信息的安全防范工作一直是整個信息系統安全防范工作中的重點之一。在中就以信息安全風險評估對象中的網絡操作痕跡信息檢查為評估項目，來說明一次安全風險評估該如何具體地去做。
　　一、安全風險評估準備階段
　　在每次風險評估開始之前，一個最好的保證評估過程順利完成，評估結果真實有效的方法，就得為此制定一個風險評估策略。但如果只是對某個獨立的或者是臨時決定的小評估項目進行風險評估， 而且你和你的評估團隊以前經常對些小評估項目進行風險評估，那么，只要為它做一些相應的準備工作就可以直接進行評估了。
　　風險評估策略的具體內容是根據實際的評估對象和評估項目來決定的，因此，不同的評估對象的風險評估策略是不相同，就是同一評估對象，如果評估的具體項目不同，其風險評估策略也不會相同。
　　1、制定風險評估策略
　　一個好的風險評估策略，應當包括下列所示的內容：
　�。�1）、指定評估小組成員
　　信息風險評估小組擔負著機構的風險評估工作，其成員要能代表整個機構。同時，成員必需在人員安全評估（確定某個人員可以信任風險評估工作）通過后確定。具體的成員應當包括：IT部門主管、風險評估負責人、系統或網絡管理員、信息安全技術人員，還可以包括安全產品供應商代表及合作伙伴代表等。
　　評估人員確定后，就要分配相應的評估任務給具體的人員。確定每個評估人員各自的職責，所要承擔的法律責任，并做成文檔分發到每個評估人員手中。同時，要為評估任務指定一個總的負責人，來監督整個評估過程，并協調處理評估過程中出現的臨時狀況。還要說明評估結果的填寫和上報方式，如說明每個評估人員完成自己的評測任務，填上評測結果后，當上交給風險評估負責人時，還應當與負責人一同簽名才能有效。
　　（2）、確定風險評估的范圍和目的
　　確定風險評估的范圍也就是指指定具體的評估對象和評估項目，風險評估的目的就是指此次風險評估要達到的期望值。風險評估的目的和范圍是相輔相成的，只有指定了評估對象中評估項目的風險評估目的，才知道需要什么樣的評估任務來達到這個目的，也就圈定了具體的評估范圍。也只有確定了風險評估的范圍和目的，我們的風險評估才能有的放矢地進行。
　　在本例中，我們的評估對象是信息安全風險評估；評估項目是網絡操作痕跡信息檢查；評估的目的是檢查網絡中遺留的網絡操作痕跡信息中是否含有機構內部機密；具體的評估任務有：
　�、佟�檢查機構內部員工WEB數據庫和緩存中的內容；
　　②、檢查機構內部員工是否通過個人主頁、博客、，以及發布網絡求職簡歷的方式，透露了機構的組織結構，或其它機構內部機密信息；
　　③、調查機構內部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機構分配的電子郵件發送機構內部機密信息；
　�、�、了解機構內部員工的計算機技術水平，以及了解計算機技術水平較高的員工所處的部門及其操作權限；
　　⑤、調查機構內部員工是否在工作時間使用即時通信工具，并在法律條件允許的條件下監控即時通信的內容；
　　⑥、使用互聯網搜索引擎查找網絡中是否存在與機構相關的機密信息，或者可以在各種特定的新聞組、及博客中搜索；
　�、摺�檢查機構內部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內容。
　　（3）、確定本次評估任務的開始和結束的具體日期和時間，如有可能，還有決定具體的風險評估時間，并在風險評估文檔中留出相應的位置用來標明評估工作的開始和結束時間。
　�。�4）、考慮一些在風險評估過程中可能發生的情況，以不影響正常的業務為基本條件。應當為此制定一個應對有可能造成業務中斷，或造成真實安全事件發生事件時的應急措施。
　　2、根據評估項目和要完成的評估任務制作風險評估表單
　　風險評估表單就是在一張表單上將要評估的項目及評估任務一一列出，然后在進行具體的風險評估時，就可以按表單中的內容來依次進行。
　　圖2.1就是網絡操作痕跡信息檢查評估項目的風險評估表單。
　　圖2.1 網絡操作痕跡信息檢查的風險評估表單
　　

信息安全風險評估
評估項目			網絡操作痕跡信息檢查
評估的目的			檢查網絡中遺留的網絡操作痕跡信息中是否含有機構內部機密
評 估 任 務
紅勾	順序	評 估 任 務 描 述		結果描述	結束時間	評估人	備注
	1	檢查機構內部員工WEB數據庫和緩存中的內容
