网络安全风险评估已经从几年前阳春白雪的状态,演化为当前企业/组织信息与网络安全建设前期通常会考虑进行的一项工作。但评估的方法、效果比起以往,是否有所提升?

就我所见,当前安全市场上主流的评估厂商提供的服务,大多存在以下几方面问题:

  1. 妄谈管理(用户选中安全公司,是因为他们懂安全,而不是因为他们懂管理);
  2. 盲目量化(以为数字能说明一切,自己"定义"了量化标准和算法);
  3. 千人一面(评估与业务脱节,一个评估方案放之四海皆准,甚至一个评估报告也是放之四海皆准);

因此,这里提出的CWVE方法,实际上与OCTAVE类似,脆弱性评估不变(这是安全公司的核心技术所在),但有以下几个特点:

  1. 以业务流为核心,是简单资产盘点的深化;
  2. 以事件评估与沙盘推演替代威胁评估,操作起来不再那么虚无飘渺;
  3. 简化的顾问咨询过程,结论中以"制度"来推进管理,更具可操作性;

详细的方案在时间充裕时会写出来与大家共享。