風(fēng)險(xiǎn)分析評價(jià)報(bào)告

風(fēng)險(xiǎn)分析評價(jià)報(bào)告

　　隨著人們自身素質(zhì)提升，我們使用報(bào)告的情況越來越多，報(bào)告具有雙向溝通性的特點(diǎn)。那么什么樣的報(bào)告才是有效的呢？以下是小編整理的風(fēng)險(xiǎn)分析評價(jià)報(bào)告，供大家參考借鑒，希望可以幫助到有需要的朋友。

　　一、引言

　　信息時(shí)代為國家和個(gè)人提供了全新的發(fā)展機(jī)遇和生活空間，但也帶來了新的安全威脅。信息安全的威脅可能來自內(nèi)部的破壞、外部的攻擊、內(nèi)外勾結(jié)的破壞和信息系統(tǒng)自身的意外事故等，因此我們應(yīng)按照風(fēng)險(xiǎn)管理的思想，對可能的威脅和需要保護(hù)的信息資源進(jìn)行風(fēng)險(xiǎn)分析，以便采取安全措施，妥善應(yīng)對可能發(fā)生的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評估是依據(jù)國家信息安全風(fēng)險(xiǎn)評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C(jī)密性、完整性和可用性等安全屬性進(jìn)行科學(xué)、公正的綜合評價(jià)的過程。根據(jù)ISO27001的管理思想，信息安全風(fēng)險(xiǎn)評估在信息安全管理的PDCA環(huán)中是一個(gè)很重要的過程，如何處理信息安全風(fēng)險(xiǎn)評估所產(chǎn)生的數(shù)據(jù)，是每一個(gè)信息安全管理者都非常迫切需要解決的一個(gè)問題。最好的解決方法是開發(fā)出一套實(shí)用性強(qiáng)、可操作性高的系統(tǒng)安全風(fēng)險(xiǎn)評估管理工具。

　　二、風(fēng)險(xiǎn)評估過程

　　信息安全風(fēng)險(xiǎn)評估系統(tǒng)的設(shè)計(jì)是針對組織開展信息安全風(fēng)險(xiǎn)評估的過程。這個(gè)過程包括對信息系統(tǒng)中的安全風(fēng)險(xiǎn)識別、信息收集、評估和報(bào)告等。風(fēng)險(xiǎn)評估的實(shí)施過程如下頁圖1。

　　1.評估前準(zhǔn)備。在風(fēng)險(xiǎn)評估實(shí)施前，需要對以下工作進(jìn)行確定：確定風(fēng)險(xiǎn)評估的目標(biāo)、確定風(fēng)險(xiǎn)評估的范圍、組建風(fēng)險(xiǎn)評估團(tuán)隊(duì)、進(jìn)行系統(tǒng)調(diào)研、確定評估依據(jù)和方法、制定評估計(jì)劃和評估方案、獲得最高管理者對工作的支持。

　　2.資產(chǎn)識別。資產(chǎn)識別過程分為資產(chǎn)分類和資產(chǎn)評價(jià)兩個(gè)階段。資產(chǎn)分類是將單位的信息資產(chǎn)分為實(shí)物資產(chǎn)、軟件資產(chǎn)、數(shù)據(jù)資產(chǎn)、人員資產(chǎn)、服務(wù)資產(chǎn)和無形資產(chǎn)六類資產(chǎn)進(jìn)行識別；資產(chǎn)評價(jià)是對資產(chǎn)的三個(gè)安全屬性保密性、可用性及完整性分別等級評價(jià)及賦值，經(jīng)綜合評定后，得出資產(chǎn)的價(jià)值。

　　3.威脅識別。威脅識別主要工作是評估者需要從每項(xiàng)識別出的資產(chǎn)出發(fā)，找到可能遭受的威脅。識別威脅之后，還需要確定威脅發(fā)生的可能性。

　　4.脆弱性識別。評估者需要從每項(xiàng)識別出的資產(chǎn)和對應(yīng)的威脅出發(fā)，找到可能被利用的脆弱性。識別脆弱性之后，還需要確定弱點(diǎn)可被利用的嚴(yán)重性。

　　5.已有安全措施確認(rèn)。在識別脆弱性的同時(shí)，評估人員將對已采取的安全措施的有效性進(jìn)行確認(rèn)，評估其是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。

