Gartner最近的報(bào)告中出現(xiàn)了一種安全領(lǐng)域的新概念——安全評(píng)級(jí)服務(wù)(SRS, Security Rating Services)，Gartner將其定義為，“為組織實(shí)體提供持續(xù)的、獨(dú)立的、量化的安全分析和評(píng)級(jí)服務(wù)”。

到底什么是SRS?

說(shuō)的直白一點(diǎn)，SRS就是一種以大數(shù)據(jù)分析和威脅情報(bào)為基礎(chǔ)，對(duì)企業(yè)的信息資產(chǎn)，進(jìn)行量化的快速的安全風(fēng)險(xiǎn)評(píng)估。這種評(píng)估通過(guò)主動(dòng)和被動(dòng)(均無(wú)需打擾被評(píng)價(jià)方)兩種形式，從各種公開(kāi)和私有資源收集數(shù)據(jù)，使用特定的分析方法分析數(shù)據(jù)并使用實(shí)體自身的標(biāo)準(zhǔn)評(píng)級(jí)方法論來(lái)打分。可用來(lái)做企業(yè)內(nèi)部的安全報(bào)告，以及對(duì)第三方合作伙伴的風(fēng)險(xiǎn)管理。

對(duì)于企業(yè)來(lái)說(shuō)，核心業(yè)務(wù)之外的服務(wù)需要越來(lái)越多的第三方供應(yīng)商，在網(wǎng)絡(luò)虛擬化的大潮下，對(duì)云服務(wù)提供商的需求尤為凸顯。為此，除了對(duì)本身安全狀況的掌握，“如何了解大量業(yè)務(wù)伙伴和第三方服務(wù)安全狀況”的需求也逐漸增長(zhǎng)起來(lái)。

傳統(tǒng)的第三方安全評(píng)估有著各種限制，尤其是當(dāng)涉及到成百甚至上千的外部服務(wù)和合作伙伴時(shí)。而且，傳統(tǒng)的第三方確認(rèn)或證明往往只在某個(gè)時(shí)間點(diǎn)上有效，無(wú)法提供持續(xù)性的安全狀態(tài)評(píng)估。而其他常用評(píng)估方法，如基于通用標(biāo)準(zhǔn)或調(diào)查框架的問(wèn)卷，同樣也有時(shí)間點(diǎn)的問(wèn)題，而且結(jié)果的客觀性還要取決于被調(diào)查者的回答。

此外，企業(yè)本身也常常需要向管理層提供，自身安全狀態(tài)與友商和競(jìng)爭(zhēng)對(duì)手的比較標(biāo)準(zhǔn)。SRS正是這樣一種基于獨(dú)立數(shù)據(jù)資源的第三方評(píng)估工具。

哪些應(yīng)用場(chǎng)景需要SRS?

SRS目前尚未得到普遍應(yīng)用，但明顯的應(yīng)用需求已經(jīng)出現(xiàn)。下面是國(guó)內(nèi)六個(gè)典型的應(yīng)用場(chǎng)景：

1. 行業(yè)態(tài)勢(shì)分析

為行業(yè)主管部門(mén)和研究分析機(jī)構(gòu)提供提供自動(dòng)化的風(fēng)險(xiǎn)評(píng)估，并作出定量評(píng)價(jià);還可提供行業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)分析報(bào)告，對(duì)比行業(yè)網(wǎng)絡(luò)安全狀況的差異。

2. 安全績(jī)效測(cè)量

越來(lái)越多的組織希望通過(guò)將信息安全重點(diǎn)工作納入績(jī)效考核的方式強(qiáng)化責(zé)任落實(shí)，但傳統(tǒng)的安全績(jī)效測(cè)量方法存在很大局限性。如調(diào)查問(wèn)卷形式只展示了某個(gè)時(shí)間點(diǎn)的風(fēng)險(xiǎn)狀態(tài)，無(wú)法提供持續(xù)性的安全狀態(tài)評(píng)估，而且結(jié)果的準(zhǔn)確性還要取決于被調(diào)查者回答的客觀性。另一方面，通過(guò)技術(shù)檢查需要依賴(lài)部署各種檢查設(shè)備以獲取信息，且實(shí)施成本高、周期長(zhǎng)、分析難度大。

SRS可幫助總部管理層掌握下級(jí)單位的安全風(fēng)險(xiǎn)，并對(duì)安全狀況進(jìn)行客觀評(píng)價(jià)，輔助開(kāi)展安全績(jī)效測(cè)量。

