風(fēng)險(xiǎn)評(píng)估過(guò)程主要包括：“數(shù)據(jù)采集、安全評(píng)測(cè)、安全分析、報(bào)告處理，，一、數(shù)據(jù)采集方法有：?jiǎn)柧碚{(diào)查、人員訪談、漏洞掃描、滲透性測(cè)試等1、問(wèn)卷調(diào)查：下圖是微軟的MicrosoftSecurityAssessmentTool一款風(fēng)險(xiǎn)評(píng)估應(yīng)用程序，目的是提供一些與信息技術(shù)（IT）基礎(chǔ)架構(gòu)中的安全最佳經(jīng)驗(yàn)有關(guān)的信息和建議。此應(yīng)用程序是專為擁有50到500臺(tái)臺(tái)式機(jī)和（或）100到1,000名員工的組織設(shè)計(jì)的。它首先采集一些信息（已問(wèn)卷調(diào)查的形式），如下圖所示。通過(guò)填寫(xiě)一些配置信息（圖左上），然后通過(guò)它的一套算法最后生成一個(gè)報(bào)告。公司設(shè)置基本信息請(qǐng)?jiān)陂_(kāi)始設(shè)置業(yè)務(wù)風(fēng)險(xiǎn)國(guó)置文件之前回答這些問(wèn)甄顯示』我把絕不會(huì)共享您公司的名稱，|公司名稱:

朝大學(xué)您公司使用的臺(tái)式機(jī)W便攜式「少于50臺(tái)廣50到149臺(tái)「150到299臺(tái)廠300到399臺(tái)「400到5口口臺(tái)后多于500臺(tái)您公司使用的服務(wù)器數(shù)是:「0臺(tái)眼務(wù)器廠1到53到1。*11到25「多于弟臺(tái)產(chǎn)生的分析報(bào)表::BRPHDiDI2、人員訪談也可以以調(diào)查問(wèn)卷的形式作為系統(tǒng)參數(shù)的輸入配置3、漏洞掃描、滲透性測(cè)試等數(shù)據(jù)可以通過(guò)漏洞掃描器等檢測(cè)工具獲得，輸入本系統(tǒng)二、安全評(píng)測(cè)、安全分析、報(bào)告處理等都屬于本系統(tǒng)的功能，并采用前面數(shù)據(jù)采集得到的數(shù)據(jù)目前常見(jiàn)的自動(dòng)化風(fēng)險(xiǎn)評(píng)估工具還包括：CORACORA(Cost-of-RiskAnalysis)是由國(guó)際安全技術(shù)公司(InternationalSecurityTechnology,I)開(kāi)發(fā)的一種風(fēng)險(xiǎn)管理決策支持系統(tǒng)，它采用典型的定量分析方法，可以方便地采集、組織、分析并存儲(chǔ)風(fēng)險(xiǎn)數(shù)據(jù)，為組織的風(fēng)險(xiǎn)管理決策支持提供準(zhǔn)確的依據(jù)。一ASSETASSET(AutomatedSecuritySelf-EvaluationTool)是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)(NationalInstituteofStandardandTechnology，NIST)發(fā)布的一個(gè)可用來(lái)進(jìn)行安全風(fēng)險(xiǎn)自我評(píng)估的自動(dòng)化工具，它采用典型的基于知識(shí)的分析方法，利用問(wèn)卷方式來(lái)評(píng)估系統(tǒng)安全現(xiàn)狀與NISTSP800-26指南之間的差距。NISTSpecialPublication800-26，即信息技術(shù)系統(tǒng)安全自我評(píng)估指南(SecuritySelf-AssessmentGuideforInformationTechnologySystems)，為組織進(jìn)行IT系統(tǒng)風(fēng)險(xiǎn)評(píng)估提供了眾多控制目標(biāo)和建議技術(shù)°ASSET是一個(gè)免費(fèi)工具，可以在NIST的網(wǎng)站下載：oCRAMMCRAMM(CCTARiskAnalysisandManagementMethod)是由英國(guó)政府的中央計(jì)算機(jī)與電信局(CentralComputerandTelecommunicationsAgency,CCTA)于1985年開(kāi)發(fā)的一種定量風(fēng)險(xiǎn)分析工具，同時(shí)支持定性分析。經(jīng)過(guò)多次版本更新(現(xiàn)在是第四版)，目前由Insight咨詢公司負(fù)責(zé)管理和授權(quán)°CRAMM是一種可以評(píng)估信息系統(tǒng)風(fēng)險(xiǎn)并確定恰當(dāng)對(duì)策的結(jié)構(gòu)化方法，適用于各種類型的信息系統(tǒng)和網(wǎng)絡(luò)，也可以在信息系統(tǒng)生命周期的各個(gè)階段使用。CRAMM的安全模型數(shù)據(jù)庫(kù)基于著名的“資產(chǎn)/威脅/弱點(diǎn)”模型，評(píng)估過(guò)程經(jīng)過(guò)資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、選擇合適的推薦對(duì)策這三個(gè)階段。