一、 風險評估是什麼?
風險評估是指對威脅者(攻擊者)利用資産的脆弱性(漏洞),造成成損失的嚴重程度進行評估
例如,某購物網站存在安全漏洞,被攻擊者攻擊,導緻網站中斷一天。假設網站停止營運一天,對公司的損失為2w;攻擊者攻擊的機率(漏洞利用難易程度、攻擊的目的)為0.8;那麼漏洞的風險值為0.8*2=1.6w
而風險評估正是對業務系統存在的一系列安全漏洞,進行全面的評估,讓企業了解資訊系統所面臨的安全風險。
二、 風險評估的實作
(1)評估模式
評估模式包括:自評估、檢測評估和委托評估;自評估是指企業自行對資訊系統進行風險評估;檢查評估是指上級主管部門對企業資訊系統進行合規評估;委托評估是指通過第三方資訊安全機構對企業資訊系統進行評估。
(2)評估流程
評估準備:确認評估的對象和範圍,包括裝置、相關人員和實體環境等,此階段需輸出《風險評估範圍界定報告》
資産識别:确認資産清單,并根據資産對資訊系統的機密性、完整性和可用性的影響程度,進行估值。
威脅識别:分析資産可能受到的危害
脆弱性識别:識别出資訊系統中存在的安全漏洞。通過漏洞掃描、人工檢查和問卷調查等方式。
已有安全措施确認:确認已有安全措施是否有效。
風險分析:确認風險的大小和等級。
風險處置:通過安全措施,減少資訊系統中的脆弱性或降低安全事件發生的可能性,至可接受的範圍。
三、 阿裡雲相關安全服務
阿裡雲安全評估服務,主要由第三方合作夥伴為阿裡雲的客戶提供安全風險評估服務,主要從企業資訊系統管理者的角度,對業務系統進行全方位的風險評估。
阿裡雲滲透測試服務,由阿裡雲安全專家,以攻擊者的角度對資訊系統進行安全測試,對業務系統的場景具有更強的針對性。