風(fēng)險(xiǎn)評定準(zhǔn)備：擬定評定范疇、組織評定小組、評定目的、評定工具和評定辦法。風(fēng)險(xiǎn)因素識別：資產(chǎn)識別、威脅識別、脆弱點(diǎn)識別風(fēng)險(xiǎn)評定辦法：采用的辦法重要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲入性測試等。資產(chǎn)評定（1）資產(chǎn)識別：硬件資產(chǎn)應(yīng)用系統(tǒng)資產(chǎn)名稱資產(chǎn)編號維護(hù)人型號配備購機(jī)年限整體負(fù)荷重要性程度網(wǎng)絡(luò)系統(tǒng)資產(chǎn)名稱資產(chǎn)編號維護(hù)人型號配備購機(jī)年限整體負(fù)荷重要性程度文檔和數(shù)據(jù)資產(chǎn)名稱負(fù)責(zé)人備份形式存儲(chǔ)形式重要性程度備注人力資產(chǎn)識別崗位崗位描述姓名備注業(yè)務(wù)應(yīng)用資產(chǎn)名稱設(shè)計(jì)容量系統(tǒng)負(fù)荷廠商服務(wù)能力重要性程度物理環(huán)境資產(chǎn)名稱合用范疇描述合用年限整體負(fù)荷重要性程度（2）資產(chǎn)賦值：硬件資產(chǎn)應(yīng)用系統(tǒng)資產(chǎn)名稱機(jī)密性完整性可用性重要性程度備注網(wǎng)絡(luò)系統(tǒng)資產(chǎn)名稱機(jī)密性完整性可用性重要性程度備注文檔和數(shù)據(jù)資產(chǎn)名稱機(jī)密性完整性可用性重要性程度備注軟件資產(chǎn)名稱機(jī)密性完整性可用性重要性程度備注物理環(huán)境資產(chǎn)名稱機(jī)密性完整性可用性重要性程度備注資產(chǎn)評定機(jī)密性、完整性、可用性的賦值通過調(diào)查問卷來實(shí)現(xiàn)機(jī)密性與否能夠容納含有不同密鑰長度的多個(gè)加密機(jī)制？與否確保SOAP消息級的機(jī)密性？加密簽名數(shù)據(jù)時(shí)，其摘要值與否被加密?(如果沒有加密攻擊者能夠借此推測明文，使得加密數(shù)據(jù)被破壞）？與否確保網(wǎng)絡(luò)傳輸層的機(jī)密性？完整性與否為加密后的數(shù)據(jù)再采用簽名以確保初始化矢量的完整性不被破壞？(加密算法中使用的初始化矢量即使能夠解決為給定密鑰和數(shù)據(jù)創(chuàng)立相似密文的安全問題，但初始化矢量本身也可能被修改，使上述問題再次出現(xiàn)。)與否采用的多個(gè)簽名格式？可用性加密的工具對遞歸深度或請求使用資源數(shù)量與否做限制？選擇采用的適宜的防止方法以免受任何潛在的回絕服務(wù)的攻擊。（3）重要性程度的賦值：應(yīng)用頭腦風(fēng)暴法，即根據(jù)風(fēng)險(xiǎn)預(yù)測和風(fēng)險(xiǎn)識別的目的和規(guī)定，構(gòu)成專家組，通過會(huì)議形式讓大家暢所欲言，而后對各位專家的意見進(jìn)行匯總、綜合，以得出最后的結(jié)論。資產(chǎn)評定值=Round{log2[2機(jī)密性+2完整性+2可用性]}機(jī)密性∈（），完整性∈（），可用性∈（），資產(chǎn)評定值∈（）威脅評定威脅的擬定：通過對應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、文檔和數(shù)據(jù)、軟件、物理環(huán)境設(shè)計(jì)調(diào)查問卷，根據(jù)答案的匯總進(jìn)行擬定如：網(wǎng)絡(luò)層次安全要素身份鑒別自主訪問控制標(biāo)記強(qiáng)制訪問控制數(shù)據(jù)流控制安全審計(jì)數(shù)據(jù)完整性數(shù)據(jù)保密性可信途徑抗抵賴網(wǎng)絡(luò)安全監(jiān)控網(wǎng)絡(luò)安全功效基本規(guī)定：身份鑒別：顧客識別在SSF實(shí)施所規(guī)定的動(dòng)作之前，與否對提出該動(dòng)作規(guī)定的顧客進(jìn)行標(biāo)記？