Security Assessment 安全评估
检查当前安全防护对真实威胁有多大弹性。说白了 —— 不是看你”有没有 policy”,而是看”policy 真打仗时能不能扛住”。
Assessment vs Audit
很多人混用,实际差别很大:
| 维度 | Security Assessment | Security Audit |
|---|---|---|
| 核心问题 | ”我们扛不扛得住攻击?" | "我们符不符合规则?” |
| 输出 | 风险报告 + 改进建议 | 合规符合性结论 |
| 视角 | 主动找弱点 | 对照清单逐项检查 |
| 谁做 | 内部安全团队 / 红队 / 顾问 | 内审 / 外审 / 监管机构 |
| 频率 | 持续/不定期 | 周期性(年度) |
| 关键词 | resilience(弹性) | compliance(合规) |
常见的 Assessment 类型
- Vulnerability Assessment —— 扫漏洞
- Penetration Test —— 模拟真实攻击
- Risk Assessment —— 评估资产、威胁、影响
- Threat Modeling —— 攻击树、攻击面分析
- Red Team Exercise —— 长期、隐蔽、全方位的实战演习
为啥两个都要做
- 只做 audit:看上去合规但实际防不住攻击(纸面安全)
- 只做 assessment:防得住但过不了监管(合规挂掉)
- 两个一起做 —— 真安全 + 真合规
跟 Security Audit、渗透测试、Risk 强相关。