史萊姆論壇 - 查看單個文章

psac · 2006-07-04, 02:36 PM

初學路由器的讀讀

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
Cisco2620路由器的配置與維護
對於分佈在多個不同場點的企業分部來說，如何訪問中心場點服務器、獲取相應的訊息，是企業網路建設規劃中不可缺少的一部分。本文以Cisco2620為例，講述了路由器的初始化配置以及遠端接入的配置方法，探討了如何使用內部網路的DHCP服務功能為遠端撥入的用戶分配地址訊息以及路由器常見故障的排除技巧。
（本文假定Cisco2620路由器為提供遠端接入訪問，已經配置了同步串行模塊和異步串行16AM模塊。）

Cisco2620路由器的基本配置

1. 初始安裝

第一次安裝時系統會自動進入Dialog Setup，依螢幕提示，分別回答路由器名稱、加密超級登入密碼、超級登入密碼、遠端登入密碼、動態路由協議以及各個接頭的配置後，儲存配置。在出現路由器名稱後，打入enable命令，鍵入超級登入密碼，出現路由器名稱（這裡假設路由器名稱為Cisco2620），待出現Cisco2620#提示字元後，表示已經進入特權模式，此時就可以進行路由器的配置了。

2. 配置路由器

鍵入config terminal，出現提示字元Cisco2620(config)#，進入配置模式。

(1) 設置密碼

Cisco2620(config)#enable secret 123123：設置特權模式密碼為123123

Cisco2620(config)#line console 0: 進入Console口配置模式

Cisco2620(config-line)#password 123123：設置Console口密碼為123123

Cisco2620(config-line)#login：使console口配置生效

Cisco2620(config-line)#line vty 0 5：切換至遠端登入口

Cisco2620(config-line)#password 123123：設置遠端登入密碼為123123

Cisco2620(config-line)#login：使配置生效

(2) 設置快速以太網口

Cisco2620(config)#interface fastFastethernet 0/0：進入連接阜配置模式

Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0：設置IP地址及掩碼

Cisco2620(config-if)#no shutdown: 開啟連接阜

Cisco2620(config-if)#exit：從連接阜配置模式中退出

(3) 設置同步串口

Cisco2620(config)#interface serial 0/0：進入同步串口設置

Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0：同步串口使用與快速以太網口相同的IP地址

Cisco2620(config-if)#encapsulation ppp: 把資料鏈路層協議設為PPP

(4) 設置16口Modem撥號模塊，使用內部DHCP服務為撥入用戶分配地址

Cisco2620(config)#interface Group-Async1

Cisco2620(config-if)# ip unnumbered FastEthernet0/0

Cisco2620(config-if)# encapsulation ppp

Cisco2620(config-if)# ip tcp header-compression passive：啟用被動IP包頭壓縮

Cisco2620(config-if)# async mode dedicated:只在異步模式下工作

Cisco2620(config-if)# peer default ip address dhcp：將IP地址請求轉發至DHCP服務器

Cisco2620(config-if)# ppp authentication chap：將認證設為CHAP

Cisco2620(config-if)# group-range 33 48：撥號組包括16個口

Cisco的16AM模塊提供了高密度的模擬電路接入方式，不在辦公大樓的員工可以用Modem撥號聯入局域網、登入服務器，實現遠端辦公。

peer default ip address dhcp命令可以使撥入的工作站通過局域網內的DHCP服務器動態地獲得IP地址，節約了IP地址資源，同時還接收了在DHCP服務器上配置的參數，比如DNS服務器的IP地址，並配合全局模式下配置的指向防火牆的靜態路由，使工作站同時也可以通過防火牆訪問Internet。

Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4：設置到防火牆的靜態路由

(5) 對16AM模塊物理特性的設置

Cisco2620(config)#line 33 48: 進入Modem 口線模式

Cisco2620(config-line)# session-timeout 30:超時設為30分鐘

Cisco2620(config-line)# autoselect during-login：自動登入

Cisco2620(config-line)# autoselect ppp：自動選擇PPP協議

Cisco2620(config-line)# login local：允許本機口令檢查

Cisco2620(config-line)# modem InOut：允許撥入撥出

Cisco2620(config-line)# transport input all:指定傳輸協議

Cisco2620(config-line)# stopbits 1：設置一位停止位

Cisco2620(config-line)# flowcontrol hardware：設置硬體流控制

(6) 新增撥號用戶的用戶名和密碼

Cisco2620(config)#username shixuegang password abc123：增加用戶名shixuegang，口令為abc123

(7) 啟用rip路由

Cisco2620(config)#router rip：啟用rip路由

Cisco2620(config-rout)#version 2：第二版本

Cisco2620(config-rout)#network xxx.xxx.xxx.xxx：指定要轉發資料包的網路號

Cisco2620路由器故障判斷和故障排除

1. 判斷以太連接阜故障

對於以太連接阜故障的診斷，可以用show interface fastFastethernet 0/0(對於以太連接阜0的診斷)命令，它用來檢查一條鏈路的狀態，可能出現的結果如下：

