网络安全评估与防护手册（执行版）.docxVIP

网络安全评估与防护手册（执行版）

第1章风险评估与危害识别

1.1网络安全风险分类标准与定义

网络安全风险是指组织在网络安全运营中，因资产价值、威胁发生概率及危害程度三者结合而产生的不确定性事件及其潜在后果。在标准定义中，风险通常被量化为“风险值=资产价值×威胁发生概率×危害严重度”，其中资产价值包括数据、系统、网络设备及人员；威胁发生概率基于历史数据与当前态势动态调整；危害严重度则涵盖业务中断、数据泄露、勒索攻击等不同等级。依据ISO/IEC27005标准，我们将风险细分为四个核心类别：战略风险（威胁导致组织战略失败）、运营风险（威胁导致业务流程中断）、合规风险（违反法律法规导致处罚）及技术风险（系统功能受损或数据丢失）。例如，若某企业因未安装补丁导致勒索病毒加密核心数据库，这属于典型的运营风险中的技术风险，直接威胁到企业的连续服务能力。

在分类维度上，我们采用“业务影响维度”与“攻击者意图维度”进行交叉界定。业务影响维度包括业务中断、数据丢失、声誉受损及财务损失；攻击者意图维度则分为破坏性攻击（如DDoS导致服务不可用）、窃取性攻击（如窃取敏感信息）和伪装性攻击（如钓鱼邮件诱导）。只有当攻击行为同时满足特定意图并造成可量化的业务影响时，才构成正式的风险事件。风险分类还需结合资产的重要性等级进行细化，通常将资产分为核心资产、重要资产和一般资产