阿里云全面風險評估和識別服務

阿里云為企業客戶提供云上全面的風險評估和識別檢測服務，具體包括如下內容：

• 資產識別和分析：對信息系統業務及其關鍵資產進行識別，需要詳細識別核心資產的安全屬性，分析關鍵資產在遭受泄密、中斷、損害等破壞時對系統所承載的業務系統所產生的影響。

• 威脅識別和分析：通過威脅調查、取樣等手段識別被評估信息系統面臨的威脅源，及其威脅所采用的威脅方法，并重點分析威脅的能力和動機。

• 脆弱性識別和分析：識別云上信息系統的部署架構，配置及安全防護等方面的脆弱性。對信息系統的設計方案、安全解決方案等進行靜態分析，識別體系結構中存在的脆弱性。采用安全掃描，配置審核等方式識別評估范圍內的云上資產的脆弱性。分析信息系統及其關鍵資產所存在的各方面脆弱性即基礎環境脆弱性、體系結構脆弱性、技術脆弱性、安全管理脆弱性，并根據脆弱性被利用的難易程度和被利用成功后產生的影響進行分析。

• 安全措施識別和分析：通過問卷調查、人工檢查等方式識別被評估信息系統的有效對抗風險的防護措施對安全措施所采取后的有效性進行分析，分析其安全措施對防范威脅、降低脆弱性的有效性。

• 綜合風險分析：分析信息系統及其關鍵資產將面臨哪一方面的威脅及其所采用的威脅方法，利用了系統的何種脆弱性，對哪一類資產，產生了什么樣的影響，并描述采取何種對策來防范威脅，減少脆弱性，同時將風險量化。

風險評估原則

• 關鍵業務原則： 被評估組織的關鍵業務是信息安全風險評估工作的核心，涉及這些業務的相關網絡與系統是評估工作的重點。

• 可控性原則：

  • 服務可控性：評估方應先與用戶進行評估溝通會議，介紹整個評估服務的工作流程，明確用戶需要提供的工作內容，保障整個安全評估服務工作的順利進行；

  • 人員與信息可控性：所有評估的工作人員均應簽署保密協議，以保證項目信息的安全；應嚴格管理好工作過程中產生的中間數據和最后的結果數據，未經授權不得泄露給任何單位和個人；

  • 過程可控性：應按照項目管理要求，成立項目實施團隊，項目組長負責制，達到項目過程的可控；

  • 工具可控性：安全評估人員所使用的評估工具應該事先通告用戶，并在項目實施前獲得用戶許可，包括產品本身、測試策略等。

• 最小影響原則： 對于類似在線的業務系統的風險評估，應基于最小影響原則，即首要保障業務系統運行的穩定，而對業務系統進行攻擊性測試時，需溝通用戶并做測試內容的應急備份，同時選擇不在業務的高峰時間進行。

• 保密性原則： 在風險評估實施前，評估人員應當與被評估系統的項目負責人簽署書面形式的保密協議。

風險評估參考標準

常見的風險評估參考標準有：

• GB/T 20274-2006 《信息系統安全保障評估框架》

• GB/T 20984-2007 《信息安全風險評估規范》

• GB/T 18336-2001 《信息技術安全性評估準則》

• GB/T 22239-2008 《信息系統安全等級保護基本要求》

• 阿里云-企業上云安全指引

風險評估過程

主要分為線上評估實施、數據分析整理、風險評估報告撰寫三個階段：

• 線上評估：本階段主要完成線上評估工作的實施，即通過資產調查、安全基線掃描、漏洞掃描、滲透測試、人員訪談等方式，了解業務系統的安全現狀，為風險分析提供資料。現狀評估階段主要的工作任務包括人員訪談、安全基線掃描、漏洞掃描等。

• 數據分析：本階段主要對評估階段采集的數據進行分析、整理，為風險評估報告的撰寫提供依據。

• 報告撰寫：本階段主要完成風險評估報告的撰寫、修訂。根據數據分析的結果撰寫評估報告，并針對業務系統存在的安全風險、安全隱患提供修復建議。與負責人進行溝通，對評估報告進行修訂。