信息系統(tǒng)安全風(fēng)險評估應(yīng)用：基礎(chǔ)知識

　　在開始進(jìn)行實(shí)際的信息系統(tǒng)安全風(fēng)險評估操作前，先來了解一些有關(guān)信息系統(tǒng)安全風(fēng)險評估的基礎(chǔ)知識，明白一些與安全風(fēng)險評估相關(guān)的術(shù)語，將有助于讓你明了要如何才能完成一次信息系統(tǒng)安全風(fēng)險評估。
　　一、我們?yōu)槭裁葱枰�信息系統(tǒng)安全風(fēng)險評估
　　很顯然，當(dāng)要我們很欣然地接受和使用某一種新技術(shù)來協(xié)助我們進(jìn)行安全防范工作時，這種技術(shù)就必需有能夠驅(qū)使我們?nèi)ナ褂盟�的理由。這此理由也就是這種技術(shù)在某 個安全防范方面的主要作用，而我們也就是沖它的這些主要作用才去使用它的。
　　對于信息系統(tǒng)安全風(fēng)險評估來說，我們在的開頭中已經(jīng)大概了解了他的定義，從它的定義當(dāng)中，我們可以了解到風(fēng)險評估可以在信息系統(tǒng)的生命周期的各個階段使用。由于信息系統(tǒng)生命周期的各個階段的安全防范目的不同，致使使用風(fēng)險評估的目的也各不相同，因此，信息系統(tǒng)生命周期每個階段進(jìn)行的風(fēng)險評估產(chǎn)生的作用也各不相同。
　　信息系統(tǒng)的生命周期分為設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)和最終銷毀這四個主要階段，每個階段進(jìn)行相應(yīng)的信息系統(tǒng)安全風(fēng)險評估的主要作用如下所示：
　　1、在信息系統(tǒng)生命周期的設(shè)計(jì)和實(shí)施階段，使用信息系統(tǒng)安全風(fēng)險評估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說服機(jī)構(gòu)領(lǐng)導(dǎo)同意安全策略的完全實(shí)施等作用。
　　2、在信息系統(tǒng)生命周期的運(yùn)行維護(hù)階段，使用信息系統(tǒng)安全風(fēng)險評估可以起到如下的作用：
　�。�1）了解防火墻、IDS及其它安全設(shè)備是否真的按原先配置的意圖在運(yùn)行，它們實(shí)際的安全防范效果是否有滿足安全目標(biāo)的要求；
　�。�2）了解安全防范策略是否切合實(shí)際，是否被全面執(zhí)行；
　�。�3）檢驗(yàn)機(jī)構(gòu)內(nèi)部員工的安全意識，網(wǎng)絡(luò)操作行為及數(shù)據(jù)使用方式是否正常；
　�。�4）當(dāng)信息系統(tǒng)因某種原因做出硬件或軟件調(diào)整后，使用信息系統(tǒng)安全風(fēng)險評估來確定原本的安全
　　措施是否依然有效，如果不行，應(yīng)當(dāng)在哪些方面做出相應(yīng)的修改等等。
　　3、在信息系統(tǒng)生命周期的最終銷毀階段，可以使用信息系統(tǒng)安全風(fēng)險評估來檢驗(yàn)應(yīng)當(dāng)完全銷毀的
　　數(shù)據(jù)或設(shè)備，確實(shí)已經(jīng)不能被任何方式所恢復(fù)；淘汰的信息系統(tǒng)中的設(shè)備確實(shí)已經(jīng)被妥善保管，沒有被流失出去的危險等作用。
　　二、信息系統(tǒng)安全風(fēng)險評估的通用處理流程
