1. 安全评估  

基本概念：安全评估是指对网络系统或应用程序的漏洞和弱点进行识别、测试和分析的过程。通过安全评估，可以评估系统的整体安全性，并提供改进和加固建议，以防止潜在的安全威胁和攻击。

背景和依据：依据《网络安全等级保护测评要求》等技术标准，定期对定级对象安全等级状况开展等级测评。《中华人民共和国网络安全法》、GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》、GB/T 20984-2007《信息安全技术 信息安全风险评估规范》、GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》。

‌安全评估测评‌

对象‌：聚焦现有安全防护措施，包括技术与管理两类。例如，检查系统的访问控制机制是否健全，防火墙配置是否正确，数据加密措施是否有效等，重点关注技术层面的安全措施和控制。

技术层面：如防火墙、入侵检测系统（IDS/IPS）、终端防护软件等；

管理层面：安全策略、访问控制流程、日志审计机制等。

范围‌：通常限定在‌已知的防御体系有效性验证‌，例如检查漏洞修复情况、配置是否符合基线要求。

‌风险评估测评‌

·‌对象‌：涵盖业务全生命周期的潜在风险要素，包括资产、威胁、脆弱性、合规性及业务影响。例如，分析业务中断对企业造成的影响，评估员工违规操作带来的风险，考虑自然灾害对数据中心的威胁等。

·例如：数据分析业务因供应商中断导致的业务连续性风险。

·‌范围‌：覆盖更广泛的业务环境，如供应链、人员操作、法律法规等。

‌对比图表‌

‌安全评估测评‌

核心目标‌：验证现有防护手段是否满足合规要求或技术标准（如等保2.0、ISO 27001）。

·侧重点‌：回答“‌当前防护是否达标‌”，例如：防火墙规则是否阻止了已知攻击。

‌风险评估测评‌

·核心目标‌：识别潜在风险场景，量化风险值（可能性×影响），指导资源优先级分配。

·侧重点‌：回答“‌未来可能发生什么风险及如何应对‌”，例如：评估数据泄露对品牌声誉的潜在影响。

‌对比图表‌

‌安全评估测评‌

方法‌：以技术实测为主，通过攻击模拟验证防御能力。

典型方法：渗透测试、漏洞扫描、配置审计、日志分析。

工具‌：

漏洞扫描：Nessus、OpenVAS；

渗透测试：Metasploit、Burp Suite；

配置检查：CIS Benchmark工具。

‌风险评估测评‌

方法‌：以分析与建模为主，结合定性与定量分析。

定性分析：风险矩阵（可能性-影响等级划分）；

定量分析：FAIR模型（Factor Analysis of Information Risk）。

工具‌：

GRC系统：RSA Archer、ServiceNow GRC；

问卷调研：定制化风险评估模板。

‌对比图表‌

‌安全评估测评‌

·‌结果形式‌：漏洞清单、合规差距报告、技术修补建议。

·‌应用方向‌：主要用于指导安全加固和整改工作，提高系统的安全防护能力。例如，根据安全评估报告，企业可以针对性地修复系统漏洞，加强网络安全防护。

‌风险评估测评‌

·‌结果形式‌：风险登记册（按等级排序）、风险热图、应急预案。

·‌应用方向‌：结果是对风险的综合评估，包括风险等级、风险矩阵图、风险应对策略建议等。这些结果用于制定风险管理计划，指导资源分配和决策制定。例如，企业根据风险评估结果，决定优先处理高风险事项，合理分配安全预算。

‌对比图表‌

安全评估测评：

输入输出依赖‌
安全评估的漏洞数据是风险评估中“脆弱性分析”的关键输入；风险评估识别的高风险领域可指导安全评估的优先级（例如优先测试关键业务系统）。

互补性‌

安全评估测评是风险评估测评的一个重要组成部分。通过安全评估发现的安全漏洞和问题，是识别和评估风险的重要依据。而风险评估测评的结果又可以为安全评估测评提供方向，明确需要重点关注的安全领域。

安全评估‌：解决“已知问题”，确保当前防护有效；

风险评估‌：预测“未知威胁”，系统性规划长期防御。

二者结合形成PDCA循环（计划-执行-检查-改进）。

‌合规协同‌

多数法规（如等保2.0、GDPR）要求同步开展两类测评：

安全评估验证控制措施有效性；

风险评估证明剩余风险在可接受范围内。

总结：构建“防御-预测”闭环

通过两类测评的有机结合，企业可兼顾当下防御与未来风险预测，实现从被动响应到主动防御的升级。例如：某金融机构通过风险评估确定“API接口”为高风险领域，随后针对性地开展API渗透测试（安全评估），最终将风险值降低至可接受范围。