網(wǎng)絡(luò)信息安全風(fēng)險評估

網(wǎng)絡(luò)信息安全風(fēng)險評估是指依據(jù)國家風(fēng)險評估有關(guān)管理要求和技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學(xué)、公正的綜合評價的過程。通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件及其所造成的負面影響程度來識別信息安全的安全風(fēng)險。

網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險評估是對威脅、脆弱點以及由此帶來的風(fēng)險大小的評估。

對系統(tǒng)進行風(fēng)險分析和評估的目的就是：了解系統(tǒng)目前與未來的風(fēng)險所在，評估這些風(fēng)險可能帶來的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運行提供依據(jù)。

同時通過第三方權(quán)威或者國際機構(gòu)的評估和認證，也給用戶提供了信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強產(chǎn)品和單位的競爭力。

風(fēng)險評估的意義

對風(fēng)險的認識，而風(fēng)險的處理過程，可以在考慮了管理成本后，選擇適合企業(yè)自身的控制方法，對同類的風(fēng)險因素采用相同的基線控制，這樣有助于在保證效果的前提下降低風(fēng)險評估的成本。

國外風(fēng)險評估相關(guān)標(biāo)準(zhǔn)

《信息技術(shù)安全評估通用準(zhǔn)則》（Common Criteria of Information TechnicalSecurity Evaluation，CCITSE），簡稱CC（ISO/IEC 15408-1），是美國、加拿大及歐洲4國經(jīng)協(xié)商同意，于1993年6月起草的，是國際標(biāo)準(zhǔn)化組織統(tǒng)一現(xiàn)有多種準(zhǔn)則的結(jié)果，是目前最全面的評估準(zhǔn)則。

《可信計算機系統(tǒng)評估準(zhǔn)則》（Trusted Computer System EvaluationCriteria，TCSEC）是計算機信息安全評估的第一個正式標(biāo)準(zhǔn)，具有劃時代的意義。該準(zhǔn)則于1970年由美國國防科學(xué)委員會提出，并于1985年12月由美國國防部公布。TCSEC將安全分為4個方面：安全政策、可說明性、安全保障和文檔。4個方面又分為7個安全級別，按安全程度從最低到最高依次是D1、C1、C2、B1、B2、B3、A1。

D1級：最低保護

C1級：自主的安全保護

C2級：訪問控制保護

B1級：有標(biāo)簽的安全保護

B2級：結(jié)構(gòu)化保護

B3級：安全域

A1級：審核保護

國內(nèi)信息安全風(fēng)險評估標(biāo)準(zhǔn)

《計算機信息系統(tǒng)　安全保護等級劃分準(zhǔn)則》（GB 17859—1999）

由低至高分別為用戶自主保護級、系統(tǒng)審核保護級、安全標(biāo)記保護級、結(jié)構(gòu)化保護級和訪問驗證保護級

《信息安全風(fēng)險評估規(guī)范》（GB/T 20984—2007）

該標(biāo)準(zhǔn)提出了風(fēng)險評估的基本概念、要素關(guān)系、分析原理、實施流程和評估方法，以及風(fēng)險評估在信息系統(tǒng)生命周期不同階段的實施要點和工作形式。

風(fēng)險評估的實施

風(fēng)險管理過程

背景建立：這一階段主要是確定風(fēng)險管理的對象和范圍，進行相關(guān)信息的調(diào)查分析，準(zhǔn)備風(fēng)險管理的實施。

風(fēng)險評估：這一階段主要是根據(jù)風(fēng)險管理的范圍來識別資產(chǎn)，分析信息系統(tǒng)所面臨的威脅以及資產(chǎn)的脆弱性，結(jié)合所采用的安全控制措施，在技術(shù)和管理兩個層面對信息系統(tǒng)所面臨的風(fēng)險進行綜合判斷，并對風(fēng)險評估結(jié)果進行等級化處理。

風(fēng)險處理：這一階段主要是綜合考慮風(fēng)險控制的成本和風(fēng)險造成的影響，從技術(shù)、組織和管理層面分析信息系統(tǒng)的安全需求，提出實際可行的安全措施。明確信息系統(tǒng)可接受的殘余風(fēng)險，采取接受、降低、規(guī)避或轉(zhuǎn)移等控制措施。

批準(zhǔn)監(jiān)督：這一階段主要包括批準(zhǔn)和持續(xù)監(jiān)督兩部分。依據(jù)風(fēng)險評估的結(jié)果和處理措施能否滿足信息系統(tǒng)的安全要求，決策層決定是否認可風(fēng)險管理活動。監(jiān)控人員對機構(gòu)、信息系統(tǒng)、信息安全相關(guān)環(huán)境的變化進行持續(xù)監(jiān)督，在可能引入新的安全風(fēng)險并影響到安全保障級別時，啟動新一輪風(fēng)險評估和風(fēng)險處理。

風(fēng)險評估過程

信息安全風(fēng)險評估的要素

風(fēng)險要素之間的關(guān)系

風(fēng)險因素識別

資產(chǎn)在其表現(xiàn)形式上可以劃分為軟件、硬件、數(shù)據(jù)、服務(wù)、人員等相關(guān)類型。根據(jù)風(fēng)險評估的范圍識別出關(guān)鍵資產(chǎn)與一般資產(chǎn)，形成需要保護的資產(chǎn)清單。

威脅具有多種類型，如軟硬件故障、物理環(huán)境影響、管理問題、惡意代碼、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改等。有多種因素會影響威脅發(fā)生的可能性，如攻擊者的技術(shù)能力、威脅行為動機、資產(chǎn)吸引力、受懲罰風(fēng)險等。在威脅識別階段，評估者依據(jù)經(jīng)驗和相關(guān)統(tǒng)計數(shù)據(jù)對威脅進行識別，并判斷其出現(xiàn)的頻率。

脆弱性的識別可以以資產(chǎn)為核心，針對資產(chǎn)識別可能被威脅利用的弱點進行識別，也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、制度等層次進行識別，然后將其與資產(chǎn)、威脅對應(yīng)起來。在此過程中應(yīng)對已采取的安全措施進行評估，確認其是否有效抵御了威脅、降低了系統(tǒng)的脆弱性，以此作為風(fēng)險處理計劃的依據(jù)和參考。

風(fēng)險評估方法

定量評估法基于數(shù)量指標(biāo)對風(fēng)險進行評估，依據(jù)專業(yè)的數(shù)學(xué)算法進行計算、分析，得出定量的結(jié)論數(shù)據(jù)。典型的定量分析法有因子分析法、時序模型、等風(fēng)險圖法、決策樹法等。

定性評估法主要依據(jù)評估者的知識、經(jīng)驗、政策走向等非量化資料對系統(tǒng)風(fēng)險做出判斷，重點關(guān)注安全事件所帶來的損失，而忽略其發(fā)生的概率。文章來源地址http://www.zghlxwxcb.cn/news/detail-513352.html

到了這里，關(guān)于網(wǎng)絡(luò)信息安全風(fēng)險評估的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！