在開始進(jìn)行實(shí)際的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估操作前，先來(lái)了解一些有關(guān)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)知識(shí)，明白一些與安全風(fēng)險(xiǎn)評(píng)估相關(guān)的術(shù)語(yǔ)，將有助于讓你明了要如何才能完成一次信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。
　　一、我們?yōu)槭裁葱枰�信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估
　　很顯然，當(dāng)要我們很欣然地接受和使用某一種新技術(shù)來(lái)協(xié)助我們進(jìn)行安全防范工作時(shí)，這種技術(shù)就必需有能夠驅(qū)使我們?nèi)ナ褂盟�的理由。這此理由也就是這種技術(shù)在某 個(gè)安全防范方面的主要作用，而我們也就是沖它的這些主要作用才去使用它的。
　　對(duì)于信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估來(lái)說(shuō)，我們?cè)诘拈_頭中已經(jīng)大概了解了他的定義，從它的定義當(dāng)中，我們可以了解到風(fēng)險(xiǎn)評(píng)估可以在信息系統(tǒng)的生命周期的各個(gè)階段使用。由于信息系統(tǒng)生命周期的各個(gè)階段的安全防范目的不同，致使使用風(fēng)險(xiǎn)評(píng)估的目的也各不相同，因此，信息系統(tǒng)生命周期每個(gè)階段進(jìn)行的風(fēng)險(xiǎn)評(píng)估產(chǎn)生的作用也各不相同。
　　信息系統(tǒng)的生命周期分為設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)和最終銷毀這四個(gè)主要階段，每個(gè)階段進(jìn)行相應(yīng)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的主要作用如下所示：
　　1、在信息系統(tǒng)生命周期的設(shè)計(jì)和實(shí)施階段，使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以起到了解目前系統(tǒng)到底需要什么樣的安全防范措施，幫助制定有效的安全防范策略，確定安全防范的投入最佳成本，說(shuō)服機(jī)構(gòu)領(lǐng)導(dǎo)同意安全策略的完全實(shí)施等作用。
　　2、在信息系統(tǒng)生命周期的運(yùn)行維護(hù)階段，使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估可以起到如下的作用：
　　（1）了解防火墻、IDS及其它安全設(shè)備是否真的按原先配置的意圖在運(yùn)行，它們實(shí)際的安全防范效果是否有滿足安全目標(biāo)的要求；
　　（2）了解安全防范策略是否切合實(shí)際，是否被全面執(zhí)行；
　　（3）檢驗(yàn)機(jī)構(gòu)內(nèi)部員工的安全意識(shí)，網(wǎng)絡(luò)操作行為及數(shù)據(jù)使用方式是否正常；
　　（4）當(dāng)信息系統(tǒng)因某種原因做出硬件或軟件調(diào)整后，使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估來(lái)確定原本的安全
　　措施是否依然有效，如果不行，應(yīng)當(dāng)在哪些方面做出相應(yīng)的修改等等。
　　3、在信息系統(tǒng)生命周期的最終銷毀階段，可以使用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估來(lái)檢驗(yàn)應(yīng)當(dāng)完全銷毀的
　　數(shù)據(jù)或設(shè)備，確實(shí)已經(jīng)不能被任何方式所恢復(fù)；淘汰的信息系統(tǒng)中的設(shè)備確實(shí)已經(jīng)被妥善保管，沒有被流失出去的危險(xiǎn)等作用。
　　二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的通用處理流程
　　信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估不是一個(gè)可以隨意就能完成的任務(wù)，為了能保證風(fēng)險(xiǎn)評(píng)估按一定的方式有序、正確地執(zhí)行，以及評(píng)估結(jié)果的真實(shí)有效；也為了能減少在風(fēng)險(xiǎn)評(píng)估過(guò)程中有可能產(chǎn)生的有意或無(wú)意錯(cuò)誤；同時(shí)還為了提高風(fēng)險(xiǎn)評(píng)估的效率，縮短評(píng)估的時(shí)間，以減少對(duì)正常業(yè)務(wù)的影響。為信息系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估工作制定一個(gè)有效的處理流程是很有必要的。