所標(biāo)記顧客在信息系統(tǒng)生存周期內(nèi)與否含有唯一性？對顧客標(biāo)記信息的管理、維護(hù)與否可被非授權(quán)地訪問、修改或刪除？顧客鑒別在SSF實(shí)施所規(guī)定的動(dòng)作之前，與否對提出該動(dòng)作規(guī)定的顧客進(jìn)行鑒別？與否檢測并避免使用偽造或復(fù)制的鑒別數(shù)據(jù)能否提供一次性使用鑒別數(shù)據(jù)操作的鑒別機(jī)制？能否提供不同的鑒別機(jī)制？根據(jù)所描述的多個(gè)鑒別機(jī)制如何提供鑒別的規(guī)則？能否規(guī)定需要重新鑒別顧客的事件？顧客-主體綁定對一種已識別和鑒別的顧客，與否通過顧客-主體綁定將該顧客與該主體有關(guān)聯(lián)？自主訪問控制：訪問控制方略與否按擬定的自主訪問控制安全方略實(shí)現(xiàn)主體與客體建操作的控制？與否有多個(gè)自主訪問控制安全方略，且多個(gè)方略獨(dú)立命名？訪問控制功效能否在安全屬性或命名的安全屬性組的客體上執(zhí)行訪問控制SFP？在基于安全屬性的允許主體對客體訪問的規(guī)則的基礎(chǔ)上，能否允許主體對客體的訪問？在基于安全屬性的回絕主體對客體訪問的規(guī)則的基礎(chǔ)上，能否回絕主體對客體的訪問？訪問控制范疇1、每個(gè)擬定的自主訪問控制，SSF與否覆蓋網(wǎng)絡(luò)系統(tǒng)中所定義的主體、客體及其之間的操作？2、每個(gè)擬定的自主訪問控制，SSF與否覆蓋網(wǎng)絡(luò)系統(tǒng)中全部的主體、客體及其之間的操作？訪問控制粒度1、網(wǎng)絡(luò)系統(tǒng)中自主訪問控制粒度為粗粒度/中粒度/細(xì)粒度？標(biāo)記：主體標(biāo)記與否為強(qiáng)制訪問控制的主體指定敏感標(biāo)記？客體標(biāo)記2、與否為強(qiáng)制訪問控制的客體指定敏感標(biāo)記？標(biāo)記完整性敏感標(biāo)記能否精確表達(dá)特定主體或客體的訪問控制屬性？有標(biāo)記信息的輸出將一客體信息輸出到一種含有多級安全的I/O設(shè)備時(shí)，與客體有關(guān)的敏感標(biāo)記也可輸出？對于單級安全設(shè)備，授權(quán)顧客能否可靠地實(shí)現(xiàn)指定的安全級的信息通信？強(qiáng)制訪問控制訪問控制方略與否為強(qiáng)制訪問控制的主體指定敏感標(biāo)記？客體標(biāo)記2、與否為強(qiáng)制訪問控制的客體指定敏感標(biāo)記？標(biāo)記完整性敏感標(biāo)記能否精確表達(dá)特定主體或客體的訪問控制屬性？有標(biāo)記信息的輸出將一客體信息輸出到一種含有多級安全的I/O設(shè)備時(shí)，與客體有關(guān)的敏感標(biāo)記也可輸出？對于單級安全設(shè)備，授權(quán)顧客能否可靠地實(shí)現(xiàn)指定的安全級的信息通信？顧客數(shù)據(jù)完整性存儲(chǔ)數(shù)據(jù)的完整性與否對基于顧客屬性的全部客體，對顧客數(shù)據(jù)進(jìn)行完整性檢測？2、當(dāng)檢測到完整性錯(cuò)誤時(shí)，能否采用必要的恢復(fù)、審計(jì)或報(bào)警方法？傳輸數(shù)據(jù)的完整性1、與否對被傳輸?shù)念櫩蛿?shù)據(jù)進(jìn)行檢測？2、數(shù)據(jù)交換恢復(fù)若沒有可恢復(fù)復(fù)件，能否向源可信IT系統(tǒng)提供反饋信息？解決數(shù)據(jù)的完整性對信息系統(tǒng)解決中的數(shù)據(jù)，能否通過“回退”進(jìn)行完整性保護(hù)？顧客數(shù)據(jù)保密性存儲(chǔ)數(shù)據(jù)的保密性與否對存儲(chǔ)在SSC內(nèi)的顧客數(shù)據(jù)進(jìn)行保密性保護(hù)？傳輸數(shù)據(jù)的保密性1、與否對在SSC內(nèi)的顧客數(shù)據(jù)進(jìn)行保密性保護(hù)？