Gartner最近的報告中出現(xiàn)了一種安全領域的新概念——安全評級服務(SRS, Security Rating Services)，Gartner將其定義為，“為組織實體提供持續(xù)的、獨立的、量化的安全分析和評級服務”。

到底什么是SRS?

說的直白一點，SRS就是一種以大數(shù)據(jù)分析和威脅情報為基礎，對企業(yè)的信息資產(chǎn)，進行量化的快速的安全風險評估。這種評估通過主動和被動(均無需打擾被評價方)兩種形式，從各種公開和私有資源收集數(shù)據(jù)，使用特定的分析方法分析數(shù)據(jù)并使用實體自身的標準評級方法論來打分?？捎脕碜銎髽I(yè)內(nèi)部的安全報告，以及對第三方合作伙伴的風險管理。

對于企業(yè)來說，核心業(yè)務之外的服務需要越來越多的第三方供應商，在網(wǎng)絡虛擬化的大潮下，對云服務提供商的需求尤為凸顯。為此，除了對本身安全狀況的掌握，“如何了解大量業(yè)務伙伴和第三方服務安全狀況”的需求也逐漸增長起來。

傳統(tǒng)的第三方安全評估有著各種限制，尤其是當涉及到成百甚至上千的外部服務和合作伙伴時。而且，傳統(tǒng)的第三方確認或證明往往只在某個時間點上有效，無法提供持續(xù)性的安全狀態(tài)評估。而其他常用評估方法，如基于通用標準或調(diào)查框架的問卷，同樣也有時間點的問題，而且結果的客觀性還要取決于被調(diào)查者的回答。

此外，企業(yè)本身也常常需要向管理層提供，自身安全狀態(tài)與友商和競爭對手的比較標準。SRS正是這樣一種基于獨立數(shù)據(jù)資源的第三方評估工具。

哪些應用場景需要SRS?

SRS目前尚未得到普遍應用，但明顯的應用需求已經(jīng)出現(xiàn)。下面是國內(nèi)六個典型的應用場景：

1. 行業(yè)態(tài)勢分析

為行業(yè)主管部門和研究分析機構提供提供自動化的風險評估，并作出定量評價;還可提供行業(yè)網(wǎng)絡安全態(tài)勢分析報告，對比行業(yè)網(wǎng)絡安全狀況的差異。

2. 安全績效測量

越來越多的組織希望通過將信息安全重點工作納入績效考核的方式強化責任落實，但傳統(tǒng)的安全績效測量方法存在很大局限性。如調(diào)查問卷形式只展示了某個時間點的風險狀態(tài)，無法提供持續(xù)性的安全狀態(tài)評估，而且結果的準確性還要取決于被調(diào)查者回答的客觀性。另一方面，通過技術檢查需要依賴部署各種檢查設備以獲取信息，且實施成本高、周期長、分析難度大。

SRS可幫助總部管理層掌握下級單位的安全風險，并對安全狀況進行客觀評價，輔助開展安全績效測量。

3. 第三方風險管理

為應對大量的合作伙伴和供應商帶來的安全風險，風險管理部門需要能夠及時獲取對其客觀的安全評價報告，完成風險評估;采用人工檢測和調(diào)查的方法勢必會帶來巨大工作量，并且無法做到及時性和持續(xù)性。SRS可以實現(xiàn)保護業(yè)務和品牌的完整性，同時對合作伙伴、供應商網(wǎng)絡安全狀況進行持續(xù)監(jiān)測，為風險管理部門提供合作伙伴或供應商的安全評價報告。

4. 企業(yè)安全評級

網(wǎng)絡安全評價可以引入企業(yè)信用評價體系，構建更完整的企業(yè)信用評價體系，提供更客觀、準確、定量化的報告，反映出更真實的企業(yè)信用現(xiàn)狀。為征信機構和保險公司提供企業(yè)安全評級報告，幫助挖掘潛在客戶并提高業(yè)務競爭力。

網(wǎng)絡安全保險業(yè)務已是大趨勢，全球市場已突破700億美元。但如果不能獲悉客戶真實的IT安全風險狀況很難簽署保險協(xié)議。通過SRS服務，可在不影響客戶網(wǎng)絡運行的前提下，獲得一個詳盡、深入的網(wǎng)絡安全評級報告，能夠快速有效的支持網(wǎng)絡保險的業(yè)務辦理和幫助對潛在客戶的挖掘。

5. 大數(shù)據(jù)風險評估

大數(shù)據(jù)風險評估彌補了傳統(tǒng)方法的不足，對內(nèi)管理層需要了解安全措施和安全投入的有效性，對外需要向合作伙伴、客戶和監(jiān)管機構證明自己的網(wǎng)絡安全現(xiàn)狀。SRS提供了一個快速、獨立的第三方審計手段。

6. GRC&SIEM的擴展

優(yōu)秀SRS服務的一個關鍵支撐是海量的數(shù)據(jù)資源，通過大數(shù)據(jù)和威脅情報準確地發(fā)現(xiàn)企業(yè)互聯(lián)網(wǎng)資產(chǎn)的風險，并可通過API標準接口，為合作伙伴和客戶的GRC和SIEM產(chǎn)品提供外部風險數(shù)據(jù)接入，以提升產(chǎn)品整體能力。

SRS應用中的關鍵點

SRS要在行業(yè)中更好的得以應用，一方面分析的數(shù)據(jù)應確保準確性和及時性，另一方面需要考慮國家不同的政策要求和行業(yè)特點實現(xiàn)可定制的風險指標計算體系。

國內(nèi)外SRS產(chǎn)品并沒有統(tǒng)一的計算標準，數(shù)據(jù)類型也各不相同，均根據(jù)各自的數(shù)據(jù)類型特點建立了各自的評價模型和算法來應對客戶需求。這些數(shù)據(jù)類型包括僵尸網(wǎng)絡、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。

另外SRS提供商的服務方案所面向的對象不同，分別定位在行業(yè)安全主管部門、集團管理層、風險管理部、信息安全管理部、保險公司、征信機構。

目前，SRS的市場認可度和成熟度還處于非常早期的階段，國外主要的提供商有BitSight、FICO、SecurityScorecard等，國內(nèi)目前僅有一家正式推出并已擁有多個成功案例的SRS服務，安全值。