近年來，隨著企事業單位信息化進程的飛速發展，對信息系統的依賴性日益增長，信息安全的風險也逐步加大，信息安全界多年的實踐表明，風險評估是信息安全建設的起點，可以幫助信息系統用戶摸清家底，順利進行信息系統規劃和建設，重視風險評估工作，將幫助用戶信息安全贏在起點。

從國家角度而言，2003年，國家信息化領導小組便頒發27號文件《關于加強信息安全保障工作的意見》，意見中對我國信息安全保障工作做出原則性戰略性的規定，要求之一便是實行風險評估。
作為國家基礎信息網絡，某移動公司也迫切需要提高信息系統的信息安全保障水平，為了更好地促進安全保障工作，某移動公司需要立即啟動一個安全評估和體系規劃項目，以了解當時的安全現狀，并對今后的安全工作做出指導，該移動公司經過對多家信息安全廠商的甄選，最終選擇了由聯想網御幫助自己實施風險評估。

作為國內信息安全領軍企業，聯想網御與國家信息中心成立了信息安全風險評估聯合實驗室，參與了國家《信息安全風險評估指南》、《信息安全風險管理指南》的編寫，是國家風險評估的支撐單位，其信息安全風險評估服務綜合國內外相關標準與業界最佳實踐，能為用戶清晰地展現信息系統當前的安全現狀，提供公正、客觀、翔實的數據作為決策參考，為用戶下一步控制和降低安全風險、改善安全狀況、實施信息系統的風險管理提供依據。

針對某移動公司信息系統的特點，聯想網御綜合典型服務流程，為公司的信息系統制訂了個性化風險評估方案，即先實施全面深度安全評估，再進行半年定期周期性安全評估。

一．全面深度安全評估

為了更清晰地了解某移動公司信息系統的目前狀況，聯想網御首先為該移動公司進行了一次全面深度評估，包括信息資產調查和安全評估，并建立了資產管理和風險信息庫。

信息資產調查

信息資產調查是以IT設備為基本單位，調查設備的基本屬性，如IP地址、設備型號、、版號、所存儲的信息、連接方式等，以得到信息資產列表及資產信息庫。在項目實施中，聯想網御首先對該移動公司的全部TCP/IP網絡的網元進行摸底調查，調查和統計該移動公司全部TCP/IP網絡所包含的信息資產（包含物理環境、網絡設備、主機、應用軟件、業務系統、數據、人員、標準流程等），明確其現有狀況、配置情況和管理情況，并對所有信息資產按照標準進行資產賦值。

風險評估流程圖

對基本情況摸清以后，聯想網御對該移動公司進行了拓撲結構調查和現有安全系統調查，拓撲結構調查包括對所有TCP/IP網絡的拓撲結構進行調查，并按統一標準繪制成圖，通過信息資產庫進行動態管理；現有安全系統調查則包括明確現有安全設備(包括防火墻、防病毒系統、入侵檢測系統等)的部署情況和使用情況；同時了解在建網絡與信息安全建設項目，使之服從統一部署原則。

安全評估

根據該移動公司信息系統的特點，聯想網御綜合運用工具評估、人工評估、網絡架構評估、滲透性測試、應用評估和管理評估手段對該移動公司的信息系統進行全面深度的評估，發現系統漏洞，找出系統面臨的安全威脅和風險，并給出指導建議。根據該移動公司現有的安全標準規范和業務對安全的要求，聯想網御具體分析面臨的威脅，評估現有系統的技術和管理方面的弱點，明確所有TCP/IP網絡面臨的安全風險和隱患。在評估過程中，要求既包含外部威脅，例如黑客攻擊和病毒等，也包含內部威脅，例如內部人員誤操作、不作為、濫用、軟件漏洞、泄密等導致的風險。

資產管理和風險信息庫

在信息資產調查和安全評估完成后，聯想網御幫助用戶開發和設計一套包含信息資產管理和風險信息管理的數據庫系統，能夠將本項目所產生的資產信息和風險評估信息進行統一管理和儲存，可以對該移動公司所有信息資產及其資產風險進行關聯管理。并具有資產管理和風險管理功能，以便后續更新和持續使用。

在3個月的時間內，聯想網御協助該移動公司完成全網IP網絡深度評估，獲知了該移動公司在當年上半年段IP網絡的安全現狀，然后在全面評估和資產管理和風險信息庫的基礎上設計并建立了安全體系。

二．周期性安全評估

除了為該移動公司進行全面深度安全評估，聯想網御還為該移動公司進行了周期性安全評估。

周期性安全評估工作是構建安全體系重要的組成部分，通過定期安全評估將公司安全置于可控的環境。對該移動公司而言，進行定期安全評估主要是為了實現以下幾個目標：獲知全面評估后半年公司安全狀況；更新公司信息資產，存入公司信息資產庫，獲知信息資產的狀態，將資產服務等各種信息置于可控環境；定期對主要業務系統進行滲透測試及應用安全分析，以深度分析公司各系統安全狀況，發現安全風險；提出分系統的安全解決方案。

周期性安全評估對該移動公司的運行維護中心、計費業務中心、業務發展中心、網絡部網管中心及郊運公司等5個主要部門，近五十多個系統進行摸底調查和評估，主要工作內容包括信息資產調查、終端設備安全評估、主機設備人工評估、網絡及安全設備人工評估、系統應用安全評估以及滲透測試，在安全評估完成后，聯想網御根據安全體系和規劃的要求，結合評估結果對用戶進行了安全需求分析，設計了系列技術（需要有詳細的技術參數）和管理解決方案，并包含相應的實施方案以及實施效果的檢查方案。

通過全面深度安全評估和定期周期性安全評估，聯想網御替該客戶總結了一套以安全策略為核心，以組織保障為基礎，以技術措施為工具，以運行維護為支撐的等級化安全體系設計的方法論。憑借此方法論和聯想網御的后續幫助，該移動公司完成了安全工作的總體規劃和分布實施，成功建立和運行了前瞻性、規范性和整體性的信息安全保障體系，保證了后續信息系統建設工作的兼容性，達到了長期安全效果明顯并節省總體投資的良好效果。