網路安全風險評估方法有

A. 網路安全風險與對策

網路安全風險與對策【1】

摘要：要使網路信息在一個良好的環境中運行，加強網路信息安全至關重要。

必須全方位解析網路的脆弱性和威脅，才能構建網路的安全措施，確保網路安全。

本文在介紹網路安全的脆弱性與威脅的基礎上，簡述了網路安全的技術對策。

關鍵詞：網路安全 脆弱性 威脅 技術對策

一、網路安全的脆弱性

計算機網路尤其是互連網路，由於網路分布的廣域性、網路體系結構的開放性、信息資源的共享性和通信信道的共用性，使計算機網路存在很多嚴重的脆弱性。

1.不設防的網路有許多個漏洞和後門

系統漏洞為病毒留後門，計算機的多個埠、各種軟體，甚至有些安全產品都存在著或多或少的漏洞和後門，安全得不到可靠保證。

2.電磁輻射

電磁輻射在網路中表現出兩方面的脆弱性：一方面，網路周圍電子電氣設備產生的電磁輻射和試圖破壞數據傳輸而預謀的干擾輻射源;另一方面，網路的終端、列印機或其他電子設備在工作時產生的電磁輻射泄露，可以將這些數據(包括在終端屏幕上顯示的數據)接收下來，並且重新恢復。

4.串音干擾

串音的作用是產生傳輸噪音，噪音能對網路上傳輸的信號造成嚴重的破壞。

5.硬體故障

硬體故障可造成軟體系統中斷和通信中斷，帶來重大損害。

6.軟體故障

通信網路軟體包含有大量的管理系統安全的部分，如果這些軟體程序受到損害，則該系統就是一個極不安全的網路系統。

7.人為因素

系統內部人員盜竊機密數據或破壞系統資源，甚至直接破壞網路系統。

8.網路規模

網路規模越大，其安全的脆弱性越大。

9.網路物理環境

這種脆弱性來源於自然災害。

10.通信系統

一般的通信系統，獲得存取權是相對簡單的，並且機會總是存在的。

一旦信息從生成和存儲的設備發送出去，它將成為對方分析研究的內容。

二、網路安全的威脅

網路所面臨的威脅大體可分為兩種：一是對網路中信息的威脅;二是對網路中設備的威脅。

造成這兩種威脅的因有很多：有人為和非人為的、惡意的和非惡意的、內部攻擊和外部攻擊等，歸結起來，主要有三種：

1.人為的無意失誤

如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的賬號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

2.人為的惡意攻擊

這是計算機網路所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬於這一類。

此類攻擊又分為以下兩種：一種是主動攻擊，它是以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊，它是在不影響網路正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。

這兩種攻擊均可對計算機網路造成極大的危害，並導致機密數據的泄漏。

3.網路軟體的漏洞和後門

網路軟體不可能是百分之百的`無缺陷和漏洞的。

然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，黑客攻入網路內部就是因為安全措施不完善所招致的苦果。

另外，軟體的後門都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦後門洞開，其造成的後果將不堪設想。

三、網路安全的技術對策

一個不設防的網路，一旦遭到惡意攻擊，將意味著一場災難。

居安思危、未雨綢繆，克服脆弱、抑制威脅，防患於未然。

網路安全是對付威脅、克服脆弱性、保護網路資源的所有措施的總和。

針對來自不同方面的安全威脅，需要採取不同的安全對策。

從法律、制度、管理和技術上採取綜合措施，以便相互補充，達到較好的安全效果。

技術措施是最直接的屏障，目前常用而有效的網路安全技術對策有如下幾種：

1.加密

加密的主要目的是防止信息的非授權泄露。

網路加密常用的方法有鏈路加密、端點加密和節點加密三種。

鏈路加密的目的是保護網路節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。

信息加密過程是由形形色色的加密演算法來具體實施的，加密演算法有許多種，如果按照收發雙方密鑰是否相同來分類，可分為常規密碼演算法和公鑰密碼演算法，但在實際應用中人們通常將常規密碼演算法和公鑰密碼演算法結合在一起使用，這樣不僅可以實現加密，還可以實現數字簽名、鑒別等功能，有效地對抗截收、非法訪問、破壞信息的完整性、冒充、抵賴、重演等威脅。

