安全信息評估精選(五篇)

序言：作為思想的載體和知識的探索者，寫作是一種獨特的藝術(shù)，我們?yōu)槟鷾蕚淞瞬煌L(fēng)格的5篇安全信息評估，期待它們能激發(fā)您的靈感。

篇1

【關(guān)鍵詞】電力企業(yè)；信息安全；風(fēng)險防御

和諧社會的發(fā)展是政治、經(jīng)濟、文化、社會和生態(tài)多方面合力的結(jié)果，科技的進步使得電力企業(yè)意識到亟需盡快的對電力系統(tǒng)進行革新，從計劃經(jīng)濟到市場經(jīng)濟體制的改革中，電力企業(yè)為了適應(yīng)這樣的變化，加強了對管理體制的合理改變和生產(chǎn)效率的大步提高，拉開了電力系統(tǒng)改革的序幕。安全的信息網(wǎng)絡(luò)系統(tǒng)的構(gòu)建是電力企業(yè)發(fā)展改革過程中至關(guān)重要的一個環(huán)節(jié)，有效的將電力企業(yè)的信息安全系統(tǒng)與其管理和考核進行有機結(jié)合，更好的服務(wù)于電力企業(yè)的生產(chǎn)、經(jīng)營和管理，電力企業(yè)安全信息系統(tǒng)風(fēng)險評估與防御也就成為了電力企業(yè)在經(jīng)濟全球化進程中亟待重視的問題所在。

1 電力企業(yè)安全信息系統(tǒng)風(fēng)險評估

1.1 企業(yè)規(guī)模發(fā)展迅速，信息網(wǎng)絡(luò)安全意識淡薄

電力資源是我們社會生活中必不可少的一部分，電力企業(yè)在相對壟斷的情況下，發(fā)展極其迅速，但在這樣的過程中，我們可以看到，大多數(shù)電力企業(yè)僅僅對基礎(chǔ)設(shè)施和簡單的網(wǎng)絡(luò)構(gòu)建有著重視力度，卻沒有對安全信息系統(tǒng)的風(fēng)險認識足夠，這種情況下必然產(chǎn)生了諸如網(wǎng)絡(luò)安全防御意識差，對網(wǎng)絡(luò)信息安全防范的資金投入不足等不良情況的出現(xiàn)。企業(yè)規(guī)模越來越大，對企業(yè)安全信息系統(tǒng)的維護資金投入?yún)s并不高，網(wǎng)絡(luò)安全技術(shù)沒能及時加強，電力企業(yè)也就不能很好的抵御網(wǎng)絡(luò)風(fēng)險，對網(wǎng)絡(luò)入侵也顯得無所適從。

1.2 信息化安全資金投入少，管理機制有待完善

電力企業(yè)對安全信息網(wǎng)絡(luò)的建設(shè)的重視并不充分，有些電力企業(yè)在管理過程中對信息管理部門完全忽視，只是將企業(yè)的網(wǎng)絡(luò)信息安全的管理安排給幾個技術(shù)員或掛靠到生產(chǎn)技術(shù)部門，電力企業(yè)作為高盈利企業(yè)卻對信息安全資金投入并不充分，信息化管理制度也很不健全。電力企業(yè)安全信息機制的構(gòu)建是個長期的系統(tǒng)工程，我們必須注意到構(gòu)建專門的信息化部門的重要性，才能在激烈的市場競爭中使得電力企業(yè)更好的滿足其發(fā)展體制對信息化管理的需求。

2 電力企業(yè)安全信息系統(tǒng)的主要問題

2.1 信息安全化管理未分區(qū)

國家電力管理委員會出臺的5號規(guī)定，對電網(wǎng)企業(yè)、發(fā)電企業(yè)、供電企業(yè)等電力相關(guān)企業(yè)做出了有關(guān)其信息安全網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建的明確規(guī)定，將這些企業(yè)的計算機和網(wǎng)絡(luò)技術(shù)系統(tǒng)大致分為了管理信息的部分以及生產(chǎn)控制的區(qū)域。信息管理區(qū)域可以依托各個企業(yè)不同的經(jīng)營管理模式對安全區(qū)進行劃分，而生產(chǎn)控制區(qū)域一般來說應(yīng)該由可控制區(qū)和非可控區(qū)兩大部分構(gòu)成。在這樣兩個大的區(qū)域之間，電力企業(yè)必須在國家電力監(jiān)測認定部門的監(jiān)督下安裝電力生產(chǎn)專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個標準對電力企業(yè)網(wǎng)絡(luò)系統(tǒng)進行管理，就經(jīng)常會出現(xiàn)企業(yè)管理信息大區(qū)部分網(wǎng)絡(luò)直接可以對生產(chǎn)控制區(qū)域的數(shù)據(jù)進行訪問，出現(xiàn)網(wǎng)絡(luò)安全事件，影響電力企業(yè)的安全生產(chǎn)和發(fā)展。

2.2 網(wǎng)絡(luò)端口接點存在風(fēng)險

互聯(lián)網(wǎng)技術(shù)的革新的步伐越來越快，企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)卻并不牢靠，在部分環(huán)節(jié)仍然十分脆弱，在電力企業(yè)的信息安全網(wǎng)絡(luò)建設(shè)中， Web程序漏洞、系統(tǒng)漏洞不斷出現(xiàn)，對病毒的侵入無力抵抗，為黑客、病毒制造者提供了入侵的機會，這些信息安全威脅的發(fā)生可能會引起電力企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的癱瘓和網(wǎng)絡(luò)故障，為企業(yè)造成了這些安全威脅使得企業(yè)利益造成了巨大的損失。在最近的一項調(diào)查數(shù)據(jù)中顯示，電力企業(yè)中遭受到的網(wǎng)絡(luò)安全信息系統(tǒng)威脅中約有70%是由于網(wǎng)絡(luò)系統(tǒng)內(nèi)部的危險侵襲。這種危害的可能發(fā)現(xiàn)于諸多方面：對于敏感數(shù)據(jù)的濫用，對于內(nèi)部員工的信息監(jiān)管不力使得信息泄露都提升了企業(yè)的運行風(fēng)險。

