1项目的启动过程 项目的启动过程就是一个新的项目识别与开始的过程。一定要认识这样一个概念,即在重要项目上的微小成功,比在不重要的项目上获得巨大成功更具意义与价值。从这种意义上讲,项目的启动阶段显得尤其重要,这是决定是否投资,以及投资什么项目的关键阶段,此时的决策失误可能造成巨大的损失。重视项目启动过程,是保证项目成功的首要步骤。 启动涉及项目范围的知识领域,其输出结果有项目章程、任命项目经理、确定约束条件与假设条件等。启动过程的最主要内容是进行项目的可行性研究与分析,这项活动要以商业目标为核心,而不是以技术为核心。无论是领导关注,还是项目宗旨,都应围绕明确的商业目标,以实现商业预期利润分析为重点,并要提供科学合理的评价方法,以便未来能对其进行评估。
2项目的计划过程 项目的计划过程是项目实施过程中非常重要的一个过程。通过对项目的范围、任务分解、资源分析等制定一个科学的计划,能使项目团队的工作有序的开展。也因为有了计划,我们在实施过程中,才能有一个参照,并通过对计划的不断修订与完善,使后面的计划更符合实际,更能准确的指导项目工作。 以前有一个错误的概念,认为计划应该准确,所谓准确,就是实际进展必须按计划来进行。实际并不是如此,计划是管理的一种手段,仅是通过这种方式,使项目的资源配置、时间分配更为科学合理而已,而计划在实际执行中是可以不断修改的。 在项目的不同知识领域有不同的计划,应根据实际项目情况,编制不同的计划,其中项目计划、范围说明书、工作分解结构、活动清单、网络图、进度计划、资源计划、成本估计、质量计划、风险计划、沟通计划、采购计划等等,是项目计划过程常见的输出,应重点把握与运用。
3项目的实施过程 项目的实施,一般指项目的主体内容执行过程,但实施包括项目的前期工作,因此不光要在具体实施过程中注意范围变更、记录项目信息,鼓励项目组成员努力完成项目,还要在开头与收尾过程中,强调实施的重点内容,如正式验收项目范围等。 在项目实施中,重要的内容就是项目信息的沟通,即及时提交项目进展信息,以项目报告的方式定期通过项目进度,有利开展项目控制,对质量保证提供了手段。
4项目的控制过程 项目管理的过程控制,是保证项目朝目标方向前进的重要过程,就是要及时发现偏差并采取纠正措施,使项目进展朝向目标方向。 控制可以使实际进展符合计划,也可以修改计划使之更切合目前的现状。修改计划的前提是项目符合期望的目标。控制的重点有这么几个方面:范围变更、质量标准、状态报告及风险应对。基本上处理好以上四个方面的控制,项目的控制任务大体上就能完成了。
5项目的收尾过程 一个项目通过一个正式而有效的收尾过程,不仅是对当前项目产生完整文档,对项目干系人的交待,更是以后项目工作的重要财富。在经历的很多项目中,更多重视项目的开始与过程,忽视了项目收尾工作,所以项目管理水平一直未能得到提高。 另外要重视那一类未能实施成功的项目收尾工作,不成功项目的收尾工作比成功项目的收尾更难,也来得更重要,因为这样的项目的主要价值就是项目失败的教训,因此要通过收尾将这些教训提炼出来。 项目收尾包括对最终产品进行验收,形成项目档案,吸取的教训等。另外,对项目干系人要做一个合理的安排,这也是容易忽视的地方,简单的打发回去不是最好的处理办法,更是对项目组成员的不负责任。 项目收尾的形式,可以根据项目的大小自由决定,可以通过召开发布会、表彰会、公布绩效评估等手段来进行,形式是根据情况采用,但一定要明确,并能达到效果。如果能对项目进行收尾审计,则是再好不过的了,当然也有很多项目是无需审计的。
过去的几年,一些公司在信息化建设方面的投入巨大,难免有一些急于上马的项目投入与产出并不十分理想。而且由于市场环境的迅速变化,相应的业务模式也在不断的改变,从而给信息化系统的适应性提出了相当高的要求。
过去的有些项目启动时期没有很好地考虑到这些问题,造成一些项目盲目启动、仓促上马,导致项目的投入产出分析不清,项目重复建设,组织混乱,给后期的项目实施,项目维护,项目使用带来极大的风险,甚至导致系统建成后被用户弃用。最终使业务遭受损失。因此,越来越多的公司对于项目上马的决策已经趋于理性,严格要求做好项目启动前的论证工作。在满足当前紧迫的业务需求和长远的战略需求之间作好平衡。确保项目建设的成功。
相对产品供应商而言,企业在项目建设中处于合同意义上的甲方,其项目的启动过程与乙方的项目管理有很大的不同,是一个较为复杂的过程。它往往需要考虑一系列的问题,如:需求是否合理?是否有必要启动项目?项目可能带来的影响是什么?可能的投入有多大?取得的效益有多大?当前的管理模式是否能支撑?如果不能,可能要在哪些方面做好变革的准备?业界相关的产品有哪些?哪些是真正适合需求的?
