信息系统安全风险评估应用：基础知识

核心提示： ③、标识出存储的隐私信息的数据库类型和大小；④、标识由机构收集到的各种隐私信息；⑤、确定隐私信息存储的位置；⑥、了解当前网络浏览时COOKIE保存类型和保留的时间；⑦、识别保存在COOKIE中的各种隐私信息；⑧、验证COOKIE使用的加密方法；⑨、识别机构的WEB服务器可能产生错误的位置，

③、标识出存储的隐私信息的数据库类型和大小；

④、标识由机构收集到的各种隐私信息；

⑤、确定隐私信息存储的位置；

⑥、了解当前网络浏览时COOKIE保存类型和保留的时间；

⑦、识别保存在COOKIE中的各种隐私信息；

⑧、验证COOKIE使用的加密方法；

⑨、识别机构的WEB服务器可能产生错误的位置，了解错误发生时返回给浏览用户的信息类型。

（2）、信息安全风险评估中网络操作痕迹信息检查的评估任务

网络操作痕迹信息的检查，主要是为了调查机构内部某些员工在网络操作后留下的操作痕迹，用审查是否有一些与组织相关的机密信息遗留在互联网当中。这个评估项目是信息安全风险评估中非常重要的一个部分，要完成一次全面的互联网操作行为信息检查，下面这些评估任务是不能少的：

①、检查机构内部员工WEB数据库和缓存中的内容；

②、检查机构内部员工是否通过个人主页、博客、论坛，以及发布网络求职简历的方式，透露了机构的组织结构，或其它机构内部机密信息；

③、调查机构内部员工是否在使用私人电子邮箱，并且在法律允许的条件下，检查员工是否通过机构分配的电子邮件发送机构内部机密信息；

④、了解机构内部员工的计算机技术水平，以及了解计算机技术水平较高的员工所处的部门及其操作权限；

⑤、调查机构内部员工是否在工作时间使用即时通信工具，并在法律条件允许的条件下监控即时通信的内容；

⑥、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息，或者可以在各种特定的新闻组、论坛及博客中搜索；

⑦、检查机构内部员工是否在使用P2P软件，在法律条件允许下审查P2P通信内容。

（3）、网络安全风险评估中网络弱点及漏洞检测与验证的评估任务