能性，弱點(diǎn)的屬性是弱點(diǎn)被威脅利用后對(duì)資產(chǎn)帶來(lái)的影響的嚴(yán)重程度。

對(duì)企業(yè)信息系統(tǒng)的本身?xiàng)l件和歷史數(shù)據(jù)進(jìn)行整理分析，得到威脅，脆弱點(diǎn)分析如下：

實(shí)物資產(chǎn)的脆弱性：對(duì)電腦等辦公物品的保護(hù)措施不力，辦公場(chǎng)所防范災(zāi)害措施不力，電纜松動(dòng)，通訊線路保護(hù)缺失。

信息資產(chǎn)的脆弱性：相關(guān)技術(shù)文檔不全，信息傳輸保護(hù)缺失，撥號(hào)線路網(wǎng)絡(luò)訪問(wèn)受限，單點(diǎn)故障，網(wǎng)絡(luò)管理不力，不受控制的拷貝。

軟件資產(chǎn)的脆弱性：未使用正版穩(wěn)定軟件。

人員的脆弱性：對(duì)外來(lái)人員監(jiān)管不力，安全技術(shù)培訓(xùn)不力，授權(quán)使用控制不力，內(nèi)部員工的道德培訓(xùn)不力。

三、風(fēng)險(xiǎn)評(píng)估過(guò)程

風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障的核心和關(guān)鍵。風(fēng)險(xiǎn)評(píng)估過(guò)程分為風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理。

風(fēng)險(xiǎn)識(shí)別是分析系統(tǒng)，找出系統(tǒng)的薄弱點(diǎn)和在運(yùn)行過(guò)程中可能存在的風(fēng)險(xiǎn)。為了保證風(fēng)險(xiǎn)分析的的及時(shí)性和有效性，管理層面應(yīng)該有具備豐富風(fēng)險(xiǎn)知識(shí)的部門(mén)經(jīng)理、IT人員、關(guān)鍵用戶、審計(jì)人員和專(zhuān)家顧問(wèn)，他們能夠幫助快速地指出關(guān)鍵風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)分析是對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行分析，確定各個(gè)風(fēng)險(xiǎn)可能造成的影響和損失，并按照其造成的影響和損失大小進(jìn)行排序，得到風(fēng)險(xiǎn)的級(jí)別。風(fēng)險(xiǎn)分析有助于企業(yè)就安全項(xiàng)目和構(gòu)成該項(xiàng)目的安全組成部分編制正確的預(yù)算，有助于將安全項(xiàng)目的目標(biāo)與企業(yè)的業(yè)務(wù)目標(biāo)和要求結(jié)合起來(lái)。

風(fēng)險(xiǎn)管理是由以上步驟得到的結(jié)果，制定相應(yīng)的保護(hù)措施。通過(guò)實(shí)施在評(píng)估階段創(chuàng)建的各種計(jì)劃，并用這些計(jì)劃來(lái)創(chuàng)建新的安全策略，在完成補(bǔ)救措施策略的開(kāi)發(fā)和相關(guān)系統(tǒng)管理的更改，并且確定其有效性的策略和過(guò)程已經(jīng)寫(xiě)好之后，即進(jìn)行安全風(fēng)險(xiǎn)補(bǔ)救措施測(cè)試。在測(cè)試過(guò)程中，將按照安全風(fēng)險(xiǎn)的控制效果來(lái)評(píng)估對(duì)策的有效性。

四、評(píng)估系統(tǒng)的設(shè)計(jì)

（一）評(píng)估系統(tǒng)的體系結(jié)構(gòu)和運(yùn)行環(huán)境。

該評(píng)估系統(tǒng)主要采用B/S/S三層體系結(jié)構(gòu)，即包括客戶端、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器三部分。其結(jié)構(gòu)示意圖如圖1所示：其中，客戶端通過(guò)Web瀏覽器訪問(wèn)應(yīng)用服務(wù)器，在Web頁(yè)面的引導(dǎo)下指導(dǎo)用戶與評(píng)估人員進(jìn)行風(fēng)險(xiǎn)識(shí)別、數(shù)據(jù)收集，并顯示最后的評(píng)估結(jié)果。同時(shí)豐富的在線幫助信息又為用戶及評(píng)估人員參與風(fēng)險(xiǎn)評(píng)估以及管理員進(jìn)行系統(tǒng)維護(hù)提供了很好的在線支持，系統(tǒng)管理員也可以利用任意一臺(tái)客戶端登錄管理帳號(hào)對(duì)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行權(quán)限范圍內(nèi)的維護(hù)。管理者需了解部門(mén)、員工及資產(chǎn)總體情況，明確風(fēng)險(xiǎn)種類(lèi)及大小，并以知識(shí)庫(kù)的形式，為如何處置風(fēng)險(xiǎn)提供了一些解決方案。面向評(píng)估人員的功能模塊，展示了本部門(mén)目前面臨的威脅和薄弱點(diǎn)情況，幫助評(píng)估人員明確風(fēng)險(xiǎn)。相比而言，該模塊更主要的功能，是協(xié)助上報(bào)本部門(mén)的人員及資產(chǎn)信息，以滿足評(píng)估需要。

圖1 評(píng)估系統(tǒng)體系結(jié)構(gòu)