　　信息系統(tǒng)安全風(fēng)險評估不是一個可以隨意就能完成的任務(wù)，為了能保證風(fēng)險評估按一定的方式有序、正確地執(zhí)行，以及評估結(jié)果的真實(shí)有效；也為了能減少在風(fēng)險評估過程中有可能產(chǎn)生的有意或無意錯誤；同時還為了提高風(fēng)險評估的效率，縮短評估的時間，以減少對正常業(yè)務(wù)的影響。為信息系統(tǒng)安全風(fēng)險的評估工作制定一個有效的處理流程是很有必要的。
　　在現(xiàn)在出現(xiàn)了的一些信息系統(tǒng)風(fēng)險評估標(biāo)準(zhǔn)中（例如我國，在2006年3月7日，由國務(wù)院信息化辦公室印發(fā)的《信息安全風(fēng)險評估指南》），已經(jīng)提出了處理風(fēng)險評估的通用流程。但是，這些通用的風(fēng)險評估流程并不包括具體細(xì)節(jié)，你和你的風(fēng)險評估團(tuán)隊(duì)?wèi)?yīng)當(dāng)根據(jù)需要評估的對象來自行決定。同時，我們在風(fēng)險評估過程中，還要以這些風(fēng)險評估標(biāo)準(zhǔn)作為評估結(jié)果的參考標(biāo)準(zhǔn)，以便給出具體的風(fēng)險評估值。
　　在這里，我同樣只給出這個通用信息系統(tǒng)安全風(fēng)險評估流程的主框架，具體的處理細(xì)節(jié)會在第二節(jié)中詳細(xì)說明。這個通徹的風(fēng)險評估處理流程如下所示：
　　1、信息系統(tǒng)安全風(fēng)險評估準(zhǔn)備階段
　　2、信息系統(tǒng)安全風(fēng)險評估對象風(fēng)險檢測階段
　　3、信息系統(tǒng)安全風(fēng)險評估對象風(fēng)險檢測結(jié)果分析及給出評估報告階段
　　4、后期安全維護(hù)階段
　　三、了解信息系統(tǒng)安全風(fēng)險評估中的三個重要術(shù)語
　　1、評估對象
　　在信息系統(tǒng)安全風(fēng)險評估過程中，我們首先要做的就是指定評估的具體對象，也就是限制評估的具體物理和技術(shù)范圍。在信息系統(tǒng)當(dāng)中，評估對象是與信息系統(tǒng)中的軟硬件組成部分相對應(yīng)的。例如，信息系統(tǒng)中包括各種服務(wù)器、服務(wù)器上運(yùn)行的操作系統(tǒng)及各種服務(wù)程序、各種網(wǎng)絡(luò)連接設(shè)備、各種安全防范設(shè)備或應(yīng)用程序、物理安全保障設(shè)備，這些都可以是構(gòu)成獨(dú)立的評估對象，甚至連使用這些信息系統(tǒng)的人也可以作為一個評估對象。總的來說，目前可以將整個計(jì)算機(jī)信息系統(tǒng)分為六個主要的評估對象：
　　（1）、信息安全風(fēng)險評估
　　（2）、業(yè)務(wù)流程安全風(fēng)險評估
　　（3）、網(wǎng)絡(luò)安全風(fēng)險評估
　　（4）、通信安全風(fēng)險評估
　　（5）、無線安全風(fēng)險評估
　�。�6）、物理安全風(fēng)險評估
　　2、評估項(xiàng)目
　　信息系統(tǒng)安全風(fēng)險評估的評估項(xiàng)目是針對某個具體的評估對象來定的，用來決定評估對象具體要評估的某個方面，例如，對于物理安全風(fēng)險評估，就需要對評估對象所在的周邊環(huán)境進(jìn)行安全風(fēng)險評估，以及對評估對象已經(jīng)完成的物理安全措施進(jìn)行風(fēng)險評估等，這些就是信息系統(tǒng)安全的風(fēng)險評估項(xiàng)目。
　　每一個評估對象都有屬于自己獨(dú)特的評估項(xiàng)目，這是每個評估對象獨(dú)特的屬性所決定的。下面是六個主要的安全風(fēng)險評估對象的主要評估項(xiàng)目的簡短描述：
　�。�1）、信息安全風(fēng)險評估的主要評估項(xiàng)目
　�、佟⑿畔⒌陌踩珷顩r評估
　�、�、信息的完整性審查