因此,对项目启动管理形成统一的认知,对于实施信息化项目的企业有着非常重要的意义。
一般来说,项目的启动管理可以划分为以下几个阶段:
一、意向提出阶段
在意向提出阶段,业务部门发现需要由信息化手段来实现的业务需求,并提出建设信息化系统的期望。由于信息化项目的意向伴随着业务发展的全过程,因此,对于意向的统筹管理与规划对企业的信息化部门始终是一个难题。
对于有集中业务规划期间的企业,意向的产生经常集中在业务规划期间,比如:财年末,业务对自身的模式进行盘点期间,往往产生业务模式的改进或改革的需求,从而对信息化工具产生需求。在这一时间产生的想法或需求,往往不是很成熟,不确定性很大,后期变化的风险也很高。但这一时期,也是意向最集中,最易于统筹规划的时期。信息化部门通常在这一时期,对所有的意向进行收集,分类整理,初步形成项目建设清单。并考虑公司战略重点与资源投入的约束,对项目进行排序,以确定建设重点。
对于不在集中规划时期提出的项目意向,往往会影响到原有的整体规划与计划,各方面的论证更应谨慎,比如,项目的必要性、投入的合理性、资源到位的可能性,对已建和在建系统的影响等等。
信息化管理部门(或IT项目管理部门)可以通过建立一些制度与流程,对业务需求的意向进行引导, 尽量使意向在集中规划时期提出。
意向提出作为项目启动的一个阶段来管理,其意义就在于:对意向进行统筹规划,保证系统建设的整体合理性。
二、需求分析阶段
在受理了项目的意向以后,就进入对项目需求的分析阶段。这一阶段需要有IT人员与业务人员组成的小组,对业务需求进行详细的调研与分析。采用的方法主要包括各业务层次人员访谈、会议。
在这一阶段,IT人员与业务人员往往会出现矛盾,IT人员可能认为业务的需求不清晰,而业务认为自己的需求已经十分清晰。解决这个矛盾的关键在于,要有详细的管理控制方法,引导业务人员进行需求的细化。如,制定需求分析报告的框架,针对关键点形成文档等。一般来说,需求分析包括以下内容:
当前业务流程分析
未来业务流程分析
当前业务与未来业务的差异分析
信息化功能点需求
对将来系统的非功能需求,如:性能需求,环境需求,安全需求等
需求的优先次序
需求分析报告形成以后,还需要组织对需求的评审,以达成项目关系人对需求的一致认可。这一过程可包括:
制定评审计划:制定评审的工作计划,确定评审小组成员,准备评审资料。
需求预审查:评审小组成员对需求文档进行预审。
召开评审会议:召开评审会议,对需求规格书进行评审。
调整需求文档:根据评审发现的问题,对需求进行重新分析和调整。
重审需求文档:针对评审会议提出的问题,对调整后的需求文档进行重新审查。
三、可行性方案论证阶段
可行性方案的论证是项目启动阶段的关键活动,它的质量直接影响项目的实施效果。论证小组一般由企业内部的业务与IT技术两方面的人员组成,视项目的重要程度、难度与规模,可能还需要企业外部的专业顾问资源。
可行性方案论证的目的是通过确认管理体系和系统技术构架,从而确认未来的管理和技术方案是否有效。它立足于项目从管理上、技术上、实现上的难点进行阐述,逐步理清楚客户的需求。并在需求的基础上,规划总体解决方案,以作为项目投入产出评估的依据、产品选型的依据,以及后续实施方案的约束。
项目投入产出评估的依据:建立在业务需求分析基础上的项目投入与价值分析,往往是比较粗略的宏观感受。业务人员在提出信息化需求时,可能并没有充分考虑它与其它系统之间的关系,这样得出的投入与产出分析也是很粗略的。如果在此基础上,通过设计可行性方案,考虑清楚该项目的定位,与其它系统的关系,相信投入产出的分析将更有说服力。
产品选型的依据:可行性方案的制定是建立在业务需求的基础上,是不受任何产品影响的。因而它是后续产品选型的依据,它使得企业可以在产品选型过程中始终坚持从自身的需求和规划为原则选择产品与方案,而不至于受到供应商解决方案的误导。
