信息系统安全风险评估应用：基础知识

核心提示： ⑥、验证所有无线客户端已经安装了杀毒软件和防火墙等安全工具；（6）、物理安全风险评估中物理安全访问控制的安全性测试的评估任务物理安全访问控制的安全性测试，是用来检测物理方式直接接触机构中重要信息资产时是否符合安全要求的评估项目，信息系统安全风险评估应用：基础知识(9)，要完成一次物理安全访

⑥、验证所有无线客户端已经安装了杀毒软件和防火墙等安全工具；

（6）、物理安全风险评估中物理安全访问控制的安全性测试的评估任务

物理安全访问控制的安全性测试，是用来检测物理方式直接接触机构中重要信息资产时是否符合安全要求的评估项目。要完成一次物理安全访问控制的安全性测试，就必需完成下列所示的评估任务：

①、枚举所有必需进行物理访问控制的区域；

②、检查所有物理访问控制点的访问控制设备及其类型；

③、检查触发警报的类型是否与说明的一致；

④、判断物理访问控制设备的安全级别；

⑤、测试物理访问控制设备是否存在弱点和漏洞；

⑥、测试物理访问控制设备是否可以被人为或其它方式失去检测能力；

四、信息系统安全风险评估过程中应当遵守的规则

在对信息系统进行风险评估过程中，下列的一些因素会给评估带来错误的结果：

1、弱点扫描软件的误报和漏报；

2、系统本身设置对某类事情做出固定的某种缺陷反应。当测试带有欺骗性设置的系统时，常会对所有的评估事件做出某种指定的相同反应；

3、要评估的系统中存在某种已经指定对所有事件做出安全反应的设置。

4、在风险评估过程中收到了某个目标的回应，但这个回应并不是真的来自实际的评估目标，而一些没有经验的风险评估人员，对出现这样的假象不能正确识别，从而造成错误的结果；

5、风险评估工具设备本身存在问题，就可能出现错误的回应。以及当风险评估的以太网路出现高噪音，或者存在干扰目标无线网络信号的设备时，都会出现错误的结果；

6、当风险评估过程中的某个环境得到了错误的结果，但是没有及时识别和重新评估，而其后的评估工作却使用这个错误的结果作为评估条件，这样一来，就会让这种错误继承下去，造成得到一个错误的最终风险评估结果；