网站风险评估是什么?科普文来了 – 作者:悬镜安全实验室

 说起网站风险评估,小编不得不先说下风险评估是什么?风险评估的范围比网站风险评估的范围要更宽泛一些,适用范围更大,且涉及面也更广,但整体的目标是一致的,通过各种管理、技术手段等来评估目标评估系统的存在的脆弱点,对其现有的安全管控技术措施的有效性进行评估。

评估的目的:

提高评估单位的信息安全技术能力与安全防护能力,促进被评估单位安全技术管理水平的提高,增强被评估系统业务安全稳定运行。

评估依据:

风险评估国家标准和规范:

GB/T 20274-2006 《信息系统安全保障评估框架》

GB/T 20984-2007 《信息安全风险评估规范》

GB/T 9361 计算站场地安全要求

GB 17859-1999 计算机信息系统安全保护等级划分准则

GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则(idt ISO/IEC 15408: 1999)

GB/T 19716-2005 信息技术 信息安全管理实用规则(ISO/IEC 17799:2000,MOD)

评估流程

在风险评估实施过程中,资产识别通过现场或远程沟通等方式获取;威胁识别技术检测验证为主,对威胁要素赋值;脆弱性识别以技术检测为主;综合分析上述各类要素,综合评定对业务系统信息安全的影响程度,形成最终的风险评估报告。

风险评估的实施流程如下图所示:

流程.png图片来源悬镜安全风险评估解决方案

客户资产识别

这个具体要根据客户的情况来定,比如说网络架构、IDC机房、应用系统,以及所使用的安全产品。

脆弱性

对目标系统威胁来源主要有四个方面,一个是自然威胁,一个是内部的人为威胁及外部的病毒和恶意代码的威胁,这个还需要动用管理和技术等手段的方式来进行验证。

 目前悬镜安全已经提供多种安全服务,包括渗透测试、风险评估、应急响应。如需了解更多,请联系我们。

悬镜安全风险评估咨询地址:http://www.xmirror.cn/

来源:freebuf.com 2018-07-11 17:10:19 by: 悬镜安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论