　　③、機(jī)密信息調(diào)查
　�、堋⒕W(wǎng)絡(luò)操作痕跡信息檢查
　�、荨⑿畔⒃谑褂眠^程中的安全性審查
　�、蕖㈦[私信息機(jī)密性審查
　�、摺⑿畔⒖煽匦詫彶�
　�、�、信息存儲安全性審查
　�。�2）、業(yè)務(wù)流程安全風(fēng)險評估的主要評估項(xiàng)目
　�、�、業(yè)務(wù)流程安全現(xiàn)狀評估
　�、�、業(yè)務(wù)請求安全性審查
　�、�、業(yè)務(wù)反請求安全性審查
　�、�、業(yè)務(wù)處理流程安全性審查
　�、�、業(yè)務(wù)處理人員可信賴性測試
　�。�3）、網(wǎng)絡(luò)安全風(fēng)險評估的主要評估項(xiàng)目
　�、�、網(wǎng)絡(luò)安全現(xiàn)狀評估
　�、�、入侵檢測審查
　�、�、網(wǎng)絡(luò)傳輸安全性評估
　　④、網(wǎng)絡(luò)應(yīng)用安全性評估
　�、�、網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測與驗(yàn)證
　�、蕖⒕W(wǎng)絡(luò)中交換機(jī)及路由器安全性評估
　�、�、訪問控制測試
　　⑧、主要網(wǎng)絡(luò)攻擊方式測試（如DOS）
　�、�、網(wǎng)絡(luò)行為審查
　　⑩、網(wǎng)絡(luò)安全策略、警報和日志文件審查
　�。�4）、通信安全風(fēng)險評估的主要評估項(xiàng)目
　　①、Modem等通信設(shè)備安全性檢測
　�、�、VOIP安全性評估
　　③、網(wǎng)絡(luò)傳真安全性評估
　�、�、遠(yuǎn)程訪問安全性評估
　　⑤、即時通信安全性評估（包括即時聊天、網(wǎng)絡(luò)視頻會議、網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控等）
　　（5）、無線安全風(fēng)險評估的主要評估項(xiàng)目
　　①、電磁輻射測試
　　②、802.11a/b/g無線網(wǎng)絡(luò)安全風(fēng)險評估
　　③、藍(lán)牙安全性評估
　�、堋�無線輸入輸出設(shè)備安全性測試
　�、�、無線手持設(shè)備安全性測試
　　⑥、無線設(shè)備接入或退出安全性測試
　�、摺�無線傳輸設(shè)備安全性測試
　�、唷�無線通信保密性測試
　　⑨、其它無線通信方式檢測（如RFID及紅外線連接等）
　　（6）、物理安全風(fēng)險評估的主要評估項(xiàng)目
　�、�、物理安全現(xiàn)狀評估
　�、凇⑽锢戆踩�訪問控制的安全性測試
　�、�、物理監(jiān)控設(shè)備運(yùn)行審查
　　④、警報響應(yīng)審查
　�、荨⑽锢戆踩�防范位置審查
　�、�、計(jì)算機(jī)系統(tǒng)所處位置周邊物理安全審查
　�、�、計(jì)算機(jī)系統(tǒng)所處位置當(dāng)?shù)刈匀粭l件、環(huán)境因素調(diào)查|||
　　評估任務(wù)
　　評估任務(wù)就是指要達(dá)到某個風(fēng)險評估項(xiàng)目的評估目標(biāo)時，要具體進(jìn)行的所有評估操作任務(wù)。評估任務(wù)與每個評估項(xiàng)目相對應(yīng)，具體的評估任務(wù)可以由你和你的團(tuán)隊(duì)根據(jù)實(shí)際需求來決定。評估任務(wù)制定得全不全面，切不切合實(shí)際，會直接影響到信息系統(tǒng)安全風(fēng)險評估的最終結(jié)果是否與風(fēng)險評估的目標(biāo)相一致。因此，當(dāng)決定這些評估任務(wù)時，參與決定的人員不僅要有豐富的經(jīng)驗(yàn)，而且手里要有充足的與評估對象相關(guān)的各種有效的資料；同時，要對目前的安全威脅，各種系統(tǒng)或設(shè)備的弱點(diǎn)和漏洞，各種攻擊手段有充分的了解；而且，還要能仔細(xì)識別評估對象的資產(chǎn)類型及其重要性等。