如果以太網連接阜工作正常，則出現如下顯示：Fastethernet 0/0 is up, line protocol is up；

如果存在連接故障，比如路由器未接到LAN上，則出現：Fastethernet 0/0 is up, line protocol is down；

如果接頭出現故障，則出現：Fastethernet 0/0 is down, line protocol is down (disable) ；

接頭被人為地關閉，則出現：Fastethernet 0/0 is administratively down, line protocol is down;

此外，當懷疑連接阜有物理性故障時，可用show version命令，該命令將顯示出物理性正常的連接阜，而出現物理性故障的連接阜將不被顯示出來。

2. 判斷同步串行連接阜故障

我們可以用show interface serial 0/0命令檢查一條鏈路的狀態，如出現Serial 0/0 is up, line protocol is up字樣，則表示工作正常；如出現serial 0/0 is up, line protocol is down字樣，則表示連接阜無物理故障，但上層協議未通（IP、IPX、X25等，此時應檢視路由器的配置命令，檢查地址是否匹配）；如出現Serial 0/0 is down, line protocol is down (disable) 字樣，則表示連接阜出現物理性故障，此時應更換連接阜；如出現Serial 0/0 is down, line protocol is down字樣，則表示DCE設備（Modem/DTU）未送來載波/時鐘信號；如出現Serial 0/0 is administratively down, line protocol is down字樣，則表示接頭被人為地關閉，可在配置狀態中interface_mode下去掉shutdown命令。

3. 判斷模擬線路故障

可以先用電話直接撥打路由器中繼線號碼，聽見嘯叫聲則說明線路正常，反之則應先檢視電話線路。排除線路故障後如依然無法正常工作，就應檢視路由器關於16AM模塊的配置命令，確定配置命令無誤後，可採取如下方法：

將模塊重新良好接地；

升級路由器IOS版本；

更換16AM模塊。
Cisco2620路由器的密碼恢復和災難性恢復

在使用路由器的過程中，經常會出現忘記密碼的情況。同時，在操作過程中有時會因為一些不可預料的原因，使路由器內部的版本映像文件受到損壞，使路由器無法正常工作，導致路由器退回到監控狀態，而使用常用的版本拷貝命令無法更新版本。這兩個問題都是在日常維護中較為常見的問題。

1. 密碼恢復

(1) 將路由器的Console口和電腦串口相連，啟動電腦超級終端，開啟路由器電源，在開機60秒內按ctrl+break 使路由器進入rom monitor 狀態，並出現如下提示字元：

rommon1>

(2) 重新配置組態暫存器。

rommon1>confreg

當出現do you wish to change the configuration (y/n) 時選擇y，當出現enable ignore system configuration information(y/n) 時選擇y。

(3) 重新啟動路由器。

rommon1>reset

(4) 啟動後進入特權模式，執行如下命令使原來的配置訊息有效。

router(config)#config mem

(5) 可以進一步檢視密碼或更改密碼。

2. 版本的災難性恢復

Cisco2620提供了兩種災難性恢復版本的方法:tftpdnld和xmodem方式。

(1) tftpdnld方式

將電腦串口和路由器Console口相連，電腦網口與路由器以太口（一定要與第一個以太口）相連。

啟動TFTP服務器，將要下載的版本放於指定目錄下面。

開啟路由器電源，由於沒有有效版本，路由器啟動後將直接進入監控模式。
Rommon1>

按如下命令設置參數。
Rommon2>IP_ADDRESS=192.168.1.6: 將192.168.1.6地址配置到路由器的第一個以太連接阜

Rommon3>IP_SUBNET_MASK=255.255.255.0：設置掩碼

Rommon4>DEFAULT_GATEWAY=192.168.1.7：指定TFTP服務器地址

Rommon5>TFTP_FILE=c2600-i-mz.121-3.T：指定IOS文件名

Rommon6>tftpdnld：下載IOS文件

組態配置暫存器
Rommon7>confreg

當出現do you wish to change the configuration y/n時選擇y，當出現 change the boot charaterist y/n時選擇y，選擇參數2。其他的選項選n。

