学习《计算机网络安全》
随着网络信息化技术的广泛应用,在提高科研、生产效率和质量的同时,也极大地增加了网络信息安全风险。目前解决网络信息安全问题普遍采用的方法之一是进行风险评估(Risk Assessment)。从风险管理的角度,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生时可能造成的危害程度,并提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,最大限度地保障信息安全。这一篇主要学习书中的网络信息安全风险评估的相关知识。
风险评估概述
风险评估的概念
风险是一个给定的威胁,利用一项资产或多项资产的脆弱性,对组织造成损害的可能。可通过事件的概率及其后果进行度量。风险评估是风险标识、分析和评价的整个过程。
网络信息安全风险评估,则是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件及其所造成的负面影响程度来识别信息安全的安全风险。
网络信息系统的风险评估是对威胁、脆弱点以及由此带来的风险大小的评估。对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品、单位的竞争力。信息系统风险分析和评估是一个复杂的过程,一个完善的信息安全风险评估架构应该具备相应的标准体系、技术体系、组织架构、业务体系和法律法规。
网络信息安全风险评估分为自评估和检查评估两种形式。风险自评估是建立信息安全体系的基础和前提。
风险评估有时候也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估,也就是确认安全风险及其大小的过程。它是风险管理的重要组成部分。
风险评估是信息安全管理的基础,它为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评估来衡量。
风险评估是在一定范围内识别所存在的信息安全风险,并确定其大小的过程。风险评估保证信息安全管理活动可以有的放矢,将有限的信息安全预算应用到最需要的地方。风险评估是风险管理的前提。
