服务中心

四维创智针对用户现有网络环境和业务环境提供安全检测服务;针对不同行业用户的安全需求进行相应的风险安全评估;同时根据不同阶段用户

进行安全知识和实操培训。强大的技术专家团队,专于技术,精于品质、提供最优质的安全服务!

服务概述

随着信息技术的发展和电子政务信息化的深化,各行业对信息系统的依赖逐渐增强。但同时,信息系统的安全事件也层出不穷,如何能有效识别自身信息系统的安全风险,做到防患于未然,是各行业近年来亟待考虑的问题。因此有必要通过风险评估与渗透测试的方法来深入发现信息系统的问题并解决,通过对信息系统面临的威胁、本身具有的脆弱性等安全因素进行分析,识别信息系统所面临的风险,从而制定有效的安全保障体系。
风险评估的过程主要包括:风险评估的准备,即信息收集与整理、对资产、威胁、脆弱性的分析已有采取安全措施的确认以及风险评价等环节。

实施过程

(1)风险评估的准备

风险评估的准备过程是整个风险评估过程有效的保证和基础。组织实施风险评估是一种战略性的考虑,其结果将受到组织业务战略、业务流程、安全需求、系统规模和结构等方面的影响。

(2)资产价值

在一般的风险评估体中,资产大多属于不同的信息系统,所以首先需要将信息系统及其中的信息资产进行恰当的分类,然后根据资产的机密性、完整性、可用性进行赋值。最终资产价值可以通过违反资产的机密性、完整性和可用性三个方面的程度综合确定,资产的赋值采用定性的相对等级的方式。与以上安全属性的等级相对应,资产价值的等级可分为五级,从1到5由低到高分别代表五个级别的资产相对价值,等级越大,资产越重要。

(3)威胁识别

安全威胁是一种对组织及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为恶意和非恶意两种。环境因素包括自然界的不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。也可能是偶发的、或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。但是有相当一部分威胁发生时,由于未能造成后果,或者没有意识到,而被安全管理人员忽略。这将导致对安全威胁的认识出现偏差。

(4)脆弱性识别

脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别,是风险评估中重要的内容。弱点是资产本身固有的缺陷,任何一种资产均具有脆弱性,并非“不合格”品,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性识别将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估,即对脆弱性被威胁利用的可能性进行评估,最终为其赋相应等级值。

(5)已有安全措施的确定

风险评估小组在识别资产脆弱性的同时,还应当详细分析针对该资产的已有或已规划的安全措施,并评价这些安全措施针的有效性。该部分不但要对技术措施进行分析,而且对系统现有管理制度的分析也要予以充分重视。
风险评估小组应对已采取的控制措施进行识别并对控制措施的有效性进行确认,将有效的安全控制措施继续保持,以避免不必要的工作和费用,防止控制措施的重复实施。对于那些确认为不适当的控制应核查是否应被取消,或者用更合适的控制代替。

(6)风险分析

该阶段工作主要由本公司信息安全管理委员会完成。
在完成了资产识别、威胁识别、脆弱性识别,以及对已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。然后明确不同威胁对资产所产生的风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应被优先分配资源进行保护。风险评估小组在对风险等级进行划分后,还应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。