風險評估的一般工作流程可以大概地分為如下九個步驟：

1. 對信息系統特征進行描述，也就是分析信息系統本身的特征以及確定信息系統在組織中的業務戰略。對信息系統本身的特征，包括軟件、硬件、系統接口、數據和信息、人員和系統的使命，都要有清楚地描述。這個步驟需要產生一系列的文檔，包括系統邊界、系統功能的描述、系統和數據的關鍵性描述、系統和數據的敏感性描述（數據和系統本身的重要程度，在整個組織里占據什么地位）。

2. 識別評估系統所面臨的威脅。分析內容包括系統被攻擊的歷史和來自信息咨詢機構和大眾信息的數據。比如，網上銀行系統，根據一些信息咨詢機構和媒體、網絡銀行范圍和手段，以這些信息作為基礎，對系統所面臨的威脅進行標志和分類。這個步驟需要輸出一系列的威脅說明，系統可能遭受什么樣的威脅，包括天災人禍、管理上的威脅和人員上的威脅等，都需要按照規范做出威脅程度和性質的說明。

3. 對內在的脆弱性進行識別。脆弱性識別包括：以前風險評估的報告和新的風險評估需要參考以前的風險評估報告，因為，以前的脆弱性可能是系統固有的；同時來源于安全檢查過程中，提出的一些整改意見和安全漏洞；以及根據組織本身已有的安全要求和安全期限（Deadline），在系統上線和運行的過程中進行安全測試，如漏洞掃描等。這個步驟還需要輸出可能的脆弱性列表，對系統本身的可能脆弱性進行歸一化整理。

4. 分析當前和規劃中的安全防護措施。這個步驟需要輸出當前和規劃中的安全防護措施的分析報告，作為下一步安全防護的依據。

5. 主要目的是確定威脅利用脆弱性對資產發生破壞導致負面影響發生的可能性。這個可能性需要對每一項威脅利用每一個安全事件的可能事件，構建一個安全矩陣，在矩陣上的每一個交點確定可能性的級別。這個步驟需要輸出可能性級別的分析文檔，這個安全事件最有可能發生，或者是基本不可能發生。

6. 分析影響。這個步驟需要分析風險對整個組織的影響，評估資產的關鍵性、數據的關鍵性和數據的敏感性。這個步驟需要輸出影響級別的分析包括，作為影響級別的矩陣，根據影響和可能性的函數，以及安全防護的措施情況，來確定安全風險。最后形成風險分析結果，包括評價縫隙結果和給出風險等級，以及建議風險控制的措施。

7. 確定風險的級別，例如，高風險、低風險，還是其他級別的。

8. 根據所確定的風險的級別，建議和提出相應的安全防護措施。安全措施落實以后，需要進行殘余風險的分析，判斷殘余風險是否可以接受。

9. 對風險評估的整個過程進行結果記錄，這個步驟需要輸出一份完整的風險評估報告。

在實際落實風險評估時，以上各步驟必須通過一個體系化的工作流程，有效、有序地進行。

入侵檢測可以分為基于主機的入侵檢測系統和基于應用程序的入侵檢測系統。

• 基于主機的入侵檢測系統分析的信息源一般有兩種：審計記錄和系統日志。

  • 審計記錄

    審計記錄是操作系統的內核在操作的時候生成的，所以比系統日志有更多和更可靠的信息。

  • 系統日志

    系統日志比審計記錄要少，簡單易懂，處理起來更方便。

• 基于應用程序的入侵檢測系統常用的信息源是應用程序處理的記錄文件。

  • 應用程序處理的記錄文件

    由于了解特定應用程序的行為，還與應用程序有直接接口，基于應用程序的入侵檢測系統可以發現用戶超越自己權限的可疑行為，這是因為這個問題常見于由用戶、數據和應用程序之間的操作引起。

