既然有了专门的机构和人员就意味着安全不能完全依赖于第三方去评估，企业完全可以根据需要每隔一个月或者季度依靠自己的力量作一些局部的评估。从这个角度来说安全风险评估可以分为三种方式：一是自评估，由于全面的安全评估涉及面太广，企业自身可能不具备这种能力，自评估可以适当选择一些重要的点或者步骤，比如系统漏洞扫描，买一套扫描器企业自己可以很方便的完成。第二是检查评估，即上级对下级进行评估，比如某个大的集团公司，抽取某个省市的分公司进行检查。但是这两种方式都不太可能实施全面的风险评估。第三种方式就是委托评估，这个委托的第三方可以是国家的测评机构，也可以是的从事安全风险评估服务的安全公司。

　　据绿盟科技高级安全顾问于慧龙介绍，大部分第三方从事安全风险评估的公司，其评估方案大体都有六个步骤组成，即确定评估范围、资产识别与估价、威胁评估、脆弱性评估、风险分析和风险的管理。

　　确定评估范围是做好安全风险评估的前提也是第一步，系统多大，包括多少网络设备，多少主机，边界在哪等，在评估之前一定要有明确界定。资产识别和估价又包括了对业务系统的调查，资产的调查，资产破坏后造成的影响调查等细节。

　　需要强调的是，对于资产识别的关注点不需要覆盖系统中所有的点，而应该突出重点，遵循“二八原则”，选取比较重要的主机、关键网络设备等作为重点评估对象，对于终端则进行整体考虑，甚至对于一些相同配置的设备也可以进行抽样调查。威胁评估是指对系统客观存在一些潜在危害的评估，即评估各种威胁发生的可能性。脆弱性评估即对于系统的脆弱程度进行评估，主要考虑一些管理、技术方面弱点和漏洞。风险分析就是根据之前得到的一些数据利用先进的风险计算方法进行计算，并对高风险问题进行分析。最后在风险的管理阶段根据评估的安全现状和问题提供必要的解决方案。

上一篇 : 30亿元高铁市场或将掀起安防行业淘金热             下一篇 : 手动灌肠机 手动灌肠机好用吗？手动灌肠机