网络安全风险评估概述
网络安全风险:由于网络系统所存在的脆弱性,因人为或自然威胁导致安全事件发生所造成的可能性影响
网络安全风险评估:评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。
网络安全风险值=安全事件发生概率(可能性)* 安全事件损失乘积
网络安全风险评估设涉及资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用
资产因其价值而受到威胁,威胁者利用资产脆弱性构成威胁
安全措施对资产进行保护,修补资产脆弱性,降低资产风险
风险评估模式
根据评估方与被评估方关系及网络资产所属关系
网络安全风险评估过程
网络安全风险评估环节
包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等。
网站安全风险评估准备
网站评估范围
资产识别-识别步骤
威胁识别
脆弱性识别
通过各种测试方法,获得网络资产中所存在的缺陷清单
脆弱性识别以资产为核心,针对每项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性严重程度进行评估
识别依据:网络安全法律法规政策、国内外网络信息安全标准以及行业领域内网络安全要求。
对不同环境中相同弱点,脆弱性严重程度不同,应从组织安全策略角度考虑,判断资产脆弱性及其严重程度
网络安全风险处置与管理
针对网络系统存在的各种风险,给出具体风险控制建议,目标在于降低网络系统安全风险
对不可接受的相关风险,应根据导致该风险脆弱性指定风险处理计划
风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等
安全措施选择:管理+技术
安全措施选择与实施:参照信息安全相关标准进行
网络安全风险管控措施
- 制定明确安全策略
- 建立安全组织
- 实施网络资产分类控制
- 加强人员安全管理
- 保证物理实体和环境安全
- 加强安全通信运行
- 采取访问控制机制
- 进行安全系统开发与维护
- 保证业务持续运行
- 遵循法律法规、安全目标一致性检查
网络安全风险评估技术方法与工具
网络安全风险评估流程和工作内容
网络安全风险评估技术与应用
网络安全风险评估作用是主动掌握网络安全状况,以便于进行网络安全建设和防护