滲透測試工作中需要注意：

• 檢查內網監控防范系統；

• 謹慎使用ARP軟件和大面積掃描軟件；

• 使用目標網絡中無空閑機器，作為打包對象；

• 使用內網大流量機器作為傳輸對象，如wsus服務器、視頻會議系統；

• 使用臨時機器打包、數據傳輸，不要使用已控機器，可利用wmi腳本或wmic遠程操作滲透注意事項；

• 禁止使用psexec.exe；

• 打包時避開用戶工作時間；

• 控制卷包大小 < 100M；

• 選擇用戶常用壓縮軟件；

• 錯峰下載數據；

• 控制傳輸流量；

• 清除所有操作日志；

• 登錄主機前先看看管理員是否在。

Active Directory數據庫是一個事務處理數據庫系統，使用日志文件存儲事務日志，具備“回滾”功能，確保將系統發生異常的時候完成數據的入庫操作。盡管如此，也應時刻做好數據庫信息的備份操作，以免由于硬件損壞或其他故障導致用戶信息丟失。在Active Directory中，存儲的數據包含有數據庫文件和管理用戶，服務和應用程序的目錄信息的數據庫文件和進程。

Active Directory數據庫組件包括以下三個服務組件，四個接口和實際存儲數據的目錄數據庫：

1. 4個接口：Lightweight Directory Access Protocol (LDAP), replication (REPL) and domain controller management interface, Messaging API (MAPI), Security Accounts Manager (SAM)) 主要是提供給客戶端與服務器端的交流。

2. Directory System Agent (DSA) (Ntdsa.dll) DSA在每個域控制器上作為Ntdsa.dll運行，提供客戶端和其他服務器通過其訪問目錄數據庫的接口。

3. Database layer 數據庫層是在ntdsa.dll中的，并提供應用程序和目錄數據庫之間的接口，以保護數據庫不與應用程序的直接交互。由于目錄數據庫是扁平的，沒有分層命名空間，因此數據庫層為數據庫提供了對象層次結構的抽象。

4. Extensible Storage Engine (ESE) (Esent.dll) ESE作為Esent.dll運行，管理組成目錄數據庫的記錄表 – 每個記錄包含一個或多個列。

5. Database files 數據存儲將目錄信息存儲在名為Ntds.dit的單個數據庫文件中。 此外，數據存儲還使用日志文件，臨時寫入未提交的事務。

兩者主要區別是審計方法不同，日志審計主要是通過采集信息系統中的系統安全事件、用戶訪問記錄等信息以同一的日志形式集中管理存儲結合日志統計匯總及關聯分析功能來審計；網絡審計是指通過人機結合，對被審計單位的網絡會計信息系統的開發過程及其本身的合規性、可靠性和有效性以及基于網絡的會計信息的真實性、合法性進行遠程審計。

日志審計系統具有以下功能：

• 日志監控：提供日志監控能力，支持對采集器、采集器資產的實時狀態進行監控，支持查看CPU、磁盤、內存總量及當前使用情況；支持查看資產的概覽信息及資產關聯的事件分布；

• 日志采集：提供全面的日志采集能力：支持網絡安全設備、網絡設備、數據庫、windows/linux主機日志、web服務器日志、虛擬化平臺日志以及自定義等日志；提供多種的數據源管理功能：支持數據源的信息展示與管理、采集器的信息展示與管理以及agent的信息展示與管理；提供分布式外置采集器、Agent等多種日志采集方式；支持IPv4、IPv6日志采集、分析以及檢索查詢；

• 日志存儲：提供原始日志、范式化日志的存儲，可自定義存儲周期，支持FTP日志備份以及NFS網絡文件共享存儲等多種存儲擴展方式

• 日志檢索：提供豐富靈活的日志查詢方式，支持全文、key-value、多kv布爾組合、括弧、正則、模糊等檢索；提供便捷的日志檢索操作，支持保存檢索、從已保存的檢索導入見多條件等；

