國內網絡安全風險評估市場與技術操作

吳魯加04/19/2023個人主頁：網絡日志：

版本控制

vO.l04/01/2023文檔創立，包括大量示例文獻內部公布

v0.204/19/2023刪除部份敏感信息，增長國內市場分析?、BS7799和OCTAVE概述后，對外

公布

近兩年網絡安全風險評估漸漸為人們所重視，不少大型企業尤其是運行商、金融業都請了專

業企業進行評估。本文提出作者個人對國內安全風險評估操作的某些評價，并試圖論述作者

所埋解的，可裁剪、易操作的風險評估方式。由于內容與商、山企業有關，因此不可防止會波

及部份商業利益，在文中作者盡量隱去也許產生直接利害關系的文字，并申明所有評價純屬

個人觀點，假如你有不一一樣意見，歡迎來函探討。

1.什么是風險評估

說起風險評估，大家腦海中首先出現II勺也許是：風險、資產、影響、威肋、弱點等一連串的

術語，這些術語看起來并不難理解，但一旦綜合考慮就會象繞口令般組合。例如風險，用

ISO/IECTR13335-1:1996中的定義可以解釋為：特定威脅運用某個（些）資產的弱點，導致

資產損失或破壞U勺潛在也許性。

為了協助理解，我們舉一種下里巴人的例子：我口袋里有100塊錢，由于打瞌睡，被小偷偷

走了，搞得晚上沒飯吃。

用風險評估的觀點來描述這個案例，我們可以對這些概念作如下理解：

風險=錢被偷走

資產=100塊錢

影響=晚上沒飯吃

威脅=小偷

弱點=打瞌睡

回到陽春白雪來，假設這樣個案例：某證券企業的數據庫服務器由于存在RPCDCOMH勺漏

洞，遭到入侵者襲擊，被迫中斷3天。

讓我們嘗試做一道小課時常做II勺連線題，把左右兩邊相對應的內容用線段連接起來：

風險RPCDCOM漏洞

資產服務器遭到入侵

影響數據庫服務器

威脅入侵者

弱點中斷三天

假如這道題對你沒什么難度，那么恭喜你，你已經和國內大多數風險評估的操作者差不多站

在同一種起跑線上了。

2.國內既有風險評估操作模式

2.1評估市場和競爭分析

假如按照高、中、低端簡樸對國內IJ勺風險評估市場進行分類，那么我們可以很清晰地看到，

幾類市場的操作方式完全不一樣。

國內高端市場重要被如IBM（普華永道）、畢馬威這樣類型會計師事務所類型的企業占領，往

往網絡安全評估就涵蓋在他們的整個審計體系之下。中端市場上則盤踞著國內外大多數較有

實力IJ勺網絡安全企業，其中包括較早提出安全評估并且在運行商市場有比很好的實踐的安

氏、有作風穩健但卻一步一種腳印打下大片疆土的啟明星辰、也有異軍突起極具競爭力的綠

盟科技……低端廠商則數量龐大，往往只是通過簡樸的漏洞掃描、病毒查殺等方式操作。

2.2重要中端廠商日勺評估模式分析

如下分析中的數據來源為筆者在從事網絡安全評估實踐時通過多種渠道獲得。但由于信息的

時效性，未能確認目前文中所進行的J表述與分析就代表著各家企業日勺最新評估發展狀態。但

愿讀者自行鑒別。

2.2.1啟明星辰

啟明星辰2023年之前?直比較低調，但風險評估項目從最初對某證券企業進行的純粹漏洞

掃描、人工審計、滲透測試這種類型的純技術操作到套用BS7799到采用OCTAVE措施再

到最終形成自己H勺網絡安全風險評估的措施論、操作模型，有諸多專'IK人員付出了大量療動。

下圖是啟明星辰的幻燈片中摘錄的，他們評估發展的歷程，在每個臺階上有該階段所通過的

項目名稱，出于安全原因隱去。

■成功案例--------啟明星辰風趁評估發展歷程

□Venus

□BST799

口R于應用的評估

□CAOQES技術融合

口NCS，虹計0□......

口加金大M陵濘化播，

口基于修產的計化□SSE-CMM

□ISO177W□PM1

□1SO13J35QM?...

