风险评估技术与方法风险分析与风险计算.pdfVIP

信息安全风险管理与评估 ——风险评估技术和方法介绍_风险分析与风险计算 江苏省信息安全测评中心 回顾一下:风险评估要素关系图 业务战略 （1 ）业务战略的实现对资产具有依赖性，依 赖程度越高，要求其风险越小； 依赖 （2 ）资产是有价值的，组织的业务战略对资 产的依赖程度越高，资产价值就越大； （3）风险是由威胁引发的，资产面临的威胁 脆弱性 暴露 资产 具有 资产价值 越多则风险越大，并可能演变成安全事件； （4 ）资产的脆弱性可以暴露资产的价值，资 产具有的弱点越多则风险越大； 利用 增加 未被满足 成本 （5 ）脆弱性是未被满足的安全需求，威胁利 用脆弱性危害资产； （6 ）风险的存在及对风险的认识导出安全需 威胁 增加 风险 导出 安全需求 求； （7 ）安全需求可通过安全措施得以满足，需 演变 抵御 降低 被满足 要结合资产价值考虑实施成本； （8 ）安全措施可抵御威胁，降低风险； （9 ）残余风险是未被安全措施控制的风险。 安全事件 可能诱发 残余风险 未控制 安全措施 有些是安全措施不当或无效,需要加强才可控 制的风险；而有些则是在综合考虑了安全成本 与效益后未去控制的风险； 图中方框部分的内容为风险评估的基本 （10）残余风险应受到密切监视，它可能会在 要素;椭圆部分的内容是与这些要素相关的属 将来诱发新的安全事件。 性。 风险评估围绕着基本要素展开，同时需 要充分考虑与基本要素相关的各类属性。 2 风险分析原理 风险分析的原理： 1. 对资产进行识别，并对资产的价值进行 赋值； 威胁识别 威胁出现的频率 2. 对威胁进行识别，描述威胁的属性，并 对威胁出现的频率赋值； 安全事件的可能性