信息安全-第十六章-网络安全风险评估

网络安全风险评估

指由于网络系统所存在的脆弱性，因人为或自然的威胁导致安全事件发生所造成的可能性影响。

网络风险评估：
依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性进行科学评估的过程。

网络安全风险评估要素

• 资产
• 威胁
• 脆弱性
• 风险

评估模式：

• 自评估
• 检查评估
• 委托评估

评估准备

资产识别
威胁识别
脆弱性识别
已有安全性确认

网络安全风险分析方法

定性计算方法，确定级别，结果：无关紧要、可接受、待观察、不可接受
定量计算方法，数据量化
综合计算：结合使用定性和定量。

网络安全风险计算方法

相乘法，z=f(x,y)=根号xy
矩阵法

技术与方法

• 资产信息收集
• 网络拓扑发现
• 网络安全漏洞扫描
• 人工检查
• 网络安全渗透
• 问卷调查
• 网络安全访谈
• 审计数据分析
• 入侵检测