啟動版本
Rommon8> reset

(2) xmodem 方式下載

該種方式下載不需要以太口電纜，只需超級終端即可。缺點是花費時間太多、速度太慢。xmodem是個人電腦通信中廣泛使用的異步文件傳輸協議，以128字節塊的形式傳輸資料，並且對每個塊都進行校驗，如果接受方校驗正確，則發送認可訊息，發送方發送下一個字塊。

其具體步驟如下：

用超級終端與路由器連接後，啟動路由器，路由器進入監控模式狀態。
Rommon1>

啟動xmodem 命令
Rommon2>xmodem -cx?:敲入Enter鍵

當出現do you wish to continue時選擇y

打開超級終端的「傳送」表菜單，選擇傳送文件，打開傳送文件視窗。輸入版本文件的位置，並選擇xmodem 方式。
修改相應命令和選項，也可以以ymodem的方式進行傳送。

以上述同樣的方法配置confreg命令，重新啟動後路由器會進入正常狀態。
兩種進入Cisco2620路由器 ROM 狀態的方法

1. 如果break 未被屏蔽，可以在開機60秒內按ctrl+break 鍵中斷啟動過程，進入rom狀態。

2. 將超級終端通信波特率設置為1200、資料位為8、奇偶位為1、停止位無。開啟路由器電源，啟動後關機。停5秒後，重新開機，同時一直按住空格鍵12秒後放開，等路由器啟動完成後，重新更改超級終端位預定值。通信波特率設置為9600、資料位為8、奇偶位為1、停止位無。重新連接後，從終端上可以看到已經進入rom 狀態。注意在波特率為1200時終端上沒有內容顯示。

除了上述功能外，Cisco路由器還可通過IOS軟件的升級, 在不改動硬體的條件下實現更多、更強大的功能，在滿足客戶不斷增長的需求的同時保護了硬體投資。但這樣做也同樣增加了配置及管理的難度，同時對網路管理員也提出了更高的要求。因此如何讓網路設備高效、可靠地工作，盡量減小維護的工作量，有待於我們在實踐中進一步探索。

格爾訊息安全論壇

為訊息安全的建設建立安全風險評估機制

伴隨著我國加入WTO以及全球訊息化的發展，電腦訊息系統的安全建設越來越受重視，同時我國的政府與企業也已經深刻地認識到了訊息安全風險評估的重要性，並努力通過實踐來建立、健全和完善電腦訊息系統的安全風險評估機制。

安全風險評估是訊息系統安全防範體系的建設依據，風險評估的目的在於指出訊息系統的風險所在、防範風險的代價、風險可能造成的損失，並最終依據後兩者的比較制定訊息安全保障體系。需要密切關注的是，防範風險的代價和風險可能造成的損失是不斷變化的，訊息安全保障體系的完善是建立在階段建設目標的不斷修正和補充基礎之上的。

在訊息安全風險評估的需求方面，金融企業尤為急迫。金融企業一直以來都是訊息技術發展的領路人，但是其訊息安全的建設遠遠滯後於訊息系統自身的建設。在金融企業逐漸認識到訊息安全保障體系建設的必要性的同時，也意識到單憑直觀感覺而制定的訊息安全建設目標缺乏科學依據，不能對長期的訊息安全建設提供指導作用。金融企業將再一次承擔起領路人的角色，當然這是由其自身訊息系統具備的基礎決定的。

安全風險評估分如下幾個過程：

1. 評估階段。訊息系統將接受各種評估工具的檢測和調查，被評估的對象包括網路架構、應用系統、執行與安全管理、人員、安全策略等，評估的結果將反映訊息系統在各個方面的威脅和脆弱性。

2. 評估訊息智慧式化處理階段。需要對不同的評估工具所得出的原始評估資料進行深入挖掘，一方面，這些資料複雜、多樣，而且會不斷增加，因此需要按照統一的標準進行管理; 另一方面，這些資料內在的聯繫需要通過資料挖掘進行歸納分析和綜合分析。

3. 解決方案與後續建設目標階段。根據評估訊息分析的結果，制定相應的建設目標與方案，其核心是把風險的價值與保護風險的價值進行比較。
__________________