　　在現(xiàn)在出現(xiàn)了的一些信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)中（例如我國(guó)，在2006年3月7日，由國(guó)務(wù)院信息化辦公室印發(fā)的《信息安全風(fēng)險(xiǎn)評(píng)估指南》），已經(jīng)提出了處理風(fēng)險(xiǎn)評(píng)估的通用流程。但是，這些通用的風(fēng)險(xiǎn)評(píng)估流程并不包括具體細(xì)節(jié)，你和你的風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)?wèi)?yīng)當(dāng)根據(jù)需要評(píng)估的對(duì)象來(lái)自行決定。同時(shí)，我們?cè)陲L(fēng)險(xiǎn)評(píng)估過(guò)程中，還要以這些風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)作為評(píng)估結(jié)果的參考標(biāo)準(zhǔn)，以便給出具體的風(fēng)險(xiǎn)評(píng)估值。
　　在這里，我同樣只給出這個(gè)通用信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估流程的主框架，具體的處理細(xì)節(jié)會(huì)在第二節(jié)中詳細(xì)說(shuō)明。這個(gè)通徹的風(fēng)險(xiǎn)評(píng)估處理流程如下所示：
　　1、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段
　　2、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)檢測(cè)階段
　　3、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估對(duì)象風(fēng)險(xiǎn)檢測(cè)結(jié)果分析及給出評(píng)估報(bào)告階段
　　4、后期安全維護(hù)階段
　　三、了解信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估中的三個(gè)重要術(shù)語(yǔ)
　　1、評(píng)估對(duì)象
　　在信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中，我們首先要做的就是指定評(píng)估的具體對(duì)象，也就是限制評(píng)估的具體物理和技術(shù)范圍。在信息系統(tǒng)當(dāng)中，評(píng)估對(duì)象是與信息系統(tǒng)中的軟硬件組成部分相對(duì)應(yīng)的。例如，信息系統(tǒng)中包括各種服務(wù)器、服務(wù)器上運(yùn)行的操作系統(tǒng)及各種服務(wù)程序、各種網(wǎng)絡(luò)連接設(shè)備、各種安全防范設(shè)備或應(yīng)用程序、物理安全保障設(shè)備，這些都可以是構(gòu)成獨(dú)立的評(píng)估對(duì)象，甚至連使用這些信息系統(tǒng)的人也可以作為一個(gè)評(píng)估對(duì)象。總的來(lái)說(shuō)，目前可以將整個(gè)計(jì)算機(jī)信息系統(tǒng)分為六個(gè)主要的評(píng)估對(duì)象：
　　（1）、信息安全風(fēng)險(xiǎn)評(píng)估
　　（2）、業(yè)務(wù)流程安全風(fēng)險(xiǎn)評(píng)估
　　（3）、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
　　（4）、通信安全風(fēng)險(xiǎn)評(píng)估
　　（5）、無(wú)線安全風(fēng)險(xiǎn)評(píng)估
　　（6）、物理安全風(fēng)險(xiǎn)評(píng)估
　　2、評(píng)估項(xiàng)目
　　信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的評(píng)估項(xiàng)目是針對(duì)某個(gè)具體的評(píng)估對(duì)象來(lái)定的，用來(lái)決定評(píng)估對(duì)象具體要評(píng)估的某個(gè)方面，例如，對(duì)于物理安全風(fēng)險(xiǎn)評(píng)估，就需要對(duì)評(píng)估對(duì)象所在的周邊環(huán)境進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，以及對(duì)評(píng)估對(duì)象已經(jīng)完成的物理安全措施進(jìn)行風(fēng)險(xiǎn)評(píng)估等，這些就是信息系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估項(xiàng)目。