　　由于評估任務(wù)是與具體的評估對象和評估項(xiàng)目來決定的，還與當(dāng)前的安全威脅狀況及發(fā)展趨勢有關(guān)，同時由于文章篇幅的限制。因此，在中只能分別對這六個評估對象中的一到二個評估項(xiàng)目給出一些通用的評估任務(wù)。至于其它評估項(xiàng)目的評估任務(wù)，你和你的評估團(tuán)隊(duì)可以參考中給出的評估任務(wù)內(nèi)容實(shí)例，使用頭腦風(fēng)暴的方法，通過分析收集到的各種有效資料來自行決定。
　　（1）、信息安全風(fēng)險評估中隱私信息機(jī)密性審查的評估任務(wù)
　　隱私信息的機(jī)密性審查，主要是為了檢測機(jī)構(gòu)中員工及客戶的隱私信息在使用、傳輸和存儲過程中的完全性。由于這些隱私可能涉及到機(jī)構(gòu)所在位置的某些法律條規(guī)，因此，在決定這個項(xiàng)目的評估任務(wù)時，要充分考慮機(jī)構(gòu)所在區(qū)域的國家及地區(qū)法規(guī)。
　　通常，要進(jìn)行一次全面的隱私機(jī)密性審查，應(yīng)當(dāng)完成下列所示的評估任務(wù)：
　�、�、比對實(shí)際的隱私信息訪問方式與隱私訪問策略中規(guī)定的方式之間的差異；
　�、�、檢查隱私信息的監(jiān)控保護(hù)方式符合當(dāng)?shù)氐姆�律法�?guī)；
　�、�、標(biāo)識出存儲的隱私信息的數(shù)據(jù)庫類型和大�。�
　�、�、標(biāo)識由機(jī)構(gòu)收集到的各種隱私信息；
　�、荨⒋_定隱私信息存儲的位置；
　　⑥、了解當(dāng)前網(wǎng)絡(luò)瀏覽時COOKIE保存類型和保留的時間；
　�、摺⒆R別保存在COOKIE中的各種隱私信息；
　�、�、驗(yàn)證COOKIE使用的加密方法；
　�、�、識別機(jī)構(gòu)的WEB服務(wù)器可能產(chǎn)生錯誤的位置，了解錯誤發(fā)生時返回給瀏覽用戶的信息類型。
　�。�2）、信息安全風(fēng)險評估中網(wǎng)絡(luò)操作痕跡信息檢查的評估任務(wù)
　　網(wǎng)絡(luò)操作痕跡信息的檢查，主要是為了調(diào)查機(jī)構(gòu)內(nèi)部某些員工在網(wǎng)絡(luò)操作后留下的操作痕跡，用審查是否有一些與組織相關(guān)的機(jī)密信息遺留在互聯(lián)網(wǎng)當(dāng)中。這個評估項(xiàng)目是信息安全風(fēng)險評估中非常重要的一個部分，要完成一次全面的互聯(lián)網(wǎng)操作行為信息檢查，下面這些評估任務(wù)是不能少的：
　�、佟�檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫和緩存中的內(nèi)容；
　　②、檢查機(jī)構(gòu)內(nèi)部員工是否通過個人主頁、博客、，以及發(fā)布網(wǎng)絡(luò)求職簡歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息；
　　③、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息；
　　④、了解機(jī)構(gòu)內(nèi)部員工的計(jì)算機(jī)技術(shù)水平，以及了解計(jì)算機(jī)技術(shù)水平較高的員工所處的部門及其操作權(quán)限；
