網路軟體風險評估

A. 風險評估分為哪幾個步驟

1、資產識別與賦值：對評估范圍內的所有資產進行識別，並調查資產破壞後可能造成的損失大小，根據危害和損的大小為資產進行相對賦值；資產包括硬體、軟體、服務、信息和人員等。

2、威脅識別與賦值：即分析資產所面臨的每種威脅發生的頻率，威脅包括環境因素和人為因素。

3、脆弱性識別與賦值：從管理和技術兩個方面發現和識別脆弱性，根據被威脅利用時對資產造成的損害進行賦值。

4、風險值計算：通過分析上述測試數據，進行風險值計算，識別和確認高風險，並針對存在的安全風險提出整改建議。

5、被評估單位可根據風險評估結果防範和化解信息安全風險，或者將風險控制在可接受的水平，為最大限度地保障網路和信息安全提供科學依據。

(1)網路軟體風險評估擴展閱讀

風險評估的操作范圍可以為整個組織，也可以是組織中的某一部門，或者獨立的信息系統、特定系統組件和服務。

影響風險評估進展的某些因素，包括評估時間、力度、展開幅度和深度，都應與組織的環境和安全要求相符合。組織應該針對不同的情況來選擇恰當的風險評估途徑。實際工作中經常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。

風險評估的主要任務包括：識別評估對象面臨的各種風險；評估風險概率和可能帶來的負面影響；確定組織承受風險的能力；確定風險消減和控制的優先等級；推薦風險消減對策。

B. 什麼是信息安全、等級保護以及風險評估

網路安全等級保護是指對國家秘密信息、法人或其他組織及公民專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護，對信息系統中使用的安全產品實行按等級管理，對信息系統中發生的信息安全事件分等級進行響應、處置。

網路等級保護備案分五個級別：

第一級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

第二級，信息系統受到破壞後，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全。

第三級，信息系統受到破壞後，會對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害。

第四級，信息系統受到破壞後，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害。

第五級，信息系統受到破壞後，會對國家安全造成特別嚴重損害。

C. 軟體定製開發公司如何對項目進行風險評估

依據我們軟體定製開發的經驗，一般這樣進行風險評估。
1、項目備用方案的制定
在項目開發的過程中，時時處處都存在著隨機性風險，一旦某些風險的發生使得項目無法順利進行，則應考慮備選方案，為項目預留出合理的時間和資源，及時的找到解決的方法。
2、實現「已知」，保留「未知」
軟體的定製開發是一個系統性工程，往往是一環扣一環，牽一發而動全身。當客戶的需求發生變化時，軟體開發者應該先實現已明確的需求，而不是去猜測客戶的需求最終將簡單的需求復雜化，導致項目開發出現風險。
3、核心領導者的指揮
當軟體開發定製公司接收到一個新的項目後，核心領導者會根據實際情況進行人員的配置和安排，再將任務有層次的分配下去，使得每個人各司其職，將組織的力量發揮到最大化，進而避免出現「用人不淑」的風險。

D. 網路風險評估和網路系統集成哪個好

網路風險評估，也稱為安全風險評估、網路安全風險評估，它是指對網路中已知或潛在的安全風險、安全隱患，進行探測、識別、控制、消除的全過程，是企業網路安全管理工作的必備措施之一。通過網路安全評估，可以全面梳理網路中的資產，了解當前存在的安全風險和安全隱患，並有針對性地進行安全加固，從而保障網路的安全運行。
評估對象可以是面向整個網路的綜合評估；也可以是針對網路某一部分的評估，如網路架構、重要業務系統、重要安全設備、重要終端主機等。
網路系統集成即是在網路工程中根據應用的需要，運用系統集成方法，將硬體設備，軟體設備，網路基礎設施，網路設備，網路系統軟體，網路基礎服務系統，應用軟體等組織成為一體，使之成為能組建一個完整、可靠、經濟、安全、高效的計算機網路系統的全過程。從技術角度來看，網路系統集成是將計算機技術、網路技術、控制技術、通信技術、 應用系統開發技術、建築裝修等技術綜合運用到網路工程中的一門綜合技術。一般包括： 1、前期方案 2、線路、弱電等施工 3、網路設備架設 4、各種系統架設 5、網路後期維護
不能說哪個好，更有特點，看您的需要。