	2	檢查機構內部員工是否通過個人主頁、博客、，以及發布網絡求職簡歷的方式，透露了機構的組織結構，或其它機構內部機密信息
	3	調查機構內部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機構分配的電子郵件發送機構內部機密信息
	4	了解機構內部員工的計算機技術水平，以及了解計算機技術水平較高的員工所處的部門及其操作權限
	5	調查機構內部員工是否在工作時間使用即時通信工具，并在法律條件允許的條件下監控即時通信的內容
	6	使用互聯網搜索引擎查找網絡中是否存在與機構相關的機密信息，或者可以在各種特定的新聞組、及博客中搜索
	7	檢查機構內部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內容
備注
評估開始時間：年 月 日 時 分 評估結束時間：年 月 日 時 分
項目負責人

　　3、考慮完成評估任務時會用到的各種工具，并準備妥當。
　　這些工具應當是切合本次風險評估任務的，并且在已經通過在某個實驗環境中測試已經證明其有效。在本次風險評估中，會對機構內部人員進行網絡操作行為監控，因此，得為它準備相應的網絡操作行為分析設備，或者是安裝有網絡操作行為分析軟件的計算機，最好當然是筆記本電腦。同時，還應當準備好所將設備連接入目標網絡的所需的線纜，以及其它與此次風險評估相關的所有工具和文檔，并將它們統一管理。
　　一個風險評估策略不僅可以包括上面已經列出的這四個方面，還可以在其中添加與評估任務實際需求相關的內容，例如加入說明此次評估任務的具體流程和細節，各種注意事項等等。并要求所有的評估人員，嚴格按照這個風險評估策略中的內容來進行具體的評估工作。
　　一個風險評估策略是一個需要技術和經驗并重的工作，而且需要考慮的內容很多，一個人不可能將風險評估項目相關的所有方面考慮周到。因此，在制定風險評估策略時，應當發動所有評估人員，以及評估對象的使用人員和設備供應商代表等一起來分析制定。
　　對于信息系統風險評估來說，如果準備工作越充分，后續的風險評估過程就越有效率，評估過程中出現的錯誤就越少，評估的最終給果就越真實有效。如果在準備過程中疏忽了某些內容，特別是制定的安全風險評估策略出現考慮不周的情況，要是沒能在執行風險評估前檢查出來，就會使最終的風險評估結果偏離實際，這樣就會讓我們空擔心一場，或空歡喜一場。
　　二、安全風險檢測階段
　　當所有風險評估工作的事前準備工作全部妥善完成后，就可以按風險評估策略中確定的日期和時間，開始對指定的評估對象的評估項目做相應的安全風險評估。安全風險的評估過程就是使用具體的方法，來解答在準備階段制定的評估項目表單中所有列出的評估任務的過程。
　　要完成風險評估表單列出的評估任務，需要使用一些針對某個評估任務的具體解決方法。解決評估任務的方法有很多種，包括問卷調查、訪談、模擬社會工程攻擊、使用風險評估工具（包括軟硬件方式的工具）、審查各種日志、審查各種設備和安全設備的配置文檔，以及使用實際的模擬或真實的攻擊來檢驗等方法，都可以用來解答評估項目中所需要完成的評估任務。
　　其中的某些方法只對某個評估任務有效，而一些工具可能一次自動完成多個項目。為了能減少使用工具產生的誤報和漏洞，可以使用二種以上的工具來檢測同一個評估任務，或者使用手工測試的方式來確認檢測結果的真實性。
　　同時，在進行某些評估任務的評估工作時，例如系統弱點掃描，應當從由外向內看和由內向外看的兩個方式分別進行。進行由外向內看的測試時，是試圖從組織網絡邊界的外部檢測系統，它能為我們提供一個從外部攻擊相同的方式來審視系統的安全性。而進行由里向外看測試時，我們就應該從內部人員對系統使用權限的角度，去審查系統的安全性，此時，我們會得到比由外向內看更多的安全信息。恰當地使用這兩種方式，能將目前大部分的安全威脅都考慮進來。
　　每個風險評估項目中的所有評估任務，如沒有特殊要求，就必需按照風險評估表單中排列的順序來進行。這是因為在評估過程中，當前的評估任務完成后產生的結果，可能會用來作為下一個任務的檢測條件。如果此時評估的順序相互置換，那么就會造成錯誤的最終評估結果。