因此，密碼技術是信息網路安全的核心技術。

2.數字簽名

數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充和篡改等安全問題。

數字簽名採用一種數據交換協議，使得收發數據的雙方能夠滿足兩個條件：接受方能夠鑒別發送方宣稱的身份;發送方以後不能否認他發送過數據這一事實。

數據簽名一般採用不對稱加密技術，發送方對整個明文進行加密變換，得到一個值，將其作為簽名。

接收者使用發送者的公開密鑰簽名進行解密運算，如其結果為明文，則簽名有效，證明對方省份是真實的。

3.鑒別

鑒別的目的是驗明用戶或信息的正身。

對實體聲稱的身份進行唯一地識別，以便驗證其訪問請求、或保證信息來自或到達指定的源目的。

鑒別技術可以驗證消息的完整性，有效地對抗冒充、非法訪問、重演等威脅。

按照鑒別對象的不同，鑒別技術可以分為消息源鑒別和通信雙方相互鑒別。

鑒別的方法很多;利用鑒別碼驗證消息的完整性;利用通行字、密鑰、訪問控制機制等鑒別用戶身份，防治冒充、非法訪問;當今最佳的鑒別方法是數字簽名。

利用單方數字簽名，可實現消息源鑒別，訪問身份鑒別、消息完整性鑒別。

4.訪問控制

訪問控制是網路安全防範和保護的主要對策，它的目的是防止非法訪問，訪問控制是採取各種措施保證系統資源不被非法訪問和使用。

一般採用基於資源的集中式控制、基於源和目的地址的過濾管理、以及網路簽證技術等技術實現。

5.防火牆

防火牆技術是建立在現代通信網路技術和信息安全技術基礎上的應用性安全技術，越來越多地應用於專用網路與公用網路的互連環境中。

在大型網路系統與網際網路互連的第一道屏障就是防火牆。

防火牆通過控制和監測網路之間的信息交換和訪問行為來實現對網路安全的有效管理，其基本功能為：過濾進、出網路的數據;管理進出網路的訪問行為：封堵某些禁止行為;記錄通過防火牆的信息內容和活動;對網路攻擊進行檢測和和告警。

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。

因此，認清網路的脆弱性和潛在威脅，採取強有力的安全對策，對於保障網路的安全性將變得十分重要。

參考文獻：

[1]張世永.網路安全原理與應用.北京：科學出版社，2003.

[2]崔國平.國防信息安全戰略.北京：金城出版社，2000.

網路安全風險評估的模擬與應用【2】

摘 要 伴隨著互聯網的普及和應用，網路安全問題日益突出，在採用防火牆技術、入侵檢測和防禦技術、代理技術、信息加密技術、物理防範技術等一系列網路安全防範技術的同時，人們開始採用網路安全風險評估的方法輔助解決網路安全問題。

為提高網路安全風險評估准確率，本文提出了一種基於支持向量機的評價模型，通過模擬分析，得出採用該模型進行網路安全風險評估具有一定可行性，值得應用。

關鍵詞 網路安全 安全風險評估 模擬

當今時代是信息化時代，計算機網路應用已經深入到了社會各個領域，給人們的工作和生活帶來了空前便利。

然而與此同時，網路安全問題也日益突出，如何通過一系列切實有效的安全技術和策略保證網路運行安全已成為我們面臨的重要課題。

網路安全風險評估技術很早前就受到了信息安全領域的關注，但發展至今，該技術尚需要依賴人員能力和經驗，缺乏自主性和實效性，評價准確率較低。

本文主要以支持向量機為基礎，構建一個網路安全風險評估模型，將定性分析與定量分析相結合，通過綜合數值化分析方法對網路安全風險進行全面評價，以期為網路安全管理提供依據。

1網路安全風險評估模型的構建

網路安全風險模型質量好壞直接影響評估結果，本文主要基於支持向量機，結合具有良好泛化能力和學習能力的組合核函數，將信息系統樣本各指標特徵映射到一個高維特徵空間，構成最優分類超平面，構造網路信息安全風險二分類評估模型。