E. 關於軟體開發的風險評估

開發風險1技術風險，技術導致無法完成2工期風險，未及時交工3人員風險，人員變更4需求不一致，交付物有問題

F. 信息安全風險評估的基本過程包括哪些階段

網路安全風險評估的過程主要分為：風險評估准備、資產識別過程、威脅識別過程、脆弱性識別過程、已有安全措施確認和風險分析過程六個階段。
1、風險評估准備
該階段的主要任務是制定評估工作計劃，包括評估目標、評估范圍、制定安全風險評估工作方案。根據評估工作需要，組件評估團隊，明確各方責任。
2、資產識別過程
資產識別主要通過向被評估方發放資產調查表來完成。在識別資產時，以被評估方提供的資產清單為依據，對重要和關鍵資產進行標注，對評估范圍內的資產詳細分類。根據資產的表現形式，可將資產分為數據、軟體、硬體、服務和人員等類型。
根據資產在保密性、完整性和可用性上的不同要求，對資產進行保密性賦值、完整性賦值、可用性賦值和資產重要程度賦值。
3、威脅識別過程
在威脅評估階段評估人員結合當前常見的人為威脅、其可能動機、可利用的弱點、可能的攻擊方法和造成的後果進行威脅源的識別。威脅識別完成後還應該對威脅發生的可能性進行評估，列出為威脅清單，描述威脅屬性，並對威脅出現的頻率賦值。
4、脆弱性識別過程
脆弱性分為管理脆弱性和技術脆弱性。管理脆弱性主要通過發放管理脆弱性調查問卷、訪談以及手機分析現有的管理制度來完成;技術脆弱性主要藉助專業的脆弱性檢測工具和對評估范圍內的各種軟硬體安全配置進行檢查來識別。脆弱性識別完成之後，要對具體資產的脆弱性嚴重程度進行賦值，數值越大，脆弱性嚴重程度越高。
5、已有安全措施確認
安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統;保護性安全措施可以減少因安全事件發生後對組織或系統造成的影響。
6、風險分析過程
完成上述步驟之後，將採用適當的方法與工具進行安全風險分析和計算。可以根據自身情況選擇相應的風險計算方法計算出風險值，如矩陣法或相乘法等。如果風險值在可接受的范圍內，則改風險為可接受的風險;如果風險值在可接受的范圍之外，需要採取安全措施降低控制風險。

G. 求信息安全風險評估管理軟體

Info-Riskmanager with ITBPM

Info-Riskmanager with ITBPM是基於區域網運行的信息安全風險評估和管理工具軟體，用戶可以利用該工具軟體方便、快速、全面、持續地識別和管理信息安全風險，可用於ISO27001、ISO20000所要求的風險評估和風險管理過程。該工具軟體還包含ITBPM（德國IT基線保護手冊）的全部「資產-威脅-控制措施」模型，方便用戶根據ITBPM建立適用的IT保護機制。
Info-Riskmanager with ITBPM將復雜、繁瑣、耗時、多變的風險評估和管理過程轉變為簡單、直觀、快速和易於管理。其評估過程嚴謹統一，全面細致，結果直觀可靠，科學合理，能夠大幅度提高風險評估和風險管理的效率和效果。

H. 風險評估的方法有哪些

介紹一下風險評估的五種方法，這些方法各有所長、各有所重，針對不同的風險識別對象，可靈活運用，或專取一種，或幾種組合，主要應考慮其有效性和員工的接受性，最終的目的是准確地識別出所有可能的有價值的風險，為後續的風險評估和風險控制提供可靠的依據。

1 現場觀察法：通過對工作環境的現場觀察，以查找現場隱患的方式發現存在的危險源，適應范圍較廣。

優點：現場觀察法適用各場所及作業環節；缺點：①從事現場觀察的人員，要求具有安全技術知識和掌握了完善的職業健康安全法規、標准；②不適應於大面積的觀察。

2 安全檢查表法SCL：它是由一些對工藝過程、機械設備和作業情況熟悉並富有安全技術、安全管理經驗的人員，根據有關規范、標准、工藝、制度等事先對分析對象進行詳盡分析和充分討論，列出檢查項目和檢查要點等內容並編製成表。分析者依據現場觀察、閱讀系統文件、與操作人員交談、以及個人的理解，通過回答安全檢查表所列的問題，發現系統設計和操作等各個方面與標准、規定不符的地方，記下差異。

優點：安全檢查表是定性分析的結果，是建立在原有的安全檢查基礎之上，簡單易學，容易掌握，尤其適用於崗位員工進行危害因素辨識，對其起到很好的提示作用，便於全面辨識危害因素。缺點：檢查表約束限制了人們主管能動性的發揮，對不在檢查表中反映的問題，可能會被忽視，因此，採用該方法可能會漏掉以往未曾出現過的一些新的危害。

應用范圍：安全檢查表一般適用於比較成熟（或傳統）的行業，領域的危害因素辨識，且需要事先編制檢查表，以對照進行辨識。安全檢查表法尤其適用於一線崗位員工進行危害因素辨識，如，作業活動開始前，或對設備設施的檢查等等。只能對已經有的或傳統的業務對象、活動進行檢查，對新業務活動、新行業領域的危害因素辨識不適用此法。

危害因素辨識所使用的檢查表與安全檢查時所使用的檢查表並不完全一致，它們大致相同，但又各有側重，因此，不應直接使用安全檢查表所用的檢查表進行危害因素辨識，應在其基礎上進行修改、補充，最好是重新編制。

3 預先危險性分析法PHA：預先危險性分析又稱初步危險性分析，是在進行某項工程活動（包括設計、施工、生產、維修等）之前，對系統存在的各種危險因素（類別、分布）、出現條件和事故可能造成的後果進行宏觀、概略分析的系統安全分析方法。

