在最近的報(bào)告中，可以看到1.6億數(shù)據(jù)泄露受害者，遠(yuǎn)遠(yuǎn)高于前一年的記錄。這種急劇增長(zhǎng)背后的主要原因是不安全的云數(shù)據(jù)庫(kù)。

你不認(rèn)為這是對(duì)市場(chǎng)上所有公司的一個(gè)警告嗎?你首先需要做的就是進(jìn)行網(wǎng)絡(luò)安全評(píng)估。雖然很多人混淆了網(wǎng)絡(luò)安全審查與網(wǎng)絡(luò)安全評(píng)估，但這兩個(gè)術(shù)語(yǔ)有不同的含義和流程。

今天讓我們理清一下對(duì)網(wǎng)絡(luò)評(píng)估和審計(jì)之間的誤解，以及了解何時(shí)實(shí)現(xiàn)什么。

什么是網(wǎng)絡(luò)安全評(píng)估?

網(wǎng)絡(luò)安全評(píng)估是對(duì)網(wǎng)絡(luò)相關(guān)的安全風(fēng)險(xiǎn)進(jìn)行徹底調(diào)查，以推薦最佳的安全措施。它主要用于IT和與IT相關(guān)的組織，在某些情況下，它可能用于業(yè)務(wù)單元。公司使用這個(gè)過(guò)程來(lái)了解他們的組織和系統(tǒng)的安全性，以及他們需要處理的關(guān)鍵領(lǐng)域。進(jìn)行這項(xiàng)評(píng)估的人是網(wǎng)絡(luò)安全顧問(wèn)或分析師。

進(jìn)行網(wǎng)絡(luò)安全評(píng)估的一般方法如下:

首先，確定相關(guān)的系統(tǒng)、流程和數(shù)據(jù)。

通過(guò)檢查漏洞、威脅和未來(lái)發(fā)生的可能性，進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估。

關(guān)注對(duì)業(yè)務(wù)目標(biāo)至關(guān)重要的網(wǎng)絡(luò)相關(guān)領(lǐng)域，并提出最佳安全實(shí)踐建議。

確保管理層、IT團(tuán)隊(duì)、安全部門(mén)和進(jìn)行評(píng)估的分析師之間的適當(dāng)溝通。

必須為進(jìn)行網(wǎng)絡(luò)安全評(píng)估設(shè)定一個(gè)合適的時(shí)間表，因?yàn)楦鶕?jù)其規(guī)模和使用的方法，評(píng)估可能需要幾天或幾周時(shí)間。

推薦此流程的原因是您將了解您的組織在網(wǎng)絡(luò)威脅方面的安全性。此外，您還可以估計(jì)潛在的風(fēng)險(xiǎn)成本。

何時(shí)進(jìn)行網(wǎng)絡(luò)安全評(píng)估?

盡管進(jìn)行網(wǎng)絡(luò)安全評(píng)估的過(guò)程一直在進(jìn)行。但通常會(huì)在下列情況下進(jìn)行:

• 應(yīng)用新的IT系統(tǒng)或網(wǎng)絡(luò)安全技術(shù)前。
• 在企業(yè)開(kāi)始任何部分新的操作之前。
• 當(dāng)需要遵守行業(yè)標(biāo)準(zhǔn)或監(jiān)管機(jī)構(gòu)時(shí)。
• 當(dāng)企業(yè)內(nèi)部發(fā)生重大的基礎(chǔ)設(shè)施變化時(shí)。

網(wǎng)絡(luò)安全評(píng)估的好處：

• 幫助企業(yè)發(fā)現(xiàn)并解決網(wǎng)絡(luò)安全方面的缺口。
• 幫助評(píng)估由于糟糕的安全措施和缺乏網(wǎng)絡(luò)安全措施而造成的經(jīng)濟(jì)損失。
• 幫助開(kāi)發(fā)一個(gè)健全的策略，以對(duì)抗網(wǎng)絡(luò)攻擊。

此外，還要了解網(wǎng)絡(luò)安全評(píng)估的缺點(diǎn)：這是一個(gè)昂貴的過(guò)程，大多數(shù)小企業(yè)負(fù)擔(dān)不起。

什么是網(wǎng)絡(luò)安全審計(jì)?

網(wǎng)絡(luò)安全審計(jì)主要用于IT系統(tǒng)，包括對(duì)記錄、日志、變更管理控制、物理安全訪問(wèn)控制、配置參數(shù)、策略、標(biāo)準(zhǔn)等進(jìn)行評(píng)估。它還包括滲透測(cè)試，以檢查漏洞，為組織提供一個(gè)客觀的意見(jiàn):他們目前的安全控制是否足夠或可以改進(jìn)。如同財(cái)務(wù)審計(jì)一樣，它是對(duì)IT系統(tǒng)和基礎(chǔ)設(shè)施的獨(dú)立評(píng)估。

網(wǎng)絡(luò)安全審計(jì)如何進(jìn)行?

