安全評估服務(wù)——網(wǎng)絡(luò)安全的評估指標

網(wǎng)絡(luò)安全評估指標體系是網(wǎng)絡(luò)安全評估體系的重要組成部分。網(wǎng)絡(luò)安全評估指標是網(wǎng)絡(luò)安全評估的工具，是反映評估對象安全屬性的指示標志；網(wǎng)絡(luò)安全評估指標體系則是根據(jù)評估目標和評估內(nèi)容的要求構(gòu)建的一組反映網(wǎng)絡(luò)安全水平的相關(guān)指標，據(jù)以搜集評估對象的有關(guān)信息資料，反映評估對象的網(wǎng)絡(luò)安全的基本面貌、素質(zhì)和水平。

安全評估服務(wù)的作用

信息安全風(fēng)險評估是信息安全保障的基礎(chǔ)性工作和重要環(huán)節(jié)，貫穿于網(wǎng)絡(luò)和信息系統(tǒng)建設(shè)運行的全過程。服務(wù)提供者通過對信息系統(tǒng)提供風(fēng)險評估服務(wù)，系統(tǒng)地分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和安全整改措施，防范和消除信息安全風(fēng)險，或?qū)L(fēng)險控制在可接受的水平，為網(wǎng)絡(luò)和信息安全保障提供科學(xué)依據(jù)。

風(fēng)險評估中脆弱性有哪些分類

一、技術(shù)脆弱性

1、物理環(huán)境

從機房場地、機房防火、機房供配電、機房房防靜電、機房接地與防雷、電磁防、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。

2、網(wǎng)絡(luò)結(jié)構(gòu) 

從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別。

3、系統(tǒng)軟件

從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別。

4、應(yīng)用中間件

從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別。

5、應(yīng)用系統(tǒng)

從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密保保護等方面進行識別。

二、管理脆弱性

1、技術(shù)管理

從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別。

2、組織管理

從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別。