2006-07-04, 02:36 PM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	初學路由器的讀讀 -------------------------------------------------------------------------------- -------------------------------------------------------------------------------- Cisco2620路由器的配置與維護對於分佈在多個不同場點的企業分部來說，如何訪問中心場點服務器、獲取相應的訊息，是企業網路建設規劃中不可缺少的一部分。本文以Cisco2620為例，講述了路由器的初始化配置以及遠端接入的配置方法，探討了如何使用內部網路的DHCP服務功能為遠端撥入的用戶分配地址訊息以及路由器常見故障的排除技巧。（本文假定Cisco2620路由器為提供遠端接入訪問，已經配置了同步串行模塊和異步串行16AM模塊。） Cisco2620路由器的基本配置 1. 初始安裝第一次安裝時系統會自動進入Dialog Setup，依螢幕提示，分別回答路由器名稱、加密超級登入密碼、超級登入密碼、遠端登入密碼、動態路由協議以及各個接頭的配置後，儲存配置。在出現路由器名稱後，打入enable命令，鍵入超級登入密碼，出現路由器名稱（這裡假設路由器名稱為Cisco2620），待出現Cisco2620#提示字元後，表示已經進入特權模式，此時就可以進行路由器的配置了。 2. 配置路由器鍵入config terminal，出現提示字元Cisco2620(config)#，進入配置模式。 (1) 設置密碼 Cisco2620(config)#enable secret 123123：設置特權模式密碼為123123 Cisco2620(config)#line console 0: 進入Console口配置模式 Cisco2620(config-line)#password 123123：設置Console口密碼為123123 Cisco2620(config-line)#login：使console口配置生效 Cisco2620(config-line)#line vty 0 5：切換至遠端登入口 Cisco2620(config-line)#password 123123：設置遠端登入密碼為123123 Cisco2620(config-line)#login：使配置生效 (2) 設置快速以太網口 Cisco2620(config)#interface fastFastethernet 0/0：進入連接阜配置模式 Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0：設置IP地址及掩碼 Cisco2620(config-if)#no shutdown: 開啟連接阜 Cisco2620(config-if)#exit：從連接阜配置模式中退出 (3) 設置同步串口 Cisco2620(config)#interface serial 0/0：進入同步串口設置 Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0：同步串口使用與快速以太網口相同的IP地址 Cisco2620(config-if)#encapsulation ppp: 把資料鏈路層協議設為PPP (4) 設置16口Modem撥號模塊，使用內部DHCP服務為撥入用戶分配地址 Cisco2620(config)#interface Group-Async1 Cisco2620(config-if)# ip unnumbered FastEthernet0/0 Cisco2620(config-if)# encapsulation ppp Cisco2620(config-if)# ip tcp header-compression passive：啟用被動IP包頭壓縮 Cisco2620(config-if)# async mode dedicated:只在異步模式下工作 Cisco2620(config-if)# peer default ip address dhcp：將IP地址請求轉發至DHCP服務器 Cisco2620(config-if)# ppp authentication chap：將認證設為CHAP Cisco2620(config-if)# group-range 33 48：撥號組包括16個口 Cisco的16AM模塊提供了高密度的模擬電路接入方式，不在辦公大樓的員工可以用Modem撥號聯入局域網、登入服務器，實現遠端辦公。 peer default ip address dhcp命令可以使撥入的工作站通過局域網內的DHCP服務器動態地獲得IP地址，節約了IP地址資源，同時還接收了在DHCP服務器上配置的參數，比如DNS服務器的IP地址，並配合全局模式下配置的指向防火牆的靜態路由，使工作站同時也可以通過防火牆訪問Internet。 Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4：設置到防火牆的靜態路由 (5) 對16AM模塊物理特性的設置 Cisco2620(config)#line 33 48: 進入Modem 口線模式 Cisco2620(config-line)# session-timeout 30:超時設為30分鐘 Cisco2620(config-line)# autoselect during-login：自動登入 Cisco2620(config-line)# autoselect ppp：自動選擇PPP協議 Cisco2620(config-line)# login local：允許本機口令檢查 Cisco2620(config-line)# modem InOut：允許撥入撥出 Cisco2620(config-line)# transport input all:指定傳輸協議 Cisco2620(config-line)# stopbits 1：設置一位停止位 Cisco2620(config-line)# flowcontrol hardware：設置硬體流控制 (6) 新增撥號用戶的用戶名和密碼 Cisco2620(config)#username shixuegang password abc123：增加用戶名shixuegang，口令為abc123 (7) 啟用rip路由 Cisco2620(config)#router rip：啟用rip路由 Cisco2620(config-rout)#version 2：第二版本 Cisco2620(config-rout)#network xxx.xxx.xxx.xxx：指定要轉發資料包的網路號 Cisco2620路由器故障判斷和故障排除 1. 判斷以太連接阜故障對於以太連接阜故障的診斷，可以用show interface fastFastethernet 0/0(對於以太連接阜0的診斷)命令，它用來檢查一條鏈路的狀態，可能出現的結果如下：如果以太網連接阜工作正常，則出現如下顯示：Fastethernet 0/0 is up, line protocol is up；如果存在連接故障，比如路由器未接到LAN上，則出現：Fastethernet 0/0 is up, line protocol is down；如果接頭出現故障，則出現：Fastethernet 0/0 is down, line protocol is down (disable) ；接頭被人為地關閉，則出現：Fastethernet 0/0 is administratively down, line protocol is down; 此外，當懷疑連接阜有物理性故障時，可用show version命令，該命令將顯示出物理性正常的連接阜，而出現物理性故障的連接阜將不被顯示出來。 2. 判斷同步串行連接阜故障我們可以用show interface serial 0/0命令檢查一條鏈路的狀態，如出現Serial 0/0 is up, line protocol is up字樣，則表示工作正常；如出現serial 0/0 is up, line protocol is down字樣，則表示連接阜無物理故障，但上層協議未通（IP、IPX、X25等，此時應檢視路由器的配置命令，檢查地址是否匹配）；如出現Serial 0/0 is down, line protocol is down (disable) 字樣，則表示連接阜出現物理性故障，此時應更換連接阜；如出現Serial 0/0 is down, line protocol is down字樣，則表示DCE設備（Modem/DTU）未送來載波/時鐘信號；如出現Serial 0/0 is administratively down, line protocol is down字樣，則表示接頭被人為地關閉，可在配置狀態中interface_mode下去掉shutdown命令。 3. 判斷模擬線路故障可以先用電話直接撥打路由器中繼線號碼，聽見嘯叫聲則說明線路正常，反之則應先檢視電話線路。排除線路故障後如依然無法正常工作，就應檢視路由器關於16AM模塊的配置命令，確定配置命令無誤後，可採取如下方法：將模塊重新良好接地；升級路由器IOS版本；更換16AM模塊。 Cisco2620路由器的密碼恢復和災難性恢復在使用路由器的過程中，經常會出現忘記密碼的情況。同時，在操作過程中有時會因為一些不可預料的原因，使路由器內部的版本映像文件受到損壞，使路由器無法正常工作，導致路由器退回到監控狀態，而使用常用的版本拷貝命令無法更新版本。這兩個問題都是在日常維護中較為常見的問題。 1. 密碼恢復 (1) 將路由器的Console口和電腦串口相連，啟動電腦超級終端，開啟路由器電源，在開機60秒內按ctrl+break 使路由器進入rom monitor 狀態，並出現如下提示字元： rommon1> (2) 重新配置組態暫存器。 rommon1>confreg 當出現do you wish to change the configuration (y/n) 時選擇y，當出現enable ignore system configuration information(y/n) 時選擇y。 (3) 重新啟動路由器。 rommon1>reset (4) 啟動後進入特權模式，執行如下命令使原來的配置訊息有效。 