网络安全风险评估
网络安全风险评估是指依据有关网络安全技术与管理标准,对信息系统及由其处理、传输和储存的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产可能面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
风险评估原理
网络安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。
安全事件的发生是概率的,不能只根据安全事件的后果便决定网络安全的投入和安全措施的强度,对于发生概率极小的事件,即使其后果非常严重,也不能不计代价的盲目投入安全措施来规避此类安全事件。开展风险评估时,必须综合考虑事件的后果影响及其发生的可能性。
风险评估涉及资产、威胁、脆弱性等基本要素。
每个要素都有各自的属性,资产的属性是资产价值(重要性);威胁属性是威胁出现的频率;脆弱性的属性是脆弱性的严重程度。风险评估的主要内容为:
- 对资产进行识别,并对资产的重要性进行赋值;
- 对威胁进行识别,描述威胁的属性,并对威胁出现的频率进行赋值;
- 对资产的脆弱性进行识别,并对具体资产脆弱性的严重程度赋值;
- 根据威胁和脆弱性的识别结果判断安全事件发生的可能性;
- 根据威胁性的严重程度及安全事件所作用资产的重要性计算安全事件的损失;
- 根据安全事件发生的可能性以及安全事件的损失,计算安全事件一旦发生对组织的影响,即风险值。