　　每一個(gè)評(píng)估對(duì)象都有屬于自己獨(dú)特的評(píng)估項(xiàng)目，這是每個(gè)評(píng)估對(duì)象獨(dú)特的屬性所決定的。下面是六個(gè)主要的安全風(fēng)險(xiǎn)評(píng)估對(duì)象的主要評(píng)估項(xiàng)目的簡(jiǎn)短描述：
　　（1）、信息安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目
　　①、信息的安全狀況評(píng)估
　　②、信息的完整性審查
　　③、機(jī)密信息調(diào)查
　　④、網(wǎng)絡(luò)操作痕跡信息檢查
　　⑤、信息在使用過(guò)程中的安全性審查
　　⑥、隱私信息機(jī)密性審查
　　⑦、信息可控性審查
　　⑧、信息存儲(chǔ)安全性審查
　　（2）、業(yè)務(wù)流程安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目
　　①、業(yè)務(wù)流程安全現(xiàn)狀評(píng)估
　　②、業(yè)務(wù)請(qǐng)求安全性審查
　　③、業(yè)務(wù)反請(qǐng)求安全性審查
　　④、業(yè)務(wù)處理流程安全性審查
　　⑤、業(yè)務(wù)處理人員可信賴性測(cè)試
　　（3）、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目
　　①、網(wǎng)絡(luò)安全現(xiàn)狀評(píng)估
　　②、入侵檢測(cè)審查
　　③、網(wǎng)絡(luò)傳輸安全性評(píng)估
　　④、網(wǎng)絡(luò)應(yīng)用安全性評(píng)估
　　⑤、網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測(cè)與驗(yàn)證
　　⑥、網(wǎng)絡(luò)中交換機(jī)及路由器安全性評(píng)估
　　⑦、訪問(wèn)控制測(cè)試
　　⑧、主要網(wǎng)絡(luò)攻擊方式測(cè)試（如DOS）
　　⑨、網(wǎng)絡(luò)行為審查
　　⑩、網(wǎng)絡(luò)安全策略、警報(bào)和日志文件審查
　　（4）、通信安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目
　　①、Modem等通信設(shè)備安全性檢測(cè)
　　②、VOIP安全性評(píng)估
　　③、網(wǎng)絡(luò)傳真安全性評(píng)估
　　④、遠(yuǎn)程訪問(wèn)安全性評(píng)估
　　⑤、即時(shí)通信安全性評(píng)估（包括即時(shí)聊天、網(wǎng)絡(luò)視頻會(huì)議、網(wǎng)絡(luò)遠(yuǎn)程監(jiān)控等）
　　（5）、無(wú)線安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目
　　①、電磁輻射測(cè)試
　　②、802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
　　③、藍(lán)牙安全性評(píng)估
　　④、無(wú)線輸入輸出設(shè)備安全性測(cè)試
　　⑤、無(wú)線手持設(shè)備安全性測(cè)試
　　⑥、無(wú)線設(shè)備接入或退出安全性測(cè)試
　　⑦、無(wú)線傳輸設(shè)備安全性測(cè)試
　　⑧、無(wú)線通信保密性測(cè)試
　　⑨、其它無(wú)線通信方式檢測(cè)（如RFID及紅外線連接等）
　　（6）、物理安全風(fēng)險(xiǎn)評(píng)估的主要評(píng)估項(xiàng)目
　　①、物理安全現(xiàn)狀評(píng)估
　　②、物理安全訪問(wèn)控制的安全性測(cè)試
　　③、物理監(jiān)控設(shè)備運(yùn)行審查
　　④、警報(bào)響應(yīng)審查
　　⑤、物理安全防范位置審查
　　⑥、計(jì)算機(jī)系統(tǒng)所處位置周邊物理安全審查
　　⑦、計(jì)算機(jī)系統(tǒng)所處位置當(dāng)?shù)刈匀粭l件、環(huán)境因素調(diào)查|||
　　評(píng)估任務(wù)