2.3 互聯(lián)網(wǎng)病毒的侵害

從口語傳播時代到印刷傳播時代，直至現(xiàn)在的網(wǎng)絡(luò)傳播時代，互聯(lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)病毒也迅速得以傳播和擴散。諸多的電力企業(yè)網(wǎng)絡(luò)內(nèi)外相連，覆蓋范圍相當(dāng)廣泛，網(wǎng)絡(luò)病毒經(jīng)常可以有機可乘，牽一發(fā)而動全身，從一臺電腦的病毒侵害到整個電力網(wǎng)絡(luò)系統(tǒng)，造成網(wǎng)絡(luò)通信的阻塞，使得整個系統(tǒng)中的文件和關(guān)鍵數(shù)據(jù)得不到完整的保存，造成不可預(yù)計的后果。

2.4 信息安全人員防范意識較低

電力企業(yè)信息防范人員對信息安全應(yīng)用系統(tǒng)的管理是保障信息網(wǎng)絡(luò)安全系統(tǒng)的重要一部分。數(shù)據(jù)庫操作系統(tǒng)的規(guī)劃和防范都離不開信息安全人員的有力防范，但在如今的電力企業(yè)信息安全系統(tǒng)的管理過程中，相關(guān)人員防范意識低下的情況屢屢發(fā)生，由此引發(fā)的網(wǎng)絡(luò)安全漏洞泄露了電力企業(yè)機密信息，造成了很大的安全隱患，使企業(yè)遭受安全沖擊。用戶的網(wǎng)絡(luò)安全防范意識低下是現(xiàn)如今網(wǎng)絡(luò)安全的通病，大多數(shù)的用戶都認為網(wǎng)絡(luò)自身有著一定的自我安全防范意識，對電腦提示的病毒預(yù)警視而不見，電力企業(yè)中也沒有很好的避免這一點，部分工作人員重技術(shù)輕管理，網(wǎng)絡(luò)安全信息管理機制的不完善，也給企業(yè)的網(wǎng)絡(luò)帶來了十分大的管理風(fēng)險，這就迫切的要求應(yīng)該對網(wǎng)絡(luò)的安全機制進行完善，也應(yīng)該主動自高工作人員自身的安全防范意識。

3 電力企業(yè)安全信息系統(tǒng)風(fēng)險防御

3.1 防火墻技術(shù)的運用

防火墻技術(shù)是現(xiàn)今社會經(jīng)常用于互聯(lián)網(wǎng)風(fēng)險防御的重要手段之一，多用于將可信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間相隔開來。電力企業(yè)的生產(chǎn)經(jīng)營和管理的過程中的運行調(diào)度中都應(yīng)該加強在安全檢查中對網(wǎng)絡(luò)節(jié)點的關(guān)注，限制對含帶危險信息的領(lǐng)域的訪問。電力企業(yè)在生產(chǎn)經(jīng)營、分散控制和運行調(diào)度的過程中對防火墻技術(shù)的運用有效的將信息的采集、整合和應(yīng)用都限制在可掌控的范圍內(nèi)，在不同的權(quán)限內(nèi)最大限度的合理的運用著相關(guān)資源。

3.2 網(wǎng)絡(luò)病毒侵襲的防護

電力企業(yè)關(guān)系著國家重要電力資源的開發(fā)和應(yīng)用，為了保護電力資源的安全，必須要從內(nèi)到外的構(gòu)建起全方位的網(wǎng)絡(luò)病毒防侵害系統(tǒng)，更好的對來自于各個方面的病毒信息進行防護。只有提高了企業(yè)的整體安全性，在互聯(lián)網(wǎng)和周邊的局域網(wǎng)內(nèi)都安裝好防病毒侵襲的安全網(wǎng)關(guān)和內(nèi)置的病毒防護軟件，才能使得電力企業(yè)免受網(wǎng)絡(luò)病毒的侵襲，各個方面的數(shù)據(jù)得以安全與穩(wěn)定的保存。

在電力企業(yè)的網(wǎng)絡(luò)準入控制系統(tǒng)中，對接入點客戶的安全策略檢測和身份認證都是必不可少的，若不能通過檢測的用戶應(yīng)該被嚴令禁止在網(wǎng)絡(luò)之外進行隔離。無論是無線用戶還是有限用戶，都將面對互聯(lián)網(wǎng)訪問客戶端從驗證、授權(quán)到阻止未授權(quán)的計算機網(wǎng)絡(luò)資源的過程，只有在一系列的檢測中得到審核通過才可以拿到進入內(nèi)部網(wǎng)絡(luò)的通行證，網(wǎng)絡(luò)病毒越來越厲害，愈發(fā)侵入性越強，對此，電力企業(yè)對客戶端主機應(yīng)該進行更加嚴密的考察，不間斷的對病毒特征信息庫進行更新，維護好網(wǎng)絡(luò)的完整和安全性。

3.3 虛擬網(wǎng)的數(shù)據(jù)備份技術(shù)

互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)置，加之很好的利用交換機、路由器等功能設(shè)置，可以使網(wǎng)絡(luò)管理員將任何一個相關(guān)局域網(wǎng)內(nèi)的一些網(wǎng)段結(jié)合起來，組成一個局域網(wǎng)。在這個局域網(wǎng)里的信息傳遞速度更加迅速，傳播速度的加快使得網(wǎng)絡(luò)信息安全生產(chǎn)過程中的管理效率得到提高，使得電力企業(yè)的數(shù)據(jù)被竊聽的可能性不斷的降低。與此同時，現(xiàn)在電力企業(yè)在大多數(shù)情況下都會對重要的資料進行數(shù)據(jù)庫的備份工作，這樣構(gòu)建起對電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急預(yù)案，可以在出現(xiàn)網(wǎng)絡(luò)侵襲時及時的對關(guān)鍵業(yè)務(wù)和應(yīng)用程序進行保護，確保核心數(shù)據(jù)系統(tǒng)在出現(xiàn)損害時，企業(yè)核心安全得到保護。