　　在中的網絡操作痕跡信息檢測評估項目中，所有的評估任務都是由內向外看的方式來進行的。這些評估任務可以通過機構員工檔案審查，檢查員工使用的計算機中的瀏覽器COOKIE，檢查機構WEB服務器緩存，審查機構邊界位置網絡操作行為管理設備的各種日志，通過網絡搜索引擎，通過搜索一些獨特的位置（如新聞組、博客及）來完成。同時，還可以通過模擬發送機密信息的方式，審查已有的網絡操作行為監控設備是否能攔截它發送到互聯網中，是否能夠限制員工使用即時通信軟件和P2P軟件，員工是否可以突破封鎖等任務。并且檢驗網絡操作行為監控設備是否能將違規行為記錄到相應的日志當中，能否提供有效的警報，收到警報能否產生有效的攔截等等。
　　有時，會將所有的評估任務分配給幾個人來進行，因此，當某個評估人員完成屬于他（她）的評估任務后，就應當在評估任務答案后評估人一欄中簽上他的名字。當所有評估任務完成后，將已經填入評測答案和評估人簽名的風險評估表單上報給評估負責人，經評估負責人確認并簽字后，這個風險評估表單中的內容才能算真正有效，并在風險評估表單中填入評估結束時間。然后就可以進入下一個風險評估環節。
　　三、信息系統安全風險評估對象風險檢測結果分析及給出評估報告階段
　　當評估項目的所有評估任務完成后，就應當組織整個評估人員，將風險評估表單中每個評估任務的評測結果分析并匯總，給出一個具體安全和風險等級。然后，通過分析目前可以使用的安全防范技術，從機構可以接受的安全風險防范投入成本出發，同時給出一個相應的安全風險解決方案，并在解決方案中說明方案實施后能解決的風險，達到的具體安全等級，以及仍然存在的風險狀況等內容。所有的這些信息都可以一個報告文件的方式記錄下來。
　　每個信息系統安全風險評估報告都是針對某個具體的評估對象而言的。在的實例中，應當給出一個包括下列內容的風險評估報告，其它評估對象的風險評估報告給出的內容至少也應當包括下列所示的內容：
　　1、列出完成的評估任務清單；
　　2、列出評估對象目前存在的威脅和弱點，給出具體的安全和風險等級；
　　3、列出防范這些檢測到的威脅和弱點的保障措施；
　　4、說明這些安全建議是屬于物理、管理、還是技術控制；
　　5、說明實施這些給出的安全建議后會帶來的效果；
　　6、說明每一個具體的安全建議，能將風險減少到什么程度；
　　7、安全修補后，評估對象能達到什么樣的安全等級；
　　8、安全修補后，還有什么風險沒能完全控制，應當如何進一步控制；
　　9、說明實施這些安全修補措施具體應當花費的安全成本。
　　有些時候，風險評估報告中不一定要求給出具體的安全修補建議。但是，當檢測到的弱點可能給機構信息系統帶來中等或高等安全風險時，就應當按要求給出針對性的安全解決方案安全風險評估報告的內容可以作為安全策略的一個強有力的補充，你甚至可以將它們的處理建議加入到已有的安全策略當中，以保證安全策略的強壯性。安全風險評估報告同時也可以作為上報給機構領導或評估小組領導的書面報告，你可以在報告中標出哪些方面是必需要修補的，以便能讓上級領導贊同你的建議。
　　這樣，你要確保你的安全風險評估報告的有效性和權威性。有效性說明這份報告是在真實檢測和分析的基礎上形成的，而且時間與報告的時間相吻合。權威性是指這份報告應當出自整個評估小組在檢測分析之上，并不是某個人憑空想象造出來的。并且有整個參與人員的所有手工簽名，以及標出所有評估都是參照某個國家或國際標準來評定具體安全和風險級別的。
　　四、后期安全維護階段
　　后期安全維護其實只是信息系統安全風險評估過程中的一個附加階段。對于專門的風險評估機構或安全公司來說，當給出具體的安全風險評估報告后，就表明此次風險評估任務全部結束。但是，對于評估對象所在的機構來說，安全風險評估工作的結束，只是表示另一個重要的任務，安全修補任務的開始。
　　后期安全維護就是按照風險評估報告中給出的安全修補建議，決定實施額外的管理和安全防范措施，以便能修正現有的安全策略，降低目前存在的弱點可能被威脅利用后帶來的風險水平。
　　在安全修補實施的過程中，如果有些安全弱點不能按要求進行修補，你應當將它們記錄下來，并上報給機構技術負責人。
　　另外，非常重要的一點就是：在所有的安全修補工作按要求全部完成后，一定要按所描述的風險評估過程重新對修補后的評估對象進行一次復查評估，以便確認修補后評估對象是否真正達到了期望的安全水平。同時，也能給出仍然不能防范的安全弱點，以及這些弱點目前應當如何應對才能降低發生的可能。
　　從這里我們就可以看出，信息系統安全風險評估是一個風險評估準備、風險評測、給出風險報告與后期維護四者之間不斷循環往復的處理過程。