如何規(guī)避測(cè)評(píng)風(fēng)險(xiǎn),濟(jì)南辦理等保的好處
網(wǎng)絡(luò)安全測(cè)評(píng)行業(yè)是一個(gè)極具挑戰(zhàn)性的行業(yè)�,整個(gè)測(cè)評(píng)流程不單單局限于技術(shù)層面,還涉及單位的管理層面���,整個(gè)測(cè)評(píng)工作的生命周期內(nèi)會(huì)出現(xiàn)各種各樣的問(wèn)題,如何管理和規(guī)避測(cè)評(píng)工作中的風(fēng)險(xiǎn)����,成為測(cè)評(píng)工作是否取得成功的關(guān)鍵。
1、常見(jiàn)風(fēng)險(xiǎn)
等級(jí)測(cè)評(píng)實(shí)施過(guò)程中�,可能出現(xiàn)以下幾方面的情況。
(1)驗(yàn)證測(cè)試影響系統(tǒng)正常運(yùn)行
在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)����,需要對(duì)設(shè)備和系統(tǒng)進(jìn)行一定的驗(yàn)證測(cè)試工作,部分測(cè)試內(nèi)容需要上機(jī)查看一些信息���,這就可能對(duì)系統(tǒng)的運(yùn)行造成一定的影響��,甚至存在誤操作的可能�。
(2)工具測(cè)試影響系統(tǒng)正常運(yùn)行
在現(xiàn)場(chǎng)測(cè)評(píng)時(shí)����,會(huì)使用一些技術(shù)測(cè)試工具進(jìn)行漏洞掃描測(cè)試、性能測(cè)試甚至抗?jié)B透能力測(cè)試��。測(cè)試可能會(huì)對(duì)系統(tǒng)的負(fù)載造成一定的影響��,漏洞掃描測(cè)試和滲透測(cè)試可能對(duì)服務(wù)器和網(wǎng)絡(luò)通訊造成一定影響甚至傷害����。
(3)敏感信息泄露
泄露被測(cè)系統(tǒng)狀態(tài)信息,如網(wǎng)絡(luò)拓?fù)?����、IP地址、業(yè)務(wù)流程��、安全機(jī)制����、安全隱患和有關(guān)文檔信息�。
(4)測(cè)評(píng)工作進(jìn)度風(fēng)險(xiǎn)
由于測(cè)評(píng)涉及范圍廣,測(cè)評(píng)進(jìn)度的控制絕非易事�,不僅取決公司的技術(shù)能力,服務(wù)水平�,同時(shí)在很大程度上受到對(duì)范圍控制是否有效、對(duì)測(cè)評(píng)投入(包括人員時(shí)間的投入和資金等的投入)是否足夠等方面的影響����。在實(shí)際實(shí)施過(guò)程中,并非所有用戶對(duì)本次安全等級(jí)測(cè)評(píng)測(cè)評(píng)實(shí)施理解與認(rèn)同�,因此,在測(cè)評(píng)實(shí)施時(shí)����,可能一味在測(cè)評(píng)進(jìn)度計(jì)劃時(shí)求快,甚或刻意追求某個(gè)具有特殊意義的日期作為測(cè)評(píng)里程碑����,將對(duì)測(cè)評(píng)進(jìn)度控制造成很大壓力�。當(dāng)然�,可能由于種種原因,如測(cè)評(píng)環(huán)境不具備��、人員沒(méi)有到位�����,測(cè)評(píng)工具問(wèn)題等�,造成測(cè)評(píng)進(jìn)度拖延。
(5)測(cè)評(píng)工作中人力資源的風(fēng)險(xiǎn)
測(cè)評(píng)工作主要由不同崗位的測(cè)評(píng)人員對(duì)單位網(wǎng)路產(chǎn)品���、安全產(chǎn)品�����、系統(tǒng)產(chǎn)品及管理進(jìn)行的安全合規(guī)性檢查活動(dòng)���。人力資源是測(cè)評(píng)實(shí)施過(guò)程中最為關(guān)鍵的資源。保證合適的人員以足夠的精力參與到測(cè)評(píng)中來(lái)����,是測(cè)評(píng)成功實(shí)施的基本保證����。
(6)測(cè)評(píng)范圍風(fēng)險(xiǎn)
合同中測(cè)評(píng)范圍與實(shí)際實(shí)施過(guò)程中項(xiàng)目的結(jié)構(gòu)規(guī)模有誤而造成的����。
