Gartner最近的報告中出現(xiàn)了一種安全領(lǐng)域的新概念——安全評級服務(wù)(SRS, Security Rating Services)，Gartner將其定義為，“為組織實體提供持續(xù)的、獨立的、量化的安全分析和評級服務(wù)”。

到底什么是SRS？

說的直白一點，SRS就是一種以大數(shù)據(jù)分析和威脅情報為基礎(chǔ)，對企業(yè)的信息資產(chǎn)，進行量化的快速的安全風(fēng)險評估。這種評估通過主動和被動（均無需打擾被評價方）兩種形式，從各種公開和私有資源收集數(shù)據(jù)，使用特定的分析方法分析數(shù)據(jù)并使用實體自身的標準評級方法論來打分。可用來做企業(yè)內(nèi)部的安全報告，以及對第三方合作伙伴的風(fēng)險管理。

對于企業(yè)來說，核心業(yè)務(wù)之外的服務(wù)需要越來越多的第三方供應(yīng)商，在網(wǎng)絡(luò)虛擬化的大潮下，對云服務(wù)提供商的需求尤為凸顯。為此，除了對本身安全狀況的掌握，“如何了解大量業(yè)務(wù)伙伴和第三方服務(wù)安全狀況”的需求也逐漸增長起來。

傳統(tǒng)的第三方安全評估有著各種限制，尤其是當(dāng)涉及到成百甚至上千的外部服務(wù)和合作伙伴時。而且，傳統(tǒng)的第三方確認或證明往往只在某個時間點上有效，無法提供持續(xù)性的安全狀態(tài)評估。而其他常用評估方法，如基于通用標準或調(diào)查框架的問卷，同樣也有時間點的問題，而且結(jié)果的客觀性還要取決于被調(diào)查者的回答。

此外，企業(yè)本身也常常需要向管理層提供，自身安全狀態(tài)與友商和競爭對手的比較標準。SRS正是這樣一種基于獨立數(shù)據(jù)資源的第三方評估工具。

哪些應(yīng)用場景需要SRS？

SRS目前尚未得到普遍應(yīng)用，但明顯的應(yīng)用需求已經(jīng)出現(xiàn)。下面是國內(nèi)六個典型的應(yīng)用場景：

1. 行業(yè)態(tài)勢分析

為行業(yè)主管部門和研究分析機構(gòu)提供提供自動化的風(fēng)險評估，并作出定量評價；還可提供行業(yè)網(wǎng)絡(luò)安全態(tài)勢分析報告，對比行業(yè)網(wǎng)絡(luò)安全狀況的差異。

2. 安全績效測量

越來越多的組織希望通過將信息安全重點工作納入績效考核的方式強化責(zé)任落實，但傳統(tǒng)的安全績效測量方法存在很大局限性。如調(diào)查問卷形式只展示了某個時間點的風(fēng)險狀態(tài)，無法提供持續(xù)性的安全狀態(tài)評估，而且結(jié)果的準確性還要取決于被調(diào)查者回答的客觀性。另一方面，通過技術(shù)檢查需要依賴部署各種檢查設(shè)備以獲取信息，且實施成本高、周期長、分析難度大。

SRS可幫助總部管理層掌握下級單位的安全風(fēng)險，并對安全狀況進行客觀評價，輔助開展安全績效測量。

3. 第三方風(fēng)險管理

為應(yīng)對大量的合作伙伴和供應(yīng)商帶來的安全風(fēng)險，風(fēng)險管理部門需要能夠及時獲取對其客觀的安全評價報告，完成風(fēng)險評估；采用人工檢測和調(diào)查的方法勢必會帶來巨大工作量，并且無法做到及時性和持續(xù)性。SRS可以實現(xiàn)保護業(yè)務(wù)和品牌的完整性，同時對合作伙伴、供應(yīng)商網(wǎng)絡(luò)安全狀況進行持續(xù)監(jiān)測，為風(fēng)險管理部門提供合作伙伴或供應(yīng)商的安全評價報告。

4. 企業(yè)安全評級

網(wǎng)絡(luò)安全評價可以引入企業(yè)信用評價體系，構(gòu)建更完整的企業(yè)信用評價體系，提供更客觀、準確、定量化的報告，反映出更真實的企業(yè)信用現(xiàn)狀。為征信機構(gòu)和保險公司提供企業(yè)安全評級報告，幫助挖掘潛在客戶并提高業(yè)務(wù)競爭力。

網(wǎng)絡(luò)安全保險業(yè)務(wù)已是大趨勢，全球市場已突破700億美元。但如果不能獲悉客戶真實的IT安全風(fēng)險狀況很難簽署保險協(xié)議。通過SRS服務(wù)，可在不影響客戶網(wǎng)絡(luò)運行的前提下，獲得一個詳盡、深入的網(wǎng)絡(luò)安全評級報告，能夠快速有效的支持網(wǎng)絡(luò)保險的業(yè)務(wù)辦理和幫助對潛在客戶的挖掘。

5. 大數(shù)據(jù)風(fēng)險評估

大數(shù)據(jù)風(fēng)險評估彌補了傳統(tǒng)方法的不足，對內(nèi)管理層需要了解安全措施和安全投入的有效性，對外需要向合作伙伴、客戶和監(jiān)管機構(gòu)證明自己的網(wǎng)絡(luò)安全現(xiàn)狀。SRS提供了一個快速、獨立的第三方審計手段。

6. GRC&SIEM的擴展

優(yōu)秀SRS服務(wù)的一個關(guān)鍵支撐是海量的數(shù)據(jù)資源，通過大數(shù)據(jù)和威脅情報準確地發(fā)現(xiàn)企業(yè)互聯(lián)網(wǎng)資產(chǎn)的風(fēng)險，并可通過API標準接口，為合作伙伴和客戶的GRC和SIEM產(chǎn)品提供外部風(fēng)險數(shù)據(jù)接入，以提升產(chǎn)品整體能力。

SRS應(yīng)用中的關(guān)鍵點

SRS要在行業(yè)中更好的得以應(yīng)用，一方面分析的數(shù)據(jù)應(yīng)確保準確性和及時性，另一方面需要考慮國家不同的政策要求和行業(yè)特點實現(xiàn)可定制的風(fēng)險指標計算體系。

國內(nèi)外SRS產(chǎn)品并沒有統(tǒng)一的計算標準，數(shù)據(jù)類型也各不相同，均根據(jù)各自的數(shù)據(jù)類型特點建立了各自的評價模型和算法來應(yīng)對客戶需求。這些數(shù)據(jù)類型包括僵尸網(wǎng)絡(luò)、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。

另外SRS提供商的服務(wù)方案所面向的對象不同，分別定位在行業(yè)安全主管部門、集團管理層、風(fēng)險管理部、信息安全管理部、保險公司、征信機構(gòu)。

目前，SRS的市場認可度和成熟度還處于非常早期的階段，國外主要的提供商有BitSight、FICO、SecurityScorecard等，國內(nèi)目前僅有一家正式推出并已擁有多個成功案例的SRS服務(wù)，安全值。