安全管理 115 影响 （Impact） ： 也称之为后果 （Consequence） ， 意外事件发生给组织带来的直接或间接的程度，在 风险管理领域里，有时也特指威胁利用漏洞对资产 或组织机构所造成的各种损失。 1.2 评估流程 风险评估过程是基于风险评估的知识，将搜集、 整理和分析风险有关的资产、漏洞、威胁、影响等 资料的步骤和流程，也就是说风险评估过程主要讨 论搜集、整理、分析风险相关要素的资料和数据的 过程和流程。如图 1 所示。 1.3 评估工具 在现阶段，安全风险评估目前大量工作依靠手 工进行如调查问卷（Questionnaire） 、检查列表 （Checklist） 、人员访谈（Interview） 、手动检查 和工具扫描等，本次评估用到的工具包括：漏洞扫 描器（Scanner） ，入侵检测系统，安全审计系统。 漏洞扫描系统在脆弱性评估阶段使用，用于对系统 进行脆弱性分析。入侵检测系统和安全审计系统用 于威胁评估阶段。 2 信息系统风险评估实施 2.1 评估的范围和内容 2.1.1 网络安全评估 网络安全评估包括网络架构分析和网络设备配 置审计两个方面，在本次评估中对宝鸡供电局管理 信息系统的四级网、局域网网络架构进行了安全性 分析，并对重要或有代表性的网络设备进行了配置 审计。 2.1.2 主机审计 主机审计包括主机安全审计和主机安全扫描， 通过人工查看和工具检查两种方式进行。评估中对 Windows 系统服务器、HP-UX 系统服务器、AIX 系统 评估计划和准备 识别并评价资产 威胁评估 脆弱性评估 评估控制 影响 可能性 评价风险 推荐安全控制措施 编制风险报告 图 1 信息安全风险评估流程