組合核函數表示為：

K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

Kpoly為多項式核函數，KRBF為徑向基核函數。

組合核函數能夠突出測試點附近局部信息，也保留了離測試點較遠處的全局信息。

本文主要選用具有良好外推能力的d=2，d=4階多項式。

另外一方面，當%l=1時，核函數局部性不強，當%l=0.5時，核函數則具有較強局部性，所以組合核函數選用支持向量機d=2，%l=0.5的組合進行測試。

2模擬研究

2.1數據集與實驗平台

構建網路安全風險評估模型前，需要在深入了解並歸納網路安全影響因素的基礎上，確定能夠反映評估對象安全屬性、反映網路應對風險水平的評估指標，根據網路安全三要素，確定資產(通信服務、計算服務、信息和數據、設備和設施)、威脅(信息篡改、信息和資源的破壞、信息盜用和轉移、信息泄露、信息丟失、網路服務中斷)和脆弱性(威脅模型、設計規范、實現、操作和配置的脆弱性)為網路安全風險評估指標，從網路層、傳輸層和物理層三方面出發，構建一個完整的網路安全評估指標體系。

將選取的網路安全風險評價指標劃分為可忽略的風險、可接受的風險、邊緣風險、不可接受的分享、災變風險五個等級。

在此之後，建立網路評估等級，將網路安全風險評估等級定為安全、基本安全、不安全、很不安全四個等級。

確定評價指標後，構造樣本數據集，即訓練樣本集和測試樣本集。

為驗證模型可行性和有效性，基於之前研究中所使用的有效的網路實驗環境，構建實驗網路，在實驗網路中設計網路中各節點的訪問控制策略，節點A為外網中的一台PC機，它代表的是目標網路外的訪問用戶;節點B網路信息伺服器，其WWW服務對A開放，Rsh服務可監聽本地WWW服務的數據流;節點C為資料庫，節點B的WWW服務可向該資料庫讀寫信息;節點D為管理機，可通過Rsh服務和Snmp服務管理節點B;節點E為個人計算機，管理員可向節點C的資料庫讀寫信息。

2.2網路安全風險評估模型實現

將數據分為訓練數據和測試數據，如果每一個訓練數據可表示為1?6維的行向量，即：

Rm=[Am，0，Am，1，Am，2，……Am，15]

那麼，整個網路信息系統安全性能指標矩陣為：

Rm=[R0，R1，R2，……Rm-1]

將這M個項目安全性能指標矩陣作為訓練數據集，利用訓練數據集對二分類評估模型進行訓練，作非線性變換使訓練數據成為線性可分，通過訓練學習，尋找支持向量，構造最優分類超平面，得出模型決策函數，然後設定最小誤差精度和最大訓練次數，當訓練精度小於預定目標誤差，或是網路迭代次數達到最大迭代次數，停止訓練，保存網路。

採用主成分析法即「指標數據標准化――計算協方差矩陣――求解特徵值和U值――確定主成分」對指標進行降維處理，消除冗餘信息，提取較少綜合指標盡可能多地將原有指標信息反映出來，提高評價准確率。

實際操作中可取前5個主成分代表16個指標體系。

在訓練好的模型中輸入經過主成分析法處理後的指標值，對待評估的網路進行評估，根據網路輸出等級值來判斷網路安全分等級。

2.3實驗結果與分析

利用訓練後的網路對測試樣本集進行測試後，得到測試結果。

結果表明，基於支持向量機的二分類評估模型能正確地對網路的安全等級進行評價，評估准確率高達100%，結果與實際更貼近，評估結果完全可以接受。

但即便如此，在日常管理中，仍需加強維護，採取適當網路安全技術防範黑客攻擊和病毒侵犯，保證網路正常運行。

3結語

總之，網路安全風險評估技術是解決網路安全風險問題行之有效的措施之一。

本文主要提出了一種基於支持向量機的二分類評估模型，通過模擬分析，得到該模型在網路安全風險的量化評估中具有一定可行性和有效性的結論。

未來，我們還應考慮已有安全措施和安全管理因素等對網路安全的影響，通過利用網路數據，進一步改進評估模型和相關評估方法，以達到完善評估效果的目的。

參考文獻

[1] 步山嶽，張有東.計算機安全技[M].高等教育出版社，2005，10.