3.4 終端設(shè)備的網(wǎng)絡(luò)準入控制技術(shù)

可采用基于網(wǎng)關(guān)認證的硬件控制技術(shù)，實現(xiàn)對通過無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、wifi網(wǎng)絡(luò)等方式連接的設(shè)備進行接入控制。同時，采用“報備重定向+注冊重定向”的雙重認證保護技術(shù)，對非法接入的終端設(shè)備進行強制重定向安全檢查。對不符合安全等級要求的終端設(shè)備，可根據(jù)系統(tǒng)策略限制用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)。

網(wǎng)絡(luò)準入控制技術(shù)應(yīng)以細致、準確、迅速為原則，對網(wǎng)絡(luò)資源訪問進行控制，尤其是一些核心的網(wǎng)絡(luò)應(yīng)用，包括C/S、B/S以及服務(wù)器應(yīng)用；以精益化的客戶端聯(lián)動管理為核心，基于多種授權(quán)方式，包括單用戶授權(quán)、用戶組授權(quán)、白名單授權(quán)等方式，實現(xiàn)對未受控客戶端實施不同用戶級別的可靠便捷的接入控制。

4 結(jié)論

電力企業(yè)的安全信息系統(tǒng)是電力企業(yè)信息化管理的重要內(nèi)容之一，有效的對電力企業(yè)安全信息系統(tǒng)將要面臨的風(fēng)險進行評估并且提出切實可行的防御措施，是保障電力企業(yè)現(xiàn)代化管理的有力手段。隨著近些年來互聯(lián)網(wǎng)技術(shù)的增強，電力企業(yè)的安全系統(tǒng)構(gòu)建也愈發(fā)的完善，為電力企業(yè)的良性循環(huán)運行提供了必要的技術(shù)支持和保障，因此，我們應(yīng)該重視對互聯(lián)網(wǎng)信息的保護，防御病毒的侵害，為為電力企業(yè)的安全信息系統(tǒng)的正常運行營造起安全的網(wǎng)絡(luò)環(huán)境。

參考文獻：

[1]陳偉.電力系統(tǒng)網(wǎng)絡(luò)安全體系研究[J].電力系統(tǒng)通信，2008（01）.

[2]牟奕欣.關(guān)于電力系統(tǒng)的網(wǎng)絡(luò)安全的探討[J].中國經(jīng)貿(mào)，2010（14）.

篇2

【關(guān)鍵詞】信息安全；評估；標準；對策

保證信息安全不發(fā)生外泄現(xiàn)象，是至關(guān)重要的。可是，現(xiàn)在我國信息安全保障和其它先進國家相比，仍難望其項背，還有不少問題迫切需要我們著手解決：

中國保證信息安全工作經(jīng)歷了三個時期。第一時期是不用聯(lián)網(wǎng)，只作用于單一電腦的查殺和防控病毒軟件；第二個時期是獨立的防止病毒產(chǎn)品向為保證信息安全采用的成套裝備過渡時期；第三個時期是建設(shè)保證信息安全的系統(tǒng)時期。

1 需要解決與注意的問題

信息安全保障的內(nèi)容和深度不斷得到擴展和加深，但依然存在著“頭痛醫(yī)頭，腳痛醫(yī)腳”的片面性，沒有從系統(tǒng)工程的角度來考慮和對待信息安全保障問題；信息安全保障問題的解決既不能只依靠純粹的技術(shù)，也不能靠簡單的安全產(chǎn)品的堆砌，它要依賴于復(fù)雜的系統(tǒng)工程、信息安全工程（system security engineering）；信息安全就是人們把利用工程的理論、定義、辦法和技術(shù)進行信息安全的開發(fā)實施與維護的經(jīng)過，是把通過歲月檢驗證明沒有錯誤的工程實施步驟管理技術(shù)和當(dāng)前能夠得到的最好的技術(shù)方法相結(jié)合的過程；由于國家8個重點信息系統(tǒng)和3個重點基礎(chǔ)網(wǎng)絡(luò)本身均為復(fù)雜的大型信息系統(tǒng)，因此必須采用系統(tǒng)化方法對其信息安全保障的效果和長效性進行評估。

2 安全檢測標準

2.1 CC 標準

1993年6月，美國、加拿大及歐洲四國協(xié)商共同起草了《信息技術(shù)安全評估公共標準CCITSE（commoncriteria of information technical securityevaluation）》，簡稱 CC，它是國際標準化組織統(tǒng)一現(xiàn)有多種準則的結(jié)果。CC標準，一方面可以支持產(chǎn)品（最終已在系統(tǒng)中安裝的產(chǎn)品）中安全特征的技術(shù)性要求評估，另一方面描述了用戶對安全性的技術(shù)需求。然而，CC 沒有包括對物理安全、行政管理措施、密碼機制等方面的評估，且未能體現(xiàn)動態(tài)的安全要求。因此，CC標準主要還是一套技術(shù)性標準。

2.2 BS 7799標準

BS 7799標準是由英國標準協(xié)會（BSI）制定的信息安全管理標準，是國際上具有代表性的信息安全管理體系標準，包括：BS 7799-1∶1999《信息安全管理實施細則》是組織建立并實施信息安全管理體系的一個指導(dǎo)性的準則；BS7799-2∶2002 以 BS 7799-1∶1999為指南，詳細說明按照 PDCA 模型，建立、實施及文件化信息安全管理體系（ISMS）的要求。

2.3 SSE-CMM 標準

SSE-CMM（System Security EngineeringCapability Maturity Model）模型是 CMM 在系統(tǒng)安全工程這個具體領(lǐng)域應(yīng)用而產(chǎn)生的一個分支，是美國國家安全局（NSA）領(lǐng)導(dǎo)開發(fā)的，它專門用于系統(tǒng)安全工程的能力成熟度模型。

