网络安全风险评估综述。概念:根据相关信息安全技术和管理标准,对网络系统的保密性、
完整性、可控性、可用性等安全属性进行科学评估的过程,涉及网络系统的脆弱性、网络安全
威胁以及该脆弱性被威胁者利用所带来的实际影响,并根据安全事件可能造成的影响确定网络
安全风险等级。(评估威胁使用网络资产的脆弱性和网络资产损失的严重性)
网络安全风险评估的1-2个要素。要素:资产、威胁、漏洞、安全措施和风险。风险:指信息资产
受损,给企业带来负面影响的潜在可能性。威胁:任何可能发生并给组织或特定资产带来不良或
不想要的结果的事情。脆弱性:资产中的弱点或缺乏保护措施/对策被称为脆弱性。安全措施:能
够消除漏洞或处理一个或多个特定威胁的任何方法。资产因其价值而受到威胁。威胁者利用他
们的脆弱构成威胁。安全措施保护资产,修复其脆弱性并降低其风险。
受损,给企业带来负面影响的潜在可能性。威胁:任何可能发生并给组织或特定资产带来不良或
不想要的结果的事情。脆弱性:资产中的弱点或缺乏保护措施/对策被称为脆弱性。安全措施:能
够消除漏洞或处理一个或多个特定威胁的任何方法。资产因其价值而受到威胁。威胁者利用他
们的脆弱构成威胁。安全措施保护资产,修复其脆弱性并降低其风险。
网络安全风险评估模型。自我评估。检查评估。(由安全主管部门或业务主管部门发起)委托评
估。(用户委托专业评估机构)网络安全风险评估流程。网络安全风险评估准备。目的:确定评估
对象和范围;网络系统的拓扑结构。网络通信协议。网络地址分配。网络设备。
估。(用户委托专业评估机构)网络安全风险评估流程。网络安全风险评估准备。目的:确定评估
对象和范围;网络系统的拓扑结构。网络通信协议。网络地址分配。网络设备。
Web服务。在线业务类型和业务信息流。网络安全的防范措施。网络操作系统。网络相关人员
。网络物理环境。输出:评估文档“网络风险评估范围定义报告”资产识别。网络资产的识别:给
出具体的评估对象,确定网络资产的类型和清单,主要分为网络设备、主机、服务器、应用、
数据和文档资产六个方面。网络资产价值的估算:根据CIA属性估算资产的相对价值,在不满
足资产安全属性的情况下,由对资产本身及其管理业务的影响决定结果。资产分配参考:机密
性分配、完整性分配、可用性分配(1:非常低;2:低;3:中等;4:高;5:非常高)
。网络物理环境。输出:评估文档“网络风险评估范围定义报告”资产识别。网络资产的识别:给
出具体的评估对象,确定网络资产的类型和清单,主要分为网络设备、主机、服务器、应用、
数据和文档资产六个方面。网络资产价值的估算:根据CIA属性估算资产的相对价值,在不满
足资产安全属性的情况下,由对资产本身及其管理业务的影响决定结果。资产分配参考:机密
性分配、完整性分配、可用性分配(1:非常低;2:低;3:中等;4:高;5:非常高)
威胁识别。概念:分析网络资产可能存在的安全隐患,通常从威胁来源、威胁路径、威胁能力
、威胁效果、威胁意图、威胁频率六个方面进行分析。威胁来源:自然威胁和人为威胁。威胁
路径:威胁资产的方法和过程。比如木马、蠕虫、电脑病毒等。威胁效应:威胁成功后对网络系
统的影响。比如非法访问,欺骗,拒绝服务。威胁意图:威胁主体实施威胁的目的。比如挑战
,情报获取,恐怖主义,经济利益。威胁频率:威胁活动的可能性。从统计数据来看。(1:很低
,几乎不可能发生;2:低,频率很小;3:中等,>1次/半年;4:高,>=1次/月;5:非常高,>=1
次/周)威胁可能性分配:综合分析威胁来源、威胁所需能力和威胁发生频率得出的判断。
、威胁效果、威胁意图、威胁频率六个方面进行分析。威胁来源:自然威胁和人为威胁。威胁
路径:威胁资产的方法和过程。比如木马、蠕虫、电脑病毒等。威胁效应:威胁成功后对网络系
统的影响。比如非法访问,欺骗,拒绝服务。威胁意图:威胁主体实施威胁的目的。比如挑战
,情报获取,恐怖主义,经济利益。威胁频率:威胁活动的可能性。从统计数据来看。(1:很低
,几乎不可能发生;2:低,频率很小;3:中等,>1次/半年;4:高,>=1次/月;5:非常高,>=1
次/周)威胁可能性分配:综合分析威胁来源、威胁所需能力和威胁发生频率得出的判断。