实施方案的约束:可行性方案与实施方案是总体设计与详细设计之间的关系。可行性方案描绘了总体的业务方案与技术架构,而实施方案是可行性方案在各方面的细化。
此外,围绕可行性方案从管理上、技术上、实现上对难点进行的阐述,可以有效地开展项目的风险分析,制定项目的风险管理策略,为项目的成功提供保障。
四、产品选型阶段
当可行性方案需要通过选择新的产品来完成时,进入项目启动管理的产品选型阶段。在该阶段,对供应商进行初步的筛选以后,根据需求与方案要求,制定招标文档,接收供应商的项目解决方案,并根据评估标准,组织相关人员对供应商进行评估,选出2个以上的供应商进入商务谈判。并在立项报告审批通过以后,与供应商签署合同。该阶段又可细分为以下几个步骤:
创建RFP:根据需求阶段与可行性方案阶段分析的结果,制定向供应商招标的文档。
解决方案评估:制定产品选型评估的标准是该活动的核心,它包括:应用软件评估:对产品本身的功能、性能、体系架构、用户友好性、市场评价、费用等方面进行考察;
软件运行环境评估:对系统运行所需要的服务器、客户机的软硬件配置进行评估。这是很容易被忽略的一部分,又是有可能对后续实施投入影响最大的一部分,尤其是在客户端数量大,环境复杂的情况下。
项目实施评估:在信息系统的建设中,项目实施方法与能力已经成为项目成败的重要环节,因此对服务商实施能力的评估显得尤为重要。评估内容主要包括:实施方法、实施费用、实施周期、实施顾问经验以及对相似实施案例的考察。
培训与售后服务评估:包括考察培训方式、费用、售后服务方式、费用、响应时间等。
供应商评价评估:对供应商的基本面进行评估,如供应商的规模、业绩、合同语言和仲裁地、与客户的合作策略等方面。
效益风险评估:即项目的投入与产出的评估。这是最难评估的一项,当前在信息化项目中尚没有形成较完备的投入产出的量化评估指标,多是采用一些定性的分析与比较。
商务谈判
关于商务谈判的组织与技巧,有许多专门的论述。从信息化项目管理角度上具体来看,商务谈判是在一定的策略指导下,与产品及服务实施商进行的,确定合同条款的过程,目的是最大化的维护公司利益,确定最优的价格和服务条款。
商务谈判的依据是评估通过的解决方案,其过程通常包括:组织谈判小组、制定谈判方案、实施谈判、签署合同。值得注意的是,商务谈判与后续的立项报告审批并没有严格的先后关系,是可以同时进行的。但合同签署必须在立项报告审批完成后才可进行。
问题1:什么是风险评估?
问题2:风险评估是什么意思?
说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为:特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。
风险评估是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为风险管理的基础,风险评估(Risk Assessment)是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。
风险评估的主要任务包括:
识别组织面临的各种风险
评估风险概率和可能带来的负面影响
确定组织承受风险的能力
确定风险消减和控制的优先等级
推荐风险消减对策
在风险评估过程中,有几个关键的问题需要考虑。首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何?其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度?
