网络安全--风险评估
风险评估
what is
对各方面风险进行辨识和分析的过程,是依据国际/国家有关信息安全技术标准,评估信息系统的脆弱性、面临的威胁以及脆弱性被威胁利用的可能性,和利用后对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性锁产生的实际负面影响,并以此识别信息系统的安全风险过程
信息安全风险评估
- 分析确定风险的过程
- 信息安全建设的起点和基础
- 信息安全建设和管理的科学方法
- 实际上是在倡导一种适度安全
- 信息化的重要经验
why to do
充分反应当前的安全现状
提供信息安全防御机制的建议
很好的同等级保护相结合
对安全决策提供支撑和依据
为后续网络安全建设提供参考
提高员工的安全意识
四个要素
信息资产
- 要素属性
- 资产价值
脆弱性
- 弱点被利用后对资产带来的影响的严重程度
威胁
- 威胁发生的可能性
风险
风险发生的路径
风险评估的流程
阶段一,准备阶段
项目准备
- 对信息系统风险评估项目的目标、范围、交付文件、实施方案、工作方式、评估成果提交形式的确定
《风险评估实施方案》
阶段二,识别阶段
资产识别
- 对被评估信息系统的关键资产进行时别,并合理分类
威胁识别
- 识别被评估信息系统的关键资产锁面临的威胁源及其威胁常采用的威胁方法,对资产所产生的影响
脆弱性识别
- 将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,将从安全管理脆弱性以及技术脆弱性两个方面进行脆弱性检查
安全措施识别
- 识别被评估信息系统的有效对抗风险的防护措施
《安全现状调查报告》
阶段三,分析阶段
资产分析
- 分析被评估信息系统及其关键资产在遭受泄密、损害等破坏时对系统所承载的业务系统所产生的影响,并进行赋值量化
- 《资产评估报告》
威胁分析
- 分析被评估信息系统及其关键资产将面临哪方面的威胁及其所采用的威胁方法,并进行赋值量化
- 《威胁评估报告》
脆弱性分析
- 分析被评估信息系统及其关键资产所存在的管理脆弱性和技术脆弱性,并进行赋值量化
- 《脆弱性评估报告》
综合风险分析
- 分析被评估信息系统及其关键资产将面临哪方面的威胁及其所采用的威胁方法,利用了系统的何种脆弱性,对哪类资产产生了什么样的影响,并描述采取何种对策来防范威胁,减少脆弱性,并将风险量化
- 《风行评估综合报告》
阶段四,规划验收阶段
风险规划
- 明确组织的安全需求,制定安全规划,对风险进行处理
成果汇报
- 提交评估成果系列报告,同时为客户讲解评估过程及结果,对每个安全问题提出解决建议或整改措施
- 《风险控制规划》
项目验收
- 达成安全成果共识
风险评估安全服务的收益
评估结果记录
- 评估成果汇总
- 严重安全问题即使告知客户
- 清除检测过程中间的测试文件
- 过程经验总结
安全评估报告
评估成果汇报
- 检测过程
- 检测深度
- 检测结果
评估输出报告
评估成果保密
安全解决方案
- 结合评估结果报告和实际信息系统安全情况提供具有针对性的安全解决建议
风险评估安全服务准则
保密性原则
- 在为信息系统进行风险评估的过程中,将严格遵循保密原则,服务过程中涉及到的任何用户信息均属保密信息,不得泄露给第三方单位或个人,不得利用这些信息损害用户利益
互动原则
- 在整个信息安全风险评估过程中,将强调客户的互动参与,不管是从准备阶段还是识别阶段,每个阶段都能够及时根据客户的要求和实际情况对评估的内容和方式做出调整,进而更好的进行风险评估工作
最小影响原则
- 信息安全风险评估工作应尽可能小的影响系统和网络的正常运行,不能对业务的正常运行产生显著影响(包括系统性能明显下降、网络阻塞、服务中断等)
规范性原则
- 信息安全风险评估服务的实施必须由专业的安全评估服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,提供完整的服务报告
网络安全--风险评估相关推荐
- 信息安全工程师笔记-网络安全风险评估技术原理与应用
网络安全风险评估要素 网络安全分析评估要素包括:资产.威胁.脆弱性.安全措施.风险,各个要素之间相互作用. 网络安全风险评估模式 ①自评估:网络系统拥有者依靠自身力量,对自有的网络系统进行的风险评估活 ...
