信息來源：比特網(wǎng)

Gartner最近的報(bào)告中出現(xiàn)了一種網(wǎng)絡(luò)安全領(lǐng)域的新概念——安全評(píng)級(jí)服務(wù)(SRS, Security Rating Services)，Gartner將其定義為“為組織實(shí)體提供持續(xù)的、獨(dú)立的、量化的安全分析和評(píng)級(jí)服務(wù)”。

到底什么是SRS？

說的直白一點(diǎn)，SRS就是一種以大數(shù)據(jù)分析和威脅情報(bào)為基礎(chǔ)，對(duì)企業(yè)的信息資產(chǎn)，進(jìn)行量化的快速的安全風(fēng)險(xiǎn)評(píng)估。這種評(píng)估通過主動(dòng)和被動(dòng)(均無需打擾被評(píng)價(jià)方)兩種形式，從各種公開和私有資源收集數(shù)據(jù)，使用特定的分析方法分析數(shù)據(jù)并使用實(shí)體自身的標(biāo)準(zhǔn)評(píng)級(jí)方法論來打分?？捎脕碜銎髽I(yè)內(nèi)部的安全報(bào)告，以及對(duì)第三方合作伙伴的風(fēng)險(xiǎn)管理。此外，企業(yè)本身也常常需要向管理層提供，自身安全狀態(tài)與友商和競爭對(duì)手的比較標(biāo)準(zhǔn)。SRS正是這樣一種基于獨(dú)立數(shù)據(jù)資源的第三方評(píng)估工具。

安全值，作為國內(nèi)首個(gè)安全評(píng)價(jià)服務(wù)商，正式發(fā)布了適用于國內(nèi)的六個(gè)典型的應(yīng)用場(chǎng)景解決方案：

1. 行業(yè)態(tài)勢(shì)分析

為行業(yè)主管部門和研究分析機(jī)構(gòu)提供行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)分析報(bào)告，對(duì)比行業(yè)網(wǎng)絡(luò)安全狀況的差異。

服務(wù)對(duì)象：行業(yè)主管部門和研究分析機(jī)構(gòu)

互聯(lián)網(wǎng)技術(shù)的發(fā)展帶來了新的威脅，各行業(yè)的安全風(fēng)險(xiǎn)與自身業(yè)務(wù)特點(diǎn)有直接的關(guān)系，這讓網(wǎng)絡(luò)安全變得更加復(fù)雜，快速、全面了解行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)成為迫切需求。隨著大數(shù)據(jù)技術(shù)和威脅情報(bào)的發(fā)展，可以通過大數(shù)據(jù)技術(shù)與威脅情報(bào)數(shù)據(jù)結(jié)合，發(fā)現(xiàn)各行業(yè)的安全風(fēng)險(xiǎn)。安全值整合了100多家外部數(shù)據(jù)資源，為行業(yè)主管部門提供自動(dòng)化的風(fēng)險(xiǎn)評(píng)估，并作出定量評(píng)價(jià)。無需部署任何設(shè)備，即可從業(yè)務(wù)、隱私、應(yīng)用、主機(jī)、網(wǎng)絡(luò)、環(huán)境6個(gè)方面識(shí)別多種風(fēng)險(xiǎn)類型(目前更新到12類)。通過安全值不僅可以幫助行業(yè)機(jī)構(gòu)完成定量化安全評(píng)價(jià)，還可以與其它行業(yè)進(jìn)行對(duì)比，揭示行業(yè)共性風(fēng)險(xiǎn)，提高行業(yè)安全風(fēng)險(xiǎn)預(yù)警能力。

同時(shí)，您可以獲取安全值發(fā)布的各行業(yè)網(wǎng)絡(luò)安全分析報(bào)告。

2. 安全績效測(cè)量

讓總部管理層掌握下級(jí)單位的安全風(fēng)險(xiǎn)，并對(duì)安全狀況進(jìn)行客觀評(píng)價(jià)，輔助開展安全績效測(cè)量。