　　評(píng)估任務(wù)就是指要達(dá)到某個(gè)風(fēng)險(xiǎn)評(píng)估項(xiàng)目的評(píng)估目標(biāo)時(shí)，要具體進(jìn)行的所有評(píng)估操作任務(wù)。評(píng)估任務(wù)與每個(gè)評(píng)估項(xiàng)目相對(duì)應(yīng)，具體的評(píng)估任務(wù)可以由你和你的團(tuán)隊(duì)根據(jù)實(shí)際需求來(lái)決定。評(píng)估任務(wù)制定得全不全面，切不切合實(shí)際，會(huì)直接影響到信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的最終結(jié)果是否與風(fēng)險(xiǎn)評(píng)估的目標(biāo)相一致。因此，當(dāng)決定這些評(píng)估任務(wù)時(shí)，參與決定的人員不僅要有豐富的經(jīng)驗(yàn)，而且手里要有充足的與評(píng)估對(duì)象相關(guān)的各種有效的資料；同時(shí)，要對(duì)目前的安全威脅，各種系統(tǒng)或設(shè)備的弱點(diǎn)和漏洞，各種攻擊手段有充分的了解；而且，還要能仔細(xì)識(shí)別評(píng)估對(duì)象的資產(chǎn)類型及其重要性等。
　　由于評(píng)估任務(wù)是與具體的評(píng)估對(duì)象和評(píng)估項(xiàng)目來(lái)決定的，還與當(dāng)前的安全威脅狀況及發(fā)展趨勢(shì)有關(guān)，同時(shí)由于文章篇幅的限制。因此，在中只能分別對(duì)這六個(gè)評(píng)估對(duì)象中的一到二個(gè)評(píng)估項(xiàng)目給出一些通用的評(píng)估任務(wù)。至于其它評(píng)估項(xiàng)目的評(píng)估任務(wù)，你和你的評(píng)估團(tuán)隊(duì)可以參考中給出的評(píng)估任務(wù)內(nèi)容實(shí)例，使用頭腦風(fēng)暴的方法，通過(guò)分析收集到的各種有效資料來(lái)自行決定。
　　（1）、信息安全風(fēng)險(xiǎn)評(píng)估中隱私信息機(jī)密性審查的評(píng)估任務(wù)
　　隱私信息的機(jī)密性審查，主要是為了檢測(cè)機(jī)構(gòu)中員工及客戶的隱私信息在使用、傳輸和存儲(chǔ)過(guò)程中的完全性。由于這些隱私可能涉及到機(jī)構(gòu)所在位置的某些法律條規(guī)，因此，在決定這個(gè)項(xiàng)目的評(píng)估任務(wù)時(shí)，要充分考慮機(jī)構(gòu)所在區(qū)域的國(guó)家及地區(qū)法規(guī)。
　　通常，要進(jìn)行一次全面的隱私機(jī)密性審查，應(yīng)當(dāng)完成下列所示的評(píng)估任務(wù)：
　　①、比對(duì)實(shí)際的隱私信息訪問(wèn)方式與隱私訪問(wèn)策略中規(guī)定的方式之間的差異；
　　②、檢查隱私信息的監(jiān)控保護(hù)方式符合當(dāng)?shù)氐姆�律法�?guī)；
　　③、標(biāo)識(shí)出存儲(chǔ)的隱私信息的數(shù)據(jù)庫(kù)類型和大小；
　　④、標(biāo)識(shí)由機(jī)構(gòu)收集到的各種隱私信息；
　　⑤、確定隱私信息存儲(chǔ)的位置；
　　⑥、了解當(dāng)前網(wǎng)絡(luò)瀏覽時(shí)COOKIE保存類型和保留的時(shí)間；
　　⑦、識(shí)別保存在COOKIE中的各種隱私信息；
　　⑧、驗(yàn)證COOKIE使用的加密方法；
　　⑨、識(shí)別機(jī)構(gòu)的WEB服務(wù)器可能產(chǎn)生錯(cuò)誤的位置，了解錯(cuò)誤發(fā)生時(shí)返回給瀏覽用戶的信息類型。
　　（2）、信息安全風(fēng)險(xiǎn)評(píng)估中網(wǎng)絡(luò)操作痕跡信息檢查的評(píng)估任務(wù)
　　網(wǎng)絡(luò)操作痕跡信息的檢查，主要是為了調(diào)查機(jī)構(gòu)內(nèi)部某些員工在網(wǎng)絡(luò)操作后留下的操作痕跡，用審查是否有一些與組織相關(guān)的機(jī)密信息遺留在互聯(lián)網(wǎng)當(dāng)中。這個(gè)評(píng)估項(xiàng)目是信息安全風(fēng)險(xiǎn)評(píng)估中非常重要的一個(gè)部分，要完成一次全面的互聯(lián)網(wǎng)操作行為信息檢查，下面這些評(píng)估任務(wù)是不能少的：
　　①、檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫(kù)和緩存中的內(nèi)容；
　　②、檢查機(jī)構(gòu)內(nèi)部員工是否通過(guò)個(gè)人主頁(yè)、博客、，以及發(fā)布網(wǎng)絡(luò)求職簡(jiǎn)歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息；
　　③、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過(guò)機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息；
