首页 > 其他分享 >【安全服务系列】-- 风险评估

【安全服务系列】-- 风险评估

时间:2024-05-28 22:56:51浏览次数:21  
标签:风险 系列 -- 资产 材料 风评 工作 评估

风险评估(以下简称风评)本质是一种预防手段和前置工作。

一、概念

从信息安全的角度来讲,风险评估是对信息资产(即某事件或事物所具有的信息集)所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。

二、流程架构图

三、流程解析

①评估准备

重点是资产的收集和梳理,这也是整个风评工作的重中之重,明确好整个架构中有多少IP、对应哪些系统(这是最基本的,部分可能要求提供搭载的服务以及操作系统、系统具体用途、系统属性等),做好资产收集就完成很多进度了。(什么组件团队编写方案的可以说不关你事,甲方爸爸和你领导之间的问题。)

②风险识别&风险分析

杂合度比较高的两个流程,之所以放在一起讲是两个部分的工作息息相关,放在一起更连贯。流程上来说首先对综合对资产先进行一个“识别”,我其实更倾向于用判断这个词,分析所需要的材料就包括历来的脆弱性材料(包括安全告警等历史记录等),也会有参考等保材料、攻防演练资料等一切能参考的资料进行,因为这个部分实际上光看概念很模糊,什么叫“脆弱性识别主要从技术和管理两个方面进行”?还有后边一大串,我不想光找着概念说,那就对大家没什么益处了,从我自己实际工作经历来看,这一部分基本是以证明材料为基准,包括什么到现场去看机房的走线、架构部署都是材料的部分,还有就是我上面提到的历史材料等等,符合规则即可,识别和分析的一部分工作基本可以说是走个过场的形式。

分析的重中之重来了,因为风评也好,等保也好密评也好,这类测评性质的工作实际难点不是在技术上(要证和资质,懂的都懂),风险分析也包括了渗透测试、漏洞扫描的材料,这也是和安服仔们息息相关的工作,但这里的渗透不以目的为驱动了,不是为了打洞而打洞,一般来说很“机械化”,什么意思呢,没有什么剑走偏锋和什么出其不意的技术手段了,尤其是庞大的系统数量为前提的情况下,基本把渗透的流程和手段定死了,过一遍没有漏洞就没有了。当然也有特殊情况,up之前碰见的公司也有拿别的公司的渗透材料来填充的情况,也属于正常,整个工作闭环就好。

③风险评价

计算权重、出分数,没啥好说的,一般不是安服仔做,做的话也会给出计算公式。

④评估报告

把上面那一大坨,按照规定的格式,规定的话术放进报告里,up当年写了脚本批量写的嘿嘿。

四、风险评估的必要性

可能是up出来工作不算久,老是保持好奇,喜欢问为什么,那为什么要做风评呢?在总结一番后我的结论是:风评是给企业本身一个预防和梳理自身资产的一个工作支撑,客观来看企业发展过程中资产梳理、资产风险是会随时间维度变化的,且大部分企业本身对网络安全建设的意识较为模糊,说白了,我知道网络安全很重要,但是我不知道怎么做。风评的两个重要工作,资产和分析过程恰恰为这部分空白填了一个坑,企业在风险评估过程中及时建立资产梳理的机制、及时对披露漏洞进行修复,预防风险的发生。

五、风险评估与等级保护

从上面来看风评和等保好像差不多啊,也可以这么说,毕竟是有部分重合的地方。等保是基于一个大要求下,对系统进行评级,关注的重点是是否满足要求,风评是关注企业自身是否存在风险,只能说侧重点不一样。

原创:一己之见安全团队

标签:风险,系列,--,资产,材料,风评,工作,评估
From: https://www.cnblogs.com/o-O-oO/p/18219139

相关文章

  • GitHub——敏捷开发,CI/CD的倡导者和受益者
    1.简介GitHub是一个面向开源及私有软件项目的托管平台,因为只支持Git作为唯一的版本库格式进行托管,故名GitHub。Github拥有1亿以上的开发人员,400万以上组织机构和3.3亿以上资料库。2.发展历程GitHub平台于2007年10月1日开始开发,由GitHub公司(曾称LogicalAwesome)的开发者ChrisWa......
  • 【DRF-08】rest-framework之解析器
    1.解析器的作用根据请求头content-type选择对应的解析器对请求体内容进行处理。有application/json,x-www-form-urlencoded,form-data等格式,可以自己自行配置支持或者不支持哪种格式,一般在实际的生产环境中用json一种数据格式进行数据交互就够了,如果需要form-data来进......
  • 【WinSW】- 使用WinSW将程序变成Windows的服务
    1、WinSW下载地址:https://github.com/winsw/winsw/releases2、以nginx和jar为例,在目标文件下,添加WinSW程序和对应的xml文件,两者的名字需要一致,如图所示3、xml配置说明,可直接拷贝后面配好的xml 4、nginx对应的xml配置<service><id>nginxServer3</id><name>nginxServ......
  • hexo + vercel 构建你的静态页面博客系统(免费)
    参考资料注册vercel、安装hexo:https://blog.chitang.dev/posts/hexo-vercel-blog/插入图片:https://blog.csdn.net/m0_43401436/article/details/107191688QuickStart如果一切都安装完毕了,命令行下进入hexo工作目录新建博文的命令hexonewbravo你会在source/_post......
  • 知识产权与标准化
    知识产权与标准化导航目录知识产权与标准化导航一、知识产权概述二、保护范围与对象三、保护期限四、知识产权归属五、侵权判定六、标准的分类一、知识产权概述知识产权:知识产权是指人们就其智力劳动成果所依法享有的专有权利,通常是国家赋予创造者对其智力成果在一定时期内享......
  • 项目管理基础知识
    项目管理基础知识导航目录项目管理基础知识导航一、项目相关概念二、时间管理三、人员管理四、风险管理一、项目相关概念项目定义的三层意思一定的资源约束:时间资源、经费资源、人力资源一定的目标一次性任务里程碑是项目中的重要时点或事件持续时间为零,其代表的是......
  • 同步、异步、阻塞、非阻塞、回调函数
    同步、异步、阻塞、非阻塞、回调函数一、同步、异步和回调函数1.概念程序在执行过程中会存在函数调用,区分同步和异步的关键点在于函数调用后主程序如何运行。同步:函数调用后,主程序等待着函数返回才会继续往下运行。异步:函数调用后,主程序不等待函数返回就继续往下运行。......
  • 数据结构与算法
    数据结构与算法导航目录数据结构与算法导航一、数据结构与算法概念数据结构的定义算法伪代码二、线性表线性表三、队列与栈栈队循环队列四、窜广义表窜五、数组六、树与二叉树树二叉树七、图图的存储八、查找五大查找顺序查找二分查找二叉查找树(排序)二叉平衡树哈夫曼树B-树B+......
  • 游戏开发:集群配置管理
    跨机集群的核心实现:开启跨机消息管理服务,节点内所有需要跨进程投递的消息都通过此服务转发,通过网络送达集群内目标节点。实现:每个进程开启服务,服务内缓存集群节点的配置信息,与每个节点建立通信连接,负责当前节点和集群内节点之间的消息通信;根据当前节点配置监听集群消息入口(ip+......
  • 【网络拓扑方案】图说SAN与NAS一体化双活方案
    图说SAN与NAS一体化双活方案SAN与NAS一体化双活方案,可以同时为企业的数据业务与文件业务提供高可用、连续性保障。原创:网络民工......