风险评估的目录
一、网络安全风险评估概述
1、概念
依据有关信息安全技术和管理标准,对网络系统保密性,完整性,可控性和可用性等安全属性进行科学评价。
2、意义
- 反应企业当前安全现状
- 提供信息安全防御机制的建议
- 同等保测评结合
- 对安全决策提供支撑和依据
- 为今后网络安全建议提供参考
- 提高员工的安全意识
3、步骤
风险之别,风险分析,风险评估
4、基本原则
标准性原则,可控性原则,最小影响原则
5、评估要素
威胁识别——威胁出现的频率——安全事件的可能性——风险值
脆弱性识别——脆弱性的严重程度——安全事件的可能性——风险值
脆弱性识别——脆弱性的严重程度——安全事件的损失——风险值
资产识别——资产的价值——安全事件的损失——风险值
信息资产价值:软件、硬件、数据、服务、人员等
威胁可能性:任何可能发生的、为组织或某种特定资产带来所不想玩的或不想要借过的事情。
弱点/脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性
安全措施:能小初脆弱性或对付一种或多种特定威胁的任何方法
6、网络安全风险评估方法
自评估
检查评估
二、网络安全风险评估方法
- 漏洞扫描
- 威胁建模
- 漏洞利用测试
- 安全评估框架
- 安全风险评估标准
三、网络安全风险评估方案
1、确定评估范围和目标
2、收集信息
3、评估威胁和漏洞
4、评估安全控制
5、评估风险和制定建议
6、报告和沟通
四、实施流程
五、风险值计算
图片来自freebuff。