3 網(wǎng)絡(luò)安全框架考察的項目

對網(wǎng)絡(luò)安全進行考察的項目包括：限制訪問以及網(wǎng)絡(luò)審核記錄：對網(wǎng)絡(luò)涉及的區(qū)域進行有效訪問控制；對網(wǎng)絡(luò)實施入侵檢測和漏洞評估；進行網(wǎng)絡(luò)日志審計并統(tǒng)一日志時間基準線；網(wǎng)絡(luò)框架：設(shè)計適宜的拓撲結(jié)構(gòu)；合乎系統(tǒng)需求的區(qū)域分界；對無線網(wǎng)接入方式進行選擇方式；對周邊網(wǎng)絡(luò)接入進行安全控制和冗余設(shè)計；對網(wǎng)絡(luò)流量進行監(jiān)控和管理；對網(wǎng)絡(luò)設(shè)備和鏈路進行冗余設(shè)計；網(wǎng)絡(luò)安全管理：采用安全的網(wǎng)絡(luò)管理協(xié)議；建立網(wǎng)絡(luò)安全事件響應(yīng)體系；對網(wǎng)絡(luò)設(shè)備進行安全管理。網(wǎng)絡(luò)設(shè)備是否進行了安全配置，并且驗證設(shè)備沒有已知的漏洞等。對網(wǎng)絡(luò)設(shè)置密碼：在網(wǎng)絡(luò)運輸過程中可以根據(jù)其特點對數(shù)字設(shè)置密碼；在認證設(shè)備時對比較敏感的信息進行加密。

4 安全信息檢測辦法

4.1 調(diào)整材料和訪問

調(diào)整材料和訪問是對安全信息檢測的手段。評估人員首先通過對信息系統(tǒng)的網(wǎng)絡(luò)拓撲圖、安全運作記錄、相關(guān)的管理制度、規(guī)范、技術(shù)文檔、歷史事件、日志等的研究和剖析，從更高的層次上發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全脆弱性。并找準信息資產(chǎn)體現(xiàn)為一個業(yè)務(wù)流時所流經(jīng)的網(wǎng)絡(luò)節(jié)點，查看關(guān)鍵網(wǎng)絡(luò)節(jié)點的設(shè)備安全策略是否得當(dāng)，利用技術(shù)手段驗證安全策略是否有效。評估專家經(jīng)驗在安全顧問咨詢服務(wù)中處于不可替代的關(guān)鍵地位。通過對客戶訪談、技術(shù)資料進行分析，分析設(shè)備的安全性能，而且注意把自己的實際體會納入網(wǎng)絡(luò)安全的檢測中。

4.2 工具發(fā)現(xiàn)

工具發(fā)現(xiàn)是利用掃描器掃描設(shè)備上的缺陷，發(fā)現(xiàn)危險的地方和錯誤的配置。利用檢測掃描數(shù)據(jù)庫、應(yīng)用程序和主機，利用已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等各主機設(shè)備所存在的安全隱患和漏洞。漏洞掃描主要依靠帶有安全漏洞知識庫的網(wǎng)絡(luò)安全掃描工具對信息資產(chǎn)進行基于網(wǎng)絡(luò)層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線運行的環(huán)境完全一致，從而把主機、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備中存在的不利于安全的因素恰切地展現(xiàn)出來。

4.3 滲透評估

滲透評估是為了讓使用的人員能夠知道網(wǎng)絡(luò)當(dāng)前存在的危險以及會產(chǎn)生的后果，從而進行預(yù)防。滲透評估的關(guān)鍵是經(jīng)過辨別業(yè)務(wù)產(chǎn)業(yè)，搭配一定手段進行探測，判斷可能存在的攻擊路徑，并且利用技術(shù)手段技術(shù)實現(xiàn)。由于滲透測試偏重于黑盒測試，因此可能對被測試目標造成不可預(yù)知的風(fēng)險；此外對于性能比較敏感的測試目標，如一些實時性要求比較高的系統(tǒng)，由于滲透測試的某些手段可能引起網(wǎng)絡(luò)流量的增加，因此可能會引起被測試目標的服務(wù)質(zhì)量降低。由于中國電信運營商的網(wǎng)絡(luò)規(guī)范龐大，因此在滲透測試的難度也較大。因此，滲透層次上既包括了網(wǎng)絡(luò)層的滲透測試，也包括了系統(tǒng)層的滲透測試及應(yīng)用層的滲透測試。合法滲透測試的一般流程為兩大步驟，即預(yù)攻擊探測階段、驗證攻擊階段、滲透實施階段。不涉及安裝后門、遠程控制等活動。

我國信息安全要想得到保證，需要有一定的信息安全監(jiān)測辦法。依靠信息安全監(jiān)測辦法對中國業(yè)務(wù)系統(tǒng)和信息系統(tǒng)整體分析和多方面衡量，將對中國信息安全結(jié)論的量化提供強有力的幫助，給我國所做出的重要決策實行保密，對中國籌劃安全信息建設(shè)以及投入，甚至包括制定安全信息決策、探究與拓寬安全技術(shù)，都至關(guān)重要。因而，制定我國信息安全檢測辦法，是一項不容忽視的重要工作。

【參考文獻】

[1]曹一家，姚歡，黃小慶，等.基于D-S證據(jù)理論的變電站通信系統(tǒng)信息安全評估[J].電力自動化設(shè)備，2011，31（6）：1-5.

[2]焦波，李輝，黃東，等.基于變權(quán)證據(jù)合成的信息安全評估[J].計算機工程，2012，38（21）：126-128，132.

[3]張海霞，連一峰.基于測試床模擬的通用安全評估框架[J].信息網(wǎng)絡(luò)安全，2013，（z1）：13-16.