　　④、了解機(jī)構(gòu)內(nèi)部員工的計(jì)算機(jī)技術(shù)水平，以及了解計(jì)算機(jī)技術(shù)水平較高的員工所處的部門及其操作權(quán)限；
　　⑤、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時(shí)間使用即時(shí)通信工具，并在法律條件允許的條件下監(jiān)控即時(shí)通信的內(nèi)容；
　　⑥、使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、及博客中搜索；
　　⑦、檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容。
　　（3）、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測(cè)與驗(yàn)證的評(píng)估任務(wù)
　　網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測(cè)與驗(yàn)證是為了找出網(wǎng)絡(luò)中存的安全弱點(diǎn)和漏洞，并且驗(yàn)證這些弱點(diǎn)和漏洞是否可以真的被利用。在評(píng)估過(guò)程中使用一些基于網(wǎng)絡(luò)的弱點(diǎn)掃描及滲透測(cè)試工具，能大大提高評(píng)估工作的效率。
　　但是，在使用弱點(diǎn)掃描工具時(shí)不能對(duì)它檢測(cè)后的結(jié)果全盤接受，這是由于現(xiàn)在大部分的弱點(diǎn)掃描工具都是通過(guò)與自己的弱點(diǎn)和漏洞數(shù)據(jù)進(jìn)行比對(duì)，來(lái)決定檢測(cè)對(duì)象是否存某弱點(diǎn)或漏洞的。一旦工具的漏洞數(shù)據(jù)庫(kù)不能及時(shí)更新，或不能包括所有目前已經(jīng)發(fā)現(xiàn)的漏洞，那么，其檢測(cè)結(jié)果就不一定完全可靠。并且，由于這些工具本身設(shè)計(jì)缺陷和能力限制，在使用過(guò)程中會(huì)出現(xiàn)誤報(bào)和漏報(bào)的問(wèn)題，誤報(bào)會(huì)讓我們白擔(dān)心一場(chǎng)，而漏報(bào)卻會(huì)讓我們處于重大安全事故發(fā)生的邊緣。因此，在弱點(diǎn)掃描后進(jìn)行人工核查和滲透測(cè)試能減少漏報(bào)和誤報(bào)的發(fā)生。
　　要完成一次徹底的網(wǎng)絡(luò)弱點(diǎn)及漏洞檢測(cè)與驗(yàn)證的評(píng)估項(xiàng)目，下面完成下面的評(píng)估任務(wù)：
　　①、結(jié)合目前最流行的弱點(diǎn)掃描和滲透工具，對(duì)目標(biāo)網(wǎng)段進(jìn)行測(cè)試；
　　②、使用弱點(diǎn)掃描工具，按由外向內(nèi)，由內(nèi)向外的兩種方式掃描目標(biāo)網(wǎng)段；
　　③、確定存在弱點(diǎn)或漏洞的系統(tǒng)和應(yīng)用程序的類型；
　　④、確定存在漏洞的服務(wù)；
　　⑤、確定應(yīng)用程序和服務(wù)存在漏洞的類型；
　　⑥、識(shí)別操作系統(tǒng)和應(yīng)用程序中的存在的所有漏洞，識(shí)別所有存在漏洞的操作系統(tǒng)和應(yīng)用程序；
　　⑦、確定這些漏洞是否可以影響到其它相似的目標(biāo)網(wǎng)絡(luò)或系統(tǒng)；
　　⑧、通過(guò)人為滲透測(cè)試的方法來(lái)檢測(cè)找到的弱點(diǎn)或漏洞是否真實(shí)存在；
　　⑨、檢驗(yàn)這些漏洞可以被利用的機(jī)率，利用后可能產(chǎn)生的后果。
　　（4）、通信安全風(fēng)險(xiǎn)評(píng)估中Modem等通信設(shè)備安全性檢測(cè)的評(píng)估任務(wù)
　　Modem等通信設(shè)備的安全性檢測(cè)主要是為了檢驗(yàn)調(diào)制解調(diào)器的登錄驗(yàn)證方式，是否可以被運(yùn)程非法控制等等。要完成一次全面的Modem等通信設(shè)備的安全性檢測(cè)項(xiàng)目，下面的評(píng)估任務(wù)將要被全部執(zhí)行：
　　①、以由內(nèi)向外，由處向內(nèi)的方式全面掃描Modem等通信設(shè)備；
　　②、確保Modem等通信設(shè)備的登錄用戶和密碼不是使用缺省設(shè)置，或者容易被猜出；
　　③、確保與Modem等通信設(shè)備直接相連的路由器、三層交換機(jī)或計(jì)算機(jī)已經(jīng)做好了相應(yīng)的安全措施；
　　④、檢查通過(guò)遠(yuǎn)程維護(hù)Modem等通信設(shè)備是否安全；
　　⑤、驗(yàn)證遠(yuǎn)程撥號(hào)認(rèn)證；
　　⑥、測(cè)試本地?fù)芴?hào)認(rèn)證；
