网络安全风险评估技术原理与应用

网络安全风险：由于网络系统所存在的脆弱性，因人为或自然威胁导致安全事件发生所造成的可能性影响

网络安全风险评估：评估威胁者利用网络资产的脆弱性，造成网络资产损失的严重程度。

网络安全风险值=安全事件发生概率（可能性）* 安全事件损失乘积

网络安全风险评估设涉及资产、威胁、脆弱性、安全措施、风险等各个要素，各要素之间相互作用

资产因其价值而受到威胁，威胁者利用资产脆弱性构成威胁

安全措施对资产进行保护，修补资产脆弱性，降低资产风险

风险评估模式

根据评估方与被评估方关系及网络资产所属关系

网络安全风险评估环节

包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等。

网站安全风险评估准备

网站评估范围

资产识别-识别步骤

威胁识别

脆弱性识别

通过各种测试方法，获得网络资产中所存在的缺陷清单

脆弱性识别以资产为核心，针对每项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性严重程度进行评估

识别依据：网络安全法律法规政策、国内外网络信息安全标准以及行业领域内网络安全要求。

对不同环境中相同弱点，脆弱性严重程度不同，应从组织安全策略角度考虑，判断资产脆弱性及其严重程度

网络安全风险处置与管理

针对网络系统存在的各种风险，给出具体风险控制建议，目标在于降低网络系统安全风险

对不可接受的相关风险，应根据导致该风险脆弱性指定风险处理计划

风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等

安全措施选择：管理+技术

安全措施选择与实施：参照信息安全相关标准进行

网络安全风险管控措施

网络安全风险评估作用是主动掌握网络安全状况，以便于进行网络安全建设和防护