软考-信息安全工程师学习笔记72——网络安全风险评估概述

网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。

网络安全风险评估概念

网络安全风险，是指由于网络系统所存在的脆弱性，因人为或自然的威胁导致安全事件发生所造成的可能性影响。

网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程，评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响，并根据安全事件发生的可能性影响大小来确认网络安全风险等级P。简单地说网站程序安全，网络风险评估就是评估威胁者利用网络资产的脆弱性，造成网络资产损失的严重程度。

网络安全风险值可以等价为安全事件发生的概率(可能性)与安全事件的损失的乘积。即R=f(E, E,).其中，R表示风险值，E表示安全事件发生的可能性大小，E表示安全事件发生后的损失，即安全影响。

假设网站受到黑客攻击的概率为0.8,经济影响为2万元人民币，则该公司的网站安全风险量化值为1.6万元人民币。

网络安全风险评估要素

网络安全风险评估涉及资产威胁、脆弱性、安全措施、风险等各个要素，各要素之间相互作用，如图所示。资产因为其价值而受到威胁，威胁者利用资产的脆弱性构成威胁。安全措施则对资产进行保护，修补资产的脆弱性，从而降低资产的风险。

网络安全风险评估模式

根据评估方与被评估方的关系以及网络资产的所属关系，风险评估模式有自评估、检查评估与委托评估三种类型。

1.自评估

自评估是网络系统拥有者依靠自身力量，对自有的网络系统进行的风险评估活动。

2检查评估

检查评估由网络安全主管机关或业务主管机关发起，旨在依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估。

3.委托评估

委托评估是指网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动。

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼

（编辑：92站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!