　　（5）、無(wú)線安全風(fēng)險(xiǎn)評(píng)估中802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估的評(píng)估任務(wù)
　　由于802.11a/b/g無(wú)線網(wǎng)絡(luò)技術(shù)越來(lái)越成熟，越來(lái)越多的機(jī)構(gòu)開始使用它。但是，由于802.11a/b/g無(wú)線網(wǎng)絡(luò)技術(shù)的開放性，且大多數(shù)使用沒有對(duì)其默認(rèn)設(shè)置做相應(yīng)的安全修改，或者設(shè)置的安全很少也很弱，從而造成802.11a/b/g無(wú)線網(wǎng)絡(luò)帶來(lái)的安全風(fēng)險(xiǎn)與它的功能一樣多。因此，使用802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估來(lái)識(shí)別無(wú)線網(wǎng)絡(luò)中目前存在的安全風(fēng)險(xiǎn)，以便能采取更好的安全措施來(lái)降低無(wú)線網(wǎng)絡(luò)應(yīng)用帶來(lái)的風(fēng)險(xiǎn)。
　　完成802.11a/b/g無(wú)線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目，必需執(zhí)行下列所有的評(píng)估任務(wù)：
　　①、檢驗(yàn)機(jī)構(gòu)是否已經(jīng)有一個(gè)足夠好的無(wú)線安全策略，來(lái)保證802.11a/b/g無(wú)線網(wǎng)絡(luò)的應(yīng)用，同時(shí)評(píng)估802.11a/b/g無(wú)線網(wǎng)絡(luò)的硬件和固件，以及更新狀況等；
　　②、對(duì)連接在目標(biāo)無(wú)線網(wǎng)終上的無(wú)線設(shè)備進(jìn)行全面的清查，評(píng)估訪問(wèn)控制，無(wú)線信號(hào)覆蓋的規(guī)定范圍，并確定是否有能力防止無(wú)線信號(hào)超出規(guī)定的范圍，或者能夠干擾超出的無(wú)線信號(hào)；
　　③、確定無(wú)線設(shè)備水平接入目標(biāo)無(wú)線網(wǎng)絡(luò)的訪問(wèn)控制能力，是否能夠標(biāo)識(shí)所有允許的接入點(diǎn)，以及是否能夠即時(shí)識(shí)別非授權(quán)接入點(diǎn)，并能定位和拒絕它的接入；
　　④、評(píng)估無(wú)線網(wǎng)絡(luò)的配置、認(rèn)證和加密方式；
　　⑤、評(píng)估無(wú)線接入點(diǎn)的默認(rèn)服務(wù)設(shè)備標(biāo)識(shí)符（SSID）已經(jīng)更改；
　　⑥、驗(yàn)證所有無(wú)線客戶端已經(jīng)安裝了殺毒軟件和防火墻等安全工具；
　　（6）、物理安全風(fēng)險(xiǎn)評(píng)估中物理安全訪問(wèn)控制的安全性測(cè)試的評(píng)估任務(wù)
　　物理安全訪問(wèn)控制的安全性測(cè)試，是用來(lái)檢測(cè)物理方式直接接觸機(jī)構(gòu)中重要信息資產(chǎn)時(shí)是否符合安全要求的評(píng)估項(xiàng)目。要完成一次物理安全訪問(wèn)控制的安全性測(cè)試，就必需完成下列所示的評(píng)估任務(wù)：
　　①、枚舉所有必需進(jìn)行物理訪問(wèn)控制的區(qū)域；
　　②、檢查所有物理訪問(wèn)控制點(diǎn)的訪問(wèn)控制設(shè)備及其類型；
　　③、檢查觸發(fā)警報(bào)的類型是否與說(shuō)明的一致；
　　④、判斷物理訪問(wèn)控制設(shè)備的安全級(jí)別；
　　⑤、測(cè)試物理訪問(wèn)控制設(shè)備是否存在弱點(diǎn)和漏洞；
　　⑥、測(cè)試物理訪問(wèn)控制設(shè)備是否可以被人為或其它方式失去檢測(cè)能力；
　　四、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估過(guò)程中應(yīng)當(dāng)遵守的規(guī)則
　　在對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估過(guò)程中，下列的一些因素會(huì)給評(píng)估帶來(lái)錯(cuò)誤的結(jié)果：
　　1、弱點(diǎn)掃描軟件的誤報(bào)和漏報(bào)；
　　2、系統(tǒng)本身設(shè)置對(duì)某類事情做出固定的某種缺陷反應(yīng)。當(dāng)測(cè)試帶有欺騙性設(shè)置的系統(tǒng)時(shí)，常會(huì)對(duì)所有的評(píng)估事件做出某種指定的相同反應(yīng)；
　　3、要評(píng)估的系統(tǒng)中存在某種已經(jīng)指定對(duì)所有事件做出安全反應(yīng)的設(shè)置。
