安全管理
115
影响
(Impact)
:
也称之为后果
(Consequence)
,
意外事件发生给组织带来的直接或间接的程度,在
风险管理领域里,有时也特指威胁利用漏洞对资产
或组织机构所造成的各种损失。
1.2 评估流程
风险评估过程是基于风险评估的知识,将搜集、
整理和分析风险有关的资产、漏洞、威胁、影响等
资料的步骤和流程,也就是说风险评估过程主要讨
论搜集、整理、分析风险相关要素的资料和数据的
过程和流程。如图 1 所示。
1.3 评估工具
在现阶段,安全风险评估目前大量工作依靠手
工进行如调查问卷(Questionnaire)
、检查列表
(Checklist)
、人员访谈(Interview)
、手动检查
和工具扫描等,本次评估用到的工具包括:漏洞扫
描器(Scanner)
,入侵检测系统,安全审计系统。
漏洞扫描系统在脆弱性评估阶段使用,用于对系统
进行脆弱性分析。入侵检测系统和安全审计系统用
于威胁评估阶段。
2 信息系统风险评估实施
2.1 评估的范围和内容
2.1.1 网络安全评估
网络安全评估包括网络架构分析和网络设备配
置审计两个方面,在本次评估中对宝鸡供电局管理
信息系统的四级网、局域网网络架构进行了安全性
分析,并对重要或有代表性的网络设备进行了配置
审计。
2.1.2 主机审计
主机审计包括主机安全审计和主机安全扫描,
通过人工查看和工具检查两种方式进行。评估中对
Windows 系统服务器、HP-UX 系统服务器、AIX 系统
评估计划和准备
识别并评价资产
威胁评估
脆弱性评估
评估控制
影响
可能性
评价风险
推荐安全控制措施
编制风险报告
图 1 信息安全风险评估流程
打分:
0 星