金融行業(yè)網(wǎng)絡風險評估服務-多面魔方有限公司

評估服務 - 價值

避免業(yè)務隱患：技術層面定性的分析系統(tǒng)的性，串聯(lián)系統(tǒng)隱患點，有效驗證其存在性及其可利用程度，避免因漏洞造成業(yè)務損失。

保證規(guī)劃的合理和可行：正確反映各風險對信息的不同影響，使規(guī)劃的結果更合理可靠，使在 此基礎上制定的計劃具有現(xiàn)實的可行性。

選擇較佳的風險對策組合：風險對策會付出一定代價，需將不同風險對策的適用性與不同風險的后果 結合考慮，金融行業(yè)網(wǎng)絡風險評估服務項目，使不同風險選擇適宜的風險對策，形成佳風險對策組合。

風險分析的原理

風險分析中要涉及資產(chǎn)、威脅、脆弱性三個基本要素。每個要素有各自的屬性，資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性可以是威脅主體、影響對象、出現(xiàn)頻率、動機等；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。風險分析的主要內容為：

對資產(chǎn)進行識別，金融行業(yè)網(wǎng)絡風險評估服務，并對資產(chǎn)的價值進行賦值；

對威脅進行識別，金融行業(yè)網(wǎng)絡風險評估服務費用，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；

對脆弱性進行識別，并對具體資產(chǎn)的脆弱性的嚴重程度賦值；

根據(jù)威脅及威脅利用脆弱性的難易程度判斷事件發(fā)生的可能性；

根據(jù)脆弱性的嚴重程度及事件所作用的資產(chǎn)的價值計算事件造成的損失；

根據(jù)事件發(fā)生的可能性以及事件出現(xiàn)后的損失，計算事件一旦發(fā)生對組織的影響，即風險值。

風險評估中脆弱性有哪些分類

一、技術脆弱性

1、物理環(huán)境

從機房場地、機房防火、機房供配電、機房房防靜電、機房接地與防雷、電磁防、通信線路的保護、機房區(qū)域防護、機房設備管理等方面進行識別。

2、網(wǎng)絡結構?

從網(wǎng)絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網(wǎng)絡設備配置等方面進行識別。

3、系統(tǒng)軟件

從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡、系統(tǒng)管理等方面進行識別。

4、應用中間件

從協(xié)議、交易完整性、數(shù)據(jù)完整性等方面進行識別。

5、應用系統(tǒng)

從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密保保護等方面進行識別。

二、管理脆弱性

1、技術管理

從物理和環(huán)境、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務連續(xù)性等方面進行識別。

2、組織管理

從策略、組織、資產(chǎn)分類與控制、人員、符合性等方面進行識別。