　　4、在風(fēng)險(xiǎn)評(píng)估過(guò)程中收到了某個(gè)目標(biāo)的回應(yīng)，但這個(gè)回應(yīng)并不是真的來(lái)自實(shí)際的評(píng)估目標(biāo)，而一些沒有經(jīng)驗(yàn)的風(fēng)險(xiǎn)評(píng)估人員，對(duì)出現(xiàn)這樣的假象不能正確識(shí)別，從而造成錯(cuò)誤的結(jié)果；
　　5、風(fēng)險(xiǎn)評(píng)估工具設(shè)備本身存在問(wèn)題，就可能出現(xiàn)錯(cuò)誤的回應(yīng)。以及當(dāng)風(fēng)險(xiǎn)評(píng)估的以太網(wǎng)路出現(xiàn)高噪音，或者存在干擾目標(biāo)無(wú)線網(wǎng)絡(luò)信號(hào)的設(shè)備時(shí)，都會(huì)出現(xiàn)錯(cuò)誤的結(jié)果；
　　6、當(dāng)風(fēng)險(xiǎn)評(píng)估過(guò)程中的某個(gè)環(huán)境得到了錯(cuò)誤的結(jié)果，但是沒有及時(shí)識(shí)別和重新評(píng)估，而其后的評(píng)估工作卻使用這個(gè)錯(cuò)誤的結(jié)果作為評(píng)估條件，這樣一來(lái)，就會(huì)讓這種錯(cuò)誤繼承下去，造成得到一個(gè)錯(cuò)誤的最終風(fēng)險(xiǎn)評(píng)估結(jié)果；
　　7、風(fēng)險(xiǎn)評(píng)估必需由人來(lái)執(zhí)行，由于風(fēng)險(xiǎn)評(píng)估人員的技術(shù)水平，經(jīng)驗(yàn)值的高低，以及他們的評(píng)估態(tài)度，對(duì)風(fēng)險(xiǎn)評(píng)估的理解的各不相同等因素，都有可能造成錯(cuò)誤的風(fēng)險(xiǎn)評(píng)估結(jié)果。
　　由于上述原因得到的錯(cuò)誤信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估結(jié)果，一旦被接受，那么就會(huì)給信息系統(tǒng)的安全防范帶來(lái)新的安全風(fēng)險(xiǎn)，其后果是不可想象的。因此，我們必需在進(jìn)行信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估過(guò)程中，遵守下面的風(fēng)險(xiǎn)評(píng)估規(guī)則，就可以有效降低上述錯(cuò)誤因素的產(chǎn)生：
　　1、明白進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，任何細(xì)節(jié)都是一樣重要的，并且了解每個(gè)評(píng)估項(xiàng)目的評(píng)估目的；
　　2、注意風(fēng)險(xiǎn)評(píng)估過(guò)程中的每一個(gè)小細(xì)節(jié)。風(fēng)險(xiǎn)評(píng)估結(jié)果的有效性，往往體現(xiàn)在一些細(xì)節(jié)上面，這是因?yàn)橐恍┲卮蟮陌踩�事故都是由于一些�?xì)小的安全弱點(diǎn)所引起的。另外，一個(gè)單獨(dú)的小細(xì)節(jié)可能不會(huì)帶來(lái)某類安全風(fēng)險(xiǎn)，但是，許多小細(xì)節(jié)累積后，一不小心，就會(huì)給信息系統(tǒng)帶來(lái)重大的信息安全事故；
　　3、不要認(rèn)為少花錢多辦事就是好。現(xiàn)在，許多機(jī)構(gòu)對(duì)于安全預(yù)算本來(lái)就少，因此，就要求安全風(fēng)險(xiǎn)評(píng)估必需在很少的時(shí)間內(nèi)得到更多的效率。但是，如果你認(rèn)為一個(gè)低效率的風(fēng)險(xiǎn)評(píng)估策略會(huì)為你節(jié)省一大筆的成本而決定使用它，那么，這個(gè)低效率的風(fēng)險(xiǎn)評(píng)估策略有可能不會(huì)將所有的安全風(fēng)險(xiǎn)檢測(cè)出來(lái)。因而使用你在藥費(fèi)了時(shí)間和金錢進(jìn)行風(fēng)險(xiǎn)評(píng)估的同時(shí)，你不能得到風(fēng)險(xiǎn)評(píng)估的任何好處，從側(cè)面反而使你增加了安全成本和造成業(yè)務(wù)中斷事件的可能性。
　　很顯然，風(fēng)險(xiǎn)評(píng)估是需要一定的成本投入的，因此，當(dāng)你在開始進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，你就要考慮如何平衡評(píng)估效率和投入成本的問(wèn)題，只有這兩方達(dá)到一個(gè)滿意的平衡，才能達(dá)最好的風(fēng)險(xiǎn)評(píng)估效率和效果；
