网络安全风险管理与实践手册（执行版）.docxVIP

网络安全风险管理与实践手册（执行版）

第1章网络安全风险识别与评估体系构建

1.1网络安全风险定义与分类标准

网络安全风险是指网络系统、网络服务或网络数据面临遭受未授权访问、破坏、丢失、篡改、泄露或中断的潜在可能性及其可能造成的负面影响。在标准定义中，风险由威胁（Threat）、脆弱性（Vulnerability）和后果（Consequence）三个核心要素构成，即风险=威胁×脆弱性×后果。例如，当黑客利用未修补的漏洞入侵服务器时，该入侵行为本身是威胁，而服务器存在的代码漏洞是脆弱性，由此导致的数据被盗则是风险后果，三者结合才构成了完整的网络安全风险事件。根据国家标准GB/T20984-2021《信息安全技术网络安全风险评估规范》，风险分类应基于风险发生的可能性（Likelihood）和潜在影响程度（Impact）两个维度进行矩阵划分。具体而言，可能性分为“高”、“中”、“低”三个等级，影响程度分为“高”、“中”、“低”三个等级，从而形成从“高-高”到“低-低”共9个风险等级。例如，某公司若发现其核心数据库存在高可能性且高影响程度的漏洞，该漏洞即被归类为“极高”风险，必须立即采取最高优先级的阻断措施，而非仅进行常规修补。

在风险分类体系中，需严格区分“内部威胁”与“外部威胁”。内部威胁指组织内部员工、承包商或合作伙伴利用职务之便进行的攻击