6.3网络安全风险评估实施

6.3.1基本原则与流程

1.基本原则：标准性原则、可控性原则、最小影响原则

6.3.2识别★阶段工作

1.识别阶段是风险评估工作的重要工作阶段，对组织和信息系统中资产、威胁、脆弱性等要素的识别，是进行信息系统安全风险分析的前提

2.在风险评估工作中，风险的重要因素都已资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。★

3.威胁利用资产自身脆弱性，是的安全事件的发生成为可能，从而形成了安全风险。

4.把资产分为硬件、软件、数据、服务、人员、其他

5.威胁分类方法：软硬件故障、物理环境影响、无作为或者操作实物、管理不到位、恶意代码、越权或滥用、网络共计、物理共计、泄密、篡改、抵赖

6.根据威胁产生起因、表现、后果，分为：

有害程序、网络攻击、信息破坏、信息内容攻击、设备设施故障、灾害性破坏、其他威胁

7.威胁调查工作包括：威胁源动机及其能力、威胁途径、威胁可能性及其影响

8.脆弱性是资产自身存在的，本身不会对资产造成损害。

9.脆弱性可从技术、管理两个方面进行识别

10.脆弱性识别所采用的方法：文档查阅、问卷调查、人工核查、工具检测、渗透测试

6.3.3风险★分析阶段工作

1.风险评估是以围绕被评估组织核心业务开展为原则的，评估业务所面临的安全风险。

2.风险分析的主要方法是对业务相关的资产、威胁、脆弱性、其他各项属性的关联分析

3.风险分析模型

威胁识别—-威胁出现的频率   —-安全事件的可能性—————–风险值

脆弱性识别—脆弱性的严重程度—-安全事件的可能性、造成的损失—风险值

资产识别—-资产价值——安全事件造成的损失———————–风险值

4.风险分析分为定性、定量，一般风险计算多采用定性计算方法

5.风险处置方式一般包括接受、消减、转移、规避

6.安全整改：★

非常严重、需立即降低且加固措施易于实施的安全风险，建议被评估组织立即采取安全整改措施

非常严重、需立即降低，但加固措施不便于实施的安全风险，建立被评估组织立即制定安全整改实施方案，尽快实施安全整改，整改前应对相关安全隐患进行严密监控，并做好应急预案。

比较严重、需降低且加固措施不易于实施的安全风险，建议被评估组织指定限期实施的整改方案，整改前应对相关安全隐患进行监控。

本文固定链接: https://www.moondream.cn/?p=600 | 月梦工作室