篇3

關(guān)鍵詞：信息安全；風(fēng)險評估；脆弱性；威脅

1. 引言

隨著信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息資源的規(guī)模越來越大，信息系統(tǒng)的復(fù)雜程度越來越高，保障信息資源、信息系統(tǒng)的安全是國民經(jīng)濟發(fā)展和信息化建設(shè)的需要。信息安全的目標主要體現(xiàn)在機密性、完整性、可用性等方面。風(fēng)險評估是安全建設(shè)的出發(fā)點，它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計及詳細安全方案的制定，以成本一效益平衡的原則，通過評估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性，并結(jié)合資產(chǎn)的重要程度來識別信息系統(tǒng)的安全風(fēng)險。信息安全風(fēng)險評估就是從風(fēng)險管理角度，運用科學(xué)的分析方法和手段，系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，以防范和化解風(fēng)險，或者將殘余風(fēng)險控制在可接受的水平，從而最大限度地保障網(wǎng)絡(luò)與信息安全。

2．網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析

“網(wǎng)絡(luò)信息的安全”從狹義的字面上來講就是網(wǎng)絡(luò)上各種信息的安全，而從廣義的角度考慮，還包括整個網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲、傳輸?shù)仁褂眠^程的安全。

網(wǎng)絡(luò)信息安全具有如下6個特征：（1）　保密性。即信息不泄露給非授權(quán)的個人或?qū)嶓w。（2）完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。（3）可用性。即能保證合法的用戶正常訪問相關(guān)的信息。（4）可控性。即信息的內(nèi)容及傳播過程能夠被有效地合法控制。（5）可審查性。即信息的使用過程都有相關(guān)的記錄可供事后查詢核對。網(wǎng)絡(luò)信息安全的研究內(nèi)容非常廣泛，根據(jù)不同的分類方法可以有多種不同的分類。研究內(nèi)容的廣泛性決定了實現(xiàn)網(wǎng)絡(luò)信息安全問題的復(fù)雜性。

而通過有效的網(wǎng)絡(luò)信息安全風(fēng)險因素分析，就能夠為此復(fù)雜問題的解決找到一個考慮問題的立足點，能夠?qū)?fù)雜的問題量化，同時，也為能通過其他方法如人工智能網(wǎng)絡(luò)方法解決問題提供依據(jù)和基礎(chǔ)。

網(wǎng)絡(luò)信息安全的風(fēng)險因素主要有以下6大類：（1）自然界因素，如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等；（2）社會因素，主要是人類社會的各種活動，如暴力、戰(zhàn)爭、盜竊等；（3）網(wǎng)絡(luò)硬件的因素，如機房包括交換機、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響；（4）軟件的因素，包括機房設(shè)備的管理軟件、機房服務(wù)器與用戶計算機的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等；（5）人為的因素，主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來的影響因素，如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等；（6）其他因素，包括政府職能部門的監(jiān)管因素、有關(guān)部門對相關(guān)法律法規(guī)立法因素、教育部門對相關(guān)知識的培訓(xùn)因素、宣傳部門對相關(guān)安全內(nèi)容的宣傳因素等。這些因素對于網(wǎng)絡(luò)信息安全均會產(chǎn)生直接或者間接的影響。

3．安全風(fēng)險評估方法

3.1　定制個性化的評估方法

雖然已經(jīng)有許多標準評估方法和流程，但在實踐過程中，不應(yīng)只是這些方法的套用和拷貝，而是以他們作為參考，根據(jù)企業(yè)的特點及安全風(fēng)險評估的能力，進行“基因”重組，定制個性化的評估方法，使得評估服務(wù)具有可裁剪性和靈活性。評估種類一般有整體評估、IT安全評估、滲透測試、邊界評估、網(wǎng)絡(luò)結(jié)構(gòu)評估、脆弱性掃描、策略評估、應(yīng)用風(fēng)險評估等。

3.2　安全整體框架的設(shè)計

風(fēng)險評估的目的，不僅在于明確風(fēng)險，更重要的是為管理風(fēng)險提供基礎(chǔ)和依據(jù)。作為評估直接輸出，用于進行風(fēng)險管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異，加上在操作層面可參考的模板很少，使得整體框架應(yīng)用較少。但是，企業(yè)至少應(yīng)該完成近期　1～2　年內(nèi)框架，這樣才能做到有律可依。

3.3　多用戶決策評估

不同層面的用戶能看到不同的問題，要全面了解風(fēng)險，必須進行多用戶溝通評估。將評估過程作為多用戶“決策”過程，對于了解風(fēng)險、理解風(fēng)險、管理風(fēng)險、落實行動，具有極大的意義。事實證明，多用戶參與的效果非常明顯。多用戶“決策”評估，也需要一個具體的流程和方法。

3.4　敏感性分析

由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián)，使得風(fēng)險越來越隱蔽。要提高評估效果，必須進行深入關(guān)聯(lián)分析，比如對一個老漏洞，不是簡單地分析它的影響和解決措施，而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞，找出病“根”，開出有效的“處方”。這需要強大的評估經(jīng)驗知識庫支撐，同時要求評估者具有敏銳的分析能力。

3.5　集中化決策管理

安全風(fēng)險評估需要具有多種知識和能力的人參與，對這些能力和知識的管理，有助于提高評估的效果。集中化決策管理，是評估項目成功的保障條件之一，它不僅是項目管理問題，而且是知識、能力等“基因”的組合運用。必須選用具有特殊技能的人，去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺審計和滲透性測試，由不具備攻防經(jīng)驗和知識的人執(zhí)行，就達不到任何效果。

3.6　評估結(jié)果管理

安全風(fēng)險評估的輸出，不應(yīng)是文檔的堆砌，而是一套能夠進行記錄、管理的系統(tǒng)。它可能不是一個完整的風(fēng)險管理系統(tǒng)，但至少是一個非常重要的可管理的風(fēng)險表述系統(tǒng)。企業(yè)需要這樣的評估管理系統(tǒng)，使用它來指導(dǎo)評估過程，管理評估結(jié)果，以便在管理層面提高評估效果。

