【IT168 信息化】

    一.  概述

    随着业务开展对IT系统依赖度的不断增强，业务人员的安全意识和安全技能也在逐步提高。最直接的体现为：传统以安全事件和新兴安全技术为主要驱动的安全建设模式，已经逐渐演进为以业务安全需求为主要驱动的主动式安全建设模式。从典型的信息安全建设过程来看，是由业务需求导出的安全需求在驱动着安全建设的全过程。所以，如何获取准确全面的安全需求以指导未来的安全建设并为业务发展服务，是每一个信息化主管所面临的共同挑战。以获取业务驱动的安全需求为主要目标的安全评估是一个行之有效的方法。

    安全评估从早期简单的漏洞扫描、人工检查、渗透测试等纯技术操作，逐步演进为以业务目标为出发点、以安全威胁为触发标志、以技术加管理和运营等多方面存在的安全脆弱性为主要诱因的综合评估方法及操作模型。当前安全评估在实施的过程中，实施质量比较依赖实施人员的经验，缺乏明确统一的操作衡量标准，技术操作过程需要投入大量的人员来进行实施。为解决衡量标准的问题，绿盟科技依据大量安全评估经验，结合行业标准规范，开展了针对基线安全的研究和实践，并成功地应用于运营商行业的日常安全运维工作中。

    本文从安全评估在整个安全体系建设中的重要性和发展趋势出发，探讨基于业务驱动的安全评估模式实施要点，通过分析提出业务系统的基线安全模型，并应用基线模型开展基线安全评估，使用创新型的基线安全评估工具来解决安全评估中的难题。

    二.  安全评估的重要意义

    安全评估是依据有关信息安全技术与管理标准，对信息系统以及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，并针对依据安全评估结果进行的后续风险管理措施提出具体的安全建议。

    对信息系统而言，存在风险并不意味着不安全，而安全体系的建设也不是为了安全而安全，只要把风险控制在可接受的范围内，就可以达到系统稳定运行的目的。安全评估的结果为保障信息系统的持续、稳定、高效运行提供了技术参考。

    安全评估是进行网络和系统安全建设的有力工具和手段，安全体系各阶段的建设都应在安全评估和风险分析的基础上进行。充分进行系统安全评估才能保证安全建设有的放矢、重点突出，才能达到以最小的成本获得最大安全保障，安全评估能保证安全控制措施应用在具有最大风险的区域。

    在系统的规划与设计阶段，安全评估的结果是安全需求的来源，为信息系统的安全建设提供依据；在系统运行维护阶段，由于信息系统的动态性，需要定期地进行安全评估，以了解、掌握系统安全状态，是保证系统安全的动态措施。同时，安全评估也是信息安全等级保护工作的一项不可或缺的工具和手段。