信息安全风险评估服务体系

信息安全风险评估就是从风险管理角度出发，运用科学方法和手段，系统地分析广播电视系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生，对安全播出可能造成的危害程度，有针对性地提出抵御威胁的防护对策和整改措施。风险评估工作贯穿广播电视系统的整个生命周期，包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。

广播电视信息安全风险评估服务业务的主要工作内容包括：

一、资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的损失大小，根据危害和损失的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等；

二、威胁识别与赋值：即分析资产所面临的每种威胁发生的频率，威胁包括环境因素和人为因素；

三、脆弱性识别与赋值：从管理和技术两个方面发现和识别脆弱性，根据被威胁利用时对资产造成的损害进行赋值；

四、风险值计算：通过分析上述测试数据，进行风险值计算，识别和确认高风险，并针对存在的安全风险提出整改建议。

我院成功开展的信息安全风险评估服务典型案例：

某电视台广告网上招标系统

通过对系统的信息安全风险评估，发现了系统的VPN设备认证端口存在SYN洪水攻击漏洞和链接耗尽攻击漏洞，使用了较低版本的SSL协议和安全密码使得系统通信脆弱性较高，另外数据库服务器在内网中的暴露也产生了较严重的脆弱性。经过针对性的系统整改和再评估，将系统的脆弱性降低到较低的或可接受的程度，进一步保障了系统正式上线运行的业务信息和数据安全。

某单位信息安全防护系统

通过对系统的信息安全风险评估，发现了系统防火墙配置不当导致安全防护系统对Exploits: Apache、Exploits: DNS、Exploits: FTP、Exploits: Webserver、Exploits: ICMP、Exploits: Microsoft IIS、Exploits: IMAP、Exploits: MSSQL等攻击无法全部拦截，导致了较高的系统脆弱性。经过针对性的系统整改和再评估，由防火墙和入侵防御系统联合实现业务信息的安全防护，将系统的脆弱性降低到较低的程度，从而保障了系统的业务信息和数据安全。