服務(wù)對(duì)象：總部管理層

各組織對(duì)網(wǎng)絡(luò)安全工作益發(fā)重視，越來越多的組織希望通過將信息安全重點(diǎn)工作納入績效考核的方式強(qiáng)化責(zé)任落實(shí)。但傳統(tǒng)的安全績效測(cè)量方法存在很大局限性，一方面通過調(diào)查問卷形式只展示了某個(gè)時(shí)間點(diǎn)的風(fēng)險(xiǎn)狀態(tài)，無法提供持續(xù)性的安全狀態(tài)評(píng)估，而且結(jié)果的準(zhǔn)確性還要取決于被調(diào)查者回答的客觀性;另一方面通過技術(shù)檢查需要依賴部署各種檢查設(shè)備獲取信息，實(shí)施成本高、周期長、分析難度大。

很多集團(tuán)型企業(yè)總部使用安全值，無需部署任何設(shè)備實(shí)現(xiàn)了對(duì)各單位網(wǎng)絡(luò)安全持續(xù)的、客觀的外部安全評(píng)價(jià)，用定量化的方法完成安全狀況的測(cè)量。并通過和內(nèi)部結(jié)合，構(gòu)建了內(nèi)、外兩個(gè)維度的大數(shù)據(jù)安全評(píng)價(jià)模式，為安全績效考核工作提供了良好的支撐。

3. 第三方風(fēng)險(xiǎn)管理

為風(fēng)險(xiǎn)管理部門提供合作伙伴或供應(yīng)商的安全評(píng)價(jià)報(bào)告，實(shí)現(xiàn)對(duì)第三方風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)。

服務(wù)對(duì)象：風(fēng)險(xiǎn)管理部門

多數(shù)公司忽視了由合作伙伴或供應(yīng)商帶來引發(fā)的第三方安全風(fēng)險(xiǎn)?！?015年的網(wǎng)絡(luò)犯罪報(bào)告》中指出只有16%的受訪者表示評(píng)估過第三方的安全，23%的受訪者從不不評(píng)估第三方安全。

在《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》中指出“銀行業(yè)金融機(jī)構(gòu)對(duì)關(guān)聯(lián)外包服務(wù)提供商定期進(jìn)行的安全檢查，不得以服務(wù)提供商的自評(píng)估替代，不得因關(guān)聯(lián)關(guān)系而影響檢查的獨(dú)立性、客觀性及公正性?！钡谌桨踩L(fēng)險(xiǎn)已經(jīng)逐漸成為國內(nèi)外共同關(guān)注的主要風(fēng)險(xiǎn)領(lǐng)域。

為應(yīng)對(duì)大量的合作伙伴和供應(yīng)商帶來的安全風(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理部門需要能夠及時(shí)獲取對(duì)其客觀的安全評(píng)價(jià)報(bào)告，完成風(fēng)險(xiǎn)評(píng)估，采用人工檢測(cè)和調(diào)查的方法勢(shì)必會(huì)帶來巨大工作量，并且無法做到及時(shí)性和持續(xù)性。安全值可以實(shí)現(xiàn)保護(hù)業(yè)務(wù)和品牌的完整性，同時(shí)對(duì)合作伙伴、供應(yīng)商網(wǎng)絡(luò)安全狀況進(jìn)行持續(xù)監(jiān)測(cè)。

4. 企業(yè)安全評(píng)級(jí)

為征信機(jī)構(gòu)和保險(xiǎn)公司提供企業(yè)安全評(píng)級(jí)報(bào)告，幫助挖掘潛在客戶并提高業(yè)務(wù)競爭力。

服務(wù)對(duì)象：征信機(jī)構(gòu)、保險(xiǎn)公司

網(wǎng)絡(luò)安全評(píng)價(jià)可以引入企業(yè)信用評(píng)價(jià)體系，構(gòu)建更完整的企業(yè)信用評(píng)價(jià)體系，提供更客觀、準(zhǔn)確、定量化的報(bào)告，反映出更真實(shí)的企業(yè)信用現(xiàn)狀。