[2] 張千里.網路安全新技術[M].人民郵電出版社，2003.

[3] 馮登國.網路安全原理與技術[M].科技出版社，2003，9.

B. 風險評估的方法有哪些

介紹一下風險評估的五種方法，這些方法各有所長、各有所重，針對不同的風險識別對象，可靈活運用，或專取一種，或幾種組合，主要應考慮其有效性和員工的接受性，最終的目的是准確地識別出所有可能的有價值的風險，為後續的風險評估和風險控制提供可靠的依據。

1 現場觀察法：通過對工作環境的現場觀察，以查找現場隱患的方式發現存在的危險源，適應范圍較廣。

優點：現場觀察法適用各場所及作業環節；缺點：①從事現場觀察的人員，要求具有安全技術知識和掌握了完善的職業健康安全法規、標准；②不適應於大面積的觀察。

2 安全檢查表法SCL：它是由一些對工藝過程、機械設備和作業情況熟悉並富有安全技術、安全管理經驗的人員，根據有關規范、標准、工藝、制度等事先對分析對象進行詳盡分析和充分討論，列出檢查項目和檢查要點等內容並編製成表。分析者依據現場觀察、閱讀系統文件、與操作人員交談、以及個人的理解，通過回答安全檢查表所列的問題，發現系統設計和操作等各個方面與標准、規定不符的地方，記下差異。

優點：安全檢查表是定性分析的結果，是建立在原有的安全檢查基礎之上，簡單易學，容易掌握，尤其適用於崗位員工進行危害因素辨識，對其起到很好的提示作用，便於全面辨識危害因素。缺點：檢查表約束限制了人們主管能動性的發揮，對不在檢查表中反映的問題，可能會被忽視，因此，採用該方法可能會漏掉以往未曾出現過的一些新的危害。

應用范圍：安全檢查表一般適用於比較成熟（或傳統）的行業，領域的危害因素辨識，且需要事先編制檢查表，以對照進行辨識。安全檢查表法尤其適用於一線崗位員工進行危害因素辨識，如，作業活動開始前，或對設備設施的檢查等等。只能對已經有的或傳統的業務對象、活動進行檢查，對新業務活動、新行業領域的危害因素辨識不適用此法。

危害因素辨識所使用的檢查表與安全檢查時所使用的檢查表並不完全一致，它們大致相同，但又各有側重，因此，不應直接使用安全檢查表所用的檢查表進行危害因素辨識，應在其基礎上進行修改、補充，最好是重新編制。

3 預先危險性分析法PHA：預先危險性分析又稱初步危險性分析，是在進行某項工程活動（包括設計、施工、生產、維修等）之前，對系統存在的各種危險因素（類別、分布）、出現條件和事故可能造成的後果進行宏觀、概略分析的系統安全分析方法。

優點：在最初構思產品設計時，即可指出存在的主要危險，從一開始便可採取措施排除、降低和控制它們，避免由於考慮不周造成損失。在進行龐大、復雜系統危害因素辨識，可以首先通過預先危險性分析，分析判斷系統主要危險所在，從而有針對性地對主要風險進行深入分析。缺點：易受分析人員主觀因素影響。另外，預先危險性分析一般都是概略性分析，只能提供初步信息，且精準程度不高，復雜或高風險系統需在此基礎上，藉助其他方法再做進一步分析。PHA只能提供初步信息，不夠全面，也無法提供有關風險及其最佳風險預防措施方面的詳細信息。

應用范圍：預先危險性分析一般用於項目評價的初期，通過預先危險性分析過濾一些風險性低的環節、區域，同時，也為在其它風險性高的環節、區域，進一步採用其它方法進行深入的危害因素辨識創造了條件。適用於固有系統中採取新的方法，接觸新的物料、設備的危險性評價。當只希望進行粗略的危險和潛在事故情況分析時，也可以用PHA對已建成的裝置進行分析。

4 工作危害分析法JHA：工作危害分析（JHA）又稱工作安全分析(JSA)是目前歐美企業在安全管理中使用最普遍的一種作業。安全分析與控制的管理工具，是為了識別和控制操作危害的預防性工作流程。通過對工作過程的逐步分析，找出其多餘的、有危險的工作步驟和工作設備/設施，制定控制和改進措施，以達到控制風險、減少和杜絕事故的目標。

