一、 风险评估是什么?
风险评估是指对威胁者(攻击者)利用资产的脆弱性(漏洞),造成成损失的严重程度进行评估
例如,某购物网站存在安全漏洞,被攻击者攻击,导致网站中断一天。假设网站停止运营一天,对公司的损失为2w;攻击者攻击的概率(漏洞利用难易程度、攻击的目的)为0.8;那么漏洞的风险值为0.8*2=1.6w
而风险评估正是对业务系统存在的一系列安全漏洞,进行全面的评估,让企业了解信息系统所面临的安全风险。
二、 风险评估的实现
(1)评估模式
评估模式包括:自评估、检测评估和委托评估;自评估是指企业自行对信息系统进行风险评估;检查评估是指上级主管部门对企业信息系统进行合规评估;委托评估是指通过第三方信息安全机构对企业信息系统进行评估。
(2)评估流程
评估准备:确认评估的对象和范围,包括设备、相关人员和物理环境等,此阶段需输出《风险评估范围界定报告》
资产识别:确认资产清单,并根据资产对信息系统的机密性、完整性和可用性的影响程度,进行估值。
威胁识别:分析资产可能受到的危害
脆弱性识别:识别出信息系统中存在的安全漏洞。通过漏洞扫描、人工检查和问卷调查等方式。
已有安全措施确认:确认已有安全措施是否有效。
风险分析:确认风险的大小和等级。
风险处置:通过安全措施,减少信息系统中的脆弱性或降低安全事件发生的可能性,至可接受的范围。
三、 阿里云相关安全服务
阿里云安全评估服务,主要由第三方合作伙伴为阿里云的客户提供安全风险评估服务,主要从企业信息系统管理员的角度,对业务系统进行全方位的风险评估。
阿里云渗透测试服务,由阿里云安全专家,以攻击者的角度对信息系统进行安全测试,对业务系统的场景具有更强的针对性。