4．風(fēng)險評估的過程

4.1　前期準備階段

主要任務(wù)是明確評估目標，確定評估所涉及的業(yè)務(wù)范圍，簽署相關(guān)合同及協(xié)議，接收被評估對象已存在的相關(guān)資料。展開對被評估對象的調(diào)查研究工作。

4.2　中期現(xiàn)場階段

編寫測評方案，準備現(xiàn)場測試表、管理問卷，展開現(xiàn)場階段的測試和調(diào)查研究階段。

4.3　后期評估階段

撰寫系統(tǒng)測試報告。進行補充調(diào)查研究，評估組依據(jù)系統(tǒng)測試報告和補充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險評估報告。

5．風(fēng)險評估的錯誤理解

（1）　不能把最終的系統(tǒng)風(fēng)險評估報告認為是結(jié)果唯一。

（2）不能認為風(fēng)險評估可以發(fā)現(xiàn)所有的安全問題。

（3）　不能認為風(fēng)險評估可以一勞永逸的解決安全問題。

（4）不能認為風(fēng)險評估就是漏洞掃描。

（5）不能認為風(fēng)險評估就是　IT部門的工作，與其它部門無關(guān)。

（6）　不能認為風(fēng)險評估是對所有信息資產(chǎn)都進行評估。

6．結(jié)語

總之，風(fēng)險評估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險。風(fēng)險評估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過風(fēng)險評估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分，是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強信息安全風(fēng)險評估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求，但是，信息安全評估工作的實施也存在一定的難題，涉及信息安全評估的行業(yè)或系統(tǒng)各不相同，并不是所有的評估方法都適用于任何一個行業(yè)，要選擇合適的評估方法，或開發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評估方法，是當(dāng)前很現(xiàn)實的問題，也會成為下一步研究的重點。

參考文獻：

[1] 剛 , 吳昌倫. 信息安全風(fēng)險評估的策劃[J]. 信息技術(shù)與標準化 , 2004,(09)

[2] 賈穎禾. 信息安全風(fēng)險評估[J]. 中國計算機用戶 , 2004,(24)

[3] 楊潔. 層次化的企業(yè)信息系統(tǒng)風(fēng)險分析方法研究[J]. 軟件導(dǎo)刊 , 2007,(03)

[4] 楊晨. 建立健全信息安全風(fēng)險評估工作機制勢在必行——信息安全專家趙戰(zhàn)生訪談[J]. 當(dāng)代通信 , 2004,(22)

篇4

10月8日，美國眾議院情報委員會報告稱，總部設(shè)在中國深圳的華為和中興通訊，有可能對美國國家安全構(gòu)成威脅，并建議美國禁止兩家公司在美展開業(yè)務(wù)。此后1個多月時間里，相關(guān)各方展開激烈的論辯沖撞，至今尚未有最終結(jié)論。

隨著此事的進一步發(fā)酵，一場關(guān)于中國信息安全的反思也悄然漸起。通過美國立法、政府部門與企業(yè)在此事中的種種作為，行業(yè)人士認為，中國信息安全亦處于威脅中，且需要從制度、監(jiān)管等各個環(huán)節(jié)進行調(diào)整。

美國之鑒

“華為中興在美國受到調(diào)查的事件教育了我們，要重新調(diào)查技術(shù)標準、法律法規(guī)，以及監(jiān)管機構(gòu)和電信運營商在網(wǎng)絡(luò)信息安全中的角色和作用，建立起安全的防護墻。”11月14日，電信專家陳金橋向《財經(jīng)國家周刊》記者表示。

在這一事件爆發(fā)后，多個領(lǐng)域的專家，一直對于中美兩國公司在對方市場受到的不對等待遇表示不滿。外界普遍認為，此次調(diào)查的主要推動力并不是美國政府，而更多是在大選年背景下，思科等公司與一些政客假國家信息安全之名，蓄謀打擊競爭對手的手段。

但不論如何，在此過程中，美國從調(diào)查、立法到政府介入的各個環(huán)節(jié)，都已經(jīng)形成一個通暢的體系，這值得中國借鑒。

“比如，美國對中興與華為的調(diào)查，并不是政府進行的，而是眾議院下屬的情報委員會。”一位深度參與此次事件的設(shè)備廠商人士說，“這份報告本身沒有任何的法律約束力，但如果報告通過議會，則可能迅速演變?yōu)榱⒎ǎ瑥亩纬梢粋€堅固壁壘。”

與之對應(yīng)的是，中國對外資廠商的信息安全監(jiān)管卻并未在立法層面建立類似的機制。這就導(dǎo)致在面臨信息安全威脅或國際摩擦?xí)r，政府干預(yù)會破壞規(guī)則或被人指責(zé)，不干預(yù)則無法形成有效的防范或?qū)梗瑥亩萑雰呻y的困局。

就此，多位接受采訪的專家建議，中國應(yīng)考慮效法美國，在人大下設(shè)常態(tài)化的外國投資審查委員會，并對相關(guān)企業(yè)進行審查監(jiān)督。

與此同時，基礎(chǔ)網(wǎng)絡(luò)建設(shè)層面相關(guān)法規(guī)的缺失，也導(dǎo)致中國網(wǎng)絡(luò)安全無法得到充分保障。雖然早在2003年，中國就出臺第一部信息安全綱領(lǐng)性文件《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號文），但直到現(xiàn)在，信息安全依然缺少一個完整保障信息安全的法律體系。

《財經(jīng)國家周刊》從工信部獲悉，工信部信息安全協(xié)調(diào)司經(jīng)過2011年的專項調(diào)研，已于2012年上半年曾形成相關(guān)報告。報告表示，僅在涉及個人信息保護方面，相關(guān)法規(guī)條文就已經(jīng)眾多，其中涉及個人信息保護的法律有將近40部、最高人民法院出臺10條個人信息保護相關(guān)的司法解釋、國務(wù)院的有關(guān)個人信息保護的法規(guī)約有30部、而各大部委頒布的相關(guān)部門條例、管理辦法、規(guī)定，更是多達近200部，這還不包括各省級以下政府頒布的區(qū)域性政策和規(guī)定。