解决以上问题的过程,就是风险评估的过程。
进行风险评估时,有几个对应关系必须考虑:
每项资产可能面临多种威胁
威胁源(威胁代理)可能不止一个
每种威胁可能利用一个或多个弱点
风险评估的三种可行途径
在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的 *** 作过程和方式。
风险评估的 *** 作范围可以是整个组织,也可以是组织中的某一部门,或者的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前,实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。
基线评估
如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。
采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线:
·; 国际标准和国家标准,例如BS 7799-1、ISO 13335-4;
·; 行业标准或推荐,例如德国联邦安全局IT 基线保护手册;
·; 来自其他有类似商务目标和规模的组织的惯例。
当然,如果环境和商务目标较为典型,组织也可以自行建立基线。
基线评估的优点是需要的资源少,周期短, *** 作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。当然,基线评估也有其难以避免的缺点,比如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,如果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。
基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合,它可以在全组织范围内实行,如果有特殊需要,应该在此基础上,对特定系统进行更详细的评估。
详细评估
详细风险评估要求对资产进行详细识别和评价,对可能引起风险的威胁和弱点水平进行评估,根据风险评估的结果来识别和选择安全措施。这种评估途径集中体现了风险管理的思想,即识别资产的风险并将风险降低到可接受的水平,以此证明管理者所采用的安全控制措施是恰当的。
详细评估的优点在于:
·; 组织可以通过详细的风险评估而对信息安全风险有一个精确的认识,并且准确定义出组织目前的安全水平和安全需求;
·; 详细评估的结果可用来管理安全变化。当然,详细的风险评估可能是非常耗费资源的过程,包括时间、精力和技术,因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、 *** 作和信息资产的边界。
组合评估
基线风险评估耗费资源少、周期短、 *** 作简单,但不够准确,适合一般环境的评估;详细风险评估准确而细致,但耗费资源较多,适合严格限定边界的较小范围内的评估。基于次实践当中,组织多是采用二者结合的组合评估方式。
为了决定选择哪种风险评估途径,组织首先对所有的系统进行一次初步的高级风险评估,着眼于信息系统的商务价值和可能面临的风险,识别出组织内具有高风险的或者对其商务运作极为关键的信息资产(或系统),这些资产或系统应该划入详细风险评估的范围,而其他系统则可以通过基线风险评估直接选择安全措施。
这种评估途径将基线和详细风险评估的优势结合起来,既节省了评估所耗费的资源,又能确保获得一个全面系统的评估结果,而且,组织的资源和资金能够应用到最能发挥作用的地方,具有高风险的信息系统能够被预先关注。当然,组合评估也有缺点:如果初步的高级风险评估不够准确,某些本来需要详细评估的系统也许会被忽略,最终导致结果失准。
风险评估的常用方法
在风险评估过程中,可以采用多种 *** 作方法,包括基于知识(Knowledge-based)的分析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。
基于知识的分析方法
在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安全标准之间的差距。
基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。
基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括:
·; 会议讨论;
·; 对当前的信息安全策略和相关文档进行复查;
·; 制作问卷,进行调查;
·; 对相关人员进行访谈;
·; 进行实地考察。
为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最终的推荐报告。市场上可选的此类工具有多种,Cobra 就是典型的一种。
基于模型的分析方法
2001 年1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开发了一个名为CORAS 的项目,即Platform for Risk Analysis of Security Critical Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它的评估对象是对安全要求很高的一般性的系统,特别是IT 系统的安全。CORAS 考虑到技术、人员以及所有与组织安全相关的方面,通过CORAS 风险评估,组织可以定义、获取并维护IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。
与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评价并处理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象的模型来进行的。CORAS 的优点在于:提高了对安全相关特性描述的精确性,改善了分析结果的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互 *** 作的效率;等等。
定量分析
进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性分析的方法。
定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。
简单说,定量分析就是试图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念:
