风险评估中哪个步骤最棘手?

日期: 2008-05-21 作者:Joel Dubin 来源:TechTarget中国 英文

问:风险评估中哪个步骤最棘手?   答:风险评估是一个复杂的话题,超出了这几段文字能够覆盖的范围。但是,风险评估是信息安全的核心。   为了保证一个系统的安全,你必须要确定这个系统的风险等级。系统的风险等级越高,就越需要保护。

你不想把你的信息安全预算花在保护一个低风险的系统上,你要把信息安全预算花在高风险的系统上,例如,那些存储了敏感的用户数据或者处理金融交易的系统。虽然这些观点听起来好像是常识,但是,能够恰当地评估风险的机构并不多,结果不分青红皂白地浪费了它们的预算和资源,没有很好地保护它们最敏感的IT资产,过多地保护了价值很低的资产。   一般来说,风险评估包括评估你的IT基础设施的三个方……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

问:风险评估中哪个步骤最棘手?

  答:风险评估是一个复杂的话题,超出了这几段文字能够覆盖的范围。但是,风险评估是信息安全的核心。

  为了保证一个系统的安全,你必须要确定这个系统的风险等级。系统的风险等级越高,就越需要保护。你不想把你的信息安全预算花在保护一个低风险的系统上,你要把信息安全预算花在高风险的系统上,例如,那些存储了敏感的用户数据或者处理金融交易的系统。虽然这些观点听起来好像是常识,但是,能够恰当地评估风险的机构并不多,结果不分青红皂白地浪费了它们的预算和资源,没有很好地保护它们最敏感的IT资产,过多地保护了价值很低的资产。

  一般来说,风险评估包括评估你的IT基础设施的三个方面:威胁、安全漏洞和风险。例如,威胁可能是黑客获得了访问存储你的客户信息的数据库的权限。安全漏洞是数据库过时了和没有安装最新的安全补丁。因此,由于这个系统没有使用补丁,处在一个没有防火墙的没有保护措施的网络中并且直接连接到了互联网,这个风险可能是非常高的。

  这种情形在一个拥有一位有经验的信息安全人员的公司几乎是不可能发生的,但是,实际上仍存在这个问题。由于我们知道这个风险很高和非常可能发生,我们知道我们需要减少控制。我们已经评估了这个风险并且知道风险在哪里和如何保证易受攻击的IT资产的安全。在这种情况下,风险评估将告诉我们首先使用补丁修复服务器,封锁接入服务器的防火墙的端口并且使用防火墙连接到互联网。

  要记住,这并不仅仅是IT风险和保证服务器和网站安全的问题。被攻破的IT系统可以导致数据损失、网络中断和恶意使用。所有这些都能够破坏一个企业的声誉或者产生更糟糕的影响。

  要更多地了解有关风险评估的信息可参考美国国家标准与技术研究所网站,网址是http://csrc.nist.gov。这个网站的计算机安全资源中心包含广泛应用的和信息安全专业人员推荐的风险评估方法。

相关推荐