软件项目管理
课程大作业
(二)
学院名称 软件学院
专 业 软件工程
学生姓名 王尽宇
学 号 3005218077
年 班 级 20##级三班
20##年5月28日
<项目名称>
从微阵列数据中基于互信息重构建基因调控网络
风险评估报告
版本 <1.0>
修订历史记录
目前关于基因调控的绝大部分问题还没有解决。除了生物学家努力通过新的实验技术和生物理论来研究问题外,近几年,利用数学、统计学、神经网络、人工智
能等方法在计算机上分析模拟表达调控机理,是计算分子生物学方面一个飞速发展的方向。针对基因调控网络建模,目前已经发展了很多种模型,例如主要包括有向图模型、贝叶斯网络、布尔网络、微分动力模型、随机微分方程、神经网络的方法等。这些方法都在不同层次上对真实的调控网络进行了抽象化。而利用贝叶斯网络构建基因调控网络是目前生物信息学研究的一个热点。
表中提及的“数据处理”是指系统模块开发与代码编写;“公司”是指项目组织所属的公司;“用户”是指项目完成后的系统用户;“供货商”是指项目组织提供软硬件设备的经销商。
以上表格中每一项问答都有几个选择答案,答案的后面是风险要素因子,将此因子与该项的系数相乘即可得到该项的风险值。回答完所有问题之后,分别得到各项的风险总和,用分享的合计值所占总数的百分比来衡量项目风险的大小。风险有分项风险和总体风险,一般认为,百分比在40%一下为低风险,40-70%为中风险,70%以上为高风险。
评估结果为低风险,其中一技术风险为最大。
安全性测试与评估报告
XX
本测试主要包括主动模式和被动模式两种。在被动模式中,测试人员尽可能的了解应用逻辑:比如用工具分析所有的HTTP请求及响应,以便测试人员掌握应用程序所有的接入点(包括HTTP头,参数,cookies等);在主动模式中,测试人员试图以黑客的身份来对应用及其系统、后台等进行渗透测试,其可能造成的影响主要是数据破坏、拒绝服务等。一般测试人员需要先熟悉目标系统,即被动模式下的测试,然后再开展进一步的分析,即主动模式下的测试。主动测试会与被测目标进行直接的数据交互,而被动测试不需要。
一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系:
表1 风险等级界定表
本次安全测试,Sobug提供了核心白帽子XX名,测试周期X个月,对整个目标业务系统进行了详细的渗透测试。测试后的详细测试报告已经交由客户,并提供详细的顾问咨询服务,帮助客户整改。
Sobug白帽众测是以众多安全专家的测试结果为导向的技术众包平台,帮助厂商在产品上线前对安全问题进行全面,有效的审计,同样也适用于上线后对安全问题的周期性巡检。
Sobug安全测试优势:
•安全的授权,平台双方均在授权下才能完成此测试过程,厂商需要签订合同,安全专家需要实名。
•行为的审计,对于保密性要求较高的厂商,可由平台提供堡垒机或厂商提供VPN,对测试行为进行审计。
•过程的竞争,对于同一个安全问题,平台只奖励首个发现该问题的安全专家,充分挖掘潜在安全问题。
•结果的保密,安全专家非经厂商允许,不能对外透露测试过程和结果的任何细节。
•风险的规避,平台对双方在测试过程中发生的纠纷提供强有力的法律援助,最大限度保障平台双方的权益不受损害。
鉴于互联网安全风险的与日俱增,本次测试报告只代表当前风险评估现状,我们建议客户根据测试的结果进行安全整改,把安全风险降到最低,同时进行周期性的安全测试, 本公司与XX已经建立长期的合作关系,作为安全顾问帮助客户进行安全体系的建设和安全能力水平的提升。
Sobug众测平台的介绍:
Sobug众测平台是一个连接安全专家与厂商的网络安全众测平台,安全专家在平台上发现厂商的安全问题,厂商基于测试效果对安全专家进行奖励。目前接受Sobug众测平台服务的厂商有腾讯、爱奇艺、支付宝、锤子科技、37wan、PPTV、乐视网、Okcoin比特币、500彩票、脸萌、爱拍网、荔枝FM、卖座网等厂商。
Sobug众测的模式:
厂商在平台上发布需要测试的项目,比如*.sobug.com (SoBug.Com为您的产品域名)
众多实名认证的白帽子在平台上查看项目并对其进行测试,最终将漏洞详情提交到Sobug众测平台。
漏洞处理的方式:
测试结果提交到Sobug平台,由平台审核确认后同步给您来处理,整个漏洞处理的闭环过程中不公开任何跟项目相关的内容,平台在未来也不会公开任何厂商的漏洞细节。
合作方式:
Sobug众测平台有实体的公司和合同,总体金额会根据测试效果有一个大体的区间。
一般对于初次众测的厂商,我们设定的金额是3-5w预算,最后会根据实际的漏洞数量和危害做统计,无漏洞不收费。
漏洞评级:
低危漏洞:信息泄漏,包括但不限于路径泄漏、PHPINFO、SVN、URL跳转等
中危漏洞:获取用户信息的漏洞,包括但不限于反射性XSS(含DOM-XSS)、普通业务的存储型XSS、CSRF、轻微 SQL注入和难以利用的SQL注入、普通越权操作以及设计缺陷等
高危漏洞:大范围的用户信息漏洞,包括但不限于容易利用的CSRF、存储型XSS、高风险的信息泄漏、获取一般 数据的SQL注入、源代码下载以及任意文件读取和下载、越权访问、绕过验证访问后台、后台弱口令 和其他服务的弱口令等
严重漏洞:严重的信息泄漏,包括获取重要数据的SQL注入、源代码泄漏、任意文件读取和下载(包含重要服务 弱口令)、严重的逻辑漏洞、远程获取系统权限的漏洞和远程直接导致业务拒绝服务的漏洞
漏洞价格:
企业改制稳定风险评估报告一企业基本情况安阳市有限公司的前身是公司组建于19xx年9月40多年来为安阳的建设作出了较大的贡献随着市场…
项目风险评估报告本文档的范围和目的本文主要针对软件开发涉及到的风险,包括在软件开发周期过程中可能出现的风险以及软件实施过程中外…
附件二重大决策项目社会稳定风险评估报告通用文本格式单位名称时间一重大决策基本情况包括重大决策名称重大决策类别指重大政策重大改革重大…
附风险评估报告范本企业环境风险评估报告XX钢铁五金有限公司一基本情况12二企业基本情况34567三现场管理核查表8910四风险等级…
纺织行业企财险风险评估报告被评估人:行业:风险地点:查勘日期:现场人员:现场检验员:评估过程:评估范围:评估风险重点为:火灾、爆炸…
重大固定资产投资项目社会稳定风险评估报告编制大纲及说明试行第一部分评估报告编制大纲一基本情况一项目概况简述项目基本情况主要包括项目…
合同编号项目名称项目地址委托方甲方受托方乙方签订时间签订地点技术咨询合同xxxxxx环境风险评估报告xxxxxxxxxxxxxxx…
风险评估模板目录一风险评估活动概述111风险评估工作组织管理112风险评估工作过程113依据的技术标准及相关法规文件114保障与限…
一风险评估项目概况二风险评估活动概述21风险评估工作组织管理公司本次风险评估工作成员组长主任成员工作原则依据综合审计日志和信息安全…
保密风险评估报告一风险识别方法的科学性严格按照业务和工作流程查找风险点二风险识别分析的全面性针对业务工作流程的各个环节全面查找风险…
根据《河南省人民政府办公厅关于做好20xx年突发公共事件应对工作总结评估的通知》和《新乡市突发公共事件总体应急预案》有关规定和要求…