(7)測(cè)評(píng)質(zhì)量風(fēng)險(xiǎn)
由于在項(xiàng)目建設(shè)過(guò)程中未確立標(biāo)準(zhǔn)的質(zhì)量考核體系以及對(duì)質(zhì)量指標(biāo)監(jiān)控不嚴(yán)造成的。
(8)對(duì)測(cè)評(píng)認(rèn)識(shí)不正確的風(fēng)險(xiǎn)
測(cè)評(píng)實(shí)施過(guò)程中�,被測(cè)系統(tǒng)單位人員往往對(duì)測(cè)評(píng)本身不夠重視��,沒(méi)有詳盡地描述系統(tǒng)的基本安全狀況���,現(xiàn)場(chǎng)測(cè)評(píng)的訪談環(huán)節(jié)沒(méi)有對(duì)測(cè)評(píng)人員的需求給予明確的解答����,這樣導(dǎo)致在測(cè)評(píng)過(guò)程中訪談和工具測(cè)試結(jié)果不吻合�,使得測(cè)評(píng)結(jié)果不能反映系統(tǒng)存在的問(wèn)題,甚至被測(cè)評(píng)單位不認(rèn)可最后的測(cè)評(píng)報(bào)告����。
(9)對(duì)實(shí)際環(huán)境不熟悉的風(fēng)險(xiǎn)
由于用戶的網(wǎng)絡(luò)環(huán)境及應(yīng)用會(huì)由一定的差別,而且大部分網(wǎng)絡(luò)應(yīng)用是由軟件開(kāi)發(fā)商開(kāi)發(fā)���,不同的開(kāi)發(fā)商所使用的開(kāi)發(fā)工具�、數(shù)據(jù)庫(kù)、協(xié)議等都不相同��,并且網(wǎng)絡(luò)設(shè)備如交換機(jī)����、路由器也不盡相同,這就對(duì)測(cè)評(píng)的實(shí)施提出了很高的要求��,各類設(shè)備的配置不可能千篇一律�����,要按實(shí)際環(huán)境而調(diào)整���。
2���、風(fēng)險(xiǎn)規(guī)避
風(fēng)險(xiǎn)規(guī)避,是指針對(duì)網(wǎng)絡(luò)安全測(cè)評(píng)工作中可能出現(xiàn)的風(fēng)險(xiǎn)�����,對(duì)風(fēng)險(xiǎn)進(jìn)行應(yīng)對(duì)和規(guī)劃�,降低威脅的方法和行動(dòng)。不論什么風(fēng)險(xiǎn)���,最后都是降低消極風(fēng)險(xiǎn)�����,提高積極風(fēng)險(xiǎn)�,才能使工作順利有序進(jìn)行。針對(duì)測(cè)評(píng)過(guò)程可以采取以下措施進(jìn)行規(guī)避風(fēng)險(xiǎn)�����。
(1)制定測(cè)評(píng)計(jì)劃書(shū)
充分考慮各種潛在因素���,適當(dāng)留有余地;任務(wù)分解詳細(xì)度適中���,便于考核�;在執(zhí)行過(guò)程中�,強(qiáng)調(diào)測(cè)評(píng)按進(jìn)度執(zhí)行的重要性,在考慮任何問(wèn)題時(shí)�����,都將保持進(jìn)度作為先決條件���;同時(shí)�����,合理利用趕工及快速跟進(jìn)等方法��,充分利用資源����。
(2)制定質(zhì)量管理計(jì)劃
定義出項(xiàng)目各子系統(tǒng)需要滿足的質(zhì)量標(biāo)準(zhǔn),對(duì)測(cè)評(píng)各階段的輸出文檔����、測(cè)評(píng)記錄數(shù)據(jù)幾方面進(jìn)行控制,記錄備案并以文件的形式下達(dá)���,降低風(fēng)險(xiǎn)發(fā)生的概率����。
(3)簽署委托測(cè)評(píng)協(xié)議
在測(cè)評(píng)工作正式開(kāi)始之前��,以委托測(cè)評(píng)協(xié)議的方式明確測(cè)評(píng)工作的目標(biāo)��、范圍��、人員組成、計(jì)劃安排��、執(zhí)行步驟和要求��,以及雙方的責(zé)任和義務(wù)等�����。使得測(cè)評(píng)雙方對(duì)測(cè)評(píng)過(guò)程中的基本問(wèn)題達(dá)成共識(shí)���,后續(xù)的工作也以此為基礎(chǔ)��,避免以后的工作出現(xiàn)大的分歧�����。
