网络软件风险评估

A. 风险评估分为哪几个步骤

1、资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等。

2、威胁识别与赋值：即分析资产所面临的每种威胁发生的频率，威胁包括环境因素和人为因素。

3、脆弱性识别与赋值：从管理和技术两个方面发现和识别脆弱性，根据被威胁利用时对资产造成的损害进行赋值。

4、风险值计算：通过分析上述测试数据，进行风险值计算，识别和确认高风险，并针对存在的安全风险提出整改建议。

5、被评估单位可根据风险评估结果防范和化解信息安全风险，或者将风险控制在可接受的水平，为最大限度地保障网络和信息安全提供科学依据。

(1)网络软件风险评估扩展阅读

风险评估的操作范围可以为整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。

影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

风险评估的主要任务包括：识别评估对象面临的各种风险；评估风险概率和可能带来的负面影响；确定组织承受风险的能力；确定风险消减和控制的优先等级；推荐风险消减对策。

B. 什么是信息安全、等级保护以及风险评估

网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级进行响应、处置。

网络等级保护备案分五个级别：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

C. 软件定制开发公司如何对项目进行风险评估

依据我们软件定制开发的经验，一般这样进行风险评估。
1、项目备用方案的制定
在项目开发的过程中，时时处处都存在着随机性风险，一旦某些风险的发生使得项目无法顺利进行，则应考虑备选方案，为项目预留出合理的时间和资源，及时的找到解决的方法。
2、实现“已知”，保留“未知”
软件的定制开发是一个系统性工程，往往是一环扣一环，牵一发而动全身。当客户的需求发生变化时，软件开发者应该先实现已明确的需求，而不是去猜测客户的需求最终将简单的需求复杂化，导致项目开发出现风险。
3、核心领导者的指挥
当软件开发定制公司接收到一个新的项目后，核心领导者会根据实际情况进行人员的配置和安排，再将任务有层次的分配下去，使得每个人各司其职，将组织的力量发挥到最大化，进而避免出现“用人不淑”的风险。

D. 网络风险评估和网络系统集成哪个好

网络风险评估，也称为安全风险评估、网络安全风险评估，它是指对网络中已知或潜在的安全风险、安全隐患，进行探测、识别、控制、消除的全过程，是企业网络安全管理工作的必备措施之一。通过网络安全评估，可以全面梳理网络中的资产，了解当前存在的安全风险和安全隐患，并有针对性地进行安全加固，从而保障网络的安全运行。
评估对象可以是面向整个网络的综合评估；也可以是针对网络某一部分的评估，如网络架构、重要业务系统、重要安全设备、重要终端主机等。
网络系统集成即是在网络工程中根据应用的需要，运用系统集成方法，将硬件设备，软件设备，网络基础设施，网络设备，网络系统软件，网络基础服务系统，应用软件等组织成为一体，使之成为能组建一个完整、可靠、经济、安全、高效的计算机网络系统的全过程。从技术角度来看，网络系统集成是将计算机技术、网络技术、控制技术、通信技术、 应用系统开发技术、建筑装修等技术综合运用到网络工程中的一门综合技术。一般包括： 1、前期方案 2、线路、弱电等施工 3、网络设备架设 4、各种系统架设 5、网络后期维护
不能说哪个好，更有特点，看您的需要。

E. 关于软件开发的风险评估

开发风险1技术风险，技术导致无法完成2工期风险，未及时交工3人员风险，人员变更4需求不一致，交付物有问题

F. 信息安全风险评估的基本过程包括哪些阶段

网络安全风险评估的过程主要分为：风险评估准备、资产识别过程、威胁识别过程、脆弱性识别过程、已有安全措施确认和风险分析过程六个阶段。
1、风险评估准备
该阶段的主要任务是制定评估工作计划，包括评估目标、评估范围、制定安全风险评估工作方案。根据评估工作需要，组件评估团队，明确各方责任。
2、资产识别过程
资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内的资产详细分类。根据资产的表现形式，可将资产分为数据、软件、硬件、服务和人员等类型。
根据资产在保密性、完整性和可用性上的不同要求，对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。
3、威胁识别过程
在威胁评估阶段评估人员结合当前常见的人为威胁、其可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。威胁识别完成后还应该对威胁发生的可能性进行评估，列出为威胁清单，描述威胁属性，并对威胁出现的频率赋值。
4、脆弱性识别过程
脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及手机分析现有的管理制度来完成;技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。脆弱性识别完成之后，要对具体资产的脆弱性严重程度进行赋值，数值越大，脆弱性严重程度越高。
5、已有安全措施确认
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
6、风险分析过程
完成上述步骤之后，将采用适当的方法与工具进行安全风险分析和计算。可以根据自身情况选择相应的风险计算方法计算出风险值，如矩阵法或相乘法等。如果风险值在可接受的范围内，则改风险为可接受的风险;如果风险值在可接受的范围之外，需要采取安全措施降低控制风险。

