信息安全保障本质上是风险管理的工作,信息安全风险和事件不可能完全避免,关键在于如何控制、化解和规避风险。风险评估是风险管理的重要组成部分,要想更好地理解风险评估,首先要了解风险管理。
风险管理是识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。结合风险评估结果,给出符合用户实际情况的加固建议及后期建设方案,进行更有针对性的安全建设,为后续的安全工作提供方向及依据。企业网络安全风险评估包括哪些内容?
1、风险评估服务
在综合考虑资产面临威胁的破坏力及发生几率,脆弱性的严重程度和被利用几率等因素分析资产可能存在的安全风险,结合风险对业务战略的影响程度区别是否可以接受,并针对不可接受的风险采用降低、规避、转嫁、接受等处置方式进行协助整改。
2、渗透测试服务
通过模拟恶意黑客的攻击方法,检测系统抵抗攻击的能力。这个过程包括对系统的所有技术弱点、技术缺陷或漏洞的主动分析,这个分析是从一个攻击者的位置和角度进行的,更容易发现实际生产过程中危害较大的安全隐患、脆弱性利用路径及利用方式。
3、漏洞扫描服务
使用自研和其它商用漏扫工具,能够快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁,并给出关于安全隐患的详细信息。
4、基线核查服务
安全基线是一个信息系统的最基本安全保证,即该信息系统最基本需要满足的安全要求。基线核查是业务系统及所属设备等在特定时期内,根据自身需求、部署环境和承载业务要求应满足的基本安全配置,全面集中检查和分析各类系统存在的本地安全配置问题。
上一篇:网络安全风险评估知识
下一篇:没有了