四、 互联网接口安全风险审计的价值

　　互联网接口安全风险审计不同于传统意义上的安全风险评估，传统意义上安全风险评估首先认定所检查的安全服务对象是完整的，而安全风险审计则不同，它需要运用审计的思维调查、验证审计对象的完整性，如互联网接口公网IP地址梳理，传统安全服务会认为客户提供的公网IP就是安全服务的对象，而安全风险审计则需要从业务系统梳理过程中梳理资产清单，汇总业务清单公网IP，然后，再与前期获得的公网IP进行匹配核对。其价值包括：

　　1、 保障安全服务对象的完整性。在匹配的时候，无疑会存在如下现象：

　　这样在一定程度上既保障了业务系统的完整性，又保障了公网IP梳理的完整性。

　　2、减轻安全服务工作量。电信行业对互联网开放的公网地址：包括各大运营商的托管服务、专线、合作伙伴、小区宽带等等，这些公网IP地址占用整个运营商公网IP分配的绝大部分，而运营商自身业务系统的公网IP即运营商网络部分自有IP地址只有很小一部分。如果要对所有公网IP进行安全检查，无疑陷入巨大的泥潭中而不能自拔。互联网接口安全风险审计，就是运用审计学的原理保障梳理出具备完整性的网络部分自有公网IP 地址，这样就能为这小部分的公网IP地址开展有针对性的安全服务检查，大大减少了安全服务的工作量。

　　3、提高安全防护水平。遵循“木桶原理”，很多安全事件发现起源于一些“偏远”、“偏僻”、“即将下线而未下线”的系统，这些系统的网络组件逐步被管理员遗忘，成了攻击者的温床。而互联网安全风险审计解决了这个问题，无论系统多么“偏远”、“偏僻”，只要它还在互联网的接口上，就逃不掉互联网接口安全风险审计完整性对它的安全检查，杜绝互联网接口存在业务系统“短板”。

　　总之，互联网接口安全风险审计既采用了传统安全服务技术，又运用IT审计思维，从管理层面和技术层面指出了互联网接口存在的潜在风险，提高了运营商省市公司安全风险管理水平。