安全评估服务——网络安全评估
在信息化建设中,往往要对所采购的货物、工程和服务等就是否满足网络需求进行评估。这里我们将被评估的对象分为货物、工程和服务等,是引用《采购法》中的类别。当然,也可以采用不同的类别,不论如何分类,为了满足网络安全的需求,除了对它们进行常规指标(如运算速度、容量、价格……)的评估外,还需要进行专门的评估,目前这方面通常提出的要求是“自主可控、可靠”。也有人员提出要求“自主可控、可信”,这两种提法很接近,是否需要加以细分还有待于研究。
安全评估服务的评估对象及服务内容
评估对象:
通过对当前用户云上运行的信息系统进行资产识别、威胁识别与分析以及脆弱性识别与分析,从云基础设施、云上安全设施、云上数据、监控审计措施、应用等方面的进行整体安全性评估。
服务内容:
安全评估的主要对象分为以下几个层次,各部分相对独立,而又相互关联相互作用着,通过对每一层次各方面详细深入的分析、评估,才能提供一个完整的结果,对整体的信息系统体系进行说明。
风险分析的原理
风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:
对资产进行识别,并对资产的价值进行赋值;
对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;
根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。
选择风险评估服务商应该考虑哪几点
1、完整的评估方法
对业务系统的宿主操作系统、中间件、信息系统、网络和安全设备进行安全漏洞扫描、基线核查、弱口令分析检查等安全评估方法,尽可能多的发现用户的网络安全隐患。
2、评估技术能力
个性化的风险评估方法和流程,结合行业特点及客户的现状,从管理和技术等多方位对用户进行安全评估,帮助用户准确发现风险并及时解决问题。
版权所有©2024 天助网