優點：該方法簡單明了，通俗易懂，尤其是目前已開發JSA/JHA方法標准，可操作性強，便於實施。使作業人員更加清楚地認識到作業過程的風險，使預防措施更有針對性、可操作性。缺點：該方法在危害因素辨識方面並無太多優勢，它並不是推薦用於危害因素辨識的專門方法，但由於其簡單明了、可操作，一般用於非常規作業活動的風險管理。

應用范圍：工作危害分析一般應用於一些作業活動，如對新的作業、非常規（臨時）的風險管理（當然，包括危害因素辨識），或者在評估現有的作業，改變現有的作業時，開展工作危害分析。工作危害分析不適用於對連續性工藝流程以及設備、設施等方面的危害因素辨識。

5 故障類型及影響分析法FMEA：故障類型和影響分析就是在產品設計過程中，通過對產品各組成單元潛在的各種故障類型及其對產品功能的影響進行分析。並把每一個故障按它的嚴重程度予以分類，提出可以採取的預防、改進措施，以提高是將工作系統分別分割為子系統、設備或原件，逐個分析各自可能發生的故障類型及產生的影響，以便採取相應的防治措施，提高系統的安全性。

優點：系統化表述工具；創造了詳細的可審核的危害因素辨識過程；適用性較廣，廣泛適用於人力、設備和系統失效模式，以及軟硬體等。

缺點：該方法只考慮了單個的失效情況，而無法把這些失效情況綜合在一起去考慮；該方法需要依靠哪些對該系統、裝置有著透徹了解的專業人士的參與；另外，該方法耗時費力，花費較高。

應用范圍：故障類型及影響分析廣泛應用於製造行業產品生命周期的各個階段，尤其適用於產品或工藝設計階段的危害因素辨識。如果說要做好作業活動的危害因素辨識需要細化活動步驟，那麼，設備、裝置的危害因素辨識就要細化其功能單元，在此基礎上，才能做好設備、裝置的危害因素辨識，FMEA方法就是範例。

C. 如何進行企業網路的安全風險評估

安全風險評估，也稱為網路評估、風險評估、網路安全評估、網路安全風險評估，它是指對網路中已知或潛在的安全風險、安全隱患，進行探測、識別、控制、消除的全過程，是企業網路安全管理工作的必備措施之一。

安全風險評估的對象可以是整個網路，也可以是針對網路的某一部分，如網路架構、重要業務系統。通過評估，可以全面梳理網路資產，了解網路存在的安全風險和安全隱患，並有針對性地進行安全加固，從而保障網路的安全運行。

一般情況下，安全風險評估服務，將從IT資產、網路架構、網路脆弱性、數據流、應用系統、終端主機、物理安全、管理安全共8個方面，對網路進行全面的風險評估，並根據評估的實際情況，提供詳細的網路安全風險評估報告。

成都優創信安，專業的網路安全服務、網站安全檢測、IT外包服務提供商。我們提供了專業的網路安全風險評估服務，詳細信息可查看我們網站。

D. 如何對網路安全進行風險評估

安全風險分為四個顏色，紅、藍、黃、綠。
分別對應四個等級，其含義和用途：
（1）紅色：表示禁止、停止，用於禁止標志、停止信號、車輛上的緊急制動手柄等；
（2）藍色：表示指令、必須遵守的規定，一般用於指令標志；
（3）黃色：表示警告、注意，用於警告警戒標志、行車道中線等；
（4）綠色：表示提示安全狀態、通行，用於提示標志、行人和車輛通行標志等。