口■褥由□ISO1S40S

口淮漆窩渣□AS/NZS43W)

口由附審計□NIST

業務參與性弱、處理方案可操作性差往往也是高規定的顧客對風險評估隊伍批評較多的地

方，但從啟明星辰近期在幾家大型客戶那里的操作來看，較受客戶好評。

啟明星辰有較多在風險評估中可以應用的工具：

天鏡評估版：掃描器，有專門用于風險評估的版本。

天清：又名SRC,指SecurityRiskManage,基于ISO17799的量化、可視化E向評估工具。

信息庫：名稱不詳，可以直接導入天鏡、Nessus、ISS等掃描器日勺掃描成果并生成匯報。聽

說是很好的安全評估過程輔助工具。

當地評估軟件包。

我理解的啟明星辰風險評估特點為：

博采眾長

這首先與啟明星辰參與部份安全行業國標的制定有關，另首先則是他們有著較多高學歷員

工，對高端征詢類型的提煉、深化抓得比很好，對評估規定看得透徹，寫得清晰。

變化較快

這可以說既是長處，也是缺陷。在每次較大的評估項目中他們一般都規定有所突破。這逼著

他們去創新，但同步也導致評估II勺措施論很輕易有變動。

2.2.2綠盟科技

綠盟科技從最初參與中國電信評估項目開始走進安全評估領域，挾其強大的系統研究技術優

勢進入市場。下圖是他們一份講稿中口勺評估流程描述:

評估流程

?威脅

?主動攻擊

?被動攻擊

?物理信近攻擊

?內部人員攻擊

吩發攻擊

?腌弱性

?物理層次

?網珞層次

?系統層次

?應用層次

?管理層次

.風險

?風險=資產*威脅*脆弱性

MirocteEvetydoy

我對綠盟科技風險評估措施的總體評價是：它是專業H勺系統和網絡安全評估，不是信息安全

評估，詳細有如下幾點:

項目可操作性強

管理評估存在局限性，風險計算方式不夠科學

技術弱點把握精確

2.2.3安氏

安氏在國內較早從事網絡安全風險評估項目日勺操作，做過較大日勺評估項目（包括顧問征詢）

有：中國移動CMNET全網網絡安全評估項目、天津電力企業安全征詢項目、中國電信IP

網安全征詢顧問項目、上海移動boss系統安全征詢顧問項目、深圳華為科技企業安全征詢

顧問項目等。

個人理解，2023年前后，IS-ONE的評估在國內較為領先，首先是他們與國外企業的溝通較

親密，此外其高管層對風險評估、BS7799比較重視。到了2023年，安氏整體戰略轉型,

產品方面一邊中斷與ISS合作，一面高調宣傳做自主產品，SOC大集成成為其主推概念,

在風險評估領域口勺措施論卻缺乏創新和突破。安氏的安全風險評估有幾大優勢:

項目管理較為專業

下圖是從安氏給某顧客匯報時ppt的摘錄，是他們項目管理的過程。

安氏安全評估項目中的階段

1項目準名與蔣國確定3評估5支持和維護

嗔目計0噴目命P（會議、交流）jg.

嗔目繼期構本場普彷（XX.?）修麥和加固的

孽目I作環境堇茄，他

Kkkoff電話熱線支捋

定義打珈囁目彼茹論評估報為

定義報告格式

除合決另案建議

定義*目目標n

綜合安全策■&建議

作好IR絡環嶼不備

完就圖片與用戶秀君提交赭A舞的女

文檔體系比較規范

這也許與安氏H勺部份高管強執行力和國外背景有一定關系。他們較為重視方案、征詢提議等

經驗時可更用，當然，這同步也輕易導致他們考慮問題簡樸化，對小客戶輕易用大企業H勺方

案來裁剪套用。就目前他們做過日勺項目來看，至少有如卜.原則方案的枳累：

安全方略評估及提議匯報

安全處理方案

當地風險評估匯報

遠程風險評估匯報

網絡安全現實狀況匯報

網絡安全處理方案提議

掃描評估申請匯報模版

數據庫掃描申請匯報

系統掃描申請匯報

網絡掃描申請匯報

這里列舉i份安氏的售前方案目錄，相信內行人能看出某些門道來吧;)