3. 第三方風(fēng)險(xiǎn)管理

為應(yīng)對(duì)大量的合作伙伴和供應(yīng)商帶來(lái)的安全風(fēng)險(xiǎn)，風(fēng)險(xiǎn)管理部門(mén)需要能夠及時(shí)獲取對(duì)其客觀的安全評(píng)價(jià)報(bào)告，完成風(fēng)險(xiǎn)評(píng)估;采用人工檢測(cè)和調(diào)查的方法勢(shì)必會(huì)帶來(lái)巨大工作量，并且無(wú)法做到及時(shí)性和持續(xù)性。SRS可以實(shí)現(xiàn)保護(hù)業(yè)務(wù)和品牌的完整性，同時(shí)對(duì)合作伙伴、供應(yīng)商網(wǎng)絡(luò)安全狀況進(jìn)行持續(xù)監(jiān)測(cè)，為風(fēng)險(xiǎn)管理部門(mén)提供合作伙伴或供應(yīng)商的安全評(píng)價(jià)報(bào)告。

4. 企業(yè)安全評(píng)級(jí)

網(wǎng)絡(luò)安全評(píng)價(jià)可以引入企業(yè)信用評(píng)價(jià)體系，構(gòu)建更完整的企業(yè)信用評(píng)價(jià)體系，提供更客觀、準(zhǔn)確、定量化的報(bào)告，反映出更真實(shí)的企業(yè)信用現(xiàn)狀。為征信機(jī)構(gòu)和保險(xiǎn)公司提供企業(yè)安全評(píng)級(jí)報(bào)告，幫助挖掘潛在客戶(hù)并提高業(yè)務(wù)競(jìng)爭(zhēng)力。

網(wǎng)絡(luò)安全保險(xiǎn)業(yè)務(wù)已是大趨勢(shì)，全球市場(chǎng)已突破700億美元。但如果不能獲悉客戶(hù)真實(shí)的IT安全風(fēng)險(xiǎn)狀況很難簽署保險(xiǎn)協(xié)議。通過(guò)SRS服務(wù)，可在不影響客戶(hù)網(wǎng)絡(luò)運(yùn)行的前提下，獲得一個(gè)詳盡、深入的網(wǎng)絡(luò)安全評(píng)級(jí)報(bào)告，能夠快速有效的支持網(wǎng)絡(luò)保險(xiǎn)的業(yè)務(wù)辦理和幫助對(duì)潛在客戶(hù)的挖掘。

5. 大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估

大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估彌補(bǔ)了傳統(tǒng)方法的不足，對(duì)內(nèi)管理層需要了解安全措施和安全投入的有效性，對(duì)外需要向合作伙伴、客戶(hù)和監(jiān)管機(jī)構(gòu)證明自己的網(wǎng)絡(luò)安全現(xiàn)狀。SRS提供了一個(gè)快速、獨(dú)立的第三方審計(jì)手段。

6. GRC&SIEM的擴(kuò)展

優(yōu)秀SRS服務(wù)的一個(gè)關(guān)鍵支撐是海量的數(shù)據(jù)資源，通過(guò)大數(shù)據(jù)和威脅情報(bào)準(zhǔn)確地發(fā)現(xiàn)企業(yè)互聯(lián)網(wǎng)資產(chǎn)的風(fēng)險(xiǎn)，并可通過(guò)API標(biāo)準(zhǔn)接口，為合作伙伴和客戶(hù)的GRC和SIEM產(chǎn)品提供外部風(fēng)險(xiǎn)數(shù)據(jù)接入，以提升產(chǎn)品整體能力。

SRS應(yīng)用中的關(guān)鍵點(diǎn)

SRS要在行業(yè)中更好的得以應(yīng)用，一方面分析的數(shù)據(jù)應(yīng)確保準(zhǔn)確性和及時(shí)性，另一方面需要考慮國(guó)家不同的政策要求和行業(yè)特點(diǎn)實(shí)現(xiàn)可定制的風(fēng)險(xiǎn)指標(biāo)計(jì)算體系。

國(guó)內(nèi)外SRS產(chǎn)品并沒(méi)有統(tǒng)一的計(jì)算標(biāo)準(zhǔn)，數(shù)據(jù)類(lèi)型也各不相同，均根據(jù)各自的數(shù)據(jù)類(lèi)型特點(diǎn)建立了各自的評(píng)價(jià)模型和算法來(lái)應(yīng)對(duì)客戶(hù)需求。這些數(shù)據(jù)類(lèi)型包括僵尸網(wǎng)絡(luò)、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。

另外SRS提供商的服務(wù)方案所面向的對(duì)象不同，分別定位在行業(yè)安全主管部門(mén)、集團(tuán)管理層、風(fēng)險(xiǎn)管理部、信息安全管理部、保險(xiǎn)公司、征信機(jī)構(gòu)。

目前，SRS的市場(chǎng)認(rèn)可度和成熟度還處于非常早期的階段，國(guó)外主要的提供商有BitSight、FICO、SecurityScorecard等，國(guó)內(nèi)目前僅有一家正式推出并已擁有多個(gè)成功案例的SRS服務(wù)，安全值。