【四維創智】-專研智能,智匯安全-網絡攻防-滲透測試-web安全-無線安全-內網安全 風險評估 – 【四維創智】

                      服務中心

                       

                      四維創智針對用戶現有網絡環境和業務環境提供安全檢測服務;針對不同行業用戶的安全需求進行相應的風險安全評估;同時根據不同階段用戶

                       

                      進行安全知識和實操培訓。強大的技術專家團隊,專于技術,精于品質、提供最優質的安全服務!

                      服務概述

                      隨著信息技術的發展和電子政務信息化的深化,各行業對信息系統的依賴逐漸增強。但同時,信息系統的安全事件也層出不窮,如何能有效識別自身信息系統的安全風險,做到防患于未然,是各行業近年來亟待考慮的問題。因此有必要通過風險評估與滲透測試的方法來深入發現信息系統的問題并解決,通過對信息系統面臨的威脅、本身具有的脆弱性等安全因素進行分析,識別信息系統所面臨的風險,從而制定有效的安全保障體系。
                       
                      風險評估的過程主要包括:風險評估的準備,即信息收集與整理、對資產、威脅、脆弱性的分析已有采取安全措施的確認以及風險評價等環節。

                      實施過程

                      (1)風險評估的準備

                      風險評估的準備過程是整個風險評估過程有效的保證和基礎。組織實施風險評估是一種戰略性的考慮,其結果將受到組織業務戰略、業務流程、安全需求、系統規模和結構等方面的影響。

                      (2)資產價值

                      在一般的風險評估體中,資產大多屬于不同的信息系統,所以首先需要將信息系統及其中的信息資產進行恰當的分類,然后根據資產的機密性、完整性、可用性進行賦值。最終資產價值可以通過違反資產的機密性、完整性和可用性三個方面的程度綜合確定,資產的賦值采用定性的相對等級的方式。與以上安全屬性的等級相對應,資產價值的等級可分為五級,從1到5由低到高分別代表五個級別的資產相對價值,等級越大,資產越重要。

                      (3)威脅識別

                      安全威脅是一種對組織及其資產構成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統,安全威脅是一個客觀存在的事物,它是風險評估的重要因素之一。

                      產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素又可區分為惡意和非惡意兩種。環境因素包括自然界的不可抗的因素和其它物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊,例如非授權的泄露、篡改、刪除等,在機密性、完整性或可用性等方面造成損害。也可能是偶發的、或蓄意的事件。一般來說,威脅總是要利用網絡、系統、應用或數據的弱點才可能成功地對資產造成傷害。安全事件及其后果是分析威脅的重要依據。但是有相當一部分威脅發生時,由于未能造成后果,或者沒有意識到,而被安全管理人員忽略。這將導致對安全威脅的認識出現偏差。

                      (4)脆弱性識別

                      脆弱性是對一個或多個資產弱點的總稱。脆弱性識別也稱為弱點識別,是風險評估中重要的內容。弱點是資產本身固有的缺陷,任何一種資產均具有脆弱性,并非“不合格”品,它可以被威脅利用、引起資產或商業目標的損害。弱點包括物理環境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產的脆弱性。脆弱性識別將針對每一項需要保護的信息資產,找出每一種威脅所能利用的脆弱性,并對脆弱性的嚴重程度進行評估,即對脆弱性被威脅利用的可能性進行評估,最終為其賦相應等級值。

                      (5)已有安全措施的確定

                      風險評估小組在識別資產脆弱性的同時,還應當詳細分析針對該資產的已有或已規劃的安全措施,并評價這些安全措施針的有效性。該部分不但要對技術措施進行分析,而且對系統現有管理制度的分析也要予以充分重視。

                      風險評估小組應對已采取的控制措施進行識別并對控制措施的有效性進行確認,將有效的安全控制措施繼續保持,以避免不必要的工作和費用,防止控制措施的重復實施。對于那些確認為不適當的控制應核查是否應被取消,或者用更合適的控制代替。

                      (6)風險分析

                      該階段工作主要由本公司信息安全管理委員會完成。

                      在完成了資產識別、威脅識別、脆弱性識別,以及對已有安全措施確認后,將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度,判斷安全事件造成的損失對組織的影響,即安全風險。然后明確不同威脅對資產所產生的風險的相對值,即要確定不同風險的優先次序或等級,對于風險級別高的資產應被優先分配資源進行保護。風險評估小組在對風險等級進行劃分后,還應對不可接受的風險選擇適當的處理方式及控制措施,并形成風險處理計劃。對于不可接受范圍內的風險,應在選擇了適當的控制措施后,對殘余風險進行評價,判定風險是否已經降低到可接受的水平,為風險管理提供輸入。

                      国产小视频精品_国产小视频网站_国产小视频在线播放