第1章概述

1.1項目概述

1.2項目目的

1.2.4評估的方式

1.3評估遵照的原則

1.3.1保密原則

1.3.2原則性原則

1.3.3規范性原則

1.3.4可控性原則

1.3.5整體性原則

1.3.6最小影響原則

1.4風險評估模型

1.4.1背景和假設

1.4.2概述

1.4.3資產評估

1.4.4威脅評估

1.4.5弱點評估

1.4.6風險評估

1.5資產識別和賦值

1.5.1信息資產分類

1.5.2信息資產賦值

1.6重要評估措施闡明

1.6.1工具評估

1.6.2人工評估

1.6.3安全審計

1.6.4網絡架構分析

1.6.5方略評估

1.7項目承諾

1.8項目組織構造

第2章項目范圍和評估內容

第3章項目階段詳述

3.1第一階段一項目準備和范圍確定

3.2第二階段-項目定義和藍圖

3.3第三階段?風險評估階段

3.3.1集團企業層面評估子項目

3.3.2省網層面評估子項目

3.3.3安全信息庫開發子項目

3.3.4安全評估風險規避措施

3.3.5需要客戶配合的工作

336安全信息庫系統原型概要設計

3.4第四階段一綜合評估和方略階段

3.4.1匯報和提議的形成

3.4.2《XXXX網絡安全現實狀況匯報》

3.4.3《XXXX網絡安全方略改善提議》

3.4.4《XXXX網絡安全處理方案提議》

3.5第五階段一項目評審階段

3.5.1驗收措施和內容

3.5.2驗收原則和流程

3.6支持和售后服務

3.6.1安氏客戶服務體系簡介

3.6.2安氏（中國）I向客戶服務對象

3.6.3安氏（中國）客戶服務中心組織構造

3.6.4安氏（中國）的服務特點

3.6.5服務保證體系CRM

3.6.6在本項目中所提供的支持服務

3.6.7安全通告服務

第4章項目質量保證和管理

4.1配置管理

4.2變更控制管理

4.3項目溝通

4.4記錄和備忘錄

4.5匯報

4.6項目協調會議

第5章項目質量控制

第6章技術培訓

6.1安全管理培訓(ISO17799)

6.2評估措施培訓

6.3評估成果及漏洞修補措施培訓

6.4安全信息庫系統培訓

第7章項目軟硬件需求清單

此外，安氏II勺信息庫也能成為他們在風險評估中一項有力的武器。

?**we

2.2.4其他

這里所指的）其他企業，大部份是實力較強的I企業，如聯想之流，介入安全行業并憑借良好時

渠道和合作伙伴關系，打開?定日勺局面者。需要指出日勺是安絡科技，企業不大，但歷經風雨,

還可以在行業中有一定位置。

不過對于風險評估，則歸類到這里的企業多數缺乏自己的風格，甚至評估只是他們很小的‘副

業”，因此在他們的方案或幻燈片中，常見到的是多種原則的流程、關系圖等等，如下面這

兩副：

幾乎在所有企業H勺的風險評估方案中，我都看到上面H勺那副安全風險關系圖，當然有些企業

做了某些修改、美化以強調自己的理解.、突出自己評估措施中歐J關鍵部份，例如下面這張啟

明星辰的安全風險關系圖:

實產

224.1億陽信通

他們的所有業務流程包括：信息資產日勺界定、方略文檔分析、安全審計、網絡構造的I評估、

業務流程分析、安全技術性弱點口勺評估、安全威脅H勺評估、既有安全措施評估、安全弱點綜

合評估、安全威脅綜合分析、綜合風險分析。采用日勺評估措施包括五種：工具遠程/當地評

估、人工評估、白客測試、安全問卷、顧問訪談。

使我印象深刻的是，他們對方案中大多數項目均有比較嚴格的過程闡明、參與人員闡明、重

要評估方式、輸入、輸出、參照規范和原則。比較嚴謹。

224.2亞信科技

有著深厚運行商行業的優勢，其曾經的子企業瑪賽有過相稱不錯的成績。從他們的幾種方案

中分析，亞信對風險評估的研究并不深入，僅是簡樸抄了一堆基本風險評估法、詳細風險評

估法、綜合風險評估法等的概念。他們的評估分為六大部份：資產、脆弱性、威脅、影響、

安全措施評估、風險評估。風險評估是對前五者H勺綜合，具中的安全措施估計是自己增長的。

我理解起來整體思緒感覺比較混亂。

224.3華為

華為的部份合作風格一直令人左右為難……他們有龐大而有力的銷售隊伍、運行商方面良好

I向合作背景，這些都誘惑著其他廠商與之合作。但華為的高速發展和發展過程的調整，卻往

往令合作伙伴有些進退維谷。僅以防火墻市場為例，華為曾經由于要選擇合作伙伴，廣邀防

火墻廠商進行產品測試，對多種產品的功能、性能指標、技術特點都了如指掌。但2023年

華為推出了自己的防火墻產品。

2023年可以說是華為將安全由內部建設轉向往外部推進的轉折年。原因或許是他們發現他

們的重要客戶運行商已經把安全門檻提高了，與其很費力地邁這個門檻，不如在自己收產品

和集成基礎上造一種高門檻。

華為的評估與其他安全企業的評估側重點略有不一樣，更側重于網絡架構和應用評估卜也許

是他們這方面的人才更多的緣故）。2023年市場上也略有斬獲。

2.2.4.4聯想

聯想H勺網絡安全事業部和他們網御系列的安全產品一直令我很困惑一為何聯想投資首先

注資綠盟科技，另首先卻自己力圖創立安全產品和服務品牌？從目前口勺情形來看，網御防火

墻已經在市場上獲得不錯的銷售成績，網御入侵檢測也初露頭角。但筆者個人測試，這兩款

安全產品從功能、性能上來說都遠離聯想的大廠商風范。

安全服務和風險評估方面，聯想介入市場比較遲，但由有幾位掌握方面論和襲擊滲透的安氏

員工的加盟（由此也可見安氏的措施論積累很不錯;）），他們很快站在前人的基礎上號稱有了

一套自己的原則措施和操作流程。

2.2.4.5安絡科技

安絡科技創立伊始，在國內的網絡安全界有比較高的著名度。但數年來一直偏安于深圳，失

去了飛速增長的機會。因此被從國內安全廠商的第一梯隊擠出。

在他們的諸多方案中，同步包括了評估提議書和中長期安全規劃提議。他們的遠程風險評估

乏善可陳，當地風險評估分得很細，包括實行安全、平臺安全、數據安全、通信安全、應用

安全、運行安全、管理安全的評估。但在可操作性方面下的功夫還不夠。

2.3部份低端廠商的評估模式

部份低端評估廠商在市場上不僅存在，并且有很大U勺生存空間。他們U勺目的客戶群體是小型

企業。不會為評估花費太多的精力和金錢，安全也只需要簡樸到達某一基線即可。

一般這些廠商的做法迅速簡潔：

漏洞掃描->遠程掃描匯報

抽樣人工審計，人工審計匯報

抽樣病毒掃描與查殺->病毒監測匯報

之后就可以坐地分金了，這種操作模式僅需要少數技術骨干就能很好地進行。

3.BS7799和OCTAVE

3.1BS7799的優勢和弱點

要初步理解BS7799,我覺得從兩個角度入手

理解BS7799的安全管理流程，也就是建立信息安全管理體系的措施和環節

索f

系統理解BS7799中提到的10類127個控制項的內容

并且可以在此基礎上針對不一樣行業選擇（甚至新增）控制項。就如近來移動集團提出的

NISS（網絡與信息安全原則）同樣。

個人感覺BS7799H勺最大缺陷就在于可操作性不強，假如僅僅按BS7799H勺規定操作（類似

IS09000的評審），有也許最終達不到初始的安全目的。這或許也是BS7799和ISO17799呼

聲很高，但實際應用或者通過評審的企業并不多的原因之一。作為參照，這里給出一份sans

提供的BS7799檢杏列表.