　�、�、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時間使用即時通信工具，并在法律條件允許的條件下監(jiān)控即時通信的內(nèi)容；
　�、蕖⑹褂没ヂ�(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、及博客中搜索；
　�、摺�檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容。
　�。�3）、網(wǎng)絡(luò)安全風(fēng)險評估中網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測與驗(yàn)證的評估任務(wù)
　　網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測與驗(yàn)證是為了找出網(wǎng)絡(luò)中存的安全弱點(diǎn)和漏洞，并且驗(yàn)證這些弱點(diǎn)和漏洞是否可以真的被利用。在評估過程中使用一些基于網(wǎng)絡(luò)的弱點(diǎn)掃描及滲透測試工具，能大大提高評估工作的效率。
　　但是，在使用弱點(diǎn)掃描工具時不能對它檢測后的結(jié)果全盤接受，這是由于現(xiàn)在大部分的弱點(diǎn)掃描工具都是通過與自己的弱點(diǎn)和漏洞數(shù)據(jù)進(jìn)行比對，來決定檢測對象是否存某弱點(diǎn)或漏洞的。一旦工具的漏洞數(shù)據(jù)庫不能及時更新，或不能包括所有目前已經(jīng)發(fā)現(xiàn)的漏洞，那么，其檢測結(jié)果就不一定完全可靠。并且，由于這些工具本身設(shè)計(jì)缺陷和能力限制，在使用過程中會出現(xiàn)誤報和漏報的問題，誤報會讓我們白擔(dān)心一場，而漏報卻會讓我們處于重大安全事故發(fā)生的邊緣。因此，在弱點(diǎn)掃描后進(jìn)行人工核查和滲透測試能減少漏報和誤報的發(fā)生。
　　要完成一次徹底的網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測與驗(yàn)證的評估項(xiàng)目，下面完成下面的評估任務(wù)：
　�、佟⒔Y(jié)合目前最流行的弱點(diǎn)掃描和滲透工具，對目標(biāo)網(wǎng)段進(jìn)行測試；
　�、�、使用弱點(diǎn)掃描工具，按由外向內(nèi)，由內(nèi)向外的兩種方式掃描目標(biāo)網(wǎng)段；
　　③、確定存在弱點(diǎn)或漏洞的系統(tǒng)和應(yīng)用程序的類型；
　�、�、確定存在漏洞的服務(wù)；
　�、�、確定應(yīng)用程序和服務(wù)存在漏洞的類型；
　　⑥、識別操作系統(tǒng)和應(yīng)用程序中的存在的所有漏洞，識別所有存在漏洞的操作系統(tǒng)和應(yīng)用程序；
　�、�、確定這些漏洞是否可以影響到其它相似的目標(biāo)網(wǎng)絡(luò)或系統(tǒng)；
　�、唷⑼ㄟ^人為滲透測試的方法來檢測找到的弱點(diǎn)或漏洞是否真實(shí)存在；
　�、帷�檢驗(yàn)這些漏洞可以被利用的機(jī)率，利用后可能產(chǎn)生的后果。
　�。�4）、通信安全風(fēng)險評估中Modem等通信設(shè)備安全性檢測的評估任務(wù)
　　Modem等通信設(shè)備的安全性檢測主要是為了檢驗(yàn)調(diào)制解調(diào)器的登錄驗(yàn)證方式，是否可以被運(yùn)程非法控制等等。要完成一次全面的Modem等通信設(shè)備的安全性檢測項(xiàng)目，下面的評估任務(wù)將要被全部執(zhí)行：
　　①、以由內(nèi)向外，由處向內(nèi)的方式全面掃描Modem等通信設(shè)備；
