網絡安全風險評估
網絡安全風險評估是指依據有關網絡安全技術與管理標準,對信息系統及由其處理、傳輸和儲存的信息的機密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產可能面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,並結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響。
風險評估原理
網絡安全風險評估是從風險管理的角度,運用科學的手段,系統的分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,爲防範和化解信息安全風險,或將風險控制在可以接受的水平,制定有針對性的抵禦威脅的防護對策和整改措施以最大限度的保障網絡和信息安全提供科學依據。
安全事件的發生是概率的,不能只根據安全事件的後果便決定網絡安全的投入和安全措施的強度,對於發生概率極小的事件,即使其後果非常嚴重,也不能不計代價的盲目投入安全措施來規避此類安全事件。開展風險評估時,必須綜合考慮事件的後果影響及其發生的可能性。
風險評估涉及資產、威脅、脆弱性等基本要素。
每個要素都有各自的屬性,資產的屬性是資產價值(重要性);威脅屬性是威脅出現的頻率;脆弱性的屬性是脆弱性的嚴重程度。風險評估的主要內容爲:
- 對資產進行識別,並對資產的重要性進行賦值;
- 對威脅進行識別,描述威脅的屬性,並對威脅出現的頻率進行賦值;
- 對資產的脆弱性進行識別,並對具體資產脆弱性的嚴重程度賦值;
- 根據威脅和脆弱性的識別結果判斷安全事件發生的可能性;
- 根據威脅性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失;
- 根據安全事件發生的可能性以及安全事件的損失,計算安全事件一旦發生對組織的影響,即風險值。