任務1工業互聯網安全風險

測試報告的編寫測試報告主要提供給目標組織者閱讀，針對其目標系統風險進行業務評估，并給出證據證明其風險的有效性，以及對應的安全策略建議。主要有三類人會閱讀測試報告：高級管理人員、IT管理人員和IT技術人員。此外，有時候也會有專門的安全負責人、廠家技術、普通職員、宣傳部門等人員會查看相應報告。任務描述本任務介紹的測試報告，單指在所有測試實施工作結束后，按照測試方案要求所需要輸出提供的結論性報告文檔，是安全測試工作的最重要成果。安全風險評估的概念和方法1知識導入信息安全風險定義為：人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響。信息安全風險評估的定義為：依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。安全風險評估的概念和方法1工業互聯網安全風險評估主要依據以下標準：GB/T20984—247信息安全技術信息安全風險評估規范；GB/T26333—2010工業控制網絡安全風險評估規范；GB/T30976.1—2014工業控制系統信息安全第1部分：評估規范；GB/T33009.3—2016工業自動化和控制系統網絡安全集散控制系統（DCS）第3部

分：評估指南；GB/T22239—2019信息安全技術網絡安全等級保護基本要求。知識導入安全風險評估的概念和方法1（1）風險評估要素及其關系結合信息安全風險評估規范，并結合工業互聯網特性，可知工業互聯網的風險評估要素及其關系。知識導入安全風險評估的概念和方法1（2）工業互聯網安全分析的原理工業互聯網的安全分析涉及業務、資產、威脅、脆弱性、安全措施和風險六個基本要素，每個要素有各自的識別內容。知識導入安全風險評估的概念和方法1（3）安全風險評估的實施流程工業互聯網安全風險評估的實施流程如圖。根據流程中的各項工作內容，一般將風險評估劃分為評估準備、風險要素識別、風險分析三個階段。知識導入安全風險評估準備2①確定風險評估的目標。②確定風險評估的對象和范圍。③組建適當的評估管理與實施團隊。④對系統進行前期調研。知識導入風險評估的準備是風險評估過程有效性的保證。組織實施風險評估是一種戰略性考慮，評估結果會受到組織戰略、業務、業務流程、安全需求、系統規模和結構等因素的影響。因此，在實施風險評估前，應做如下準備：⑤確定評估的依據和方法。⑥制定風險評估實施方案。⑦獲得最高管理者對風險評估工作的支持。知識導入安全風險信息收集3針對工業互聯網進行現場檢查與技術測試是風險信息收集中的重要一環，主要工作是利用技術檢測工具對現場待評估的工業互聯網的協議、漏洞、配置等情況進行分析，發現可能存在的技術風險。安全測試報告編寫任務實施【任務目的】了解安全測試報告內容；掌握安全測試報告的編寫方法。【步驟1】

測試報告編寫要求執行摘要0102背景03整體情況執行摘要部分要與讀者溝通安全測試的目標以及高層次的結果。應該解釋安全測試的總體目的，并具體闡述在前期交互階段中溝通確定的所有條款，包括潛在風險、對策、安全測試目標等。對安全測試過程整體流程以及安全測試者達到目標的總體情況進行敘述【步驟1】

測試報告編寫要求風險評估與輪廓0405結果概要06改進建議概要進行整體上的風險評級、輪廓描述或者評分，并進行簡要的解釋。以一種基本統計的格式，來提供在安全測試過程中所發現安全問題的概要情況。為讀者提供降低安全風險所需任務的高層次描述。07應對策略路線包含一個具有優先級排序的改進計劃，來消除安全測試過程中發現的不安全因素，并提升組織安全防御的水平。【步驟2】

技術性報告技術性報告和讀者溝通安全測試的技術細節，以及所有在前期交互階段與目標組織商定的提交內容。技術性報告應該詳細描述安全測試范圍、獲取信息、攻擊線路、造成影響與改進建議。引言0102信息搜集03漏洞評估【步驟2】

技術性報告漏洞利用確認0405后測試階段06風險披露具體詳細地回顧用來確認安全漏洞的所有步驟。將安全測試能力和目標組織業務的實際風險聯系起來。上述結果與風險值、信息關鍵度、企業估價進行組合，并從前期交互階段推到業務影響嚴重程度。任務評價任務評價了解安全風險評估的概念和方法了解安全風險評估準備工作了解安全風險信息收集掌握安全測試報告的編寫任務測驗選擇題

A.業務B.資產C.威脅D.脆弱性工業互聯網的安全分析涉及的基本要素中，（）的識別內容是業務和資產弱點的嚴重程度。A.人員訪談B.搜索引擎C.現場檢查D.技術檢測在實施工業互聯網安全風險評估前，需要獲取支撐風險評估的基礎信息，以下信處收集

方法錯誤的是？（）A.確定風險評估的目標B.確定風險評估的對象和范圍

C.編寫安全測試報告