分析网络信息安全的风险评估.docxVIP

分析网络信息安全的风险评估 资产识别 资产是在组织中有一定价值且需要保护的东西。它能够是有形的也能够是无形的，能够以硬件、软件、代码、服务等形式存有。通常认为，信息资产的完整性、可用性、机密性是构成资产安全特性的三个因素。不同的资产安全特性决定了信息价值的不同，所以存有的威胁、本身的弱点以及安全操纵也就各不相同。为此，需要对组织中的信息资产实行识别，以便制定风险评估策略。 1.1 资产分类 资产识别是一个复杂的过程，需要对资产实行适当的分类，这样才能更有效地展开下一步工作。分类方法应依据具体环境由评估主体灵活把握。资产的种类可分为数据、硬件、软件、服务、文档、设备、人员等。 1.2 资产赋值 对资产的安全价值实行评估首先要对资产实行赋值，赋值并不是以账面价值去衡量资产价值。在资产赋值估价时，不但应考虑资产本身的应有价值，还应该综合考虑资产组织业务的重要性水准。为保证资产评估的准确性和一致性，评估机构应依据一定的原则，建立规范的评估标准，以准确地对资产实行赋值评估。资产赋值的最终确定是根据资产的可用性、完整性以及机密性三个方面综合评定，且一般采纳由 高到低定性相对等级方式，整个等级分为 5 等，从 5 到 1，由高到低，分别代表五个级别的资产各自相对应价值，等级越高资产的重要性水准也就越高，等级越低，资产也就相对不重要。 威胁识别 威胁是指可能对整个系统结构的安全性构成潜在危险的破坏性因素。从理论上来讲，无论机构的信息系统如何安全，威胁都是客观存有的，是实行风险评估不得不考虑的因素之一。 2.1 威胁分类 威胁的产生因素能够分为环境因素和人为因素两种。环境因素又分为不可抗因素和其他物理性因素。威胁的作用形式不一，能够是对信息系统的直接攻击，也能够是间接攻击。如对非授权信息的破坏、泄露、篡改、删除等，或者破坏信息的严密性、可塑性以及完整性等。一般来说，威胁总是需要借助一定的平台，如网络、系统亦或是应用数据的弱点，才会对系统造成损害。针对威胁的产生因素，能够对威胁实行分类，如：软件障碍、硬件故障、物理环境威胁、操作失误、恶意病毒、黑客攻击、泄密、治理不善等。 2.2 威胁赋值 在评估的过程中，同样还需要对引发威胁的可能性赋值。如同资产赋值一般，威胁赋值也是采纳定性的相对等级的方式。威胁的等级同样 分为五级，从 5 到 1 分别代表由高到低，五个级别引发威胁的可能性。 等级数值越高，则表明引发威胁的可能性越大，反之，则越小。 脆弱性识别 脆弱性评估（又称弱点评估），是风险评估环节中很重要的内容。任何资产本身都不可幸免的存有弱点，这些微小的弱点却很容易被威胁利用，进而对资产和商业目标造成损害。资产的弱点不但包括人员构成、组织机构、组织过程、治理技术等，还包括组织软件、硬件、信息以及物理环境资产的脆弱性。资产脆弱性评估工作主要是从治理和技术两个方面实行的，是涉及到整个治理层、系统层、网络层、应用层等各个层面的安全问题。技术脆弱性主要包括系统性安全、网络化完全、物理性安全、应用性安全等层面。而治理脆弱性主要是指实行安全治理。在很大水准上，资产脆弱性与机构所采取的安全操纵措施 相关，所以，在判定威胁发生的可能性时应该特别注意已有安全操纵会对脆弱性产生的影响。 总结 在作者看来，信息安全风险评估流程的设计需要综合考虑评估前的准备，资产识别、威胁识别、以及脆弱性识别等各个因素，通过综合分析与评估，制定科学合理的信息安全风险评估流程，这是保证整个信息安全风险评估工作顺利实行的关键环节，不可忽略。 分析网络信息安全的风险评估