信息安全-第十六章-网络安全风险评估
网络安全风险评估
指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。
网络风险评估:
依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性进行科学评估的过程。
网络安全风险评估要素
- 资产
- 威胁
- 脆弱性
- 风险
评估模式:
- 自评估
- 检查评估
- 委托评估
评估准备
资产识别
威胁识别
脆弱性识别
已有安全性确认
网络安全风险分析方法
定性计算方法,确定级别,结果:无关紧要、可接受、待观察、不可接受
定量计算方法,数据量化
综合计算:结合使用定性和定量。
网络安全风险计算方法
相乘法,z=f(x,y)=根号xy
矩阵法
技术与方法
- 资产信息收集
- 网络拓扑发现
- 网络安全漏洞扫描
- 人工检查
- 网络安全渗透
- 问卷调查
- 网络安全访谈
- 审计数据分析
- 入侵检测
点点滴滴,积少成多,终有一日能发挥用处。