CRAMM與BS7799標(biāo)準(zhǔn)保持一致，它提供的可供選擇的安全控制多達(dá)3000個(gè)。除了風(fēng)險(xiǎn)評(píng)估，CRAMM還可以對(duì)符合ITIL(ITInfrastructureLibrary)指南的業(yè)務(wù)連續(xù)性管理提供支持。COBRACOBRA(Consultative,ObjectiveandBi-functionalRiskAnalysis)是英國(guó)的C&A系統(tǒng)安全公司推出的一套風(fēng)險(xiǎn)分析工具軟件，它通過(guò)問(wèn)卷的方式來(lái)采集和分析數(shù)據(jù)，并對(duì)組織的風(fēng)險(xiǎn)進(jìn)行定性分析，最終的評(píng)估報(bào)告中包含已識(shí)別風(fēng)險(xiǎn)的水平和推薦措施。此外，COBRA還支持基于知識(shí)的評(píng)估方法，可以將組織的安全現(xiàn)狀與ISO17799標(biāo)準(zhǔn)相比較，從中找出差距，提出彌補(bǔ)措施。C&A公司提供了COBRA試用版下載：/cobdown.htmo術(shù)語(yǔ)簡(jiǎn)稱：可以用微軟的那種方式采集得到，下面簡(jiǎn)稱micro-style下面是我們產(chǎn)生的評(píng)估報(bào)告大體的初步的框架風(fēng)險(xiǎn)評(píng)估報(bào)告一、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述1.1工程項(xiàng)目概況(micro-style)1.1.1建設(shè)項(xiàng)目基本信息1.1.2建設(shè)單位基本信息二、風(fēng)險(xiǎn)評(píng)估的目標(biāo)三、風(fēng)險(xiǎn)評(píng)估的依據(jù)（技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件）四、風(fēng)險(xiǎn)評(píng)估的范圍（評(píng)估對(duì)象）3.1評(píng)估對(duì)象構(gòu)成及定級(jí)網(wǎng)絡(luò)結(jié)構(gòu)（micro-style）業(yè)務(wù)應(yīng)用（micro-style）3.3.3子系統(tǒng)構(gòu)成及定級(jí)（在3.1.1和3.2.2基礎(chǔ)上才艮據(jù)國(guó)家標(biāo)準(zhǔn)對(duì)該系統(tǒng)安全等級(jí)定級(jí)，不同的等級(jí)采用不同的安全評(píng)估方法，最后采取的措施也不一樣）3.2評(píng)估對(duì)象等級(jí)保護(hù)措施（已采取的安全措施）（micro-style）五、風(fēng)險(xiǎn)評(píng)估的內(nèi)容3.1資產(chǎn)識(shí)別（對(duì)組織有價(jià)值的信息或資源）3.1.1資產(chǎn)種類（micro-style）數(shù)據(jù)（保存在信息媒介上的各種數(shù)據(jù)資料）軟件（系統(tǒng)軟件、應(yīng)用軟件、源程序）硬件（網(wǎng)絡(luò)設(shè)備、計(jì)算機(jī)設(shè)備、存儲(chǔ)設(shè)備、安全設(shè)備、其他）服務(wù)（信息服務(wù)、網(wǎng)絡(luò)服務(wù)、辦公服務(wù)）人員（掌握重要信息和核心業(yè)務(wù)的人員）其它3.1.2資產(chǎn)賦值（最終得到一個(gè)資產(chǎn)賦值列表）通過(guò)一定的算法資產(chǎn)完整性賦值資產(chǎn)可用性賦值資產(chǎn)保密性賦值3.1.3關(guān)鍵資產(chǎn)說(shuō)明（得出關(guān)鍵資產(chǎn)列表）3.2威脅識(shí)別3.2.1威脅來(lái)源（micro-style）環(huán)境因素（環(huán)境危害或自然災(zāi)害、軟硬件通信線路方面的故障等）人為因素（惡意人員、非惡意人員）3.2.3威脅源描述與分析威脅源分析（軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改抵賴（威脅源分析表）（micro-style）威脅行為分析（威脅行為分析表）3.2.2威脅賦值（通過(guò)一定的算法）3.3脆弱性識(shí)別3.3.1技術(shù)脆弱性（漏洞掃描器、滲透性工具等得到的數(shù)據(jù)->micro-style）物理環(huán)境的脆弱性網(wǎng)絡(luò)結(jié)構(gòu)系統(tǒng)軟件應(yīng)用中間件應(yīng)用系統(tǒng)管理脆弱性（micro-style）技術(shù)管理組織管理3.3.3脆弱性賦值六、風(fēng)險(xiǎn)分析4.1風(fēng)險(xiǎn)評(píng)估模型（通過(guò)不同的風(fēng)險(xiǎn)評(píng)估模型得到的系統(tǒng)安全等級(jí)是不一樣的）4