网络信息安全管理要素和安全风险评估
网络信息安全管理的要素包括网络管理目标、网络威胁、网络漏洞、网络风险和网络保护措施。
由于网络管理对象固有的脆弱性,可能会出现威胁,从而产生不同的影响和风险。
网络安全管理实际上就是风险控制。基本过程包括分析网络管理对象的威胁和漏洞,以及网络管理对象价值,确定网络管理对象受到威胁的可能性和网络管理对象漏洞的程度。识别网络管理对象的风险等级,选择适当的安全措施,降低网络管理对象风险。
所有的安全管理、安全服务、安全技术等都围绕着网络信息安全管理的要素展开。
网络安全风险评估旨在评估潜在安全威胁对网络信息系统的影响。
网络安全风险是指由于网络系统的脆弱性,可能因人为或自然威胁而发生的安全事件。网络风险评估评估使用网络资源的威胁的脆弱性,从而导致网络资源损失的严重性。
网络安全风险评估的过程主要包括网络安全风险评价的准备、资产识别、威胁识别、漏洞识别、现有安全措施分析、网络安全风险分析以及网络安全风险的处理和管理。
资产识别包括网络资源识别和网络价值评估。前者提供了评估中需要考虑的具体目标,确定了网络资源的类型和清单,并构成了所有评估工作的基础。一般网络资源包括网络设备、主机、服务器、应用程序数据和文档资源。
网络资产价值评估是指对特定资产在网络系统中的重要性的认识。
威胁是指可能对额定物体造成损坏的外部原因。威胁检测是指利用被评级对象的漏洞,利用特定的方法和途径对被评级对象造成损害或损失,以分析网络资源的潜在安全风险。从多个方面进行分析,包括威胁路径和威胁意图。
漏洞是指存在一个或多个可能威胁评估对象的管理、技术和业务漏洞。漏洞识别是指通过各种测试方法获得网络资源的错误列表。这些错误包括未经授权的访问、泄露、失控。它可能会导致信息资源的损坏或不可用,从而绕过现有的安全机制,威胁网络资源的安全。
网络安全风险分析是指综合运用定性和定量分析方法,在资产评估、威胁评估、脆弱性评估、安全管理评估和安全影响评估的基础上,选择适当的风险计算方法或工具来确定风险的大小和量级,即泄漏评估由于不可用和损坏而引起的变化的影响,并创建风险测量列表,以确定和选择适当和正确的安全控制方法。通过分析和评估数据来计算风险值。
网络安全风险分析的主要步骤包括:
1、识别资产并分配其价值。
2、识别威胁,描述其属性,并为其发生频率指定一个值。
3、识别漏洞并评估某些资产中漏洞的严重性。
4、根据威胁的严重性和脆弱性确定发生安全事故的可能性。
5、根据漏洞的严重程度和受安全事件影响的资产价值计算安全事件的损失。
6、根据安全事件发生的概率和发生后的损失,即网络安全风险的价值,计算安全事件对组织的影响。在安全事件中,损失是指发现损失对已识别资产的影响。
