风险评估是指在风险事件发生之前或之后但还没有结束时评估该事件对各个方面造成的影响和损失的一种量化评估工作,简单来说风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度,风险评估结束后续出具风险评估报告,风险评估报告是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。
网络安全风险评估的过程主要分为:风险评估准备、资产识别过程、威胁识别过程、脆弱性识别过程、已有安全措施确认和风险分析过程六个阶段。
1、风险评估准备
该阶段的主要任务是制定评估工作计划,包括评估目标、评估范围、制定安全风险评估工作方案。根据评估工作需要,组件评估团队,明确各方责任。
2、资产识别过程
资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时,以被评估方提供的资产清单为依据,对重要和关键资产进行标注,对评估范围内的资产详细分类。根据资产的表现形式,可将资产分为数据、软件、硬件、服务和人员等类型。
根据资产在保密性、完整性和可用性上的不同要求,对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。
3、威胁识别过程
在威胁评估阶段评估人员结合当前常见的人为威胁、其可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。威胁识别完成后还应该对威胁发生的可能性进行评估,列出为威胁清单,描述威胁属性,并对威胁出现的频率赋值。
4、脆弱性识别过程
脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及手机分析现有的管理制度来完成;技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。脆弱性识别完成之后,要对具体资产的脆弱性严重程度进行赋值,数值越大,脆弱性严重程度越高。
5、已有安全措施确认
安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性,如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。
6、风险分析过程
完成上述步骤之后,将采用适当的方法与工具进行安全风险分析和计算。可以根据自身情况选择相应的风险计算方法计算出风险值,如矩阵法或相乘法等。如果风险值在可接受的范围内,则改风险为可接受的风险;如果风险值在可接受的范围之外,需要采取安全措施降低控制风险。
安全评估对客户而言有多方面的收益,主要体现在以下几个方面:
1. 风险降低和安全保障:
· 安全评估有助于识别和评估潜在的安全风险和威胁,从而提供客户在安全方面的全面认知。通过采取相应的风险管理措施,客户能够降低潜在的风险,增强系统和业务的安全性,提供更可靠的服务。
2. 合规性和法规遵从:
· 很多行业都有相关的法规和合规性要求,例如数据隐私法规、金融行业合规性要求等。通过进行安全评估,客户可以确保其业务和系统符合相关法规和合规性标准,避免潜在的法律责任和罚款。
3. 提高客户信任度:
· 对客户来说,知道其数据和信息得到妥善保护,系统安全稳健,会提高客户对企业的信任度。这对于与客户之间建立良好的信任关系以及维护品牌声誉都是非常重要的。
4. 成本节约:
· 通过早期识别和纠正安全问题,可以避免未来面临的潜在风险带来的高额成本。安全评估可以在实施阶段识别问题,从而避免在生产环境中修复安全漏洞所需的昂贵成本。
5. 业务持续性和可用性:
· 安全评估有助于保障系统和业务的可用性,防范潜在的威胁和攻击,从而确保业务的持续性。这对于企业的正常运营和客户服务至关重要。
6. 技术创新和发展:
· 安全评估不仅仅是对已有系统的检查,也是对新技术和解决方案的评估。客户可以通过安全评估了解新技术的安全性,促使技术创新,并确保其在实际应用中是安全可行的。