• 日志分析：提供便捷的日志分析操作，支持對日志進行分組、分組查詢以及從葉子節點可直接查詢分析日志；

• 日志轉發：支持原始日志、范式化日志轉發

• 日志事件告警：內置豐富的單源、多源事件關聯分析規則，支持自定義事件規則，可按照日志、字段布爾邏輯關系等方式自定義規則；支持時間的查詢、查詢結果統計以及統計結果的展示等；支持對告警規則的自定義，可設置針對事件的各種篩選規則、告警等級等；

• 日志報表管理：支持豐富的內置報表以及靈活的自定義報表模式，支持編輯報表的目錄接口、引用統計項、設置報表標題、展示頁眉和頁碼、報表配置基本內容（名稱、描述等）；支持實時報表、定時報表、周期性任務報表等方式；支持html，pdf，word格式的報表文件以及報表logo的靈活配置；

網絡安全等級保護做法如下：

1. 定級:確定定級對象→初步確定等級→專家評審→主管部門審批→公安機構備案審查→最終確定的級別。根據等級保護相關管理文件，等級保護對象的安全保護等級一共分五個級別，從一到五級別逐漸升高。等級保護對象的級別由兩個定級要素決定：①受侵害的客體；②對客體的侵害程度。對于關鍵信息基礎設施，“定級原則上不低于三級”，且第三級及以上信息系統每年或每半年就要進行一次測評。

2. 備案:企業最終確定網站的級別以后，就可以到公安機關進行備案。備案所需材料主要是《信息安全等級保護備案表》，不同級別的信息系統需要的備案材料有所差異。

3. 安全整改:整改主要分為管理整改和技術整改。管理整改主要包括:明確主管領導和責任部門，落實安全崗位和人員，對安全管理現狀進行分析，確定安全管理策略，制定安全管理制度等。其中，安全管理策略和制度又包括人員安全管理事件處置、應急響應、日常運行維護設備、介質管理安全監測等。技術整改主要是指企業部署和購買能夠滿足等保要求的產品，比如網頁防篡改、流量監測、網絡入侵監測產品等。

4. 等級測評:根據規定，對信息系統安全等級保護狀況進行的測試應包括兩個方面的內容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在信息系統中的實施配置情況；二是系統整體測評，主要測評分析信息系統的整體安全性。其中，安全控制測評是信息系統整體安全測評的基礎。

5. 監督檢查；企業要接受公安機關不定期的監督和檢查，對公安機關提出的問題予以改進。

IIS Lock Tool是微軟推出的一款傻瓜式的IIS安全設置工具，這款工具是針對IIS的漏洞設計的，系統管理員使用這款工具，可以有效地設置IIS安全屬性，避免被類似紅色代碼病毒和一些黑客的攻擊。

IIS Lock Tool可以在微軟網站下載，下載地址是：

http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32362

安裝很簡單，需要注意的是，安裝以后，程序不會在系統的“程序”菜單出現，也不會在“管理工具”出現，需要安裝者再安裝目錄尋找運行該程序。

IIS Lock Tool使用時需要注意以下方面：

• 使用時應該選擇針對本網站最少的服務，去掉不必要的服務。

• 設置完成以后，建議對網站進行徹底檢查，以確定設置對本網站是否合適。

典型的定性風險分析與評價方法有風險矩陣測量、威脅分級法、風險綜合評價等。

定量方法主要有基于期望損失的風險評估方法與基于期望損失效用的風險評估方法等。

定量的方法的好處就是能夠更好的區分“高損失、低可能性”及“低損失、高可能性”兩種不同安全 事件的風險。

定性方法一般基于一定的定量方法，在定量方法的基礎上進行裁剪和簡化。

以Oracle為例，數據庫漏洞掃描方法有3種：

遠程掃描

• 遠程掃描：是通過遠程網絡訪問的方式，獲取被掃描對象的版本、指紋等信息，判斷是否受漏洞影響。優點是能夠快速、大范圍識別網絡中各系統存在的漏洞，然而在遇到Oracle數據庫這類產品時，其容易產生誤報的缺點也暴露出來。