客體安全重用1、將安全控制范疇之內(nèi)的某個(gè)子集的客體資源分派給某一顧客或進(jìn)程時(shí)，與否會(huì)泄露該客體中的原有信息？2、將安全控制范疇之內(nèi)的全部客體資源分派給某一顧客或進(jìn)程時(shí)，與否會(huì)泄露該客體中的原有信息？如：調(diào)查問卷題目認(rèn)證與否提供注冊服務(wù)機(jī)制？只提供點(diǎn)到點(diǎn)的認(rèn)證服務(wù)還是提供端到端的認(rèn)證服務(wù)？與否更新現(xiàn)有的身份識別以符合最新Web服務(wù)安全規(guī)范？授權(quán)對訪問資源提供大粒度的訪問控制還是小粒度的訪問控制？與否更新現(xiàn)有接入控制安全方略以滿足服務(wù)安全規(guī)范？認(rèn)證成功之后,與否在運(yùn)行時(shí)根據(jù)資源訪問權(quán)限列表來檢查服務(wù)請求者的訪問級別？審計(jì)性管理員與否能夠在生命周期的不同時(shí)刻追蹤并找出服務(wù)請求？哪些技術(shù)提供了不可否認(rèn)性的一種核心元素？不可否認(rèn)性與否支持不可否認(rèn)性？（不可否認(rèn)性使得顧客能夠證明事務(wù)是在擁有正當(dāng)證書的狀況下進(jìn)行的。）與否包含時(shí)間戳、序列號、使用期、消息有關(guān)等元素，并進(jìn)行簽名從而確保消息的唯一性(當(dāng)緩存這些信息時(shí)，能夠檢測出重放攻擊)？通過工具進(jìn)行掃描收費(fèi)威脅掃描工具（內(nèi)網(wǎng)威脅發(fā)現(xiàn)解決方案）核心技術(shù)涉及：已知病毒掃描、變種和加殼惡意程序掃描、惡意程序行為分析引擎、網(wǎng)絡(luò)蠕蟲病毒掃描、網(wǎng)頁信譽(yù)服務(wù)能解決的問題：惡意程序?qū)崟r(shí)分析系統(tǒng)、惡意程序的深度分析、惡意程序的處置建議可得出的結(jié)論：總體風(fēng)險(xiǎn)等級、感染源統(tǒng)計(jì)、威脅統(tǒng)計(jì)、潛在風(fēng)險(xiǎn)免費(fèi)掃描工具：Nmap網(wǎng)絡(luò)安全診療和掃描工具，進(jìn)行端口掃描，是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具，它的設(shè)計(jì)目的是快速地掃描大型網(wǎng)絡(luò)。NiktoWeb服務(wù)器漏洞掃描工具，Nikto是一款開源的（GPL）網(wǎng)頁服務(wù)器掃描器，它能夠?qū)W(wǎng)頁服務(wù)器進(jìn)行全方面的多個(gè)掃描。掃描項(xiàng)和插件能夠自動(dòng)更新?；赪hisker/libwhisker完畢其底層功效。這是一款非常棒的工具，但其軟件本身并不經(jīng)常更新，最新和最危險(xiǎn)的可能檢測不到。X-scan、ISS、Nessus漏洞掃描工具闡明：眾多的自動(dòng)化掃描工具當(dāng)中，Nessus是最值得稱贊的。它基于C/S架構(gòu)、插件構(gòu)造的自動(dòng)化掃描工具，能夠免費(fèi)使用，在線升級并隨時(shí)獲取國內(nèi)外安全高手編寫的最新漏洞的掃描插件?，F(xiàn)在Nessus的插件個(gè)數(shù)已經(jīng)超出14000個(gè)，并且這個(gè)數(shù)量正在急速上升，由于幾乎全世界的安全人員都在使用這個(gè)工具，其中有諸多黑客會(huì)向Nessus提供自己編寫的插件。因此，使用Nessus進(jìn)行掃描就像是全世界的頂尖安全人員都在用他們的技術(shù)在協(xié)助我們檢查網(wǎng)絡(luò)中的缺點(diǎn)?？傻贸龅慕Y(jié)論：漏洞信息摘要、漏洞的具體描述、解決方案、風(fēng)險(xiǎn)系數(shù)免費(fèi)風(fēng)險(xiǎn)評定系統(tǒng)ASSET是美國國標(biāo)及時(shí)協(xié)會(huì)NIST公布的一種可用于安全風(fēng)險(xiǎn)自我評定的軟件工具，采用典型的基于知識的分析辦法，通過問卷形式自動(dòng)完畢信息技術(shù)系統(tǒng)的自我安全評定，由此理解系統(tǒng)的安全現(xiàn)狀，并提出相對的對策。