信息安全-风险评估-阿里云安全评估服务-阿里云开发者社区

开发者社区> 阿里云MVP> 正文
登录阅读全文

信息安全-风险评估-阿里云安全评估服务

简介: 随着人们对网络安全的愈加重视,企业管理者迫切想了解信息系统中是否存在安全隐患,应该如何进行安全加固,以及现有的安全设备,是否有效等等,而风险评估正好可以让企业全面了解系统中存在的信息安全隐患。本文将对风险评估的原理进行介绍,并结合阿里云的相关安全服务进行分析

一、 风险评估是什么?
3.png

风险评估是指对威胁者(攻击者)利用资产的脆弱性(漏洞),造成成损失的严重程度进行评估
例如,某购物网站存在安全漏洞,被攻击者攻击,导致网站中断一天。假设网站停止运营一天,对公司的损失为2w;攻击者攻击的概率(漏洞利用难易程度、攻击的目的)为0.8;那么漏洞的风险值为0.8*2=1.6w
而风险评估正是对业务系统存在的一系列安全漏洞,进行全面的评估,让企业了解信息系统所面临的安全风险。

二、 风险评估的实现
(1)评估模式
评估模式包括:自评估、检测评估和委托评估;自评估是指企业自行对信息系统进行风险评估;检查评估是指上级主管部门对企业信息系统进行合规评估;委托评估是指通过第三方信息安全机构对企业信息系统进行评估。

(2)评估流程
评估准备:确认评估的对象和范围,包括设备、相关人员和物理环境等,此阶段需输出《风险评估范围界定报告》
资产识别:确认资产清单,并根据资产对信息系统的机密性、完整性和可用性的影响程度,进行估值。
威胁识别:分析资产可能受到的危害
脆弱性识别:识别出信息系统中存在的安全漏洞。通过漏洞扫描、人工检查和问卷调查等方式。
已有安全措施确认:确认已有安全措施是否有效。
风险分析:确认风险的大小和等级。
风险处置:通过安全措施,减少信息系统中的脆弱性或降低安全事件发生的可能性,至可接受的范围。

三、 阿里云相关安全服务
阿里云安全评估服务,主要由第三方合作伙伴为阿里云的客户提供安全风险评估服务,主要从企业信息系统管理员的角度,对业务系统进行全方位的风险评估。
1.png

阿里云渗透测试服务,由阿里云安全专家,以攻击者的角度对信息系统进行安全测试,对业务系统的场景具有更强的针对性。
2.png

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

阿里云最有价值专家,是专注于帮助他人充分了解和使用阿里云技术的意见领袖。

官方博客
官网链接
精彩专题