廣西複興網絡科技有限責任公司-官方網站

廣西複興網絡科技有限責任公司

GuangXi XingZhe Technology Co.,LTD

緻力于(yú)電子(zǐ)商務和(hé / huò)信息智能化，您身邊的(de)信息化專家！

加入收藏

合作夥伴

在(zài)線調查

站内統計

文章數量：29

今日訪問：461

訪問總量：468427

首頁 -> 産品與服務

信息安全風險評估和(hé / huò)持續完善

浏覽數：2067 發布時(shí)間：2014-12-09 15:56

正文摘要(yào / yāo)：信息安全風險評估就(jiù)是(shì)從風險管理角度，運用科學的(de)方法和(hé / huò)手段，系統地(dì / de)分析信息系統所面臨的(de)威脅及其存在(zài)的(de)脆弱性，評估安全事件一(yī / yì ／yí)旦發生可能造成的(de)危害程度，提出(chū)有針對性的(de)抵禦威脅的(de)防護對策和(hé / huò)整改措施，爲(wéi / wèi)防範和(hé / huò)化解信息安全風險，将風險控制在(zài)可接受的(de)水平，最大(dà)限度地(dì / de)保障信息安全提供科學依據。

一(yī / yì ／yí)、方案背景

随着各行業信息化建設的(de)迅速發展，單位的(de)信息系統對于(yú)數據安全和(hé / huò)業務連續性的(de)要(yào / yāo)求變得非常高，直接關系到(dào)單位的(de)業務能否正常開展、可能還關系到(dào)公共利益和(hé / huò)社會秩序。現階段，大(dà)部分單位信息系統主要(yào / yāo)存在(zài)的(de)問題是(shì)沒有形成體系化的(de)安全建設，雖然已經采取了(le／liǎo)一(yī / yì ／yí)些安全防護措施，但整體安全防護能力、隐患發現能力、應急響應能力還存在(zài)欠缺，與國(guó)家的(de)等級保護要(yào / yāo)求差距較大(dà)，無法有效保證業務系統長期穩定運行。
信息安全風險評估就(jiù)是(shì)從風險管理角度，運用科學的(de)方法和(hé / huò)手段，系統地(dì / de)分析信息系統所面臨的(de)威脅及其存在(zài)的(de)脆弱性，評估安全事件一(yī / yì ／yí)旦發生可能造成的(de)危害程度，提出(chū)有針對性的(de)抵禦威脅的(de)防護對策和(hé / huò)整改措施，爲(wéi / wèi)防範和(hé / huò)化解信息安全風險，将風險控制在(zài)可接受的(de)水平，最大(dà)限度地(dì / de)保障信息安全提供科學依據。

二、客戶需求

目前各級單位客戶面臨着以(yǐ)下主要(yào / yāo)問題：

在(zài)最初建設過程中信息安全雖有所考慮，卻無法把控支撐業務運行的(de)信息系統安全風險；
不(bù)知道(dào)單位現有的(de)信息系統或組織管理中存在(zài)哪些薄弱點；
這(zhè)些風險及薄弱點應當采取什麽措施進行改進或者對其進行控制；
新業務系統上(shàng)線，但不(bù)清楚業務上(shàng)線後是(shì)否能夠安全穩定運行，可能面臨的(de)信息安全風險有哪些；
如何綜合平衡安全成本和(hé / huò)風險制定可落地(dì / de)的(de)風險控制措施，以(yǐ)最少的(de)成本使風險降低到(dào)可接受的(de)水平。

以(yǐ)上(shàng)這(zhè)些問題都迫切需要(yào / yāo)識别信息系統面臨的(de)威脅和(hé / huò)本身具有的(de)脆弱性，基于(yú)風險評估結果并結合用戶的(de)業務需求進行整體的(de)安全規劃，建立信息安全長效機制。

三、解決方案

風險評估工作将遵照國(guó)信辦制定的(de)《信息安全風險評估指南》進行風險分析。下圖爲(wéi / wèi)具體的(de)風險分析方法模型：

資産評估主要(yào / yāo)是(shì)對資産進行相對估價，而(ér)其估價準則就(jiù)是(shì)依賴于(yú)對其影響的(de)分析，主要(yào / yāo)從保密性、完整性、可用性三方面的(de)安全屬性進行影響分析，從資産的(de)相對價值中體現了(le／liǎo)威脅的(de)嚴重程度。
威脅評估是(shì)對資産所受威脅發生可能性的(de)評估，主要(yào / yāo)從威脅源的(de)動機和(hé / huò)能力兩個(gè)方面進行分析。
脆弱性評估是(shì)對資産脆弱程度的(de)評估，主要(yào / yāo)從脆弱性被利用的(de)難易程度、被利用成功後的(de)嚴重性兩方面安全屬性進行分析。
安全措施有效性評估是(shì)對保障措施的(de)有效性進行的(de)評估活動，主要(yào / yāo)考慮安全措施在(zài)防範威脅，減少脆弱性方面的(de)有效狀況的(de)安全屬性進行分析。
風險分析就(jiù)是(shì)通過綜合分析評估後的(de)資産信息、威脅信息、脆弱性信息、安全措施信息，最終生成風險信息。

風險評估的(de)流程如下圖所示：

第一(yī / yì ／yí)階段确定評估範圍階段，确定評估範圍的(de)邊界以(yǐ)及範圍内的(de)所有服務器、網絡系統；
第二階段是(shì)資産的(de)識别和(hé / huò)估價階段，對評估範圍内的(de)所有資産進行識别，調查并了(le／liǎo)解信息系統業務的(de)流程和(hé / huò)運行環境；
第三階段是(shì)安全威脅評估階段，即評估資産所面臨的(de)技術層面上(shàng)各種威脅發生的(de)可能性；
第四階段是(shì)脆弱性評估階段，包括從技術、安全策略方面進行的(de)脆弱程度檢查，特别是(shì)技術方面，以(yǐ)遠程和(hé / huò)本地(dì / de)兩種方式進行系統掃描和(hé / huò)人(rén)工檢查的(de)評估；
第五階段是(shì)風險的(de)分析階段，即通過分析上(shàng)面所評估的(de)數據，總結出(chū)服務器、網絡設備面臨的(de)安全風險。

四、用戶收益

（1）全面理清用戶信息系統的(de)底數以(yǐ)及安全狀況，使用戶能夠整體上(shàng)把握系統面臨的(de)安全風險，爲(wéi / wèi)下一(yī / yì ／yí)步安全加固奠定一(yī / yì ／yí)個(gè)良好的(de)基礎。
（2）與等級保護工作相呼應，直接突出(chū)用戶信息系統中的(de)重點安全問題，使整改工作能夠一(yī / yì ／yí)針見血，直擊要(yào / yāo)害。
（3）在(zài)滿足國(guó)家政策的(de)合規性要(yào / yāo)求下，爲(wéi / wèi)單位管理層提供後續信息安全規劃建設的(de)參考意見。

擴展閱讀