网络信息安全风险评估
网络信息安全风险评估
网络信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件及其所造成的负面影响程度来识别信息安全的安全风险。
网络信息系统的风险评估是对威胁、脆弱点以及由此带来的风险大小的评估。
对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。
同时通过第三方权威或者国际机构的评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品和单位的竞争力。
风险评估的意义
对风险的认识,而风险的处理过程,可以在考虑了管理成本后,选择适合企业自身的控制方法,对同类的风险因素采用相同的基线控制,这样有助于在保证效果的前提下降低风险评估的成本。
国外风险评估相关标准
《信息技术安全评估通用准则》(Common Criteria of Information TechnicalSecurity Evaluation,CCITSE),简称CC(ISO/IEC 15408-1),是美国、加拿大及欧洲4国经协商同意,于1993年6月起草的,是国际标准化组织统一现有多种准则的结果,是目前最全面的评估准则。
《可信计算机系统评估准则》(Trusted Computer System EvaluationCriteria,TCSEC)是计算机信息安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC将安全分为4个方面:安全政策、可说明性、安全保障和文档。4个方面又分为7个安全级别,按安全程度从最低到最高依次是D1、C1、C2、B1、B2、B3、A1。
D1级:最低保护
C1级:自主的安全保护
C2级:访问控制保护
B1级:有标签的安全保护
B2级:结构化保护
B3级:安全域
A1级:审核保护
国内信息安全风险评估标准
《计算机信息系统 安全保护等级划分准则》(GB 17859—1999)
由低至高分别为用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级
《信息安全风险评估规范》(GB/T 20984—2007)
该标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
风险评估的实施
风险管理过程
背景建立:这一阶段主要是确定风险管理的对象和范围,进行相关信息的调查分析,准备风险管理的实施。
风险评估:这一阶段主要是根据风险管理的范围来识别资产,分析信息系统所面临的威胁以及资产的脆弱性,结合所采用的安全控制措施,在技术和管理两个层面对信息系统所面临的风险进行综合判断,并对风险评估结果进行等级化处理。
风险处理:这一阶段主要是综合考虑风险控制的成本和风险造成的影响,从技术、组织和管理层面分析信息系统的安全需求,提出实际可行的安全措施。明确信息系统可接受的残余风险,采取接受、降低、规避或转移等控制措施。
批准监督:这一阶段主要包括批准和持续监督两部分。依据风险评估的结果和处理措施能否满足信息系统的安全要求,决策层决定是否认可风险管理活动。监控人员对机构、信息系统、信息安全相关环境的变化进行持续监督,在可能引入新的安全风险并影响到安全保障级别时,启动新一轮风险评估和风险处理。
风险评估过程
信息安全风险评估的要素
风险要素之间的关系
风险因素识别
资产在其表现形式上可以划分为软件、硬件、数据、服务、人员等相关类型。根据风险评估的范围识别出关键资产与一般资产,形成需要保护的资产清单。
威胁具有多种类型,如软硬件故障、物理环境影响、管理问题、恶意代码、网络攻击、物理攻击、泄密、篡改等。有多种因素会影响威胁发生的可能性,如攻击者的技术能力、威胁行为动机、资产吸引力、受惩罚风险等。在威胁识别阶段,评估者依据经验和相关统计数据对威胁进行识别,并判断其出现的频率。
脆弱性的识别可以以资产为核心,针对资产识别可能被威胁利用的弱点进行识别,也可以从物理、网络、系统、应用、制度等层次进行识别,然后将其与资产、威胁对应起来。在此过程中应对已采取的安全措施进行评估,确认其是否有效抵御了威胁、降低了系统的脆弱性,以此作为风险处理计划的依据和参考。
风险评估方法
定量评估法基于数量指标对风险进行评估,依据专业的数学算法进行计算、分析,得出定量的结论数据。典型的定量分析法有因子分析法、时序模型、等风险图法、决策树法等。
定性评估法主要依据评估者的知识、经验、政策走向等非量化资料对系统风险做出判断,重点关注安全事件所带来的损失,而忽略其发生的概率。
网络信息安全风险评估相关推荐
- 网络信息安全管理要素和安全风险评估
网络信息安全管理要素由网络管理对象.网络威胁.网络脆弱性.网络风险.网络保护措施组成. 由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险. 网络安全管理实际上就是 ...
