在中办发[2003]27号文“要重视信息安全风险评估工作”的思想指导下,四部局办会签的公通字[2004]66号文提出:信息系统的运营、使用单位要自查自纠,对已经完成安全等级保护建设的信息系统进行检查评估,定期进行安全状况检测评估,及时消除安全隐患和漏洞,并应组织研制、开发科学、实用的检查、评估。2006年国信办“关于开展信息安全风险评估工作的意见” 进一步要求:信息系统拥有、运营或使用单位应进行自评估工作,在此基础上,上级管理部门或国家有关职能部门依法组织检查评估。
这些国家政策的出台给政府机关、金融机构、电信部门、企事业单位、商业组织等单位提出了自评估的要求。安全风险评估本身是个过程,不是一次性的项目,除了专业性很强的评估可以委托外,更多的工作需要依靠用户进行自评估来完成。目前大多数单位仍旧依赖委托评估,尚不具备自评估的能力和人员储备。而风险评估本身又需要大量的专业知识要求,信息系统使用单位在短时间内往往无法熟练掌握相关的评估技术。
基于这种情况,近日,启明星辰公司推出了国内第一款符合风险评估国家标准的信息安全风险自评估——天镜安全风险自评估版(A-BOX)。天镜自评估紧扣国家政策要求,符合正在制定中的信息安全风险评估指南国家标准,同时参考了ISO17799、ISO 13335等国际
风险管理标准,以启明星辰风险评估方法论为基础,并结合多年来在风险评估领域的项目经验,充分提炼不同行业用户的安全风险管理需求,是提供给有自评估需求的行业用户进行风险评估实践管理和运作的有力。
启明星辰天镜安全风险自评估以脆弱性管理为核心,提供以下几方面的功能:
1.以资产为核心的风险评估和风险管理:基于业务资产模型,建立企业信息资产库,进行信息资产管理并赋予安全属性。它支持对资产价值的两种赋值评价方法:基于CIA的资产评估、基于影响的资产评估。
2.风险评估项目管理:创建风险评估项目工程,对资产进行威胁评估、弱点评估,计算风险,并进行评估过程的跟踪。通过天镜自评估,可以定义企业的风险评估和管理流程,并可以对整个流程的实施进行管理。
3.安全基线管理:提供了对于信息资产和业务系统的安全基线定义界面,并在风险评估报告中给出当前安全状态与安全基线之间的比较报告,还可提供加固前后的弱点和风险级别比较报告,从而使企业准确地了解安全风险的状态变化。
4.扫描任务管理:天镜自评估系统嵌入了自主知识产权的漏洞扫描器,可以在天镜自评估中定义扫描任务、制定扫描策略、配置扫描引擎,自动进行漏洞扫描,并自动把扫描结果导入到天镜自评估数据库中。还可对扫描状态和扫描结果进行查询。
5.自动化评估过程:内置大量检查列表和自动化审计脚本,可进行自动化信息采集、典型系统自动化分析、自动化生成报告。内置审计评分标准,实现了规范化的评估结果评分标准。
6.安全预警公告:实现了实时的安全预警公告的聚集和发布,各安全厂商或者安全组织发布的安全预警信息都可以主动“推”到天镜自评估中。
另外,天镜自评估还提供对企业安全趋势的分析,具有权威的安全知识库以及各种原始数据导入的接口,建立了业务-系统-资产的评估对象模型,实现了和目前流行的大多数漏洞扫描产品的数据共享,将信息资产的管理和动态的安全风险管理有机地结合起来。它面向地域分布的行业化用户,给组织提供了统一的安全风险策略,明确的风险管理方法和持续的风险评估实践。
天镜自评估以便携式硬件包的产品形式提供,便于携带,可供有自评估需求的政府、金融、大型企业,以及电信运营商等行业用户方便使用,也可供上级管理部门或有关职能部门进行检查评估之用。
天镜自评估解决了某些单位不具备自评估能力的困难,利用该评估可进行自动化评估;该解决了普通的纸质评估结果难以利用的问题,可以更好地管理评估过程、更好地利用评估成果,从而提升风险评估结果的价值;该还避免了委托评估带来的信息泄漏的风险,同时也是保证风险评估结果可信度的重要因素。此外,从风险管理的角度,利用天镜自评估,可以把风险评估做成实时、随时、持续性的工作,而不仅仅是作为一次性的“项目”来实施。
启明星辰公司多年的M2S安全服务一直受到客户及业内的认可和好评,在此基础上推出的此款产品,充分体现了启明星辰不断追求技术创新的成果,也体现了启明星辰帮助用户全面提升IT基础设施的安全性和生产效能的理念和信心。
阅读(1434) | 评论(0) | 转发(0) |