3.2OCTAVE日勺有效補充

所謂OCTAVE,實際上是OperationallyCriticalThreat,Asset,andVulnerabilityEvaluation的J縮

寫，指的是可操作的關鍵威脅、資產和弱點評估。在我的理解中，OCTAVE首先強調的是O,

另一方面是C,也就是說，它最重視可操作性，另一方面對關鍵性很關注，把握80/20原則:）

簡樸描述我理解OCTAVE的幾種重點（實際上在OCTAVE中日勺每個環節都是不可?忽視IF這

里所說的幾種重點是我認為OCTAVE很好、或者評估過程中比較關鍵的部份環節）：

過程控制（整體）

OCTAVE將整體網絡安全風險評估過程分為三個階段九個環節，分別是：

階段一：建立基于資產的成脅配置文獻

01.標識高層管理知識

02.標識業務區域知識

03.標識一般員工知識

04.建立威脅配置文獻

階段二：標識基礎構造的弱點

05.標識關鍵資產

06.評估選定的資產

階段三：確定安全方略和計劃

07.執行風險分析

8A.開發保護方略A

8B.開發保護方略B

卜.圖是CERT在為一家醫院進行風險評估時的進程時間表，我們可以作為參照。

Event|10/9|10/6

參與者簡報

P1：高級管理層工程一

另:執行管理層工程一

網:員工工程（2）

屆nr職員工程

P4:威脅統計工程

,5:關健組件工程

產6：運行漏洞工具,

46:漏洞評估工程

田：風險分析工程一

，8：保護策略工程A

P8：保護策略工程B（與高級管理

者一起）

創立威脅記錄（process4）

這個過程實際上完畢兩件事，一是對前面三個過程中搜集口勺數據進行整頓，使數據分析清晰。

二是可以通過度析資產的成肋，，創立重要資產及資產面臨威脅的全局視圖。

從下圖我們可以看到，OCTAVE對某一資產H勺資產、訪問、動機、參與者和成果都進行了

分析（該圖僅是針對一項資產一個人計算機，和一種訪問一網絡而建立的威脅視圖），這

種方式確實有助于我們看清企業內部日勺威脅狀況。

也是第一階段日勺延續，按OCTAVE的說法，提成兩步：標識組件口勺關鍵種類和標識要分析

日勺基礎構造組件。假如從操作靈活性考慮，我們也可以在階段一的時候為資產和知識標識出

C1A(機密性、完整性和可用性)，通過對C1AH勺綜合運算得出最終止論。

進行風險分析(process7)

與創立威脅記錄中的I威脅視圖相對應，在這里需要標識出威脅也許導致口勺影響。要注意到時

是，風險分析并非僅象下圖那樣是單一的，而是多種系統之間也許交叉影響，因此這個視圖

最終完畢后將會是很大的一張圖表。

資產訪問參與者動機結果影響

暴露中級

意外修改高級

丟失、損害高級

中斷高級

內部

嘉中級

故意高級

丟失、損害高級

中斷高級

1個人電腦1網絡

暴露中級

意外修改高級

丟失、損害高級

中斷高級

外部

癱中級

故意修改高級

丟失、損害高級

中斷高桀

4.中小企業的特點和對OCTAVEII勺重新評價

4.1中小型企業和大型企業在評估活動中II勺異同點

最直接的想法，大型企業和中小型企業對安全的關注要點與否完全相似？又與否完全不一

樣？哪些在大型企業中做過的事是可復用的？我很少看到有關這些方面11勺討論，因此也想在

這里將問題提出，并給出我的粗淺考慮，但愿可以引玉。

相似點（可以復用的部份）

1.資產評估

資產調查表格

資產屬性和賦值調研表格與措施

關鍵資產歐I調查措施

2.威脅評估（部份中小企業甚至可以不用進行）

BS7799評審表

OCTAVE威脅分析措施和視圖

事件分析措施

3.弱點評估

遠程掃描措施和工具

人工審計措施和工具

滲透測試措施和工具

4.風險分析

既有風險視圖提煉措施和匯報

不一樣點（需要單獨開發調研的部份）

1.資產評估

資產匯報（不?樣行業、規模的企業，關鍵資產有很大區別）

2.威脅評估

面臨的威脅面比小企業更廣

3.弱點評估

風險規避措施

4.風險分析

針對組織特點H勺處理方案

管理制度和方略框架

4.2重新評價OCTAVE

通過對OCTAVEH勺初步學習，我們可以認識到它具有許多BS7799的所缺乏的可操作性方

面依J特點，但離完美尚有一定距離，簡樸談兒點局限性：

過份強調對大企業口勺評估活動，評估流程比較繁瑣，完整視圖建立不易操作，規定組織中多

人參與。

風險控制行動列表粒度較粗，與企業后續安全建設的實際工作有一定距離。

由于強調了操作，執行時所根據日勺原則就相對簡樸（也許有主觀臆斷的原因在內）。

任何事物，就算非常優秀，也都不能全盤照搬，是需要批判接受的J,從上面對BS7799和

OCTAVE的J簡樸分析，你與否可以提煉出你自己的評估措施？

5.怎樣制定最適合您企業口勺風險評估計劃

這里考慮采用一種小企業的評估實例來闡明制定適合自身目前狀態的企業風險評估的措施。

由于臨時沒有適合的案例提供，因此留待下一版本完善。

6.實行過程簡述

6.1定義階段

實際上是他前工作的J延續，即明確項目范圍，清晰界定顧客的需求。這點看似簡樸，但實際

操作者卻需要相稱有經驗，可.以判斷自己所擁有的資源何以在既定期間內完畢多少工作;可.

