學習《計算機網(wǎng)絡安全》
隨著網(wǎng)絡信息化技術(shù)的廣泛應用内斯,在提高科研祈坠、生產(chǎn)效率和質(zhì)量的同時审洞,也極大地增加了網(wǎng)絡信息安全風險莱睁。目前解決網(wǎng)絡信息安全問題普遍采用的方法之一是進行風險評估(Risk Assessment)。從風險管理的角度芒澜,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評估安全事件一旦發(fā)生時可能造成的危害程度创淡,并提出有針對性的防護對策和整改措施痴晦,將風險控制在可接受的水平,最大限度地保障信息安全琳彩。這一篇主要學習書中的網(wǎng)絡信息安全風險評估的相關(guān)知識誊酌。
風險評估概述
風險評估的概念
風險是一個給定的威脅,利用一項資產(chǎn)或多項資產(chǎn)的脆弱性露乏,對組織造成損害的可能碧浊。可通過事件的概率及其后果進行度量瘟仿。風險評估是風險標識箱锐、分析和評價的整個過程。
網(wǎng)絡信息安全風險評估劳较,則是指依據(jù)國家風險評估有關(guān)管理要求和技術(shù)標準驹止,對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性观蜗、完整性和可用性等安全屬性進行科學臊恋、公正的綜合評價的過程。通過對信息及信息系統(tǒng)的重要性墓捻、面臨的威脅抖仅、其自身的脆弱性以及已采取安全措施有效性的分析,判斷脆弱性被威脅源利用后可能發(fā)生的安全事件及其所造成的負面影響程度來識別信息安全的安全風險砖第。
網(wǎng)絡信息系統(tǒng)的風險評估是對威脅撤卢、脆弱點以及由此帶來的風險大小的評估。對系統(tǒng)進行風險分析和評估的目的就是:了解系統(tǒng)目前與未來的風險所在厂画,評估這些風險可能帶來的安全威脅與影響程度凸丸,為安全策略的確定、信息系統(tǒng)的建立及安全運行提供依據(jù)袱院。同時通過第三方權(quán)威或者國際機構(gòu)評估和認證屎慢,也給用戶提供了信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心瞭稼,增強產(chǎn)品、單位的競爭力腻惠。信息系統(tǒng)風險分析和評估是一個復雜的過程环肘,一個完善的信息安全風險評估架構(gòu)應該具備相應的標準體系、技術(shù)體系集灌、組織架構(gòu)悔雹、業(yè)務體系和法律法規(guī)。
網(wǎng)絡信息安全風險評估分為自評估和檢查評估兩種形式欣喧。風險自評估是建立信息安全體系的基礎和前提腌零。
風險評估有時候也稱為風險分析,是組織使用適當?shù)娘L險評估工具唆阿,對信息和信息處理設施的威脅(Threat)益涧、影響(Impact)和薄弱點(Vulnerability)及其發(fā)生的可能性的評估,也就是確認安全風險及其大小的過程驯鳖。它是風險管理的重要組成部分闲询。
風險評估是信息安全管理的基礎,它為安全管理的后續(xù)工作提供方向和依據(jù)浅辙,后續(xù)工作的優(yōu)先等級和關(guān)注程度都是由信息安全風險決定的扭弧,而且安全控制的效果也必須通過對剩余風險的評估來衡量。
風險評估是在一定范圍內(nèi)識別所存在的信息安全風險记舆,并確定其大小的過程鸽捻。風險評估保證信息安全管理活動可以有的放矢,將有限的信息安全預算應用到最需要的地方氨淌。風險評估是風險管理的前提泊愧。