G. 求信息安全风险评估管理软件

Info-Riskmanager with ITBPM

Info-Riskmanager with ITBPM是基于局域网运行的信息安全风险评估和管理工具软件，用户可以利用该工具软件方便、快速、全面、持续地识别和管理信息安全风险，可用于ISO27001、ISO20000所要求的风险评估和风险管理过程。该工具软件还包含ITBPM（德国IT基线保护手册）的全部“资产-威胁-控制措施”模型，方便用户根据ITBPM建立适用的IT保护机制。
Info-Riskmanager with ITBPM将复杂、繁琐、耗时、多变的风险评估和管理过程转变为简单、直观、快速和易于管理。其评估过程严谨统一，全面细致，结果直观可靠，科学合理，能够大幅度提高风险评估和风险管理的效率和效果。

H. 风险评估的方法有哪些

介绍一下风险评估的五种方法，这些方法各有所长、各有所重，针对不同的风险识别对象，可灵活运用，或专取一种，或几种组合，主要应考虑其有效性和员工的接受性，最终的目的是准确地识别出所有可能的有价值的风险，为后续的风险评估和风险控制提供可靠的依据。

1 现场观察法：通过对工作环境的现场观察，以查找现场隐患的方式发现存在的危险源，适应范围较广。

优点：现场观察法适用各场所及作业环节；缺点：①从事现场观察的人员，要求具有安全技术知识和掌握了完善的职业健康安全法规、标准；②不适应于大面积的观察。

2 安全检查表法SCL：它是由一些对工艺过程、机械设备和作业情况熟悉并富有安全技术、安全管理经验的人员，根据有关规范、标准、工艺、制度等事先对分析对象进行详尽分析和充分讨论，列出检查项目和检查要点等内容并编制成表。分析者依据现场观察、阅读系统文件、与操作人员交谈、以及个人的理解，通过回答安全检查表所列的问题，发现系统设计和操作等各个方面与标准、规定不符的地方，记下差异。

优点：安全检查表是定性分析的结果，是建立在原有的安全检查基础之上，简单易学，容易掌握，尤其适用于岗位员工进行危害因素辨识，对其起到很好的提示作用，便于全面辨识危害因素。缺点：检查表约束限制了人们主管能动性的发挥，对不在检查表中反映的问题，可能会被忽视，因此，采用该方法可能会漏掉以往未曾出现过的一些新的危害。

应用范围：安全检查表一般适用于比较成熟（或传统）的行业，领域的危害因素辨识，且需要事先编制检查表，以对照进行辨识。安全检查表法尤其适用于一线岗位员工进行危害因素辨识，如，作业活动开始前，或对设备设施的检查等等。只能对已经有的或传统的业务对象、活动进行检查，对新业务活动、新行业领域的危害因素辨识不适用此法。

危害因素辨识所使用的检查表与安全检查时所使用的检查表并不完全一致，它们大致相同，但又各有侧重，因此，不应直接使用安全检查表所用的检查表进行危害因素辨识，应在其基础上进行修改、补充，最好是重新编制。

3 预先危险性分析法PHA：预先危险性分析又称初步危险性分析，是在进行某项工程活动（包括设计、施工、生产、维修等）之前，对系统存在的各种危险因素（类别、分布）、出现条件和事故可能造成的后果进行宏观、概略分析的系统安全分析方法。

优点：在最初构思产品设计时，即可指出存在的主要危险，从一开始便可采取措施排除、降低和控制它们，避免由于考虑不周造成损失。在进行庞大、复杂系统危害因素辨识，可以首先通过预先危险性分析，分析判断系统主要危险所在，从而有针对性地对主要风险进行深入分析。缺点：易受分析人员主观因素影响。另外，预先危险性分析一般都是概略性分析，只能提供初步信息，且精准程度不高，复杂或高风险系统需在此基础上，借助其他方法再做进一步分析。PHA只能提供初步信息，不够全面，也无法提供有关风险及其最佳风险预防措施方面的详细信息。