以與客戶有技巧地談判將其需求控制在最恰當的水平并維持到項目結束。

我們在這里列出了五個模塊：前期交流、初步方案、投標方案、答標文檔和參照報價。

按照實際項目操作流程，在售前階段這五個模塊的I工作應當完整進行?遍。進入項目定義階

段時，實際上顧客已經對網絡安全風險評估有了一定理解，并且比較清晰自己的網絡環境需

要評估到什么程度，因此本階段顧客會就投標方案規定廠商進行深入描述，并且就他們感愛

好的細節進行展開。

6.2藍圖階段

雙方確定項目的詳細進度計劃，提議在計劃過程中至少要包括下面幾部份內容：問題描述、

目的和范圍、SWOT分析?、工作分解、里程碑和進度計劃、雙方資源需求、變更控制措施。

在藍圖階段中需要召開藍圖會議，在會議結束后，必須在雙方承認的基礎上制定并簽訂項目

藍圖，后續一切工作嚴格按藍圖進行。

評估項目對客戶的知識水平規定較高，一般在項目前期需要就評估措施進行培訓，提議在藍

圖階段完畢項目U勺培訓工作。

此外需要提醒11勺是，由于多數企業的資產并沒有很好地理順，因此資產評估的前期協調工作

假如可以盡早開始，可以有效地保證項H的時間。

6.3執行階段

這是最關鍵的階段，絕大多數操作都在這一階段完畢，我們可以再將這一階段細分為四個環

節，分別如下：

資產評估（可以遠程完畢）

系統和業務信息搜集

資產列表

資產分類與賦值

資產匯報

資產評估H勺內容并不復雜，在這部份工作中，重點在于與客戶共同進行資產日勺分類與賦值。

同步需要注意控制資產評估的完畢時間，由于明確資產后才能有效進行后續的威脅與弱點評

估，否則輕易導致事倍功半。

威脅評估（當地完畢）

IDS布署搜集威脅源

搜集并評估方略文檔

BS7799顧問訪談

事件分析

威脅匯報

威脅評估中訪談占了現場工作的最大部份。但由于現階段業界對于威脅的界定存在多種原

則，因此可以說威脅評估是較難操作的一部份。提議在實行前先參照威脅評估匯報樣例。

假如可以通過訪談獲取到較為完整II勺安全事件信息，則可以考慮將不進行威脅評估，以更可

以清晰分析本質U勺事件分析替代。

弱點評估（當地完畢）

遠程掃描

人工審計

滲透測試

弱點匯報

弱點評估屬于純技術操作，這里不加詳述。

風險分析和控制（可以遠程完畢）

數據整頓、入庫及分析

安全現實狀況匯報

安全處理方案

當現場工作結束，基礎數據搜集完畢后，怎樣對浩如煙海口勺信息進行提煉和挖掘，其中也有

諸多技巧。最終日勺風險分析需要看得清晰透徹，并且方案的體現形式要比較切合客戶需求。

處理方案就三個字：可操作。

6.4匯報階段

在項目匯報階段，所有的現場工作和大部份文檔工作已經完畢，這時的關鍵任務是：讓顧客

真正理解并且承認我們的工作成績。因此這階段提議需要與顧客進行深入細致的溝通（需要

面對面交流，以到達最佳效果）。

匯報階段需要注意多種細節調整（有些需要結合項目特點進行考慮），例如：

1.在匯報的最前面增長“文檔導讀”章節；

2.將客戶方配合工作人員也寫入匯報作者；

3.給領導提供一份簡潔有力的總結：

4.等等……

6.5售后服務

按照Octave評估措施的觀點，顧客在完畢一次安全評估之后，相稱于獲取了其H前風險的

快照（Snapshot）,同步也就完畢了對其信息安全風險基線口勺設置。之后