網(wǎng)絡(luò)安全審計(jì)由經(jīng)過(guò)認(rèn)證的內(nèi)部審計(jì)員、信息安全專業(yè)人員或外部第三方進(jìn)行。它分為兩個(gè)階段:

第一階段：內(nèi)部審計(jì)

內(nèi)部審計(jì)員或信息安全專業(yè)人員執(zhí)行這一階段。它非常詳細(xì)，如果實(shí)施，可能會(huì)給公司帶來(lái)很高的成本。

在這個(gè)階段，對(duì)現(xiàn)有系統(tǒng)進(jìn)行評(píng)估。此外，還考慮了存在于不同層的漏洞。

第二階段：第三方審計(jì)

此階段由與公司沒(méi)有任何關(guān)系的獨(dú)立審計(jì)師執(zhí)行。它是對(duì)IT系統(tǒng)進(jìn)行驗(yàn)證安全控制的公正評(píng)估。

何時(shí)進(jìn)行網(wǎng)絡(luò)安全審計(jì)?

通常，網(wǎng)絡(luò)安全審計(jì)是在特定策略或功能的變化影響到IT系統(tǒng)時(shí)進(jìn)行的。然而，公司也可以選擇定期進(jìn)行，如每年或每季度進(jìn)行一次，這取決于政策、程序和系統(tǒng)更改的頻率。

網(wǎng)絡(luò)安全審計(jì)的好處:

• 提供識(shí)別并解決漏洞的方法。
• 確定控制措施的實(shí)施及其有效性。
• 幫助識(shí)別處理或監(jiān)控安全事件的程序。
• 提供一個(gè)客觀的視角來(lái)看待你的業(yè)務(wù)。

網(wǎng)絡(luò)安全審計(jì)的弊端：

• 不適合沒(méi)有足夠資源進(jìn)行適當(dāng)測(cè)試的小型企業(yè)。
• 這是一個(gè)耗時(shí)的過(guò)程，可能會(huì)延誤新項(xiàng)目或產(chǎn)品的推出。

網(wǎng)絡(luò)安全評(píng)估與審計(jì)有何區(qū)別?

現(xiàn)在，是時(shí)候了解網(wǎng)絡(luò)安全評(píng)估和審計(jì)之間的區(qū)別了。為了更容易理解，我們列出了幾個(gè)主要的要點(diǎn)，可以幫助你快速理解兩者的區(qū)別:

網(wǎng)絡(luò)安全評(píng)估和網(wǎng)絡(luò)審計(jì)是安全合規(guī)流程，但它們主要在關(guān)注的領(lǐng)域有所不同。評(píng)估是日常慣例，審計(jì)是階段性的、具體的。

在評(píng)估過(guò)程中，涵蓋了漏洞掃描、風(fēng)險(xiǎn)分析、網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制等各個(gè)領(lǐng)域。而在審計(jì)期間只評(píng)估IT系統(tǒng)和基礎(chǔ)設(shè)施。在評(píng)估過(guò)程中，您將了解不同層面的漏洞，而審計(jì)人員只關(guān)心IT系統(tǒng)的安全。

評(píng)估主要由內(nèi)部人員進(jìn)行，由外部第三方進(jìn)行審核。

評(píng)估可能不像審計(jì)那樣詳細(xì)。

評(píng)估是用來(lái)檢查組織的安全程度，而審計(jì)有助于驗(yàn)證安全控制的有效性。

在進(jìn)行網(wǎng)絡(luò)安全評(píng)估時(shí)，如果做得適當(dāng)，可以跳過(guò)或減少一些步驟，從而節(jié)省成本。相反，審計(jì)更詳細(xì)，可能會(huì)給公司帶來(lái)較高的成本。

相信現(xiàn)在你能夠更好地理解網(wǎng)絡(luò)安全評(píng)估和審計(jì)之間的區(qū)別。沒(méi)有必要同時(shí)進(jìn)行這兩個(gè)過(guò)程，因?yàn)樗鼈儽舜瞬煌?。如果您的組織是信息安全的新手，那么進(jìn)行審計(jì)也是有意義的，因?yàn)樗兄隍?yàn)證安全控制的有效性。

然而，如果你在這個(gè)領(lǐng)域有經(jīng)驗(yàn)，在做出任何重大改變之前進(jìn)行一次審查就足夠了。如果你能正確地做出評(píng)估，所涉及的成本也會(huì)比審計(jì)少。