登錄掃描：登錄掃描分為數據庫登錄掃描和系統登錄掃描。

• 數據庫登錄掃描：這種方式獲取的補丁信息有限，不如系統登錄獲取補丁信息全面，對漏洞掃描產品來講，判斷漏洞存在還有局限。但是登錄數據庫后可以從數據表中查詢到組件等信息。

• 系統登錄掃描：登錄Windows或者Linux，可以全面獲取Oracle數據庫的補丁信息，能夠精準的判斷是否存在漏洞。

蜜罐的分類有以下這些：

• 生產型蜜罐：易于使用，僅捕獲有限的信息，主要部署在內網上，用于發現攻擊警告并盡可能的溯源，甚至反制。

• 研究型蜜罐：主要部署在公網上，用于分析攻擊者行為。是為了收集有關針對不同網絡的黑客社區的動機和策略的信息。研究蜜罐的部署和維護非常復雜，可以捕獲大量信息，主要用于研究、軍事或政府組織。

• 純蜜罐：擁有完整的生產系統，通過使用已安裝在蜜罐的網絡鏈接上的點擊來監視攻擊者的活動。不需要安裝其他軟件。使用純蜜罐，防御機制的隱秘性也可以通過更加可控的機制來確保。

• 高交互蜜罐：可以與攻擊者進行交互。因此，攻擊者可能會被許多服務浪費時間。通過使用虛擬機，可以在單個物理機器上托管多個蜜罐。因此，即使蜜罐受到損害，它也可以更快地恢復。通常，高交互蜜罐通過難以檢測提供更高的安全性，但維護起來很昂貴。如果虛擬機不可用，則必須為每個蜜罐維護一臺物理計算機，這可能過于昂貴。高交互蜜罐也稱作為蜜網。

• 低交互蜜罐：無法與攻擊者進行交互。由于它們消耗的資源相對較少，因此可以在一個物理系統上輕松托管多個虛擬機，虛擬系統的響應時間短，所需的代碼更少，從而降低了虛擬系統安全性的復雜性。

• 實系統蜜罐：最真實的蜜罐，它運行著真實的系統，并且帶著真實可入侵的漏洞，屬于最危險的漏洞，但是它記錄下的入侵信息往往是最真實的。

• 偽系統蜜罐：建立在真實系統基礎上的，但是它最大的特點就是 “平臺與漏洞非對稱性”。

常見的web服務器無非兩種，一種是windows，另一種是Linux。這兩種web服務器的加固無非就是禁用無用賬號、使用強口令、關閉不必要的服務，比如Xinetd服務。設置文件系統的訪問權限，把不想給用戶看的文件或者說重要系統配置文件隱藏，最后就是把日志文件一定一定要隱藏好，無論是windows還是linux，吧系統日志、安全日志隱藏和備份是非常有必要的，應為日志會記錄所有用戶的登陸和操作。日志也可以幫助在服務器被攻擊后溯源和找到攻擊者。

云虛擬主機不是服務器是一種網站的托管服務，其具備高在線率、智能容錯、正版系統、免備份、等多項優勢，特別適用于對網站運行質量有較高要求的用戶，本身并不是一種服務器。服務器是計算機的一種，只不過它比普通計算機運行更快、負載更高、價格更貴。云虛擬主機只是一種具有高度可用的云架構，用戶可以將網絡站點數據存放于云存儲當中，并且云虛擬主機可同時運行在服務器集群的每一個成員節點服務器上。

云虛擬化技術帶來以下這些價值：

• 提高資源利用率：通過虛擬化技術可以將原本一臺機器的資源分配給數臺虛擬化的機器而不犧牲性能，這可以使企業在不增加硬件資源的情況下提供更多的服務能力，即提升了已有資源的利用率。

