信息安全风险评估贯穿于网络和信息系统建设运行的全过程。通过对信息系统进行风险评估,可以全面、系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和安全整改措施,及时有效地防范和消除信息安全风险。
也因此,风险评估工作历来颇受重视。
2017年6月1日实施的《中华人民共和国网络安全法》将开展风险评估作为网络运营者的职责写入到法律中:
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
《网络安全等级保护》也提到“风险评估”。在网络安全等级保护测评报告第6部分系统安全保障评估和安全问题风险评估中都涉及风险评估:
安全问题风险评估是指依据信息安全标准规范,采用风险分析的方法进行危害分析和风险等级判定,即:开展等级保护时,要将风险评估作为等级保护测评的一部分。
此外,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号)、《关键信息基础设施安全保护条例》(征求意见稿)等多项法律法规也都有“风险评估”的条款,硬性要求企业要重视信息安全风险评估工作,将开展信息安全风险评估工作作为提高我国信息安全保障水平的一项重要举措。
自《网络安全法》实施以来,陆陆续续有不少企业触法中枪。广州市某计算机科技有限公司就正因安全工作未做到位而受处罚。
提到广州市某计算机科技有限公司这个名字可能有些许陌生,然而提起UC浏览器,或许不少人都使用过。该公司被查处的原因是浏览器的云加速服务存在安全缺陷和漏洞风险,未能及时全面检测和修补,已被用于传播违法有害信息,造成不良影响。
“风险评估”既然如此受重视,那么,接下来,我们一起来详细地聊聊关于它的那些事儿。
何为风险评估
风险评估是指针对网络中已知或潜在的安全风险、安全隐患,进行探测、识别、控制、消除的全过程,是企业网络安全管理工作的必备措施之一。
信息安全风险评估是信息安全建设的第一步。信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是针对威胁、脆弱点以及它可能导致的风险大小而评估的。
对企业信息安全进行风险分析和评估的目的就是:
企业可以知道信息系统中是否有安全隐患的存在,并估测这些风险将会造成的安全威胁与可能造成的损失,并判断如何修复或者如何更安全地建立信息安全系统。
风险评估对象是什么?
可以是整个网络,也可以是针对网络的某一部分,如网络架构、重要业务系统。通过评估,可以全面梳理网络资产,了解网络存在的安全风险和安全隐患,并有针对性地进行安全加固,从而保障网络的安全运行。
风险评估的内容是什么?
将从IT资产、网络架构、网络脆弱性、应急服务、数据流、应用系统、终端主机、物理安全、管理安全等方面,对网络进行全面的风险评估,并根据评估的实际情况,提供详细的网络安全风险评估报告。
风险评估应做哪些准备?
主要涉及评估准备、资产识别、威胁识别、脆弱性识别、风险分析、风险评估文档等,有以下要点:
◆ 文档审查;
◆ 顾问访谈;
◆ 安全漏洞扫描;
◆ 网络层评估;
◆ 人工安全检查;
◆ 应用及数据安全调研;
◆ 渗透测试。
风险评估以后应该怎么办?
信息安全建设都应该是基于信息安全风险评估基础之上,只有在正确、全面地理解风险之后,才能在控制风险、减少风险之间作出正确的判断,决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险。
想做风险评估可以找谁?
风险评估是北京建恒信安科技有限公司(以下简称“建恒信安”)定制化安全服务的一项重要业务。
建恒信安参照国内外相关标准以及业界最佳实践,运用科学的方法和技术手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解信息安全风险,从而最大限度地保障信息安全。
总结:这是一个最好的时代,互联网+开启无限想象。然而数据泄露、勒索病毒、邮件泄密等安全事故频发同时告诉这也是一个最坏的时代。面对这样的现状,无数安全事件的经验和教训启示我们,从信息安全风险评估开始,提高系统的安全防护能力、隐患发现能力和应急响应能力,抓好“内因”增强自我能力,才能打好这场信息安全攻坚战!
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层
咨询热线 400 655 8875
传 真 010-56428067
地 址 北京市海淀区中关村软件园8号楼华夏科技大厦2层