　�、�、確保Modem等通信設(shè)備的登錄用戶和密碼不是使用缺省設(shè)置，或者容易被猜出；
　�、�、確保與Modem等通信設(shè)備直接相連的路由器、三層交換機(jī)或計(jì)算機(jī)已經(jīng)做好了相應(yīng)的安全措施；
　　④、檢查通過遠(yuǎn)程維護(hù)Modem等通信設(shè)備是否安全；
　　⑤、驗(yàn)證遠(yuǎn)程撥號認(rèn)證；
　�、�、測試本地?fù)芴栒J(rèn)證；
　�。�5）、無線安全風(fēng)險評估中802.11a/b/g無線網(wǎng)絡(luò)安全風(fēng)險評估的評估任務(wù)
　　由于802.11a/b/g無線網(wǎng)絡(luò)技術(shù)越來越成熟，越來越多的機(jī)構(gòu)開始使用它。但是，由于802.11a/b/g無線網(wǎng)絡(luò)技術(shù)的開放性，且大多數(shù)使用沒有對其默認(rèn)設(shè)置做相應(yīng)的安全修改，或者設(shè)置的安全很少也很弱，從而造成802.11a/b/g無線網(wǎng)絡(luò)帶來的安全風(fēng)險與它的功能一樣多。因此，使用802.11a/b/g無線網(wǎng)絡(luò)安全風(fēng)險評估來識別無線網(wǎng)絡(luò)中目前存在的安全風(fēng)險，以便能采取更好的安全措施來降低無線網(wǎng)絡(luò)應(yīng)用帶來的風(fēng)險。
　　完成802.11a/b/g無線網(wǎng)絡(luò)安全風(fēng)險評估項(xiàng)目，必需執(zhí)行下列所有的評估任務(wù)：
　�、�、檢驗(yàn)機(jī)構(gòu)是否已經(jīng)有一個足夠好的無線安全策略，來保證802.11a/b/g無線網(wǎng)絡(luò)的應(yīng)用，同時評估802.11a/b/g無線網(wǎng)絡(luò)的硬件和固件，以及更新狀況等；
　�、�、對連接在目標(biāo)無線網(wǎng)終上的無線設(shè)備進(jìn)行全面的清查，評估訪問控制，無線信號覆蓋的規(guī)定范圍，并確定是否有能力防止無線信號超出規(guī)定的范圍，或者能夠干擾超出的無線信號；
　　③、確定無線設(shè)備水平接入目標(biāo)無線網(wǎng)絡(luò)的訪問控制能力，是否能夠標(biāo)識所有允許的接入點(diǎn)，以及是否能夠即時識別非授權(quán)接入點(diǎn)，并能定位和拒絕它的接入；
　�、�、評估無線網(wǎng)絡(luò)的配置、認(rèn)證和加密方式；
　�、�、評估無線接入點(diǎn)的默認(rèn)服務(wù)設(shè)備標(biāo)識符（SSID）已經(jīng)更改；
　　⑥、驗(yàn)證所有無線客戶端已經(jīng)安裝了殺毒軟件和防火墻等安全工具；
　�。�6）、物理安全風(fēng)險評估中物理安全訪問控制的安全性測試的評估任務(wù)
　　物理安全訪問控制的安全性測試，是用來檢測物理方式直接接觸機(jī)構(gòu)中重要信息資產(chǎn)時是否符合安全要求的評估項(xiàng)目。要完成一次物理安全訪問控制的安全性測試，就必需完成下列所示的評估任務(wù)：
　�、佟⒚杜e所有必需進(jìn)行物理訪問控制的區(qū)域；
　　②、檢查所有物理訪問控制點(diǎn)的訪問控制設(shè)備及其類型；
　　③、檢查觸發(fā)警報的類型是否與說明的一致；
　　④、判斷物理訪問控制設(shè)備的安全級別；
　�、�、測試物理訪問控制設(shè)備是否存在弱點(diǎn)和漏洞；
　�、�、測試物理訪問控制設(shè)備是否可以被人為或其它方式失去檢測能力；
　　四、信息系統(tǒng)安全風(fēng)險評估過程中應(yīng)當(dāng)遵守的規(guī)則