然而，這些文件大多是針對具體問題，在總體上，個人信息保護領(lǐng)域的法律法規(guī)，卻仍然不成體系，對基礎(chǔ)網(wǎng)絡(luò)建設(shè)信息安全領(lǐng)域保護，更是缺少明確的、體系化的法律文本。

《財經(jīng)國家周刊》從工業(yè)和信息化部（下稱“工信部”）相關(guān)部門獲得的資料表明，工信部2011年已經(jīng)啟動信息保護立法調(diào)研和研究工作，并約談了包括百度、騰訊等諸多互聯(lián)網(wǎng)公司。

監(jiān)管調(diào)整

降了立法層面之外，專家也建議，中國應(yīng)建立更加立體化的國家網(wǎng)絡(luò)信息安全評估保障機制。

一位資深行業(yè)人士說，中國一直沒有真正著手信息安全體系，更多是由于歷史原因。

“就最基礎(chǔ)的通信設(shè)備和網(wǎng)絡(luò)設(shè)備來說，中國最早是沒有自己的工業(yè)基礎(chǔ)的，在上個世紀90年代以前，基本上都是依賴進口，而且在早期我們還處于大發(fā)展階段，每年都需要興建大量的網(wǎng)絡(luò)，在那個階段，對系統(tǒng)設(shè)備的要求基本上只有最低的要求：能用就行。”該人士說，雖然當(dāng)年的信產(chǎn)部及后來的工信部，都設(shè)立了入網(wǎng)檢測機構(gòu)與檢測程序，但這一程序也更多是對于設(shè)備可用性的檢測，對信息安全的評估并沒有提到最為重要的等級。

但隨著時代變化，當(dāng)各國的信息通信流量爆漲，并全面滲透進入政府、軍事、商業(yè)、工業(yè)與公眾服務(wù)的各個環(huán)節(jié)之后，信息安全的作用變得日益重要。

“信息安全關(guān)系到國家的政治安全、經(jīng)濟安全、文化安全、國防安全和社會穩(wěn)定，尤其網(wǎng)絡(luò)信息安全已經(jīng)成為事關(guān)國家安全的第一安全，信息技術(shù)產(chǎn)業(yè)的發(fā)展也就直接關(guān)系對國家安全的基本保障能力。”工信部軟件與集成電路促進中心主任邱善勤說，當(dāng)前，世界各國都將信息技術(shù)和信息安全的自主可控能力與維護國家安全的能力緊密聯(lián)系在一起，控制與反控制的斗爭甚至已經(jīng)對國與國之間的外交、經(jīng)貿(mào)等關(guān)系產(chǎn)生了重要影響。

與此同時，信息安全事故的破壞性越來越大，信息安全問題也越來越成為焦點。近兩年來，微軟、亞馬遜、谷歌等企業(yè)紛紛發(fā)生重大信息安全事故，“震網(wǎng)”病毒更給伊朗造成巨大損失。信息安全事故頻發(fā)，也引起了各國政府的高度重視。比如在美國，奧巴馬將網(wǎng)絡(luò)安全問題視為最嚴重的國家經(jīng)濟和國家安全挑戰(zhàn)之一，提出將數(shù)字基礎(chǔ)設(shè)施視為國家戰(zhàn)略資產(chǎn)予以保護，并組建了網(wǎng)絡(luò)戰(zhàn)司令部。日本則通過了《保護國民信息安全戰(zhàn)略》，重點加強鐵路、金融系統(tǒng)重要信息基礎(chǔ)設(shè)施的安全防范。

“這也是為什么利益相關(guān)方以信息安全為借口指控中興華為時，美國各方立刻高度緊張的原因。”前文提及資深行業(yè)人士說。

問題在于，由于過去在開放環(huán)境下的高速發(fā)展，中國過去是既沒有行業(yè)標準，也沒有法律要求，沒有合格的檢測機構(gòu)，對于信息安全成體系的評估監(jiān)管，尤其在設(shè)備領(lǐng)域，幾乎是一個空白。該人士說，在此過程中，過去政府對行業(yè)基本沒有做強制性的規(guī)范，也缺乏強制手段和檢測手段，而是把權(quán)放給了基礎(chǔ)運營商，但在商業(yè)環(huán)境下，運營商所進行的檢測乃至防范往往會不自覺地放松要求。

“所以，中國現(xiàn)在除了繼續(xù)開放市場，積極與海外廠商合作外，也要注意保護與捍衛(wèi)自己的核心利益與國家安全，重新改變政府與企業(yè)過去在對信息安全體系中的定位和分工。”陳金橋認為。

據(jù)《財經(jīng)國家周刊》了解，中國從決策層到各個部委，在此之前就已開始意識到相關(guān)的風(fēng)險，并開始考慮如何要進一步強化信息安全領(lǐng)域的管理，包括來自物理網(wǎng)絡(luò)層面的國家安全和來自互聯(lián)網(wǎng)傳輸過程中的個人信息安全。

威脅仍在

《財經(jīng)國家周刊》獲得的一份資料表明，以思科、微軟等為主的美國IT公司，仍然占據(jù)著中國基礎(chǔ)網(wǎng)絡(luò)核心。

目前，中國市場仍是思科全球范圍內(nèi)唯一沒有占據(jù)壟斷地位的區(qū)域市場，但這一市場主要份額，仍被思科和H3C兩個美國公司占據(jù)。2011年，H3C銷售收入14.6億美元，而思科在華收入略低于H3C，約占思科全球收入3%。但有報道稱，思科中國業(yè)務(wù)的利潤高達思科整體利潤的30%。