優點：在最初構思產品設計時，即可指出存在的主要危險，從一開始便可採取措施排除、降低和控制它們，避免由於考慮不周造成損失。在進行龐大、復雜系統危害因素辨識，可以首先通過預先危險性分析，分析判斷系統主要危險所在，從而有針對性地對主要風險進行深入分析。缺點：易受分析人員主觀因素影響。另外，預先危險性分析一般都是概略性分析，只能提供初步信息，且精準程度不高，復雜或高風險系統需在此基礎上，藉助其他方法再做進一步分析。PHA只能提供初步信息，不夠全面，也無法提供有關風險及其最佳風險預防措施方面的詳細信息。

應用范圍：預先危險性分析一般用於項目評價的初期，通過預先危險性分析過濾一些風險性低的環節、區域，同時，也為在其它風險性高的環節、區域，進一步採用其它方法進行深入的危害因素辨識創造了條件。適用於固有系統中採取新的方法，接觸新的物料、設備的危險性評價。當只希望進行粗略的危險和潛在事故情況分析時，也可以用PHA對已建成的裝置進行分析。

4 工作危害分析法JHA：工作危害分析（JHA）又稱工作安全分析(JSA)是目前歐美企業在安全管理中使用最普遍的一種作業。安全分析與控制的管理工具，是為了識別和控制操作危害的預防性工作流程。通過對工作過程的逐步分析，找出其多餘的、有危險的工作步驟和工作設備/設施，制定控制和改進措施，以達到控制風險、減少和杜絕事故的目標。

優點：該方法簡單明了，通俗易懂，尤其是目前已開發JSA/JHA方法標准，可操作性強，便於實施。使作業人員更加清楚地認識到作業過程的風險，使預防措施更有針對性、可操作性。缺點：該方法在危害因素辨識方面並無太多優勢，它並不是推薦用於危害因素辨識的專門方法，但由於其簡單明了、可操作，一般用於非常規作業活動的風險管理。

應用范圍：工作危害分析一般應用於一些作業活動，如對新的作業、非常規（臨時）的風險管理（當然，包括危害因素辨識），或者在評估現有的作業，改變現有的作業時，開展工作危害分析。工作危害分析不適用於對連續性工藝流程以及設備、設施等方面的危害因素辨識。

5 故障類型及影響分析法FMEA：故障類型和影響分析就是在產品設計過程中，通過對產品各組成單元潛在的各種故障類型及其對產品功能的影響進行分析。並把每一個故障按它的嚴重程度予以分類，提出可以採取的預防、改進措施，以提高是將工作系統分別分割為子系統、設備或原件，逐個分析各自可能發生的故障類型及產生的影響，以便採取相應的防治措施，提高系統的安全性。

優點：系統化表述工具；創造了詳細的可審核的危害因素辨識過程；適用性較廣，廣泛適用於人力、設備和系統失效模式，以及軟硬體等。

缺點：該方法只考慮了單個的失效情況，而無法把這些失效情況綜合在一起去考慮；該方法需要依靠哪些對該系統、裝置有著透徹了解的專業人士的參與；另外，該方法耗時費力，花費較高。

應用范圍：故障類型及影響分析廣泛應用於製造行業產品生命周期的各個階段，尤其適用於產品或工藝設計階段的危害因素辨識。如果說要做好作業活動的危害因素辨識需要細化活動步驟，那麼，設備、裝置的危害因素辨識就要細化其功能單元，在此基礎上，才能做好設備、裝置的危害因素辨識，FMEA方法就是範例。

I. 如何進行企業網路的安全風險評估

安全風險評估，也稱為網路評估、風險評估、網路安全評估、網路安全風險評估，它是指對網路中已知或潛在的安全風險、安全隱患，進行探測、識別、控制、消除的全過程，是企業網路安全管理工作的必備措施之一。

安全風險評估的對象可以是整個網路，也可以是針對網路的某一部分，如網路架構、重要業務系統。通過評估，可以全面梳理網路資產，了解網路存在的安全風險和安全隱患，並有針對性地進行安全加固，從而保障網路的安全運行。

一般情況下，安全風險評估服務，將從IT資產、網路架構、網路脆弱性、數據流、應用系統、終端主機、物理安全、管理安全共8個方面，對網路進行全面的風險評估，並根據評估的實際情況，提供詳細的網路安全風險評估報告。

成都優創信安，專業的網路安全服務、網站安全檢測、IT外包服務提供商。我們提供了專業的網路安全風險評估服務，詳細信息可查看我們網站。

J. 網路安全評估主要有哪些項目

網路安全評估，也稱為網路評估、風險評估、網路風險評估、安全風險評估。一般情況下，它包括以下幾個方面：
網路資產評估、網路架構評估、網路脆弱性評估、數據流評估、應用系統評估、終端主機評估、物理安全評估、管理安全評估，一共8個方面。

成都優創信安，專業的網路和信息安全服務提供商。