面对日益严峻的信息安全形势,很多企业纷纷购买了防火墙、安全网关等安全产品,也制定了很多安全策略,即便如此,安全事件仍然时常发生。究其原因,主要还是由于前期的安全规划没有做好。在安全规划制定时,如果CIO没有充分认识到企业信息系统的潜在威胁和脆弱程度,没能做到有的放矢地采取措施,会造成在安全上盲目投资,效果低于预期。
很多CIO已经认识到了这一点,于是开始着手对企业内部信息系统进行安全风险评估。希望借助专业的力量去发现公司内部信息系统存在的问题,进而寻求解决之道。
从绿盟科技、安氏等在国内安全评估方面起步较早的专业公司来看,真正的安全风险评估应该在2001年之后才逐渐出现,之前的安全评估仅仅依赖于漏洞扫描器对系统进行扫描去发现问题。虽然现在也在用这种方法,但只是整个评估体系中的一小块,并且这种扫描发现的只是局部的系统层的问题。
安全风险评估是一项庞大的工程,可以细化到企业中的每一个环节、每个点,比如网络层、系统层、应用层、物理层和管理层等。每一层又可以做相应的细化,比如管理层不仅包括人,还包括安全的政策和管理措施等。
\"随着系统的变更或者时间的推移,为了获得更好的适合企业现状的安全解决方案,很多企业两年或者一年就做一次大范围的评估。\"绿盟科技高级安全顾问于慧龙说,\"后来,企业逐渐发现,仅仅有了解决方案也是不行的,解决方案只是一个具体的落实方案,能不能有一个对于今后的安全规划或者安全建设的指导性方案?\"既要有具体落实的方案,又要有指导性建议,所以现在的安全风险评估已经不仅仅是评估企业信息系统存在的问题和现状,更是在告诉企业怎么去解决问题,今后的安全怎么去规划,进而建设地更好。
评估不一定要外力
既然是做评估,是否意味着安全风险评估一定要有外部力量去完成呢?显然这是一种误解。大家知道,很多大的行业企业,比如电信、移动,他们本身就有很多的IT技术人员,甚至设置了专门负责信息安全的部门或人员。