《財經(jīng)國家周刊》獲得的文件表明，思科網(wǎng)絡(luò)設(shè)備廣泛應(yīng)用于中國信息網(wǎng)絡(luò)關(guān)鍵領(lǐng)域，包括運營商骨干網(wǎng)絡(luò)、醫(yī)療網(wǎng)絡(luò)、航空和交通網(wǎng)絡(luò)，乃至金融網(wǎng)絡(luò)、政府網(wǎng)絡(luò)，甚至于軍隊網(wǎng)絡(luò)。

“值得警惕的是，包括思科、微軟等在內(nèi)的大多數(shù)美國公司，在中國占據(jù)了龐大的市場份額和商業(yè)機會的同時，一直沒有向中國政府開放相關(guān)源代碼，而這些美國公司在中國信息網(wǎng)絡(luò)的關(guān)鍵領(lǐng)域，同樣長期占有較大份額。”中國通信標準化協(xié)會理事、邁普通信CEO肖志輝對《財經(jīng)國家周刊》表示，“中國政府應(yīng)當(dāng)為自身安全考慮，未來應(yīng)對包括思科、微軟在內(nèi)的美國公司予以相應(yīng)審查，以防范關(guān)鍵信息被竊取的事件繼續(xù)發(fā)生。”

與此同時，正在興起的云計算業(yè)務(wù)中也存在類似風(fēng)險。一位行業(yè)人士說，中小企業(yè)如果沒有主機系統(tǒng)，只有一個服務(wù)的平臺，大量的經(jīng)濟信息與商業(yè)秘密就會成半狀態(tài)呈現(xiàn)在云服務(wù)器上。為此，歐盟此前就有要求，在12到18個月之內(nèi)，所有入云中小企業(yè)的信息都必須全部刪除，而且不允許跨境傳播。但外國的技術(shù)商向中國客戶提供這一服務(wù)時，卻一直在掩蓋這一事實。

篇5

一、如何看待安全預(yù)算

安全預(yù)算是各類企事業(yè)單位為保護信息資產(chǎn)，保證自身可持續(xù)發(fā)展而投入的資金，是一種預(yù)防行為。安全預(yù)算多少合適，是不是投入得太多了？雖然安全問題越來越受到重視，但是網(wǎng)絡(luò)安全事件仍然是呈現(xiàn)遞增趨勢。從安全預(yù)算角度分析原因：一是預(yù)算不足；二是預(yù)算不到位。

在國外，安全投入占企業(yè)基礎(chǔ)建設(shè)投入的5%～20%，這人比例在中國的企事業(yè)中卻很少超過2%。從風(fēng)險的角度看，就是要平衡成本與風(fēng)險之間的關(guān)系，用一百萬美金保護三十萬的資產(chǎn)，顯然是不可接受的，但是如果資產(chǎn)的價值超過了一千萬美金，產(chǎn)生的效益就顯而易見，目前用一個量化的方法來計算信息化建設(shè)對于戰(zhàn)略發(fā)展的貢獻確實比較難。一年下來，并沒有發(fā)生重大的信息安全事件，年初的安全預(yù)算可能就會被質(zhì)疑投入太多了；如果發(fā)生了不可接受的安全事件，那就成了預(yù)算部門的責(zé)任。安全預(yù)算到底夠不夠？我們可以通過宏觀的情況來分析一下風(fēng)險與成本的關(guān)系，每年全球因安全問題導(dǎo)致的網(wǎng)絡(luò)損失已經(jīng)可以用萬億美元的數(shù)量級來計算，我國也有數(shù)百億美元的經(jīng)濟損失，然而安全方面的投入?yún)s不超過幾十億美元。由此可以看出，我國整體信息化建設(shè)，安全預(yù)算不足。

一個單位在安全方面投入了很多，但是仍然發(fā)生“不可接受的”信息安全事故。信息安全理論中有名的木桶理論，很好的解釋了這種現(xiàn)象。如很多企業(yè)每年在安全產(chǎn)品上投入大量資金，但是卻不關(guān)注內(nèi)部人員的考察、安全產(chǎn)品有效性的審核等安全要素，缺乏系統(tǒng)的、科學(xué)的管理體系支持，都是導(dǎo)致這種結(jié)果產(chǎn)生的原因。

二、 科學(xué)制定安全預(yù)算

信息安全的預(yù)算如何制定？其實要解決的就是預(yù)算多少和怎么用的問題。說安全預(yù)算難做，一是因為信息安全涉及到很多方面的問題，例如：人員安全、物力安全、訪問控制、符合法律法規(guī)等等。二是很難依據(jù)某種科學(xué)的量化的輸入得出具體的預(yù)算費用。安全預(yù)算是否合理，應(yīng)該關(guān)注以下幾個方面：（1）是否“平衡”了成本與風(fēng)險的關(guān)系；（2）是否真正用于降低或者消除信息安全風(fēng)險，而不是引入了新的不可接受風(fēng)險；（3）被關(guān)注的風(fēng)險是否具有較高的優(yōu)先等級。

信息安全風(fēng)險評估恰恰解決了以上問題，通過制定科學(xué)的風(fēng)險評估方法、程序，對那些起到關(guān)鍵作用的信息和信息資產(chǎn)進行評估，得出面臨的風(fēng)險，然后針對不同風(fēng)險制定相應(yīng)的處理計劃，提出所需要的資源，從而利用風(fēng)險評估輔助安全預(yù)算的制定。

三、 風(fēng)險評估過程

目前國際和國內(nèi)都有一些比較成熟的風(fēng)險評估標準及指南，通常包括下述幾個過程：（1） 確定評估的范圍、目的、評估組、評估方法等；（2）識別評估范圍內(nèi)的信息資產(chǎn)；（3）識別對于這些資產(chǎn)的威脅；（4）識別可能利用這些威脅的薄弱點；（5）識別信息資產(chǎn)的損失給單位帶來的影響；（6）識別威脅時間發(fā)生的可能性；（7）根據(jù)“影響”及“可能性”計算風(fēng)險；（8）確定風(fēng)險等級及可接受風(fēng)險的等級。