(4)網路安全風險評估方法有擴展閱讀：
國家標准GB2893—82《 安全色》對安全色的含義及用途、照明要求、顏色范圍以及檢查與維修等均作了具體規定。
根據《安全色》（GB2893-2001），國家規定了四種傳遞安全信息的安全色：紅色表示禁止、危險；黃色表示警告、注意；藍色表示指令、遵守；綠色表示通行、安全。
安全風險評估
安全風險評估：就是從風險管理角度，運用科學的方法和手段，系統地分析網路與信息系統所面臨的威脅及其存在的脆弱性，評估安全事件一旦發生可能造成的危害程度，提出有針對性的抵禦威脅的防護對策和整改措施。
風險評估工作貫穿信息系統整個生命周期，包括規劃階段、設計階段、實施階段、運行階段、廢棄階段等。
常用的安全風險評價方法：
1、工作危害分析（JHA）；
2、安全檢查表分析（SCL）；
3、預危險性分析（PHA）；
4、危險與可操作性分析（HAZOP）；
5、失效模式與影響分析（FMEA）；
6、故障樹分析（FTA）；
7、事件樹分析（ETA）；
8、作業條件危險性分析（LEC）等方法。

E. 網路安全評估主要有哪些項目

網路安全評估，也稱為網路評估、風險評估、網路風險評估、安全風險評估。一般情況下，它包括以下幾個方面：
網路資產評估、網路架構評估、網路脆弱性評估、數據流評估、應用系統評估、終端主機評估、物理安全評估、管理安全評估，一共8個方面。

成都優創信安，專業的網路和信息安全服務提供商。

F. 信息網路安全評估的方法

信息網路安全發展的時間是比較短的，所以，存在的問題還是比較多的、下面一起來看看信息網路安全風險評估的方法。
方法/步驟
1/6 分步閱讀
定製適合的評估方法

在之前會有很多的評估方法，當我們需要評估的時候，應該將那些案例作為參考。然後，根據自己產品的特點，制定出適合的評估方法。

2/6
制定完整的框架

在做信息網路安全風險評估的時候，不只是要評估存在的風險，也是需要為管理提供一個基礎的依據，整理出相關的數據。應該為產品設計一個1到2年的設計框架，這樣才有一個基礎的保證。

3/6
對用戶的需求進行評估

不同的用戶會有不用的需求，同時就會存在不同的風險，想要查找出風險，就需要和用戶進行必要的溝通。多與用戶溝通，對風險的評估有很大的幫助。

4/6
細致的分析

現在大多數的企業的系統都是比較復雜的，同時風險也是越來越隱蔽，越來越多的。所以，有必要對此進行一個細致深度的評估。找出了風險了以後，還需要找出為什麼會存在風險，並找到解決方法。

5/6
系統的管理

對於評估信息網路安全風險並不是一個人就可以完成的，需要擁有一個專業的團隊才可以及時有效的應對。擁有專業知識的團隊是評估風險的一個保障、

6/6
計劃好評估過程

在評估的時候一般是有前期，中期，後期這三個評估的過程的。在每一個過程都需要做不同的事情。同時也需要對風險評估有一個重要的認識，才可以准確的評估出風險。

G. 信息安全風險評估包括哪些

一、ISO27001信息安全管理體系標準的發展
隨著在世界范圍內，信息化水平的不斷發展，信息安全逐漸成為人們關注的焦點，世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標准，國際標准化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標准及技術報告。目前，在信息安全管理方面，英國標准ISO2700:2005已經成為世界上應用最廣泛與典型的信息安全管理標准，它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。ISO27001標准於1993年由英國貿易工業部立項，於1995年英國首次出版BS 7799-1：1995《信息安全管理實施細則》，它提供了一套綜合的、由信息安全最佳慣例組成的實施規則，其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準，並且適用於大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規范》，它規定信息安全管理體系要求與信息安全控制要求，它是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為一個正式認證方案的根據。ISO2700:2005-1與ISO2700:2005-2經過修訂於1999年重新予以發布，1999版考慮了信息處理技術，尤其是在網路和通信領域應用的近期發展，同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月，ISO2700:2005-1：1999《信息安全管理實施細則》通過了國際標准化組織ISO的認可，正式成為國際標准-----ISO/IEC17799-1：2000《信息技術-信息安全管理實施細則》。2002年9月5日，ISO2700:2005-2:2002草案經過廣泛的討論之後，終於發布成為正式標准，同時ISO2700:2005-2:1999被廢止。現在，ISO2700:2005標准已得到了很多國家的認可，是國際上具有代表性的信息安全管理體系標准。目前除英國之外，還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標准；日本、瑞士、盧森堡等國也表示對ISO2700:2005標准感興趣，我國的台灣、香港也在推廣該標准。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司已採用了此標准對自己的信息安全進行系統的管理。截至2002年9月，全球共有142家各類組織通過了ISO2700:2005信息安全管理體系認證。