应用范围：预先危险性分析一般用于项目评价的初期，通过预先危险性分析过滤一些风险性低的环节、区域，同时，也为在其它风险性高的环节、区域，进一步采用其它方法进行深入的危害因素辨识创造了条件。适用于固有系统中采取新的方法，接触新的物料、设备的危险性评价。当只希望进行粗略的危险和潜在事故情况分析时，也可以用PHA对已建成的装置进行分析。

4 工作危害分析法JHA：工作危害分析（JHA）又称工作安全分析(JSA)是目前欧美企业在安全管理中使用最普遍的一种作业。安全分析与控制的管理工具，是为了识别和控制操作危害的预防性工作流程。通过对工作过程的逐步分析，找出其多余的、有危险的工作步骤和工作设备/设施，制定控制和改进措施，以达到控制风险、减少和杜绝事故的目标。

优点：该方法简单明了，通俗易懂，尤其是目前已开发JSA/JHA方法标准，可操作性强，便于实施。使作业人员更加清楚地认识到作业过程的风险，使预防措施更有针对性、可操作性。缺点：该方法在危害因素辨识方面并无太多优势，它并不是推荐用于危害因素辨识的专门方法，但由于其简单明了、可操作，一般用于非常规作业活动的风险管理。

应用范围：工作危害分析一般应用于一些作业活动，如对新的作业、非常规（临时）的风险管理（当然，包括危害因素辨识），或者在评估现有的作业，改变现有的作业时，开展工作危害分析。工作危害分析不适用于对连续性工艺流程以及设备、设施等方面的危害因素辨识。

5 故障类型及影响分析法FMEA：故障类型和影响分析就是在产品设计过程中，通过对产品各组成单元潜在的各种故障类型及其对产品功能的影响进行分析。并把每一个故障按它的严重程度予以分类，提出可以采取的预防、改进措施，以提高是将工作系统分别分割为子系统、设备或原件，逐个分析各自可能发生的故障类型及产生的影响，以便采取相应的防治措施，提高系统的安全性。

优点：系统化表述工具；创造了详细的可审核的危害因素辨识过程；适用性较广，广泛适用于人力、设备和系统失效模式，以及软硬件等。

缺点：该方法只考虑了单个的失效情况，而无法把这些失效情况综合在一起去考虑；该方法需要依靠哪些对该系统、装置有着透彻了解的专业人士的参与；另外，该方法耗时费力，花费较高。

应用范围：故障类型及影响分析广泛应用于制造行业产品生命周期的各个阶段，尤其适用于产品或工艺设计阶段的危害因素辨识。如果说要做好作业活动的危害因素辨识需要细化活动步骤，那么，设备、装置的危害因素辨识就要细化其功能单元，在此基础上，才能做好设备、装置的危害因素辨识，FMEA方法就是范例。

I. 如何进行企业网络的安全风险评估

安全风险评估，也称为网络评估、风险评估、网络安全评估、网络安全风险评估，它是指对网络中已知或潜在的安全风险、安全隐患，进行探测、识别、控制、消除的全过程，是企业网络安全管理工作的必备措施之一。

安全风险评估的对象可以是整个网络，也可以是针对网络的某一部分，如网络架构、重要业务系统。通过评估，可以全面梳理网络资产，了解网络存在的安全风险和安全隐患，并有针对性地进行安全加固，从而保障网络的安全运行。

一般情况下，安全风险评估服务，将从IT资产、网络架构、网络脆弱性、数据流、应用系统、终端主机、物理安全、管理安全共8个方面，对网络进行全面的风险评估，并根据评估的实际情况，提供详细的网络安全风险评估报告。

成都优创信安，专业的网络安全服务、网站安全检测、IT外包服务提供商。我们提供了专业的网络安全风险评估服务，详细信息可查看我们网站。

J. 网络安全评估主要有哪些项目

网络安全评估，也称为网络评估、风险评估、网络风险评估、安全风险评估。一般情况下，它包括以下几个方面：
网络资产评估、网络架构评估、网络脆弱性评估、数据流评估、应用系统评估、终端主机评估、物理安全评估、管理安全评估，一共8个方面。

成都优创信安，专业的网络和信息安全服务提供商。