- 信安教程第二版-第16章网络安全风险评估技术原理与应用
第16章 网络安全风险评估技术原理与应用 16.1 网络安全风险评估概述 321 16.1.1 网络安全风险评估概念 321 16.1.2 网络安全风险评估要素 322 16.1.3 网络安全风险评估 ...
- 网络安全风险评估关键技术讨论
前言 文章来自 科技与创新 2016年18期 作者:波涛 摘要 网络的出现对人们的生活和工作来带了巨大的影响,进入21世纪后,人类社会全面进入网络时代.但网络在为人们生活和工作带来便利的同时,由于其本 ...
- 网络安全风险评估关键技术研究
前言 北邮 博士研究生学位论文 作者:吴金宇 指导老师:方 2013/3/31 摘要 主要包括三个方面:定性评估.定量评估.实时评估. 定性评估: 在定性评估方面,针对攻击图分析中的两个重要问题:最优 ...
- 什么是网络安全风险评估?
网络安全风险评估是指对网络系统.信息系统和网络基础设施进行全面评估,以确定存在的安全风险和威胁,并量化其潜在影响以及可能的发生频率.它帮助组织了解其网络安全状况,识别潜在的安全漏洞和威胁,并为采取有效 ...
- 网络安全风险评估-电信行业落地实践最佳案例
本文基于学习数据安全风险评估白皮书 2021 的内容进行整理,希望加深自身对数据安全评估体系的认识,也希望对不了解数据安全风险评估的任何人有所帮助,如存在版权问题,请及时联系我进行删除 背景 为更好落 ...
- 美国政府召开网络安全峰会,与私营行业巨头合力提振软件供应链和开源等安全...
聚焦源代码安全,网罗国内外最新资讯! 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为 ...
- 网络安全与计算机信息管理论文,计算机信息管理技术在网络安全的应用论文
计算机信息管理技术在网络安全的应用论文 摘要:随着网络技术的发展,人们的生活水平也有了较大改善.网络技术从一定程度上方便了人们的生活,但是也给人们的生活带来了很多不利的影响.追究产生这些原因的方法,网 ...
- 信息安全工程第四章网络安全体系与网络安全模型要点小结
其中安全模型为重点 4.1 网络安全体系概述 网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现网络安全的目标. 网络安全体系包括法律法规政策文件.安全 ...
- 【第4章】网络安全体系与网络安全模型(信息安全工程师)
第4章 网络安全体系与网络安全模型 4.1 网络安全体系概述 4.1.1 网络安全体系概念 一般而言,网络安全体系是网络安全保障系统的最高层概念抽象,是由各种网络安全单元按照一定的规则组成的,共同实现 ...
最新文章
- linux清理swap内容,Linux如何清理swap.buffer及cache等缓存
- delphi xe http 收不到反馈消息_好消息接二连三!苹果将在双·11当天举办发布会_笔记本新闻...
- Intent打开各种类型的文件
- linux crontab不运行,Linux运维知识之解决Linux中crontab不执行ntpdate问题
- 使用xslt批量修改xml 节点name
- Rest Framework:二、序列化组件
- VMware vSAN 的内部版本号和版本 (2150753)--2020-10-27 更新
- transport方式连接Elasticsearch6.2.3
- 使用IDEA逆向生成实体类时注意问题(Maven)
- mysql8只有ibd文件_只有ibd文件还能恢复数据吗
- matlab jacks信道,【学习笔记】移动无线信道理论
- 影响红外测温的主要因素分析
- 信息论与编码|香农编码的Matlab实现
- 【开源访谈】zTree 作者张其纲访谈实录
- Map接口的常见方法
- cadence SPB17.4 capture and cis 全部错误消息列表
- VB编程:全局变量控件数组实例简单计算器-12
- 最优化建模、算法与理论(四)—— 最优性理论
- uTorrent 2.2.1.24769 Beta 绿色多国语言版
- java的arraylist_Java ArrayList排序的3种方法