Gartner最近的報告中出現了一種網絡安全領域的新概念——安全評級服務(SRS, Security Rating Services)，Gartner將其定義為“為組織實體提供持續的、獨立的、量化的安全分析和評級服務”。

到底什么是SRS?

說的直白一點，SRS就是一種以大數據分析和威脅情報為基礎，對企業的信息資產，進行量化的快速的安全風險評估。這種評估通過主動和被動(均無需打擾被評價方)兩種形式，從各種公開和私有資源收集數據，使用特定的分析方法分析數據并使用實體自身的標準評級方法論來打分。可用來做企業內部的安全報告，以及對第三方合作伙伴的風險管理。此外，企業本身也常常需要向管理層提供，自身安全狀態與友商和競爭對手的比較標準。SRS正是這樣一種基于獨立數據資源的第三方評估工具。

作為國內首個安全評價服務商，安全值正式發布了適用于國內的六個典型的應用場景解決方案：

1. 行業態勢分析

為行業主管部門和研究分析機構提供行業網絡安全態勢分析報告，對比行業網絡安全狀況的差異。

服務對象：行業主管部門和研究分析機構

互聯網技術的發展帶來了新的威脅，各行業的安全風險與自身業務特點有直接的關系，這讓網絡安全變得更加復雜，快速、全面了解行業網絡安全態勢成為迫切需求。隨著大數據技術和威脅情報的發展，可以通過大數據技術與威脅情報數據結合，發現各行業的安全風險。安全值整合了100多家外部數據資源，為行業主管部門提供自動化的風險評估，并作出定量評價。無需部署任何設備，即可從業務、隱私、應用、主機、網絡、環境6個方面識別多種風險類型(目前更新到12類)。通過安全值不僅可以幫助行業機構完成定量化安全評價，還可以與其它行業進行對比，揭示行業共性風險，提高行業安全風險預警能力。

同時，您可以獲取安全值發布的各行業網絡安全分析報告。

2. 安全績效測量

讓總部管理層掌握下級單位的安全風險，并對安全狀況進行客觀評價，輔助開展安全績效測量。

服務對象：總部管理層

各組織對網絡安全工作益發重視，越來越多的組織希望通過將信息安全重點工作納入績效考核的方式強化責任落實。但傳統的安全績效測量方法存在很大局限性，一方面通過調查問卷形式只展示了某個時間點的風險狀態，無法提供持續性的安全狀態評估，而且結果的準確性還要取決于被調查者回答的客觀性;另一方面通過技術檢查需要依賴部署各種檢查設備獲取信息，實施成本高、周期長、分析難度大。

很多集團型企業總部使用安全值，無需部署任何設備實現了對各單位網絡安全持續的、客觀的外部安全評價，用定量化的方法完成安全狀況的測量。并通過和內部結合，構建了內、外兩個維度的大數據安全評價模式，為安全績效考核工作提供了良好的支撐。

3. 第三方風險管理

為風險管理部門提供合作伙伴或供應商的安全評價報告，實現對第三方風險進行持續監測。

服務對象：風險管理部門

多數公司忽視了由合作伙伴或供應商帶來引發的第三方安全風險?！?015年的網絡犯罪報告》中指出只有16%的受訪者表示評估過第三方的安全，23%的受訪者從不不評估第三方安全。

在《銀行業金融機構信息科技外包風險監管指引》中指出“銀行業金融機構對關聯外包服務提供商定期進行的安全檢查，不得以服務提供商的自評估替代，不得因關聯關系而影響檢查的獨立性、客觀性及公正性。”第三方安全風險已經逐漸成為國內外共同關注的主要風險領域。

為應對大量的合作伙伴和供應商帶來的安全風險，風險管理部門需要能夠及時獲取對其客觀的安全評價報告，完成風險評估，采用人工檢測和調查的方法勢必會帶來巨大工作量，并且無法做到及時性和持續性。安全值可以實現保護業務和品牌的完整性，同時對合作伙伴、供應商網絡安全狀況進行持續監測。

4. 企業安全評級

為征信機構和保險公司提供企業安全評級報告，幫助挖掘潛在客戶并提高業務競爭力。

服務對象：征信機構、保險公司

網絡安全評價可以引入企業信用評價體系，構建更完整的企業信用評價體系，提供更客觀、準確、定量化的報告，反映出更真實的企業信用現狀。

購買網絡保險是全球的一大趨勢，當您的客戶需要網絡保險，如果不能調查出他真實世界的IT安全風險問題是很難簽署協議的。通過安全值平臺，比較您的投保人所在行業標準，在不影響客戶網絡運行的前提下，既獲得一個詳盡、深入的網絡安全評級報告，能夠快速有效的支持網絡保險的業務辦理和幫助對潛在客戶的挖掘。

5. 大數據風險評估

面向CSO管理層提供大數據風險評估方法，以補充傳統手段的不足，識別互聯網安全風險。

服務對象：CSO管理層

你可能還沒有意識到，你的合作伙伴因法律要求或擔心第三方風險的影響，必須對你的安全風險進行審計，正在通過各種方式了解你的安全狀況。安全值可以幫助你從外部發現安全風險，并持續監測。

管理層想了解企業的安全投入是否讓企業變得更安全，也需要向客戶和監管機構積極證明你的網絡安全現狀，安全值提供了一個快速、獨立的審計程序來驗證你的安全措施和安全投入的有效性。

大數據風險評估彌補了傳統方法的不足，發現被忽略的互聯網風險，了解你的安全在自身行業中的位置，基于各項安全指標與垂直行業進行差異比較。幫助你做出理性的、基于事實數據的參考，在安全管理和風險控制過程中做出更明智的投資決策。

6. GRC&SIEM的擴展

為合作伙伴的GRC&SIEM產品提供外部威脅情報數據集成，提升產品整體能力

服務對象：GRC&SIEM產品

安全值已經整合國內外100多家數據資源，能夠發現任何企業互聯網資產的風險，并提供API接口，為合作伙伴和客戶的GRC和SIEM提供外部風險數據接入。

SRS應用中的關鍵點

SRS要在行業中更好的得以應用，一方面分析的數據應確保準確性和及時性，另一方面需要考慮國家不同的政策要求和行業特點實現可定制的風險指標計算體系。

國內外SRS產品并沒有統一的計算標準，數據類型也各不相同，均根據各自的數據類型特點建立了各自的評價模型和算法來應對客戶需求，這些數據類型包括僵尸網絡、垃圾郵件、惡意代碼、安全漏洞、DNS、信息泄露、異常流量攻擊等。

另外SRS提供商的服務方案所面向的對象不同，分別定位在行業安全主管部門、集團管理層、風險管理部、信息安全管理部、保險公司、征信機構。

目前，SRS的市場認可度和成熟度尚處于早期階段，國外主要的提供商有BitSight、FICO、SecurityScorecard等，國內目前僅有一家正式推出并已擁有多個成功案例的SRS服務，安全值。

附：安全值行業研究報告(銀行、證券、保險、互聯網金融、醫療、教育等)

https://www.aqzhi.com/themes/default/anquandownload.html