freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

干货推荐 | 料敌先机,安全风险评估可以这么做
  • 关注
干货推荐 | 料敌先机,安全风险评估可以这么做
2019-03-01 14:38:19

随着信息系统在业务中的介入越来越深,云计算、大数据、移动互联等新技术的广泛使用,信息安全的风险和复杂度越来越高。显然,简单依靠安全产品不能解决所有的问题,安全服务已经成为信息安全工作的核心内容。

风险评估是风险管理的基石,是满足各类合规需求的出发点。在关注业务安全的前提下,把信息安全管理评估、基础设施技术风险评估、应用系统安全性评估三者结合起来,结合行业化的安全要求,从立体层面针对客户业务系统进行管理、技术、应用系统三方面的评估、咨询,可以帮助客户全面认知自身风险,为客户提供更完善更有针对性的安全解决方案。

为什么要做安全风险评估?

 认知潜在风险:企业可以确定对特定威胁的暴露程度,发现系统潜在的安全风险。

 满足政策要求:满足等级保护、ISO27000等合规需求,为全面有效落实安全管理工作提供基础。

 有效针对预防:通过预测事件发生的可能性、影响范围和危害程度,有效提高预防保护的准确性。

● 明确未来方向:为下一步的信息安全建设指明方向。

风险管理工作不仅仅是一个简单的理论、方法,更需要在实践中检验发展。安全必须为业务服务,以“最佳实践”(Best Practice)作为信息安全工作的触发点,通过有效的安全服务,让安全技术有效地发挥作用。

风险评估原理是什么?

信息安全风险评估以资产为核心,识别资产本身存在的脆弱性和面临的安全威胁,由资产的重要性、脆弱性的严重程度和威胁发生的频率分析系统可能存在的安全风险及风险的重要程度,根据企业爱好和管理层的可接受程度设置风险处置计划,将风险造成的损失尽可能降至最低。


image.png

常用的风险评估模型示例

安全风险评估有哪些内容?

管理安全评估:对安全组织机构、安全管理制度、安全运行维护、安全人员培训等方面进行全面评估。

基础设施评估:包括对网络交换设备、安全设备、网络结构、安全防护措施等安全性的全面评估、包括对操作系统安全性的全面评估。

应用安全评估包括对数据库管理系统、WEB服务器、中间件和应用软件的安全性进行全面评估。

渗透性测试:对网络、数据库和应用系统中存在的安全漏洞和隐患实施本地或远程的渗透性检测和验证,识别系统中存在的各种威胁途径,并且提出规避措施。

安全风险评估具体怎么做?

image.png

申请受理阶段:与委托单位就风险评估项目进行前期沟通,签署《保密协议》,接收委托单位提交的资料,协助委托单位提交《信息系统安全风险评估委托书》。前期沟通结束后,双方签署《信息系统安全风险评估合同》。

image.png

准备阶段:项目进场实施前的准备工作,主要由项目经理负责。项目经理组织召开由双方参与的首次工作安排会议、编写制定《信息系统安全风险评估方案》。项目经理在与客户确定现场核查测试的具体日期、客户方配合的人员、现场配合等注意事项后方可准备进场实施测试。

image.png

实施阶段:项目组成员进入客户现场实施现场检查工作。现场检测时,由项目经理提出测评工作要求,明确项目组成员承担的测试内容,检测人员填写《现场检测表》。

image.png

评估阶段:项目组整理核查测试数据,对资产、威胁、脆弱性和风险进行分析,形成《信息系统安全风险评估核查测试报告》和《信息系统安全风险评估报告》。

image.png

结题阶段:项目组将测评过程中生成的各类文档、过程记录进行整理,并交档案管理员归档保存。中心质量专员请客户填写《客户满意度调查表》,收集客户反馈意见。

案例:某银行风险评估服务

国舜股份依据国际、国内及行业标准,按照某银行客户的实际需求和管理组织、机制,对安全管理体系及信息系统安全两个层面进行完整的评估

安全管理:参考ISO27001,结合等保测评标准,对客户信息安全管理策略和制度进行全面安全访谈和安全检查

安全技术:参考等保测评标准,结合风险评估方法,采用先进的安全检查和渗透测试技术,从网络层、主机层、应用层、数据层四大方面,对客户信息系统进行全面安全评估。

该行在国舜团队的指导下,进行加固和整改,避免了严重安全问题,同时也达到人民银行、银监会制定的法律规章和制度要求。

国舜股份优势

国舜股份自成立以来,始终坚持纵深、动态、主动的安全理念,紧跟安全的最新态势,充分发挥自身产品研发和安全服务的特长,为客户提供了全方位的网络安全产品与解决方案,以提升客户竞争力。

专业的技术服务团队

国舜股份研发技术团队包含近百名网络安全行业顶级研发人才,其中更是包含多名在乌云社区榜上有名的白帽子,此外国舜股份还设立了国舜金融科技安全研究院,中国工程院院士沈昌祥、原中国银行副行长王永利、世界互联网之父Stephen wolff、中国互联网协会副理事长黄澄清等业界大牛都是该研究院专家指导委员会成员。

权威的安全服务资质

image.png

截止到2018年底,国舜股份已经获得数十项行业资质,其中包含多项行业顶级资质。

丰富的安全服务经验

国舜股份的产品以及解决方案已被中国移动、中国联通、中国电信、中国银行、工商银行、民生银行、光大银行、华夏银行、安邦保险、中国石油、中国石化、国家电网等众多行业顶级企业及行政事业单位应用,并得到客户的广泛认可和肯定,在金融及电信运营商等关键行业持续保持市场领先地位。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者