大数据背景下网络安全问题研究
                    Research on Network Security Issues under the Background of Big Data


             资料时对结论做出判断。
                  同样，在风险分析后的策略选择过程中也要考虑评估范围，应根据组织的安全目
             标决定安全策略的选择范围。不论是调查阶段还是策略选择阶段的范围确定，都需要
             由评估团队提出，并且获得管理层批准后才可以进行下一步活动。

                  4.评估周期控制
                  对不同组织信息系统进行风险评估，评估周期存在很大的差别。评估周期主要取
             决于所要评估的系统规模、复杂度、评估范围以及评估过程中的人员配合情况。在制
             定评估计划时应尽可能考虑所有可能对评估进程造成影响的因素。同时需注意的是，

             风险评估是对信息系统的现状进行风险评价，如果评估周期过长，在完成评估之前系
             统已经发生变化，那么评估结论就失去意义了。通常应该将评估周期控制在半年之
             内，如果发现评估过程可能超过预先制定的计划，那么应该考虑修正评估对象、评估
             方法。

                  5.沟通方式选择
                  过程中各阶段的活动都需要组织人员参与配合，对于风险评估判断所涉及的有
             关系统重要性、综合性影响、威胁因素等评判要素都是与组织密切相关的，而进行各

             项活动都需要组织协调与确认。因此，与组织及时进行沟通、交流是风险评估最终结
             果顺利达成的保证措施。另外，在评估过程中，评估团队成员之间也需要进行信息交
             流，对问题的不同意见进行讨论并达成一致，及时通报活动进展情况等。
                  沟通形式可以根据沟通的目的选择诸如沟通会议、讨论会、E-mail、电话等方
             式。沟通会议的规模和数量没有固定的要求，可以是两三个人，也可以是评估团队和

             组织各方人员参与。相比于只有两个部门的小型组织，大型组织需要更多数量的沟通
             会议。讨论会主要用于评估团队内部的沟通，形式相对正式的沟通会议显得更为随
             意。而E-mail和电话则在人员不方便面对面交流的情况下经常采用的沟通形式。

                  不管采取何种方式进行沟通，重要的是沟通的结果，而不是形式和数量。
                  6.评估工具选择
                  在风险评估过程中使用评估工具可以提高工作效率和准确率，但是选择评估工
             具，尤其是各种测试工具时需要持谨慎的态度。测试工具主要包括系统漏洞扫描工

             具、渗透性测试工具等。由于这些工具的工作原理是模拟入侵者对系统进行攻击的方
             式对信息系统进行入侵尝试，虽然其攻击性较实际入侵行为有所控制，但是不可避免
             地会对系统性能造成一定的影响。对于那些需要保持信息系统连续运行的组织，由于
             使用测试工具所带来的负面作用会对组织业务构成潜在的威胁，应避免使用此类工

             具，而是采取人工检查配置等方式进行替代。如果一定要进行测试，必须对测试所带
             来的后果进行论证，在获得组织确认后实施活动。


             • 56 •