隨著信息技術(shù)的迅猛發(fā)展和互聯(lián)網(wǎng)的普及,新時代下的信息安全風(fēng)險(xiǎn)評估已成為各個企業(yè)和組織亟待解決的問題����。
信息安全風(fēng)險(xiǎn)評估是一項(xiàng)系統(tǒng)性的工作,它涉及到識別�����、評估和管理組織內(nèi)部和外部的各種安全風(fēng)險(xiǎn)��,為企業(yè)的決策提供可靠的依據(jù)���。
騰創(chuàng)實(shí)驗(yàn)室(廣州)有限公司為廣大客戶提供高質(zhì)量的信息安全風(fēng)險(xiǎn)評估服務(wù)��,我們的團(tuán)隊(duì)由一群富有經(jīng)驗(yàn)和知識的安全工程師組成��,能夠從多個角度出發(fā)���,全面分析客戶在信息安全方面的潛在風(fēng)險(xiǎn)。
信息安全風(fēng)險(xiǎn)評估��,如何進(jìn)行�����?
信息安全風(fēng)險(xiǎn)評估系統(tǒng)的設(shè)計(jì)是針對組織開展信息安全風(fēng)險(xiǎn)評估的過程。
這個過程包括對信息系統(tǒng)中的安全風(fēng)險(xiǎn)識別��、信息收集�、評估和報(bào)告等。
風(fēng)險(xiǎn)評估的實(shí)施過程如下�。
1.評估前準(zhǔn)備。
在風(fēng)險(xiǎn)評估實(shí)施前��,需要對以下工作進(jìn)行確定:確定風(fēng)險(xiǎn)評估的目標(biāo)����、確定風(fēng)險(xiǎn)評估的范圍、組建風(fēng)險(xiǎn)評估團(tuán)隊(duì)��、進(jìn)行系統(tǒng)調(diào)研���、確定評估依據(jù)和方法���、制定評估計(jì)劃和評估方案、獲得管理者對工作的支持�����。
2.資產(chǎn)識別���。
資產(chǎn)識別過程分為資產(chǎn)分類和資產(chǎn)評價兩個階段����。
資產(chǎn)分類是將單位的信息資產(chǎn)分為實(shí)物資產(chǎn)��、軟件資產(chǎn)���、數(shù)據(jù)資產(chǎn)����、人員資產(chǎn)��、服務(wù)資產(chǎn)和無形資產(chǎn)六類資產(chǎn)進(jìn)行識別;資產(chǎn)評價是對資產(chǎn)的三個安全屬性保密性�����、可用性及完整性分別等級評價及賦值�����,經(jīng)綜合評定后�����,得出資產(chǎn)的價值。
3.威脅識別�����。
威脅識別主要工作是評估者需要從每項(xiàng)識別出的資產(chǎn)出發(fā)��,找到可能遭受的威脅���。
識別威脅之后�,還需要確定威脅發(fā)生的可能性��。
4.脆弱性識別����。
評估者需要從每項(xiàng)識別出的資產(chǎn)和對應(yīng)的威脅出發(fā),找到可能被利用的脆弱性����。
識別脆弱性之后,還需要確定弱點(diǎn)可被利用的嚴(yán)重性���。
5.已有安全措施確認(rèn)�。
在識別脆弱性的評估人員將對已采取的安全措施的有效性進(jìn)行確認(rèn),評估其是否真正地降低了系統(tǒng)的脆弱性�����,抵御了威脅����。
6.風(fēng)險(xiǎn)分析��。
風(fēng)險(xiǎn)評估中完成資產(chǎn)賦值�、威脅評估、脆弱性評估后�,在考慮已有安全措施的情況下,利用恰當(dāng)?shù)姆椒ㄅc工具確定威脅利用資產(chǎn)脆弱性發(fā)生安全事件的可能性���,并結(jié)合資產(chǎn)的安全屬性受到破壞后的影響得出信息資產(chǎn)的風(fēng)險(xiǎn)�����。
不做風(fēng)險(xiǎn)評估�,可能會產(chǎn)生哪些后果��?
如果應(yīng)用系統(tǒng)未經(jīng)上線前檢測直接上線���,在上線后由于存在類似SQL注入�����、跨站腳本����、木馬文件上傳等漏洞而遭受攻擊,可能直接影響系統(tǒng)正常業(yè)務(wù)運(yùn)行��,甚至造成經(jīng)濟(jì)和名譽(yù)的損失���,再加上有些漏洞涉及代碼改寫��,考慮到業(yè)務(wù)連續(xù)性的要求����,上線后再進(jìn)行代碼整改修復(fù)漏洞����,成本更為巨大。
因系統(tǒng)漏洞造成網(wǎng)絡(luò)安全事故�,違背網(wǎng)絡(luò)安全法,直接責(zé)任人��,主管責(zé)任人將會按照網(wǎng)絡(luò)安全法依法處罰。
