本站小編為你精心準(zhǔn)備了保險(xiǎn)業(yè)檔案安全風(fēng)險(xiǎn)評(píng)估探討參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

風(fēng)險(xiǎn)評(píng)估工具

風(fēng)險(xiǎn)評(píng)估技術(shù)常用的工具一般有滲透測(cè)試工具和脆弱性掃描工具。滲透測(cè)試工具一般常使用人工結(jié)合滲透測(cè)試工具進(jìn)行，常用的Web滲透測(cè)試工具有IBMAppScan、AWVS、HPWEBinspect，通常需對(duì)漏洞進(jìn)行人工驗(yàn)證，以確定漏洞準(zhǔn)確性。脆弱性掃描工具主要用于評(píng)估網(wǎng)絡(luò)或主機(jī)存在的系統(tǒng)漏洞，常見工具有Nessus，能對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行掃描并形成脆弱性報(bào)告。此外，在風(fēng)險(xiǎn)評(píng)估過(guò)程中，除了利用上述工具來(lái)發(fā)現(xiàn)系統(tǒng)風(fēng)險(xiǎn)外，還需要利用系統(tǒng)現(xiàn)有數(shù)據(jù)來(lái)進(jìn)行現(xiàn)狀分析和趨勢(shì)分析，這其中常用的手段有：入侵檢測(cè)日志分析、主機(jī)日志分析、應(yīng)用系統(tǒng)日志分析、主機(jī)/網(wǎng)絡(luò)檢查表等。

風(fēng)險(xiǎn)評(píng)估流程

1總體流程

根據(jù)風(fēng)險(xiǎn)評(píng)估中包含的各個(gè)要求，要分別進(jìn)行實(shí)施，整體的風(fēng)險(xiǎn)評(píng)估流程如圖3所示。

2風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段

通過(guò)做好準(zhǔn)備工作，能夠大大提升風(fēng)險(xiǎn)評(píng)估的效果，降低項(xiàng)目實(shí)施風(fēng)險(xiǎn)，該階段是風(fēng)險(xiǎn)評(píng)估整個(gè)過(guò)程的重要組成部分。風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段一般應(yīng)包含如下工作內(nèi)容：明確風(fēng)險(xiǎn)評(píng)估范圍、確定風(fēng)險(xiǎn)評(píng)估目標(biāo)、組建項(xiàng)目團(tuán)隊(duì)、設(shè)定系統(tǒng)性風(fēng)險(xiǎn)評(píng)估方法、整體風(fēng)險(xiǎn)評(píng)估方案獲得高層批準(zhǔn)。

3資產(chǎn)識(shí)別階段

資產(chǎn)識(shí)別主要針對(duì)現(xiàn)有的信息資產(chǎn)進(jìn)行分類識(shí)別和描述，在識(shí)別的基礎(chǔ)上從信息安全的角度，機(jī)密性、完整性和可用性對(duì)其進(jìn)行賦值，確定信息資產(chǎn)的價(jià)值，作為影響分析的基礎(chǔ)，典型資產(chǎn)類別可以分為：網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、安全設(shè)備、物理環(huán)境、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)、文檔、組織和人員等。

4脆弱性識(shí)別

脆弱性評(píng)估常被稱作弱點(diǎn)評(píng)估，是風(fēng)險(xiǎn)評(píng)估的重要工作，通過(guò)脆弱性評(píng)估能夠發(fā)現(xiàn)信息資產(chǎn)存在的弱點(diǎn)。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性分類可分為技術(shù)脆弱性和管理脆弱性，其中技術(shù)脆弱性又可以細(xì)分為：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全5個(gè)方面。

5威脅識(shí)別

威脅可以通過(guò)威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來(lái)描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī)，人為因素又可分為惡意和非惡意兩種。

環(huán)境因素包括自然界不可抗的因素和其他物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在機(jī)密性、完整性或可用性等方面造成損害，也可能是偶發(fā)的或蓄意的事件。對(duì)威脅識(shí)別的簡(jiǎn)單方法就是對(duì)威脅進(jìn)行分類，針對(duì)不同的威脅，可以根據(jù)其表現(xiàn)形式將威脅識(shí)別分為以下幾類：軟硬件故障、物理環(huán)境影響、無(wú)作為或操作失誤、管理不到位、惡意代碼、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴等。威脅分析方法首先需要考慮威脅的來(lái)源，然后分析存在哪些威脅種類，最后做出威脅來(lái)源和威脅種類的交叉表進(jìn)行威脅賦值。

