» 第二章  信息安全工程实践应用



                   （4）数据库系统
                   账户、密码设置情况；数据库使用情况，存储、备份方法；和其他进程的交互情
               况；数据库系统固有的漏洞；日志审计情况。
                   （5）应用的评估
                   对通用的应用给出评估报告（Web服务、FTP服务以及其他应用）；其他系统与

               系统协商给出评估目标。
                   （6）数据获取手段
                   流程调查、技术资料、资料分析、工具分析、现场检查、相关人员问询、会

               议等。
                   （7）工具
                   授权书、服务确认书、设备、系统检查记录，漏洞扫描工具（网络、数据库、通
               用应用系统）、完整性检查工具、网管软件、流量分析工具、数据汇总处理工具。

                   为确保信息系统的可用性，对调查分析的过程进行周密的规划和协调，作出详细
               的计划，尽量减少对系统和工作人员的影响；在进行可能对系统造成影响的活动前，
               取得受评估方的书面授权。

                   （三）风险分析阶段
                   综合人员调查与技术调查的结果，结合组织的安全需求、量化标准、专业的安全
               知识及经验对调查的数据进行量化处理与统计分析，识别出组织面临的风险，并以各
               种可用的方式进行表述。
                   本阶段的主要工作包括：

                   ●安全需求分析。
                   ●系统威胁分析。
                   ●系统脆弱性分析。

                   ●控制措施有效性分析。
                   ●系统影响分析。
                   ●综合评估。
                   （四）策略选定阶段

                   本阶段根据组织的安全需求以及风险分析结论，为组织推荐可供使用的安全保护
               策略，包括安全管理策略、安全运行策略和安全体系规划。
                   1.制定安全保护策略
                   根据组织的信息安全需求，依据风险分析阶段得出的组织信息系统的风险状况，

               参考相关的安全标准，为组织制定信息安全方面的保护策略。通过保护策略规划组织
               的信息安全整体架构，为下一步实施风险控制措施提供指导。


                                                                                          • 53 •