購買網(wǎng)絡(luò)保險(xiǎn)是全球的一大趨勢(shì)，當(dāng)您的客戶需要網(wǎng)絡(luò)保險(xiǎn)，如果不能調(diào)查出他真實(shí)世界的IT安全風(fēng)險(xiǎn)問題是很難簽署協(xié)議的。通過安全值平臺(tái)，比較您的投保人所在行業(yè)標(biāo)準(zhǔn)，在不影響客戶網(wǎng)絡(luò)運(yùn)行的前提下，既獲得一個(gè)詳盡、深入的網(wǎng)絡(luò)安全評(píng)級(jí)報(bào)告，能夠快速有效的支持網(wǎng)絡(luò)保險(xiǎn)的業(yè)務(wù)辦理和幫助對(duì)潛在客戶的挖掘。

5. 大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估

面向CSO管理層提供大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估方法，以補(bǔ)充傳統(tǒng)手段的不足，識(shí)別互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)。

服務(wù)對(duì)象：CSO管理層

你可能還沒有意識(shí)到，你的合作伙伴因法律要求或擔(dān)心第三方風(fēng)險(xiǎn)的影響，必須對(duì)你的安全風(fēng)險(xiǎn)進(jìn)行審計(jì)，正在通過各種方式了解你的安全狀況。安全值可以幫助你從外部發(fā)現(xiàn)安全風(fēng)險(xiǎn)，并持續(xù)監(jiān)測(cè)。

管理層想了解企業(yè)的安全投入是否讓企業(yè)變得更安全，也需要向客戶和監(jiān)管機(jī)構(gòu)積極證明你的網(wǎng)絡(luò)安全現(xiàn)狀，安全值提供了一個(gè)快速、獨(dú)立的審計(jì)程序來驗(yàn)證你的安全措施和安全投入的有效性。

大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估彌補(bǔ)了傳統(tǒng)方法的不足，發(fā)現(xiàn)被忽略的互聯(lián)網(wǎng)風(fēng)險(xiǎn)，了解你的安全在自身行業(yè)中的位置，基于各項(xiàng)安全指標(biāo)與垂直行業(yè)進(jìn)行差異比較。幫助你做出理性的、基于事實(shí)數(shù)據(jù)的參考，在安全管理和風(fēng)險(xiǎn)控制過程中做出更明智的投資決策。

6. GRC&SIEM的擴(kuò)展

為合作伙伴的GRC&SIEM產(chǎn)品提供外部威脅情報(bào)數(shù)據(jù)集成，提升產(chǎn)品整體能力

服務(wù)對(duì)象：GRC&SIEM產(chǎn)品

安全值已經(jīng)整合國內(nèi)外100多家數(shù)據(jù)資源，能夠發(fā)現(xiàn)任何企業(yè)互聯(lián)網(wǎng)資產(chǎn)的風(fēng)險(xiǎn)，并提供API接口，為合作伙伴和客戶的GRC和SIEM提供外部風(fēng)險(xiǎn)數(shù)據(jù)接入。

SRS應(yīng)用中的關(guān)鍵點(diǎn)

SRS要在行業(yè)中更好的得以應(yīng)用，一方面分析的數(shù)據(jù)應(yīng)確保準(zhǔn)確性和及時(shí)性，另一方面需要考慮國家不同的政策要求和行業(yè)特點(diǎn)實(shí)現(xiàn)可定制的風(fēng)險(xiǎn)指標(biāo)計(jì)算體系。

國內(nèi)外SRS產(chǎn)品并沒有統(tǒng)一的計(jì)算標(biāo)準(zhǔn)，數(shù)據(jù)類型也各不相同，均根據(jù)各自的數(shù)據(jù)類型特點(diǎn)建立了各自的評(píng)價(jià)模型和算法來應(yīng)對(duì)客戶需求，這些數(shù)據(jù)類型包括僵尸網(wǎng)絡(luò)、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。

另外SRS提供商的服務(wù)方案所面向的對(duì)象不同，分別定位在行業(yè)安全主管部門、集團(tuán)管理層、風(fēng)險(xiǎn)管理部、信息安全管理部、保險(xiǎn)公司、征信機(jī)構(gòu)。

目前，SRS的市場(chǎng)認(rèn)可度和成熟度尚處于早期階段，國外主要的提供商有BitSight、FICO、SecurityScorecard等，國內(nèi)目前僅有一家正式推出并已擁有多個(gè)成功案例的SRS服務(wù)，安全值。