风险评估服务

风险评估要素

                   

港湾提供的风险评估服务围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。

风险要素及属性之间存在着以下关系：
1. 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小；
2. 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大；
3. 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件；
4. 资产的脆弱性可能暴露资产的价值，资产具有的弱点越多则风险越大；
5. 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产；
6. 风险的存在及对风险的认识导出安全需求；
7. 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；
8. 安全措施可抵御威胁，降低风险；
9. 残余风险有些是安全措施不当或无效,需要加强才可控制的风险；而有些则是在综合考虑了安全成本与效益后不去控制的风险；
10. 残余风险应受到密切监视，它可能会在将来诱发新的安全事件。

风险分析的主要内容

1. 对资产进行识别，并对资产的价值进行赋值；
2. 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；
3. 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；
4. 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性；
5. 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失；
6. 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。

信息安全风险评估的主要评估项目

①、信息的安全状况评估
②、信息的完整性审查
③、机密信息调查
④、网络操作痕迹信息检查
⑤、信息在使用过程中的安全性审查
⑥、隐私信息机密性审查
⑦、信息可控性审查
⑧、信息存储安全性审查

业务流程安全风险评估的主要评估项目

①、业务流程安全现状评估
②、业务请求安全性审查
③、业务反请求安全性审查
④、业务处理流程安全性审查
⑤、业务处理人员可信赖性测试

网络安全风险评估的主要评估项目

①、网络安全现状评估
②、入侵检测审查
③、网络传输安全性评估
④、网络应用安全性评估
⑤、网络弱点及漏洞检测与验证
⑥、网络中交换机及路由器安全性评估
⑦、访问控制测试
⑧、主要网络攻击方式测试（如DOS）
⑨、网络行为审查
⑩、网络安全策略、警报和日志文件审查

通信安全风险评估的主要评估项目

①、Modem等通信设备安全性检测
②、VOIP安全性评估
③、网络传真安全性评估
④、远程访问安全性评估
⑤、即时通信安全性评估（包括即时聊天、网络视频会议、网络远程监控等）

无线安全风险评估的主要评估项目

①、电磁辐射测试
②、802.11a/b/g无线网络安全风险评估
③、蓝牙安全性评估
④、无线输入输出设备安全性测试
⑤、无线手持设备安全性测试
⑥、无线设备接入或退出安全性测试
⑦、无线传输设备安全性测试
⑧、无线通信保密性测试
⑨、其它无线通信方式检测（如RFID及红外线连接等）

物理安全风险评估的主要评估项目

①、物理安全现状评估
②、物理安全访问控制的安全性测试
③、物理监控设备运行审查
④、警报响应审查
⑤、物理安全防范位置审查
⑥、计算机系统所处位置周边物理安全审查
⑦、计算机系统所处位置当地自然条件、环境因素调查