router(config)#config mem (5) 可以進一步檢視密碼或更改密碼。 2. 版本的災難性恢復 Cisco2620提供了兩種災難性恢復版本的方法:tftpdnld和xmodem方式。 (1) tftpdnld方式將電腦串口和路由器Console口相連，電腦網口與路由器以太口（一定要與第一個以太口）相連。啟動TFTP服務器，將要下載的版本放於指定目錄下面。開啟路由器電源，由於沒有有效版本，路由器啟動後將直接進入監控模式。 Rommon1> 按如下命令設置參數。 Rommon2>IP_ADDRESS=192.168.1.6: 將192.168.1.6地址配置到路由器的第一個以太連接阜 Rommon3>IP_SUBNET_MASK=255.255.255.0：設置掩碼 Rommon4>DEFAULT_GATEWAY=192.168.1.7：指定TFTP服務器地址 Rommon5>TFTP_FILE=c2600-i-mz.121-3.T：指定IOS文件名 Rommon6>tftpdnld：下載IOS文件組態配置暫存器 Rommon7>confreg 當出現do you wish to change the configuration y/n時選擇y，當出現 change the boot charaterist y/n時選擇y，選擇參數2。其他的選項選n。啟動版本 Rommon8> reset (2) xmodem 方式下載該種方式下載不需要以太口電纜，只需超級終端即可。缺點是花費時間太多、速度太慢。xmodem是個人電腦通信中廣泛使用的異步文件傳輸協議，以128字節塊的形式傳輸資料，並且對每個塊都進行校驗，如果接受方校驗正確，則發送認可訊息，發送方發送下一個字塊。其具體步驟如下：用超級終端與路由器連接後，啟動路由器，路由器進入監控模式狀態。 Rommon1> 啟動xmodem 命令 Rommon2>xmodem -cx?:敲入Enter鍵當出現do you wish to continue時選擇y 打開超級終端的「傳送」表菜單，選擇傳送文件，打開傳送文件視窗。輸入版本文件的位置，並選擇xmodem 方式。修改相應命令和選項，也可以以ymodem的方式進行傳送。以上述同樣的方法配置confreg命令，重新啟動後路由器會進入正常狀態。兩種進入Cisco2620路由器 ROM 狀態的方法 1. 如果break 未被屏蔽，可以在開機60秒內按ctrl+break 鍵中斷啟動過程，進入rom狀態。 2. 將超級終端通信波特率設置為1200、資料位為8、奇偶位為1、停止位無。開啟路由器電源，啟動後關機。停5秒後，重新開機，同時一直按住空格鍵12秒後放開，等路由器啟動完成後，重新更改超級終端位預定值。通信波特率設置為9600、資料位為8、奇偶位為1、停止位無。重新連接後，從終端上可以看到已經進入rom 狀態。注意在波特率為1200時終端上沒有內容顯示。除了上述功能外，Cisco路由器還可通過IOS軟件的升級, 在不改動硬體的條件下實現更多、更強大的功能，在滿足客戶不斷增長的需求的同時保護了硬體投資。但這樣做也同樣增加了配置及管理的難度，同時對網路管理員也提出了更高的要求。因此如何讓網路設備高效、可靠地工作，盡量減小維護的工作量，有待於我們在實踐中進一步探索。格爾訊息安全論壇為訊息安全的建設建立安全風險評估機制伴隨著我國加入WTO以及全球訊息化的發展，電腦訊息系統的安全建設越來越受重視，同時我國的政府與企業也已經深刻地認識到了訊息安全風險評估的重要性，並努力通過實踐來建立、健全和完善電腦訊息系統的安全風險評估機制。安全風險評估是訊息系統安全防範體系的建設依據，風險評估的目的在於指出訊息系統的風險所在、防範風險的代價、風險可能造成的損失，並最終依據後兩者的比較制定訊息安全保障體系。需要密切關注的是，防範風險的代價和風險可能造成的損失是不斷變化的，訊息安全保障體系的完善是建立在階段建設目標的不斷修正和補充基礎之上的。在訊息安全風險評估的需求方面，金融企業尤為急迫。金融企業一直以來都是訊息技術發展的領路人，但是其訊息安全的建設遠遠滯後於訊息系統自身的建設。在金融企業逐漸認識到訊息安全保障體系建設的必要性的同時，也意識到單憑直觀感覺而制定的訊息安全建設目標缺乏科學依據，不能對長期的訊息安全建設提供指導作用。金融企業將再一次承擔起領路人的角色，當然這是由其自身訊息系統具備的基礎決定的。安全風險評估分如下幾個過程： 1. 評估階段。訊息系統將接受各種評估工具的檢測和調查，被評估的對象包括網路架構、應用系統、執行與安全管理、人員、安全策略等，評估的結果將反映訊息系統在各個方面的威脅和脆弱性。 2. 評估訊息智慧式化處理階段。需要對不同的評估工具所得出的原始評估資料進行深入挖掘，一方面，這些資料複雜、多樣，而且會不斷增加，因此需要按照統一的標準進行管理; 另一方面，這些資料內在的聯繫需要通過資料挖掘進行歸納分析和綜合分析。 3. 解決方案與後續建設目標階段。根據評估訊息分析的結果，制定相應的建設目標與方案，其核心是把風險的價值與保護風險的價值進行比較。 __________________
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次