6風(fēng)險(xiǎn)分析

風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性3個(gè)基本要素，每個(gè)要素有各自的屬性。資產(chǎn)的屬性是資產(chǎn)價(jià)值；威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。

風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容

信息安全風(fēng)險(xiǎn)評(píng)估包含的內(nèi)容涉及信息安全管理和技術(shù)，同時(shí)包括網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和數(shù)據(jù)等不同的技術(shù)層面，但根據(jù)保險(xiǎn)行業(yè)的特定需求，總體定位在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)架構(gòu)方面的技術(shù)評(píng)估。主要內(nèi)容包括：

1)信息資產(chǎn)的調(diào)查，主要針對(duì)網(wǎng)絡(luò)拓?fù)洌W(wǎng)絡(luò)設(shè)備和服務(wù)器設(shè)備等。

2)網(wǎng)絡(luò)架構(gòu)弱點(diǎn)評(píng)估，針對(duì)目前的網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行弱點(diǎn)分析。

3)網(wǎng)絡(luò)設(shè)備和服務(wù)器系統(tǒng)弱點(diǎn)評(píng)估，針對(duì)設(shè)備目前的系統(tǒng)配置進(jìn)行分析，確認(rèn)其是否達(dá)到應(yīng)有的安全效果，結(jié)合滲透測(cè)試的手段。

4)現(xiàn)有安全控制措施，通過(guò)分析目前的安全控制措施，綜合總結(jié)網(wǎng)絡(luò)架構(gòu)和設(shè)備的弱點(diǎn)。

5)整體網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)分析，綜合分析網(wǎng)絡(luò)中面臨的威脅和可能的風(fēng)險(xiǎn)，形成總體安全現(xiàn)狀。

6)建議安全措施和規(guī)劃。根據(jù)風(fēng)險(xiǎn)評(píng)估的成果和建設(shè)目標(biāo)，形成建議的安全措施和時(shí)間進(jìn)度，建立1-2年的信息安全規(guī)劃。

項(xiàng)目實(shí)施成果

根據(jù)以上工作內(nèi)容，項(xiàng)目的最終成果包括：

1)信息資產(chǎn)清單和分析結(jié)果。清晰明確系統(tǒng)和網(wǎng)絡(luò)信息資產(chǎn)，明確其機(jī)密性、完整性和可用性的安全目標(biāo)，同時(shí)確定資產(chǎn)的重要類別；必要時(shí)可以建立內(nèi)部的信息資產(chǎn)庫(kù)。

2)系統(tǒng)和網(wǎng)絡(luò)脆弱性報(bào)告。明確服務(wù)器系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)和安全設(shè)備可能存在的弱點(diǎn)。

3)系統(tǒng)和網(wǎng)絡(luò)威脅報(bào)告。根據(jù)已有的弱點(diǎn)分析目前可能面臨的威脅和威脅發(fā)生后對(duì)業(yè)務(wù)、系統(tǒng)和網(wǎng)絡(luò)造成的影響。

4)安全現(xiàn)狀報(bào)告。基于風(fēng)險(xiǎn)的安全現(xiàn)狀總體分析報(bào)告，明確目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

5)建議安全措施和規(guī)劃。從技術(shù)和管理的角度提出后期進(jìn)行系統(tǒng)建設(shè)的安全控制措施。

結(jié)語(yǔ)

通過(guò)全方位地開展信息安全風(fēng)險(xiǎn)評(píng)估工作，能夠有效提升保險(xiǎn)業(yè)務(wù)系統(tǒng)的整體防護(hù)水平，全力保障各項(xiàng)應(yīng)用的安全穩(wěn)定運(yùn)行。在此基礎(chǔ)上，進(jìn)一步規(guī)范保險(xiǎn)業(yè)務(wù)信息系統(tǒng)與信息安全防護(hù)體系，及時(shí)發(fā)現(xiàn)各類安全隱患并采取措施盡可能的避免，從而全面提升保險(xiǎn)業(yè)務(wù)系統(tǒng)的整體安全管理和技術(shù)應(yīng)用水平。

作者：曹家儉單位：中國(guó)人民財(cái)產(chǎn)保險(xiǎn)股份有限公司安徽省分公司