服务无限,企业乐无优

资深工程师咨询热线

400-8871-651
IT外包
网络安全评估
当前位置:首页 >> IT外包 >> 网络安全评估
网络安全评估
       随着信息系统迅速发展,成为关键核心业务的重要支撑手段和保障手段,其中潜在的安全风险也与日俱增。对安全风险进行持续、有效地管理是对信息系统健康发展地有力保障。 安全风险管理过程中存在一对矛盾体:安全保护成本与安全事件代价。提高安全保护水平、加强安全风险管理需要投入。尤其是在较高的安全水平上面,获得微小的提高也可能需要的巨大开销。另一方面,不进行安全防护、对安全风险置之不理,可能出现的安全事件(例如病毒发作、拒绝服务、系统崩溃、机密信息泄漏、滥用等)会带来很难估量的损失,也是企业发展过程中的代价。 
     风险评估的作用就在于帮助平衡这两者之间的矛盾,在安全保护成本与安全事件代价之间寻找到最优的配置。定量的、或者定性的风险评估过程中,重要的信息资产获得了识别、分级、分类,面临的威胁和存在的脆弱性被揭示出来,并估算出“代价”或“影响”,这样,首都机场的决策者就可以在是否投资提升安全和投资力度、还是承受或转移风险等之间做出正确的选择 。


需求背景:

     信息安全风险评估是指围绕信息信息系统所承载的业务,依据有关信息安全标准,对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它在充分的资产分析基础上,评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

    风险评估是世界范围研究和实践最为广泛的网络安全内容,有若干个国际标准、最佳实践和国内标准等可以参考。例如BS7799/ISO17799就提供了通用的网络安全管理的最佳实践,指明了信息资产与安全风险之间的关系;ISO13335则阐述了以安全风险为中心信息资产、价值、威胁、脆弱性、安全控制等框架关系图,参见附图2。信息资产拥有价值,但是同时也存在脆弱性,也面临威胁。这三者是安全风险的本源,缺一则风险不存在。

我们的方案:

第一阶段为每次风险评估的开始 : 准备各种环境信息,例如信息系统的变更、新项目新业务带来的改变等。这些环境和更新信息都将反映到本阶段的输出 - 信息资产目录中去。本阶段的另外一个重要内容是对资产目录中的重要资产进行“分级”和“分类”更新。从运行角度看,该阶段过程属于日常配置管理的更新内容。

第二阶段利用更新的信息资产目录和最新的安全脆弱性(漏洞信息 : 分析重要资产面临的安全威胁和存在的安全脆弱性。本阶段需要利用策略评估、安全审计、工具和人工等四种手段去获取威胁和脆弱性信息

第三阶段分析上阶段获取的威胁和脆弱性信息 : 总结分析总体的风险状况,对于具体的安全风险进行优先级、严重度等定义和输出。本阶段应该总结出最为严重、紧迫的(例如“TOP 10”等形式)风险点。

第四阶段基于安全风险的分析结果 : 尤其是对于最为严重、紧迫的安全风险提出改进建议和建议实施计划。




心动不如行动,有问必答热线:40088 -71651



相关服务
Related Services