　　6.風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)評估中完成資產(chǎn)賦值、威脅評估、脆弱性評估后，在考慮已有安全措施的情況下，利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性，并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)。

　　三、系統(tǒng)設(shè)計(jì)

　　1.用角色設(shè)計(jì)。系統(tǒng)角色分為三種類型，各用戶在登錄后自動(dòng)轉(zhuǎn)入各自的操作頁面。A.超級管理員：擁有系統(tǒng)所有權(quán)限；B.評估項(xiàng)目管理員：可以對所負(fù)責(zé)的評估項(xiàng)目進(jìn)行管理，對評估人員進(jìn)行分工和權(quán)限管理；C.評估人員：負(fù)責(zé)由項(xiàng)目管理員分配的測評工作，將評估數(shù)據(jù)導(dǎo)入系統(tǒng)。

　　2.系統(tǒng)模型。根據(jù)信息安全風(fēng)險(xiǎn)評估管理的業(yè)務(wù)需求，我們構(gòu)建了以安全知識庫為支撐，以風(fēng)險(xiǎn)評估流程為系統(tǒng)主要業(yè)務(wù)流，以受測業(yè)務(wù)系統(tǒng)及其相關(guān)信息資產(chǎn)的風(fēng)險(xiǎn)評估要素為對象的信息安全風(fēng)險(xiǎn)評估綜合管理系統(tǒng)模型，系統(tǒng)模型如圖2所示。

　　3.系統(tǒng)功能設(shè)計(jì)。信息安全風(fēng)險(xiǎn)評估綜合管理系統(tǒng)的功能模塊包括：①風(fēng)險(xiǎn)評估項(xiàng)目管理：評估項(xiàng)目管理模塊包括評估項(xiàng)目的建立、項(xiàng)目列表、項(xiàng)目設(shè)置等功能。主要輸入項(xiàng)：項(xiàng)目名稱、評估時(shí)間、評估對象等；主要輸出項(xiàng)：項(xiàng)目計(jì)劃書。②信息安全需求調(diào)研管理：該模塊用于用戶填寫安全調(diào)研問卷，為安全評估提供數(shù)據(jù)支持。主要輸入項(xiàng)：用戶ID、調(diào)查答案；主要輸出項(xiàng)：問卷標(biāo)題、調(diào)查題內(nèi)容。③資產(chǎn)識別。系統(tǒng)提供的資產(chǎn)識別，包括：硬件、軟件、數(shù)據(jù)等，根據(jù)業(yè)務(wù)系統(tǒng)對組織戰(zhàn)略的影響程度，對相關(guān)資產(chǎn)的重要性進(jìn)行評價(jià)；主要輸入項(xiàng)：評估對象（信息資產(chǎn)）、賦值規(guī)則；主要輸出項(xiàng)：資產(chǎn)識別匯總表、資產(chǎn)識別報(bào)告。④威脅識別。威脅識別：系統(tǒng)提供多種網(wǎng)絡(luò)環(huán)境的威脅模板，支持和幫助用戶進(jìn)行威脅識別和分析，并提供資產(chǎn)、脆弱性、威脅自動(dòng)關(guān)聯(lián)功能：主要輸入項(xiàng)：評估對象、賦值規(guī)則；主要輸出項(xiàng)：威脅識別匯總表、威脅識別報(bào)告。⑤脆弱性識別。脆弱性識別：系統(tǒng)可提供多種系統(tǒng)的脆弱性識別功能，包括：主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備等對象的脆弱性識別。系統(tǒng)支持常用漏洞掃描軟件掃描結(jié)果的導(dǎo)入，目前支持的掃描系統(tǒng)有：Nessus、NMap等，主機(jī)系統(tǒng)支持：Windows、Linux、Unix等，數(shù)據(jù)庫支持：MSSQL、Oracle等：主要輸入項(xiàng)：評估對象、漏洞掃描結(jié)果、賦值規(guī)則；主要輸出項(xiàng)：漏洞掃描報(bào)告、脆弱性識別匯總表、脆弱性識別報(bào)告。⑥安全措施識別。安全措施識別：系統(tǒng)提供基于技術(shù)、管理等方面的安全措施檢查功能，幫助用戶了解目前的安全狀況，找到安全管理問題，確定安全措施的有效性：主要輸出項(xiàng)：安全措施識別匯總表、安全措施識別報(bào)告。⑦風(fēng)險(xiǎn)分析。系統(tǒng)通過資產(chǎn)評價(jià)、脆弱性評價(jià)、威脅評價(jià)、安全措施有效性評價(jià)、風(fēng)險(xiǎn)分析等工作，可自動(dòng)生成安全風(fēng)險(xiǎn)評估分析報(bào)告。主要輸入項(xiàng)：評估對象、資產(chǎn)值、脆弱性值、威脅值、安全措施值、計(jì)算規(guī)則；主要輸出項(xiàng)：風(fēng)險(xiǎn)計(jì)算匯總表、風(fēng)險(xiǎn)分析報(bào)告。⑧評估結(jié)果管理。主要功能是對歷史記錄查詢與分析。匯總所有的安全評估結(jié)果進(jìn)行綜合分析，并生成各階段風(fēng)險(xiǎn)評估工作報(bào)告，主要包括如下：《資產(chǎn)識別報(bào)告》、《漏洞掃描報(bào)告》、《威脅識別報(bào)告》、《脆弱性識別報(bào)告》、《控制措施識別報(bào)告》、《風(fēng)險(xiǎn)分析報(bào)告》。并可對當(dāng)期風(fēng)險(xiǎn)評估結(jié)果和原始數(shù)據(jù)進(jìn)行轉(zhuǎn)存或備份。在有需要時(shí)能調(diào)出評估歷史數(shù)據(jù)進(jìn)行查詢及風(fēng)險(xiǎn)趨勢分析。⑨信息安全知識庫更新維護(hù)。信息安全知識庫的更新維護(hù)主要對象有：系統(tǒng)漏洞庫、安全威脅庫、安全脆弱點(diǎn)庫、控制措施庫。為避免造成數(shù)據(jù)的冗余，系統(tǒng)將在各評估項(xiàng)目中需要反復(fù)使用的數(shù)據(jù)歸入基礎(chǔ)數(shù)據(jù)庫進(jìn)行管理，在進(jìn)行評估活動(dòng)時(shí)再從基礎(chǔ)庫提取有關(guān)數(shù)據(jù)，這樣也能減少重復(fù)的輸入工作。⑩數(shù)據(jù)接口。導(dǎo)入數(shù)據(jù)接口：資產(chǎn)庫、脆弱點(diǎn)庫、威脅庫、控制措施庫。支持以下常用的格式：如EXCEL文件等；常用的漏洞掃描工具：如綠盟、啟明星辰、NESSUS、NMAP等。