　　在對信息系統(tǒng)進(jìn)行風(fēng)險評估過程中，下列的一些因素會給評估帶來錯誤的結(jié)果：
　　1、弱點(diǎn)掃描軟件的誤報和漏報；
　　2、系統(tǒng)本身設(shè)置對某類事情做出固定的某種缺陷反應(yīng)。當(dāng)測試帶有欺騙性設(shè)置的系統(tǒng)時，常會對所有的評估事件做出某種指定的相同反應(yīng)；
　　3、要評估的系統(tǒng)中存在某種已經(jīng)指定對所有事件做出安全反應(yīng)的設(shè)置。
　　4、在風(fēng)險評估過程中收到了某個目標(biāo)的回應(yīng)，但這個回應(yīng)并不是真的來自實(shí)際的評估目標(biāo)，而一些沒有經(jīng)驗(yàn)的風(fēng)險評估人員，對出現(xiàn)這樣的假象不能正確識別，從而造成錯誤的結(jié)果；
　　5、風(fēng)險評估工具設(shè)備本身存在問題，就可能出現(xiàn)錯誤的回應(yīng)。以及當(dāng)風(fēng)險評估的以太網(wǎng)路出現(xiàn)高噪音，或者存在干擾目標(biāo)無線網(wǎng)絡(luò)信號的設(shè)備時，都會出現(xiàn)錯誤的結(jié)果；
　　6、當(dāng)風(fēng)險評估過程中的某個環(huán)境得到了錯誤的結(jié)果，但是沒有及時識別和重新評估，而其后的評估工作卻使用這個錯誤的結(jié)果作為評估條件，這樣一來，就會讓這種錯誤繼承下去，造成得到一個錯誤的最終風(fēng)險評估結(jié)果；
　　7、風(fēng)險評估必需由人來執(zhí)行，由于風(fēng)險評估人員的技術(shù)水平，經(jīng)驗(yàn)值的高低，以及他們的評估態(tài)度，對風(fēng)險評估的理解的各不相同等因素，都有可能造成錯誤的風(fēng)險評估結(jié)果。
　　由于上述原因得到的錯誤信息系統(tǒng)安全風(fēng)險評估結(jié)果，一旦被接受，那么就會給信息系統(tǒng)的安全防范帶來新的安全風(fēng)險，其后果是不可想象的。因此，我們必需在進(jìn)行信息系統(tǒng)的風(fēng)險評估過程中，遵守下面的風(fēng)險評估規(guī)則，就可以有效降低上述錯誤因素的產(chǎn)生：
　　1、明白進(jìn)行風(fēng)險評估時，任何細(xì)節(jié)都是一樣重要的，并且了解每個評估項(xiàng)目的評估目的；
　　2、注意風(fēng)險評估過程中的每一個小細(xì)節(jié)。風(fēng)險評估結(jié)果的有效性，往往體現(xiàn)在一些細(xì)節(jié)上面，這是因?yàn)橐恍┲卮蟮陌踩�事故都是由于一些�?xì)小的安全弱點(diǎn)所引起的。另外，一個單獨(dú)的小細(xì)節(jié)可能不會帶來某類安全風(fēng)險，但是，許多小細(xì)節(jié)累積后，一不小心，就會給信息系統(tǒng)帶來重大的信息安全事故；
　　3、不要認(rèn)為少花錢多辦事就是好�，F(xiàn)在，許多機(jī)構(gòu)對于安全預(yù)算本來就少，因此，就要求安全風(fēng)險評估必需在很少的時間內(nèi)得到更多的效率。但是，如果你認(rèn)為一個低效率的風(fēng)險評估策略會為你節(jié)省一大筆的成本而決定使用它，那么，這個低效率的風(fēng)險評估策略有可能不會將所有的安全風(fēng)險檢測出來。因而使用你在藥費(fèi)了時間和金錢進(jìn)行風(fēng)險評估的同時，你不能得到風(fēng)險評估的任何好處，從側(cè)面反而使你增加了安全成本和造成業(yè)務(wù)中斷事件的可能性。
　　很顯然，風(fēng)險評估是需要一定的成本投入的，因此，當(dāng)你在開始進(jìn)行風(fēng)險評估時，你就要考慮如何平衡評估效率和投入成本的問題，只有這兩方達(dá)到一個滿意的平衡，才能達(dá)最好的風(fēng)險評估效率和效果；
