美章网 资料文库 分析网络信息安全的风险评估范文

分析网络信息安全的风险评估范文

时间:2022-12-29 04:50:53

分析网络信息安全的风险评估

1资产识别

资产是在组织中有一定价值且需要保护的东西。它可以是有形的也可以是无形的,可以以硬件、软件、代码、服务等形式存在。通常认为,信息资产的完整性、可用性、机密性是构成资产安全特性的三个因素。不同的资产安全特性决定了信息价值的不同,因此存在的威胁、本身的弱点以及安全控制也就各不相同。为此,需要对组织中的信息资产进行识别,以便制定风险评估策略。

1.1资产分类

资产识别是一个复杂的过程,需要对资产进行适当的分类,这样才能更有效地开展下一步工作。分类方法应依据具体环境由评估主体灵活把握。资产的种类可分为数据、硬件、软件、服务、文档、设备、人员等。

1.2资产赋值

对资产的安全价值进行评估首先要对资产进行赋值,赋值并不是以账面价值去衡量资产价值。在资产赋值估价时,不仅应考虑资产本身的应有价值,还应该综合考虑资产组织业务的重要性程度。为保证资产评估的准确性和一致性,评估机构应依据一定的原则,建立规范的评估标准,以准确地对资产进行赋值评估。资产赋值的最终确定是根据资产的可用性、完整性以及机密性三个方面综合评定,且一般采用由高到低定性相对等级方式,整个等级分为5等,从5到1,由高到低,分别代表五个级别的资产各自相对应价值,等级越高资产的重要性程度也就越高,等级越低,资产也就相对不重要。

2威胁识别

威胁是指可能对整个系统结构的安全性构成潜在危险的破坏性因素。从理论上来讲,无论机构的信息系统如何安全,威胁都是客观存在的,是进行风险评估不得不考虑的因素之一。

2.1威胁分类

威胁的产生因素可以分为环境因素和人为因素两种。环境因素又分为不可抗因素和其他物理性因素。威胁的作用形式不一,可以是对信息系统的直接攻击,也可以是间接攻击。如对非授权信息的破坏、泄露、篡改、删除等,或者破坏信息的严密性、可塑性以及完整性等。一般而言,威胁总是需要借助一定的平台,如网络、系统亦或是应用数据的弱点,才会对系统造成损害。针对威胁的产生因素,可以对威胁进行分类,如:软件障碍、硬件故障、物理环境威胁、操作失误、恶意病毒、黑客攻击、泄密、管理不善等。

2.2威胁赋值

在评估的过程中,同样还需要对引发威胁的可能性赋值。如同资产赋值一般,威胁赋值也是采用定性的相对等级的方式。威胁的等级同样分为五级,从5到1分别代表由高到低,五个级别引发威胁的可能性。等级数值越高,则表明引发威胁的可能性越大,反之,则越小。

3脆弱性识别

脆弱性评估(又称弱点评估),是风险评估环节中很重要的内容。任何资产本身都不可避免的存有弱点,这些微小的弱点却很容易被威胁利用,进而对资产和商业目标造成损害。资产的弱点不仅包括人员构成、组织机构、组织过程、管理技术等,还包括组织软件、硬件、信息以及物理环境资产的脆弱性。资产脆弱性评估工作主要是从管理和技术两个方面进行的,是涉及到整个管理层、系统层、网络层、应用层等各个层面的安全问题。技术脆弱性主要包括系统性安全、网络化完全、物理性安全、应用性安全等层面。而管理脆弱性主要是指进行安全管理。在很大程度上,资产脆弱性与机构所采取的安全控制措施有关,因此,在判定威胁发生的可能性时应该特别注意已有安全控制会对脆弱性产生的影响。

4总结

在笔者看来,信息安全风险评估流程的设计需要综合考虑评估前的准备,资产识别、威胁识别、以及脆弱性识别等各个因素,通过综合分析与评估,制定科学合理的信息安全风险评估流程,这是保证整个信息安全风险评估工作顺利进行的关键环节,不可忽略。

作者:孙伟成单位:河海大学公共管理学院

被举报文档标题:分析网络信息安全的风险评估

被举报文档地址:

https://www.meizhang.comhttps://www.meizhang.com/gllw/fxpglw/635313.html
我确定以上信息无误

举报类型:

非法(文档涉及政治、宗教、色情或其他违反国家法律法规的内容)

侵权

其他

验证码:

点击换图

举报理由:
   (必填)