信息网络安全防护指南（执行版）.docx

信息网络安全防护指南（执行版）

第一章基础意识与防御策略

1.1网络安全风险认知与评估

需明确“风险”并非指具体的攻击事件，而是指“发生攻击的可能性”与“造成损失严重程度的组合”。例如，假设某企业服务器存储着100万条用户隐私数据，根据行业平均泄露率（0.5%），理论上每年有50次潜在泄露，但真正的风险等级取决于这些数据是否包含身份证号、银行卡号等核心敏感信息，若包含则风险等级由“可能性×严重性”的加权结果决定。评估工具的选择至关重要。推荐使用基于NISTSP800-31框架的在线风险评估模型，该模型将风险划分为低、中、高三个等级，并允许用户输入数据量级和敏感程度参