Gartner最近的報告中出現(xiàn)了一種網(wǎng)絡安全領域的新概念——安全評級服務(SRS, Security Rating Services)，Gartner將其定義為“為組織實體提供持續(xù)的、獨立的、量化的安全分析和評級服務”。

到底什么是SRS?

說的直白一點，SRS就是一種以大數(shù)據(jù)分析和威脅情報為基礎，對企業(yè)的信息資產(chǎn)，進行量化的快速的安全風險評估。這種評估通過主動和被動(均無需打擾被評價方)兩種形式，從各種公開和私有資源收集數(shù)據(jù)，使用特定的分析方法分析數(shù)據(jù)并使用實體自身的標準評級方法論來打分。可用來做企業(yè)內(nèi)部的安全報告，以及對第三方合作伙伴的風險管理。此外，企業(yè)本身也常常需要向管理層提供，自身安全狀態(tài)與友商和競爭對手的比較標準。SRS正是這樣一種基于獨立數(shù)據(jù)資源的第三方評估工具。

作為國內(nèi)首個安全評價服務商，安全值正式發(fā)布了適用于國內(nèi)的六個典型的應用場景解決方案：

1. 行業(yè)態(tài)勢分析

為行業(yè)主管部門和研究分析機構提供行業(yè)網(wǎng)絡安全態(tài)勢分析報告，對比行業(yè)網(wǎng)絡安全狀況的差異。

服務對象：行業(yè)主管部門和研究分析機構

互聯(lián)網(wǎng)技術的發(fā)展帶來了新的威脅，各行業(yè)的安全風險與自身業(yè)務特點有直接的關系，這讓網(wǎng)絡安全變得更加復雜，快速、全面了解行業(yè)網(wǎng)絡安全態(tài)勢成為迫切需求。隨著大數(shù)據(jù)技術和威脅情報的發(fā)展，可以通過大數(shù)據(jù)技術與威脅情報數(shù)據(jù)結合，發(fā)現(xiàn)各行業(yè)的安全風險。安全值整合了100多家外部數(shù)據(jù)資源，為行業(yè)主管部門提供自動化的風險評估，并作出定量評價。無需部署任何設備，即可從業(yè)務、隱私、應用、主機、網(wǎng)絡、環(huán)境6個方面識別多種風險類型(目前更新到12類)。通過安全值不僅可以幫助行業(yè)機構完成定量化安全評價，還可以與其它行業(yè)進行對比，揭示行業(yè)共性風險，提高行業(yè)安全風險預警能力。

同時，您可以獲取安全值發(fā)布的各行業(yè)網(wǎng)絡安全分析報告。

2. 安全績效測量

讓總部管理層掌握下級單位的安全風險，并對安全狀況進行客觀評價，輔助開展安全績效測量。

服務對象：總部管理層

各組織對網(wǎng)絡安全工作益發(fā)重視，越來越多的組織希望通過將信息安全重點工作納入績效考核的方式強化責任落實。但傳統(tǒng)的安全績效測量方法存在很大局限性，一方面通過調(diào)查問卷形式只展示了某個時間點的風險狀態(tài)，無法提供持續(xù)性的安全狀態(tài)評估，而且結果的準確性還要取決于被調(diào)查者回答的客觀性;另一方面通過技術檢查需要依賴部署各種檢查設備獲取信息，實施成本高、周期長、分析難度大。

很多集團型企業(yè)總部使用安全值，無需部署任何設備實現(xiàn)了對各單位網(wǎng)絡安全持續(xù)的、客觀的外部安全評價，用定量化的方法完成安全狀況的測量。并通過和內(nèi)部結合，構建了內(nèi)、外兩個維度的大數(shù)據(jù)安全評價模式，為安全績效考核工作提供了良好的支撐。

3. 第三方風險管理

為風險管理部門提供合作伙伴或供應商的安全評價報告，實現(xiàn)對第三方風險進行持續(xù)監(jiān)測。

服務對象：風險管理部門

多數(shù)公司忽視了由合作伙伴或供應商帶來引發(fā)的第三方安全風險。《2015年的網(wǎng)絡犯罪報告》中指出只有16%的受訪者表示評估過第三方的安全，23%的受訪者從不不評估第三方安全。

在《銀行業(yè)金融機構信息科技外包風險監(jiān)管指引》中指出“銀行業(yè)金融機構對關聯(lián)外包服務提供商定期進行的安全檢查，不得以服務提供商的自評估替代，不得因關聯(lián)關系而影響檢查的獨立性、客觀性及公正性。”第三方安全風險已經(jīng)逐漸成為國內(nèi)外共同關注的主要風險領域。