- 计算机后门做法正确的是,网络信息安全知识:张同学发现安全软件提醒自己的电脑有系统漏洞,如果你是张同学,最恰当的做法是?()...
相关题目与解析 计算机信息系统安全范畴包括a.实体安全运行安全信息安全网络安全b.软件安全硬件安全网 软漏洞是产生信息网络威胁的一个重要原因,操作系统的安全漏洞.数据库的安全漏洞.协议的安全漏 网络安 ...
- 计算机风险评估管理程序,第5章 信息安全风险评估实施流程
<第5章 信息安全风险评估实施流程>由会员分享,可在线阅读,更多相关<第5章 信息安全风险评估实施流程(25页珍藏版)>请在人人文库网上搜索. 1.第第5章章 信息安全风险信息 ...
- 网络信息安全之安全风险管理
在信息时代,信息已经成为第一战略资源,信息对组织使命的完成.组织目标的实现起着至关重要的作用,因此信息资产的安全是关系到该组织能否完成其使命的重大因素.资产与风险是对矛盾共同体,资产价值越高,面临的风 ...
- 网络安全:网络信息安全的概述.
网络安全:网络信息安全的概述 网络信息安全是一门涉及计算机科学,网络技术,通信技术.密码技术.信息安全技术.应用数学.数论.信息论等多种学科的综合性学科. 它主要是指网络系统的硬件.软件及其系统中的数 ...
- 【信息安全】信息安全风险评估-实践指南
自从上一次的文章后,有三个月的时候没有对工作总结了:对,三个月的事件正好遇上了互联网的大裁员......一直忙于找工作,现在总算安稳下来,根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指 ...
- NSACE|如何正确地维护企业的网络信息安全?
随着计算机技术和通信技术的发展,计算机网络将日益成为重要信息交换手段,渗透到社会生活的各个领域.因此,我们要认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题隐患,并进行专业正确的企业网络信息安 ...
- 信息安全风险评估流程
信息安全风险评估流程<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /&g ...
- 完全解密企业信息安全风险评估
当前,无论是政府还是企业,对于自身的信息安全都非常关注.因此,企业信息安全风险评估再一次引起了业界的关注.那么,此类评估有什么标准?对企业的价值又体现在何处呢? 认识存在的风险 长期以来,人们对保障信 ...
- (软考--信息安全工程师中级)一、网络信息安全概述
1.1.网络信息安全基本属性 1.1.1.机密性(Confidentiality):网络信息不泄露给非授权用户. 1.1.2.完整性(Integrity):网络信息未经授权 ...
最新文章
- 由laravel 5.5无法获取url中的参数引发的apache的.htaccess文件问题
- iOS 选择的照片或者拍照的图片上添加日期水印
- c语言在win8系统不兼容,Win8系统中存在不兼容软件怎么办?
- python之爬虫(四)之 Requests库的基本使用
- 开发黑名单功能demo_中台实践:通用化黑名单平台
- 通过Callable和FutureTask创建线程
- 阶段1 语言基础+高级_1-3-Java语言高级_05-异常与多线程_第5节 线程池_2_线程池的代码实现...
- 儒略日 Julian Date
- 软件著作权在开发完成时就自动享有了还有必要申请软件著作权登记么?
- photoshop cs6 安装(附安装包)
- 玄幻小说收藏(偶尔带点科幻、都市)
- 下载并打开Github源码教程
- 代码坏味道 之 17 狎昵关系 inappropriate intimacy
- 「学习笔记」自适应辛普森法
- 介绍两款常用的“图表统计图的插件
- Singing Contest
- 人工智能算力网络:独属中国的AI产业发展杀手锏
- Html页脚声明,HTML创建与页脚和页眉和内容
- edge for android 6.0,Microsoft Edge for Android v44
- matlab和超几何检验,用超几何分布检验做富集分析