　　四、結(jié)束語

　　該系統(tǒng)設(shè)計(jì)是以信息安全風(fēng)險(xiǎn)評估工作流程為基礎(chǔ)，進(jìn)行信息安全評估項(xiàng)目管理、風(fēng)險(xiǎn)要素?cái)?shù)據(jù)收集與輔助風(fēng)險(xiǎn)分析的系統(tǒng)，在實(shí)際風(fēng)險(xiǎn)管理過程中，可引入了質(zhì)量管理理念――PDCA循環(huán)，即通過監(jiān)控每一階段的信息系統(tǒng)風(fēng)險(xiǎn)情況，及時(shí)發(fā)現(xiàn)問題，不斷調(diào)整風(fēng)險(xiǎn)控制工作計(jì)劃，從而實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)管理的工作目標(biāo)。

【風(fēng)險(xiǎn)分析評價(jià)報(bào)告】相關(guān)文章：

銀行風(fēng)險(xiǎn)分析報(bào)告11-25

銀行風(fēng)險(xiǎn)分析報(bào)告02-23

銀行風(fēng)險(xiǎn)分析報(bào)告04-19

企業(yè)風(fēng)險(xiǎn)隱患分析報(bào)告范文11-18

防范汛期安全風(fēng)險(xiǎn)分析報(bào)告05-12

汛期安全風(fēng)險(xiǎn)分析報(bào)告（精選5篇）02-16

銀行風(fēng)險(xiǎn)分析報(bào)告(7篇)06-10

（經(jīng)典）銀行風(fēng)險(xiǎn)分析報(bào)告7篇08-23

銀行風(fēng)險(xiǎn)分析報(bào)告8篇06-18

銀行風(fēng)險(xiǎn)分析報(bào)告7篇11-25