為應對大量的合作伙伴和供應商帶來的安全風險，風險管理部門需要能夠及時獲取對其客觀的安全評價報告，完成風險評估，采用人工檢測和調(diào)查的方法勢必會帶來巨大工作量，并且無法做到及時性和持續(xù)性。安全值可以實現(xiàn)保護業(yè)務和品牌的完整性，同時對合作伙伴、供應商網(wǎng)絡安全狀況進行持續(xù)監(jiān)測。

4. 企業(yè)安全評級

為征信機構和保險公司提供企業(yè)安全評級報告，幫助挖掘潛在客戶并提高業(yè)務競爭力。

服務對象：征信機構、保險公司

網(wǎng)絡安全評價可以引入企業(yè)信用評價體系，構建更完整的企業(yè)信用評價體系，提供更客觀、準確、定量化的報告，反映出更真實的企業(yè)信用現(xiàn)狀。

購買網(wǎng)絡保險是全球的一大趨勢，當您的客戶需要網(wǎng)絡保險，如果不能調(diào)查出他真實世界的IT安全風險問題是很難簽署協(xié)議的。通過安全值平臺，比較您的投保人所在行業(yè)標準，在不影響客戶網(wǎng)絡運行的前提下，既獲得一個詳盡、深入的網(wǎng)絡安全評級報告，能夠快速有效的支持網(wǎng)絡保險的業(yè)務辦理和幫助對潛在客戶的挖掘。

5. 大數(shù)據(jù)風險評估

面向CSO管理層提供大數(shù)據(jù)風險評估方法，以補充傳統(tǒng)手段的不足，識別互聯(lián)網(wǎng)安全風險。

服務對象：CSO管理層

你可能還沒有意識到，你的合作伙伴因法律要求或擔心第三方風險的影響，必須對你的安全風險進行審計，正在通過各種方式了解你的安全狀況。安全值可以幫助你從外部發(fā)現(xiàn)安全風險，并持續(xù)監(jiān)測。

管理層想了解企業(yè)的安全投入是否讓企業(yè)變得更安全，也需要向客戶和監(jiān)管機構積極證明你的網(wǎng)絡安全現(xiàn)狀，安全值提供了一個快速、獨立的審計程序來驗證你的安全措施和安全投入的有效性。

大數(shù)據(jù)風險評估彌補了傳統(tǒng)方法的不足，發(fā)現(xiàn)被忽略的互聯(lián)網(wǎng)風險，了解你的安全在自身行業(yè)中的位置，基于各項安全指標與垂直行業(yè)進行差異比較。幫助你做出理性的、基于事實數(shù)據(jù)的參考，在安全管理和風險控制過程中做出更明智的投資決策。

6. GRC&SIEM的擴展

為合作伙伴的GRC&SIEM產(chǎn)品提供外部威脅情報數(shù)據(jù)集成，提升產(chǎn)品整體能力

服務對象：GRC&SIEM產(chǎn)品

安全值已經(jīng)整合國內(nèi)外100多家數(shù)據(jù)資源，能夠發(fā)現(xiàn)任何企業(yè)互聯(lián)網(wǎng)資產(chǎn)的風險，并提供API接口，為合作伙伴和客戶的GRC和SIEM提供外部風險數(shù)據(jù)接入。

SRS應用中的關鍵點

SRS要在行業(yè)中更好的得以應用，一方面分析的數(shù)據(jù)應確保準確性和及時性，另一方面需要考慮國家不同的政策要求和行業(yè)特點實現(xiàn)可定制的風險指標計算體系。

國內(nèi)外SRS產(chǎn)品并沒有統(tǒng)一的計算標準，數(shù)據(jù)類型也各不相同，均根據(jù)各自的數(shù)據(jù)類型特點建立了各自的評價模型和算法來應對客戶需求，這些數(shù)據(jù)類型包括僵尸網(wǎng)絡、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。

另外SRS提供商的服務方案所面向的對象不同，分別定位在行業(yè)安全主管部門、集團管理層、風險管理部、信息安全管理部、保險公司、征信機構。

目前，SRS的市場認可度和成熟度尚處于早期階段，國外主要的提供商有BitSight、FICO、SecurityScorecard等，國內(nèi)目前僅有一家正式推出并已擁有多個成功案例的SRS服務，安全值。

附：安全值行業(yè)研究報告(銀行、證券、保險、互聯(lián)網(wǎng)金融、醫(yī)療、教育等)

https://www.aqzhi.com/themes/default/anquandownload.html