·;暴露因子(Exposure Factor,EF)—— 特定威胁对特定资产造成损失的百分比,或者说损失的程度。
·;单一损失期望(Single Loss Expectancy,SLE)—— 或者称作SOC(Single OccuranceCosts),即特定威胁可能造成的潜在损失总量。
·;年度发生率(Annualized Rate of Occurrence,ARO)—— 即威胁在一年内估计会发生的频率。
·; 年度损失期望(Annualized Loss Expectancy,ALE)—— 或者称作EAC(EstimatedAnnual Cost),表示特定资产在一年内遭受损失的预期值。
考察定量分析的过程,从中就能看到这几个概念之间的关系:
(1) 首先,识别资产并为资产赋值;
(2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即EF(取值在0%~100%之间);
(3) 计算特定威胁发生的频率,即ARO;
(4) 计算资产的SLE:
SLE = Asset Value ×; EF
(5) 计算资产的ALE:
ALE = SLE ×; ARO
这里举个例子:假定某公司投资500,000 美元建了一个网络运营中心,其最大的威胁是火灾,一旦火灾发生,网络运营中心的估计损失程度是45%。根据消防部门推断,该网络运营中心所在的地区每5 年会发生一次火灾,于是我们得出了ARO 为020 的结果。基于以上数据,该公司网络运营中心的ALE 将是45,000 美元。
我们可以看到,对定量分析来说,有两个指标是最为关键的,一个是事件发生的可能性(可以用ARO 表示),另一个就是威胁事件可能引起的损失(用EF 来表示)。
理论上讲,通过定量分析可以对安全风险进行准确的分级,但这有个前提,那就是可供参考的数据指标是准确的,可事实上,在信息系统日益复杂多变的今天,定量分析所依据的数据的可靠性是很难保证的,再加上数据统计缺乏长期性,计算过程又极易出错,这就给分析的细化带来了很大困难,所以,目前的信息安全风险分析,采用定量分析或者纯定量分析方法的已经比较少了。
定性分析
定性分析方法是目前采用最为广泛的一种方法,它带有很强的主观性,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险管理诸要素(资产价值,威胁的可能性,弱点被利用的容易度,现有控制措施的效力等)的大小或高低程度定性分级,例如“高”、“中”、“低”三级。
定性分析的 *** 作方法可以多种多样,包括小组讨论(例如Delphi 方法)、检查列表(Checklist)、问卷(Questionnaire)、人员访谈(Interview)、调查(Survey)等。定性分析 *** 作起来相对容易,但也可能因为 *** 作者经验和直觉的偏差而使分析结果失准。
与定量分析相比较,定性分析的准确性稍好但精确性不够,定量分析则相反;定性分析没有定量分析那样繁多的计算负担,但却要求分析者具备一定的经验和能力;定量分析依赖大量的统计数据,而定性分析没有这方面的要求;定性分析较为主观,定量分析基于客观;
此外,定量分析的结果很直观,容易理解,而定性分析的结果则很难有统一的解释。组织可以根据具体的情况来选择定性或定量的分析方法。
(1)调查问卷:
要收集相关信息,风险评估人员可以设计一套关于IT系统中计划的或正在使用的管理或 *** 作控制的调查问卷。可将这套调查问卷发给那些设计或支持IT系统的技术或非技术管理人员。调查问卷也可以在现场或面谈时使用。
(2)现场面谈:
和IT系统的支持或管理人员面谈有助于风险评估人员收集IT系统有用的信息(如系统是如何 *** 作和管理的)。现场参观也能让风险评估人员观察并收集到IT系统在物理、环境、和 *** 作方面的信息。对于那些仍然在设计阶段的系统,现场参观将是面对面的数据收集过程并可提供机会来评价IT系统将运行的物理环境。
(3)文档检查:
策略文档(如法律文档、方针等)、系统文档(如系统用户指南、管理员手册、系统设计和需求文档等),安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等)可以提供关于IT系统已经使用或计划使用的安全控制方面的有用信息。机构使命影响分析或资产关键性评估提供了关于系统和数据关键性和敏感性方面的信息。
(4)使用自动扫描工具(采用漏洞检查工具):
一些主动的技术方法可以被用来有效的收集系统信息。比如,一个网络映射工具可以识别出运行在一大群主机上的服务,并提供一个快捷的方法来为目标IT系统建立个体轮廓。比较优秀的扫描工具有:
a)SAFESuite套件
SAFESuite套件是Internet Security System(简称ISS)公司开发的网络脆弱点检测软件,它由Internet扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite套件决策软件所构成,是一个完整的信息系统评估系统。
b)Kane Security Analyst
Kane Security Analyst系统安全分析软件是Intrusion公司的产品,它能够从六个关键的安全领域对系统进行检查,分别是:口令字强度、访问权限控制、用户帐号限制、系统监控、数据完整性和数据保密强度。此软件不仅针对特定的脆弱点进行检查,而且针对系统的必要安全防御措施进行检查。
c)WebTrends Security Analyzer
WebTrends Security Analyzer主要针对Web站点安全的检测和分析软件,它是NetIQ-WebTrends公司的系列产品。其系列产品为企业提供一套完整的、可升级的、模块式的、易于使用的解决方案。产品系列包括:WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends Firewall Suite、and WebTrends Live等,它可以找出大量隐藏在Linux和Windows服务器、防火墙、路由器等软件中的威胁和脆弱点,并可针对Web和防火墙日志进行分析,由它生成的HTML格式的报告被认为是目前市场上做得最好的。报告里对找到的每个脆弱点进行了说明,并根据脆弱点的优先级进行了分类,除此以外,报告还包括一些消除风险、保护系统的建议。
以上就是关于it系统规划中的5个步骤是什么全部的内容,包括:it系统规划中的5个步骤是什么、IT项目文案范文、什么是风险评估等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)