應(yīng)用服務(wù)器處理收集到的風(fēng)險(xiǎn)信息，并采取多種手段，利用綜合評(píng)估算法 ，完成信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估，并實(shí)時(shí)將執(zhí)行結(jié)果返回給客戶端Web瀏覽器。應(yīng)用服務(wù)器配置了系統(tǒng)運(yùn)行所需要的Web服務(wù)器程序以及Web站點(diǎn)頁(yè)面文件，我們選擇動(dòng)態(tài)網(wǎng)頁(yè)編程技術(shù)對(duì)系統(tǒng)的Web站點(diǎn)頁(yè)面文件進(jìn)行編碼和開(kāi)發(fā)。數(shù)據(jù)庫(kù)服務(wù)器上配置了系統(tǒng)運(yùn)行所需要的SQL Server數(shù)據(jù)庫(kù)管理程序以及系統(tǒng)數(shù)據(jù)庫(kù)資源，通過(guò)Web服務(wù)器與客戶端實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)交互。

（二）工作流程設(shè)計(jì)

首先，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)數(shù)據(jù)采集，用戶填寫(xiě)由評(píng)估單位制定的評(píng)估申請(qǐng)，將信息系統(tǒng)按具體情況進(jìn)行分類(lèi)，同時(shí)利用漏洞掃描器、正反向工具從技術(shù)角度了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù)，使得評(píng)估人員從整體上了解該信息系統(tǒng)及其評(píng)估重點(diǎn)，并針對(duì)系統(tǒng)業(yè)務(wù)特點(diǎn)進(jìn)行裁剪；接下來(lái)，在前面所做的工作的基礎(chǔ)上，圍繞著系統(tǒng)所承載的業(yè)務(wù)對(duì)數(shù)據(jù)進(jìn)行資產(chǎn)、威脅、脆弱性分析；最后，依據(jù)發(fā)生的可能性及對(duì)系統(tǒng)業(yè)務(wù)造成的影響對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行分類(lèi)，利用定性和定量的評(píng)估算法以及消除主觀性的各種算法，對(duì)風(fēng)險(xiǎn)識(shí)別中獲得的風(fēng)險(xiǎn)信息進(jìn)行風(fēng)險(xiǎn)綜合評(píng)估，并在整體和局部、管理和技術(shù)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，生成評(píng)估報(bào)告。

（三）數(shù)據(jù)庫(kù)設(shè)計(jì)

該系統(tǒng)的數(shù)據(jù)庫(kù)由企業(yè)信息庫(kù)、知識(shí)庫(kù)、評(píng)估標(biāo)準(zhǔn)庫(kù)和評(píng)估方法庫(kù)組成，采用SQL Server數(shù)據(jù)庫(kù)管理系統(tǒng)作為該數(shù)據(jù)庫(kù)的開(kāi)發(fā)和運(yùn)行平臺(tái)，其中：企業(yè)信息庫(kù)存儲(chǔ)的是有關(guān)企業(yè)信息系統(tǒng)的基本信息；評(píng)估方法庫(kù)存儲(chǔ)了針對(duì)所設(shè)計(jì)的評(píng)估結(jié)構(gòu)所采用的評(píng)估方法集合；知識(shí)庫(kù)存儲(chǔ)的是以往已評(píng)估系統(tǒng)的完整評(píng)估資料，可以為當(dāng)前的風(fēng)險(xiǎn)評(píng)估提供可借鑒的經(jīng)驗(yàn)；在數(shù)據(jù)庫(kù)設(shè)計(jì)中評(píng)估標(biāo)準(zhǔn)庫(kù)是幾個(gè)庫(kù)中最重要也是工作量最大的部分，該庫(kù)涵蓋了各評(píng)估標(biāo)準(zhǔn)的評(píng)估要素，即遵從標(biāo)準(zhǔn)，又針對(duì)各行業(yè)的業(yè)務(wù)特點(diǎn)，提供了靈活的數(shù)據(jù)結(jié)構(gòu)。

（四）網(wǎng)站內(nèi)容風(fēng)險(xiǎn)算法。

對(duì)風(fēng)險(xiǎn)進(jìn)行計(jì)算，需要確定影響的風(fēng)險(xiǎn)要素、要素之間的組合方式、以及具體的計(jì)算方法。將風(fēng)險(xiǎn)要素按照組合方式使用具體的計(jì)算方法進(jìn)行計(jì)算，得到風(fēng)險(xiǎn)值。目前通用的風(fēng)險(xiǎn)評(píng)估中風(fēng)險(xiǎn)值計(jì)算涉及的風(fēng)險(xiǎn)要素一般為資產(chǎn)、威脅、和脆弱性。由威脅和脆弱性確定安全事件發(fā)生的可能性，由資產(chǎn)和脆弱性確定安全事件的損失；由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值。目前，常用的計(jì)算方法是矩陣法和相乘法。

五、總結(jié)

網(wǎng)絡(luò)技術(shù)的發(fā)展在加速信息交流與共享的同時(shí)，也加大了網(wǎng)絡(luò)信息安全事故發(fā)生的可能性。對(duì)企業(yè)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，可以了解其安全風(fēng)險(xiǎn)，評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運(yùn)行提供依據(jù)，給用戶提供信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強(qiáng)產(chǎn)品、企業(yè)的競(jìng)爭(zhēng)力。

（作者：武漢職業(yè)技術(shù)學(xué)院計(jì)算機(jī)系教師，碩士，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用、信息安全）

注釋?zhuān)?/p>