　　4、對(duì)于涉及多個(gè)風(fēng)險(xiǎn)評(píng)估對(duì)象的風(fēng)險(xiǎn)評(píng)估過(guò)程，要有一個(gè)切合實(shí)際，考慮全面，可以被完全執(zhí)行的風(fēng)險(xiǎn)評(píng)估策略。任何時(shí)候，我們都不要忽略策略在安全防范工作中的重要性。風(fēng)險(xiǎn)評(píng)估策略就是用來(lái)表明某次風(fēng)險(xiǎn)評(píng)估時(shí)的主要目的，以及要具體完成的任務(wù)，和一些操作細(xì)節(jié)等等。風(fēng)險(xiǎn)評(píng)估策略在風(fēng)險(xiǎn)評(píng)估過(guò)程中起到指導(dǎo)性的作用，控制整個(gè)評(píng)估過(guò)程；
　　5、要知道如何算風(fēng)險(xiǎn)評(píng)估的經(jīng)濟(jì)賬。風(fēng)險(xiǎn)評(píng)估的目的通常是為了達(dá)到某種程序的安全性來(lái)進(jìn)行的，評(píng)估的結(jié)果將會(huì)給找到的弱點(diǎn)提出相應(yīng)的解決方案。這樣，就會(huì)涉及到增加安全成本投入的問(wèn)題。一個(gè)好的風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理者，會(huì)了解機(jī)構(gòu)是否有足夠的經(jīng)濟(jì)能力來(lái)解決發(fā)現(xiàn)的漏洞，計(jì)算到底要多少成本才能達(dá)到機(jī)構(gòu)領(lǐng)導(dǎo)可以接受的安全風(fēng)險(xiǎn)等級(jí)，怎么樣的預(yù)算才會(huì)被機(jī)構(gòu)決策者所接受等等。如果你不考慮這些問(wèn)題，那么，不管理你的風(fēng)險(xiǎn)評(píng)估結(jié)果是多么的全面且準(zhǔn)確，但是不被機(jī)構(gòu)決策者接受，那么仍然是一個(gè)不成功的風(fēng)險(xiǎn)評(píng)估。這只會(huì)白白讓機(jī)構(gòu)浪費(fèi)了大量的風(fēng)險(xiǎn)評(píng)估時(shí)間和金錢。因此，知道算風(fēng)險(xiǎn)評(píng)估的經(jīng)濟(jì)帳也是一個(gè)重要的方面；
　　6、了解風(fēng)險(xiǎn)評(píng)估的參考標(biāo)準(zhǔn)。風(fēng)險(xiǎn)評(píng)估結(jié)果是否具有權(quán)威性的關(guān)鍵一點(diǎn)，就是你應(yīng)當(dāng)在評(píng)估結(jié)果中注明評(píng)估的方式是遵從哪種風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)來(lái)進(jìn)行，例如我在上面提到過(guò)的我國(guó)的《信息安全風(fēng)險(xiǎn)評(píng)估指南》。你還可以使用一些國(guó)際標(biāo)準(zhǔn)，如ISO/IEC 17799/27001國(guó)際信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)可以給你提供一個(gè)如何給出最終安全和風(fēng)險(xiǎn)級(jí)別的參考標(biāo)準(zhǔn)；
　　7、風(fēng)險(xiǎn)評(píng)估人員必需在指定的權(quán)限范圍內(nèi)完成指定的評(píng)估任務(wù)，在評(píng)估過(guò)程中不能隨意走出規(guī)定的物理范圍。在評(píng)估時(shí)發(fā)現(xiàn)任務(wù)疑問(wèn)，應(yīng)當(dāng)立即停止，并上報(bào)給評(píng)估小組負(fù)責(zé)人。在疑問(wèn)沒能明確解決之前，不能獨(dú)自繼續(xù)進(jìn)行下一步的評(píng)估操作。評(píng)估人員的出評(píng)估現(xiàn)場(chǎng)都應(yīng)當(dāng)有記錄，標(biāo)明進(jìn)出的具體時(shí)間。每個(gè)評(píng)估人員都應(yīng)在身體明顯處掛戴表明共身份的工作證件。每個(gè)風(fēng)險(xiǎn)評(píng)估人員都應(yīng)當(dāng)使用規(guī)定的評(píng)估工具，不能將規(guī)定外的工具帶入評(píng)估現(xiàn)場(chǎng)。明確每個(gè)風(fēng)險(xiǎn)評(píng)估人員的權(quán)限范圍，和其所在的物理位置，任何評(píng)估人員都不能超出這些規(guī)定的權(quán)力或物理范圍。
　　在對(duì)上述信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)知識(shí)有一個(gè)系統(tǒng)的了解后，就會(huì)讓我們懂得要如何才能有效地完成一次安全風(fēng)險(xiǎn)評(píng)估。接下來(lái)的任務(wù)，就是去掌握信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作要如何具體地去做。