(4)簽署保密協(xié)議
簽署完善的、合乎法律規(guī)范的保密協(xié)議�����,以約束測(cè)評(píng)雙方現(xiàn)在及將來(lái)的行為����。
(5)簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)
在現(xiàn)場(chǎng)測(cè)評(píng)工作開(kāi)始之前��,以測(cè)評(píng)授權(quán)的方式明確測(cè)評(píng)工作中雙方的責(zé)任��,揭示可能的風(fēng)險(xiǎn)��,避免可能出現(xiàn)的糾紛和分歧�。
(6)現(xiàn)場(chǎng)測(cè)評(píng)工作風(fēng)險(xiǎn)的規(guī)避
進(jìn)行驗(yàn)證測(cè)試和工具測(cè)試時(shí)���,安排好測(cè)試時(shí)間����,盡量避開(kāi)業(yè)務(wù)高峰期�����,在系統(tǒng)資源處于空閑狀態(tài)時(shí)進(jìn)行���,并需要相關(guān)技術(shù)人員對(duì)整個(gè)測(cè)評(píng)過(guò)程進(jìn)行監(jiān)督���;在進(jìn)行工具測(cè)試前,需要對(duì)關(guān)鍵數(shù)據(jù)做好備份工作�����,并對(duì)可能出現(xiàn)的影響制定相應(yīng)的處理方案。
(7)測(cè)評(píng)現(xiàn)場(chǎng)還原
測(cè)評(píng)工作完成后���,測(cè)評(píng)人員應(yīng)交回測(cè)評(píng)工程中獲取的所有特權(quán)�����,歸還測(cè)評(píng)過(guò)程中借閱的相關(guān)文檔����,并嚴(yán)格清理測(cè)評(píng)過(guò)程中植入被測(cè)系統(tǒng)中的相關(guān)代碼\程序���。
(8)規(guī)范化的實(shí)施過(guò)程
為保證按實(shí)施計(jì)劃���、高質(zhì)量地完成測(cè)評(píng)工作,需明確測(cè)評(píng)記錄和測(cè)評(píng)報(bào)告要求����,需明確測(cè)評(píng)過(guò)程中每一階段需要產(chǎn)生的相關(guān)文檔��,使測(cè)評(píng)工作有章可循����。在委托測(cè)評(píng)協(xié)議����、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書(shū)和測(cè)評(píng)方案中�����,明確雙方的人員職責(zé)�、測(cè)評(píng)對(duì)象、時(shí)間計(jì)劃�����、測(cè)評(píng)內(nèi)容要求等����。
(9)溝通與交流
為避免測(cè)評(píng)工作中可能出現(xiàn)的爭(zhēng)議,在測(cè)評(píng)開(kāi)始前與測(cè)評(píng)過(guò)程中���,需要進(jìn)行積極有效的溝通和交流�,及時(shí)解決測(cè)評(píng)過(guò)程中出現(xiàn)的問(wèn)題�,這對(duì)保證測(cè)評(píng)的過(guò)程質(zhì)量和結(jié)果質(zhì)量有重要的作用。
(10)測(cè)評(píng)實(shí)施中的風(fēng)險(xiǎn)監(jiān)控
采取以下措施對(duì)測(cè)評(píng)實(shí)施中的風(fēng)險(xiǎn)進(jìn)行監(jiān)控���,以防止危及測(cè)評(píng)成敗的風(fēng)險(xiǎn)發(fā)生�����。建立并及時(shí)更新測(cè)評(píng)風(fēng)險(xiǎn)列表及風(fēng)險(xiǎn)排序�。測(cè)評(píng)管理人員隨時(shí)關(guān)注與關(guān)鍵風(fēng)險(xiǎn)相關(guān)因素的變化情況,及時(shí)決定何時(shí)����、采用何種風(fēng)險(xiǎn)應(yīng)對(duì)措施