• 降低成本：由于虛擬化技術實現了資源的邏輯抽象和統一表示。因此，在服務器、網絡及存儲管理等方面都有著突出的優勢，如可以降低管理復雜度，從而有效地控制管理成本，或者可以方便地實現虛擬機在物理機之間的動態遷移，進而實現計算資源或任務的整合，從而通過關停無負載的物理機器而降低運營成本。

• 隔離：雖然虛擬機可以共享一臺計算機的物理資源，但它們彼此之間是完全隔離的，就像它們是不同的物理計算機一樣。因此，在可用性和安全性方面，虛擬環境中運行的應用程序之所以遠優于在傳統的非虛擬化系統中運行的應用程序，隔離就是一個重要的原因。

• 高可用性：傳統的解決方案多為采用雙機熱備（需要購買兩臺服務器、兩套操作系統、兩套數據庫和雙機熱備軟件等）的方式來保證業務的連續性，但是這種方式是以付出昂貴的成本為代價的。通過虛擬化，以軟件的方式實現高可用性的要求，可以把意外宕機的恢復時間降至最低。

• 封裝：所有與虛擬機相關的內容都存儲在文件中，復制和移動虛擬機就像復制和移動普通文件一樣簡單、方便。

• 便于管理：通過虛擬化可以集中式地管理和監控所有的物理服務器和虛擬機，靈活動態地調整和分配虛擬機的運算資源，使一個管理員可以輕松地管理比以前更多的設備而不會造成更大的負擔。

醫療行做好網絡安全等級保護工作的措施有以下幾方面：

• 合理開展系統定級備案工作：醫療行業目前急需落實網絡安全等級保護的系統有兩類，一是傳統核心業務系統，二是新建融合了各種新技術的信息系統。開展網絡安全等級保護工作的第一步就是合理對這些系統進行等級保護定級。在國家衛生健康委員會發布的《互聯網診療管理辦法（試行）》、《互聯網醫院管理辦法（試行）》中，明確提出了互聯網醫院要實施第三級信息安全等級保護等規定。隨著新興技術的發展，等級保護2.0將云計算、大數據、物聯網、工業控制系統、移動互聯等新技術產業也納入了監管行列。

• 常規化風險評估、等級測評工作：醫療機構在完成定級備案工作后，由信息安全管理部門牽頭進行安全建設整改工作，可以自行開展安全評估，或者委托第三方單位開展安全評估工作，依據等級保護標準對評估結果進行差距分析，查看是否符合等級保護基本要求。醫療機構根據各系統的定級情況，安排當年的等級測評工作，按照要求定級為三級及以上的系統每年開展一次測評，選擇公安部推薦目錄中的等級保護測評機構開展安全測評。醫療機構應按照要求常規化風險評估、等級測評工作，做到定期排查系統安全隱患，對于不符合要求項，信息系統運營、使用單位及時開展安全整改。一般現場測評工作需要1周左右時間，測評完成后對未達到安全保護等級要求的問題進行整改，整改時間及程度依據系統安全現狀及經費決定，不涉及購買設備、網絡架構大變動小規模系統需要2周左右時間，總體測評及出具最終符合公安機關要求的測評報告需至少一月時間。

• 強化縱深防御能力：對系統進行了全方位的風險分析，完成了等級保護測評后，就需要對測評中發現的問題進行整改。最快速簡單的整改辦法就是從網絡整體架構出發，完善醫療機構網絡安全建設，配備并配置必要的網絡安全設備，形成縱深防御能力，確保系統中無高風險問題，其次再逐漸修正一些中低風險問題。鑒于醫療行業數據的重要性，做好數據備份、數據加密存儲和傳輸工作，保障醫療數據的安全。