　　4、對于涉及多個風(fēng)險評估對象的風(fēng)險評估過程，要有一個切合實(shí)際，考慮全面，可以被完全執(zhí)行的風(fēng)險評估策略。任何時候，我們都不要忽略策略在安全防范工作中的重要性。風(fēng)險評估策略就是用來表明某次風(fēng)險評估時的主要目的，以及要具體完成的任務(wù)，和一些操作細(xì)節(jié)等等。風(fēng)險評估策略在風(fēng)險評估過程中起到指導(dǎo)性的作用，控制整個評估過程；
　　5、要知道如何算風(fēng)險評估的經(jīng)濟(jì)賬。風(fēng)險評估的目的通常是為了達(dá)到某種程序的安全性來進(jìn)行的，評估的結(jié)果將會給找到的弱點(diǎn)提出相應(yīng)的解決方案。這樣，就會涉及到增加安全成本投入的問題。一個好的風(fēng)險評估項(xiàng)目管理者，會了解機(jī)構(gòu)是否有足夠的經(jīng)濟(jì)能力來解決發(fā)現(xiàn)的漏洞，計(jì)算到底要多少成本才能達(dá)到機(jī)構(gòu)領(lǐng)導(dǎo)可以接受的安全風(fēng)險等級，怎么樣的預(yù)算才會被機(jī)構(gòu)決策者所接受等等。如果你不考慮這些問題，那么，不管理你的風(fēng)險評估結(jié)果是多么的全面且準(zhǔn)確，但是不被機(jī)構(gòu)決策者接受，那么仍然是一個不成功的風(fēng)險評估。這只會白白讓機(jī)構(gòu)浪費(fèi)了大量的風(fēng)險評估時間和金錢。因此，知道算風(fēng)險評估的經(jīng)濟(jì)帳也是一個重要的方面；
　　6、了解風(fēng)險評估的參考標(biāo)準(zhǔn)。風(fēng)險評估結(jié)果是否具有權(quán)威性的關(guān)鍵一點(diǎn)，就是你應(yīng)當(dāng)在評估結(jié)果中注明評估的方式是遵從哪種風(fēng)險評估的標(biāo)準(zhǔn)來進(jìn)行，例如我在上面提到過的我國的《信息安全風(fēng)險評估指南》。你還可以使用一些國際標(biāo)準(zhǔn)，如ISO/IEC 17799/27001國際信息安全管理體系中的風(fēng)險評估標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以給你提供一個如何給出最終安全和風(fēng)險級別的參考標(biāo)準(zhǔn)；
　　7、風(fēng)險評估人員必需在指定的權(quán)限范圍內(nèi)完成指定的評估任務(wù)，在評估過程中不能隨意走出規(guī)定的物理范圍。在評估時發(fā)現(xiàn)任務(wù)疑問，應(yīng)當(dāng)立即停止，并上報給評估小組負(fù)責(zé)人。在疑問沒能明確解決之前，不能獨(dú)自繼續(xù)進(jìn)行下一步的評估操作。評估人員的出評估現(xiàn)場都應(yīng)當(dāng)有記錄，標(biāo)明進(jìn)出的具體時間。每個評估人員都應(yīng)在身體明顯處掛戴表明共身份的工作證件。每個風(fēng)險評估人員都應(yīng)當(dāng)使用規(guī)定的評估工具，不能將規(guī)定外的工具帶入評估現(xiàn)場。明確每個風(fēng)險評估人員的權(quán)限范圍，和其所在的物理位置，任何評估人員都不能超出這些規(guī)定的權(quán)力或物理范圍。
　　在對上述信息系統(tǒng)安全風(fēng)險評估的基礎(chǔ)知識有一個系統(tǒng)的了解后，就會讓我們懂得要如何才能有效地完成一次安全風(fēng)險評估。接下來的任務(wù)，就是去掌握信息系統(tǒng)的安全風(fēng)險評估工作要如何具體地去做。