ASSET下載地址：HYPERLINK其它慣用風(fēng)險(xiǎn)評定系統(tǒng)：名稱@RISKASSETBDSSCORACOBRACRAMMRA/SYSRiskWatch體系構(gòu)造單機(jī)單機(jī)單機(jī)單機(jī)C/S單機(jī)單機(jī)單機(jī)所用辦法專家系統(tǒng)基于知識專家系統(tǒng)過程式算法專家系統(tǒng)過程式算法過程式算法專家系統(tǒng)定性/定量定量定性/定量結(jié)合定性/定量結(jié)合定量定性/定量結(jié)合定性/定量結(jié)合定量定性/定量結(jié)合數(shù)據(jù)采集方式調(diào)查文獻(xiàn)調(diào)查問卷調(diào)查問卷調(diào)查文獻(xiàn)調(diào)查文獻(xiàn)過程過程調(diào)查文獻(xiàn)輸出成果決策支持信息提供控制目的和建議安全防護(hù)方法列表決策支持信息成果報(bào)告、風(fēng)險(xiǎn)等級成果報(bào)告、風(fēng)險(xiǎn)等級風(fēng)險(xiǎn)等級、控制方法風(fēng)險(xiǎn)分析綜合報(bào)告風(fēng)險(xiǎn)等級劃分：風(fēng)險(xiǎn)值≥900極高54900＞風(fēng)險(xiǎn)值≥700高43700＞風(fēng)險(xiǎn)值≥500中32500＞風(fēng)險(xiǎn)值≥300低21300＞風(fēng)險(xiǎn)值極低10脆弱性評定文檔審計(jì)手動(dòng)進(jìn)行審計(jì)和分析日志的檢查和分析通過對日志的查詢和分析，快速對潛在的系統(tǒng)入侵做出統(tǒng)計(jì)和預(yù)測，對發(fā)生的安全問題進(jìn)行及時(shí)總結(jié)。核心網(wǎng)絡(luò)、安全和服務(wù)器日志進(jìn)行備份定時(shí)對核心網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進(jìn)行檢查和分析，形成統(tǒng)計(jì)權(quán)限和口令管理對核心設(shè)備按最新安全訪問原則設(shè)立訪問控制權(quán)限，并及時(shí)清理冗余系統(tǒng)顧客，對的分派顧客權(quán)限建立口令管理制度，定時(shí)修改操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)管理員口令，并有有關(guān)統(tǒng)計(jì)登錄口令修改頻率不低于每月一次登錄口令長度的限制，并采用數(shù)字、字母、符號混排的方式。采用限制IP登錄的管理方法。實(shí)時(shí)監(jiān)控統(tǒng)計(jì)1.對服務(wù)器、主干網(wǎng)絡(luò)設(shè)備的性能，進(jìn)行24小時(shí)實(shí)時(shí)監(jiān)控的統(tǒng)計(jì)進(jìn)行檢查。2.對服務(wù)器、主干網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況，對實(shí)時(shí)監(jiān)控的統(tǒng)計(jì)進(jìn)行檢查。3.對網(wǎng)絡(luò)流量、網(wǎng)站內(nèi)容進(jìn)行實(shí)時(shí)監(jiān)控，對實(shí)時(shí)監(jiān)控的統(tǒng)計(jì)進(jìn)行檢查。運(yùn)用安全審計(jì)和文檔安全工具綠盟、天融信都有安全審計(jì)查閱工具?？蓪?shí)現(xiàn)的功效：審計(jì)查閱：提供從審計(jì)統(tǒng)計(jì)中讀取信息的能力有限審計(jì)查閱：審計(jì)查閱工具應(yīng)嚴(yán)禁含有讀訪問權(quán)限以外的顧客讀取審計(jì)信息可選審計(jì)查閱：審計(jì)查閱工具應(yīng)含有根據(jù)準(zhǔn)則來選擇要查閱的審計(jì)數(shù)據(jù)的功效，并根據(jù)某種邏輯關(guān)系的原則提供對審計(jì)