• 風險評估是信息系統安全的基礎性工作

信息安全中的風險評估是傳統的風險理論和方法在信息系統中的運用，是科學地分析和理解信息與信息系統在保密性、完整性、可用性等方面所面臨的風險，并在風險的減少、轉移和規避等風險控制方法之間做出決策的過程。

風險評估將導出信息系統的安全需求，因此，所有信息安全建設都應該以風險評估為起點。信息安全建設的最終目的是服務于信息化，恒其直接目的是為了控制安全風險。

只有在正確、全面地了解和理解安全風險后，才能決定如何處理安全風險，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設等尚題中做出合理的決策。

進一步，持續的風險評估工作可以成為檢查信息系統本身乃至信息系統擁有單位的績效的有力手段，風險評估的結果能夠供相關主管單位參考，并使主管單位通過行政手段對信息系統的立項、投資、運行產生影響，促進信息系統擁有單位加強信息安全建設。

• 風險評估是分級防護和突出重點原則的具體體現

信息安全建設的基本原則包括必須從實際出發，堅持分級防護、突出重點。

風險評估正是這一原則在實際工作中的具體體現。

從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風險總是客觀存在的。

安全是風險與成本的綜合平衡。

盲目追求安全和回避風險是不現實的，也不是分級防護原則所要求的。

要從實際出發，堅持分級防護、突出重點，就必須正確地評估風險，以便采取科學、客觀、經濟和有效的措施。

• 加強風險評估工作是當前信息安全工作的客觀需要和緊迫需求

由于信息技術的飛速發展，關系國計民生的關鍵信息基礎設施的規模越來越大，同時也極大地增加了系統的復染程度。

發達國家越來越重視信息安全風險評估工作，提倡風險評估制度化。他們提出，沒有有效的風險評估，便會導致信息安全需求與安全解決方案的嚴重脫離。因此，美國國家安全局強調“沒有任何事情比解決錯誤的問題和建立錯誤的系統更沒有效率的了。”這些發達國家近年來大力加強了以風險評估為核心的信息系統安全評估工作，并通過法規、標準手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。

在我國目前的國情下，為加強宏觀信息安全管理，促進信息安全保障體系建設，就必須加強風險評估工作，并逐步使風險評估工作朝向制度化的方向發展。

天津等級保護測評機構共有9家：

• 機構名稱：天津市興先道科技有限公司

  認證證書編號：SC202127130010042

  注冊地址：天津濱海高新區塘沽海洋科技園新北路4668號創新創業園內21-B號商務樓中北5020E號

• 機構名稱：恒利德（天津）科技有限公司

  認證證書編號：SC202127130010043

  注冊地址：河東區新開路琛贏大廈2-1202

• 機構名稱：中國民航大學信息安全測評中心

  認證證書編號：SC202127130010044

  注冊地址：天津市東麗區津北公路2898號

• 機構名稱：天津恒御科技有限公司

  認證證書編號：SC202127130010045

  注冊地址：天津市河東區大王莊西錦路17號（津東大廈D408室）

• 機構名稱：天津聯信達軟件技術有限公司

  認證證書編號：SC202127130010046

  注冊地址：天津市和平區南營門街南京路305號經濟聯合中心大廈2107

• 機構名稱：佰運俐（天津）科技發展有限公司

  認證證書編號：SC202127130010047

  注冊地址：天津華苑產業區華天道8號海泰信息廣場E座401-2

• 機構名稱：潤成安全技術有限公司

  認證證書編號：SC202127130010048

  注冊地址：天津市南開區長江道與南開區六馬路交口尚斕苑1#1-805

• 機構名稱：天津順時信息技術有限公司

  認證證書編號：SC202127130010049

  注冊地址：天津市濱海高新區華苑產業區海泰南道18號左岸科技基地9號樓-2-101-1

• 機構名稱：宏信旺（天津）科技發展有限公司

  認證證書編號：SC202127130010052

  注冊地址：天津經濟技術開發區博潤商務廣場1-1412