H. 風險評估分為哪幾個步驟

1、資產識別與賦值：對評估范圍內的所有資產進行識別，並調查資產破壞後可能造成的損失大小，根據危害和損的大小為資產進行相對賦值；資產包括硬體、軟體、服務、信息和人員等。

2、威脅識別與賦值：即分析資產所面臨的每種威脅發生的頻率，威脅包括環境因素和人為因素。

3、脆弱性識別與賦值：從管理和技術兩個方面發現和識別脆弱性，根據被威脅利用時對資產造成的損害進行賦值。

4、風險值計算：通過分析上述測試數據，進行風險值計算，識別和確認高風險，並針對存在的安全風險提出整改建議。

5、被評估單位可根據風險評估結果防範和化解信息安全風險，或者將風險控制在可接受的水平，為最大限度地保障網路和信息安全提供科學依據。

(8)網路安全風險評估方法有擴展閱讀

風險評估的操作范圍可以為整個組織，也可以是組織中的某一部門，或者獨立的信息系統、特定系統組件和服務。

影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

風險評估的主要任務包括：識別評估對象面臨的各種風險；評估風險概率和可能帶來的負面影響；確定組織承受風險的能力；確定風險消減和控制的優先等級；推薦風險消減對策。

I. 風險評估程序有哪些

網路安全風險評估的過程主要分為：風險評估准備、資產識別過程、威脅識別過程、脆弱性識別過程、已有安全措施確認和風險分析過程。

1、風險評估准備

該階段的主要任務是制定評估工作計劃，包括評估目標、評估范圍、制定安全風險評估工作方案。根據評估工作需要，組件評估團隊，明確各方責任。

2、資產識別過程

資產識別主要通過向被評估方發放資產調查表來完成。在識別資產時，以被評估方提供的資產清單為依據，對重要和關鍵資產進行標注，對評估范圍內的資產詳細分類。根據資產的表現形式，可將資產分為數據、軟體、硬體、服務和人員等類型。

根據資產在保密性、完整性和可用性上的不同要求，對資產進行保密性賦值、完整性賦值、可用性賦值和資產重要程度賦值。

3、威脅識別過程

在威脅評估階段評估人員結合當前常見的人為威脅、其可能動機、可利用的弱點、可能的攻擊方法和造成的後果進行威脅源的識別。威脅識別完成後還應該對威脅發生的可能性進行評估，列出為威脅清單，描述威脅屬性，並對威脅出現的頻率賦值。

4、脆弱性識別過程

脆弱性分為管理脆弱性和技術脆弱性。管理脆弱性主要通過發放管理脆弱性調查問卷、訪談以及手機分析現有的管理制度來完成;技術脆弱性主要藉助專業的脆弱性檢測工具和對評估范圍內的各種軟硬體安全配置進行檢查來識別。脆弱性識別完成之後，要對具體資產的脆弱性嚴重程度進行賦值，數值越大，脆弱性嚴重程度越高。

5、已有安全措施確認

安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統;保護性安全措施可以減少因安全事件發生後對組織或系統造成的影響。

6、風險分析過程

完成上述步驟之後，將採用適當的方法與工具進行安全風險分析和計算。可以根據自身情況選擇相應的風險計算方法計算出風險值，如矩陣法或相乘法等。如果風險值在可接受的范圍內，則改風險為可接受的風險;如果風險值在可接受的范圍之外，需要採取安全措施降低控制風險。

J. 網路風險評估

網路風險評估，也稱為安全風險評估、網路安全風險評估，它是指對網路中已知或潛在的安全風險、安全隱患，進行探測、識別、控制、消除的全過程，是企業網路安全管理工作的必備措施之一。通過網路安全評估，可以全面梳理網路中的資產，了解當前存在的安全風險和安全隱患，並有針對性地進行安全加固，從而保障網路的安全運行。

評估對象可以是面向整個網路的綜合評估；也可以是針對網路某一部分的評估，如網路架構、重要業務系統、重要安全設備、重要終端主機等。

成都優創網路，專注於網路安全評估、網站安全檢測、安全應急響應。