网络信息安全风险评估

最新推荐文章于 2024-10-26 12:26:40 发布
最新推荐文章于 2024-10-26 12:26:40 发布
阅读量9.4k 收藏 51
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 网络空间安全 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42403632/article/details/125124760
本文详细解读了网络信息安全风险评估的概念,包括风险评估的目的、国内外标准(如CC、TCSEC和GB系列标准),涉及风险要素、威胁识别、脆弱性分析和风险处理。介绍了定量与定性评估方法,以及风险评估在实际操作中的流程和关键步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

网络信息安全风险评估

网络信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件及其所造成的负面影响程度来识别信息安全的安全风险。

网络信息系统的风险评估是对威胁、脆弱点以及由此带来的风险大小的评估。

对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。

同时通过第三方权威或者国际机构的评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品和单位的竞争力。

风险评估的意义

对风险的认识,而风险的处理过程,可以在考虑了管理成本后,选择适合企业自身的控制方法,对同类的风险因素采用相同的基线控制,这样有助于在保证效果的前提下降低风险评估的成本。

国外风险评估相关标准

《信息技术安全评估通用准则》(Common Criteria of Information TechnicalSecurity Evaluation,CCITSE),简称CC(ISO/IEC 15408-1),是美国、加拿大及欧洲4国经协商同意,于1993年6月起草的,是国际标准化组织统一现有多种准则的结果,是目前最全面的评估准则。

《可信计算机系统评估准则》(Trusted Computer System EvaluationCriteria,TCSEC)是计算机信息安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC将安全分为4个方面:安全政策、可说明性、安全保障和文档。4个方面又分为7个安全级别,按安全程度从最低到最高依次是D1、C1、C2、B1、B2、B3、A1。

D1级:最低保护

C1级:自主的安全保护

C2级:访问控制保护

B1级:有标签的安全保护

B2级:结构化保护

B3级:安全域

A1级:审核保护

国内信息安全风险评估标准

《计算机信息系统 安全保护等级划分准则》(GB 17859—1999)

由低至高分别为用户自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级

《信息安全风险评估规范》(GB/T 20984—2007)

该标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

风险评估的实施

风险管理过程

image-20220526170845164

背景建立:这一阶段主要是确定风险管理的对象和范围,进行相关信息的调查分析,准备风险管理的实施。

风险评估:这一阶段主要是根据风险管理的范围来识别资产,分析信息系统所面临的威胁以及资产的脆弱性,结合所采用的安全控制措施,在技术和管理两个层面对信息系统所面临的风险进行综合判断,并对风险评估结果进行等级化处理。

风险处理:这一阶段主要是综合考虑风险控制的成本和风险造成的影响,从技术、组织和管理层面分析信息系统的安全需求,提出实际可行的安全措施。明确信息系统可接受的残余风险,采取接受、降低、规避或转移等控制措施。

批准监督:这一阶段主要包括批准和持续监督两部分。依据风险评估的结果和处理措施能否满足信息系统的安全要求,决策层决定是否认可风险管理活动。监控人员对机构、信息系统、信息安全相关环境的变化进行持续监督,在可能引入新的安全风险并影响到安全保障级别时,启动新一轮风险评估和风险处理。

风险评估过程

image-20220526170953016

信息安全风险评估的要素

image-20220526171053828

风险要素之间的关系

image-20220526171129507

风险因素识别

资产在其表现形式上可以划分为软件、硬件、数据、服务、人员等相关类型。根据风险评估的范围识别出关键资产与一般资产,形成需要保护的资产清单。

威胁具有多种类型,如软硬件故障、物理环境影响、管理问题、恶意代码、网络攻击、物理攻击、泄密、篡改等。有多种因素会影响威胁发生的可能性,如攻击者的技术能力、威胁行为动机、资产吸引力、受惩罚风险等。在威胁识别阶段,评估者依据经验和相关统计数据对威胁进行识别,并判断其出现的频率。

脆弱性的识别可以以资产为核心,针对资产识别可能被威胁利用的弱点进行识别,也可以从物理、网络、系统、应用、制度等层次进行识别,然后将其与资产、威胁对应起来。在此过程中应对已采取的安全措施进行评估,确认其是否有效抵御了威胁、降低了系统的脆弱性,以此作为风险处理计划的依据和参考。

风险评估方法

定量评估法基于数量指标对风险进行评估,依据专业的数学算法进行计算、分析,得出定量的结论数据。典型的定量分析法有因子分析法、时序模型、等风险图法、决策树法等。

定性评估法主要依据评估者的知识、经验、政策走向等非量化资料对系统风险做出判断,重点关注安全事件所带来的损失,而忽略其发生的概率。

16、网络风险识别与初步分析
vulkan6gpu的博客
07-03 24
本文详细探讨了网络风险的定义及其重要性,并介绍了多种风险识别方法,如蝴蝶结图法、统计数据分析、蒙特卡洛模拟以及Micromort方法。文章还涵盖了风险的初步分析步骤,包括可能性与影响评估、优先级划分及应对策略制定,并通过实际案例展示了其应用。此外,还讨论了网络风险识别中的工具与技术、常见挑战及应对策略,以及未来发展方向,为企业提供全面的网络风险管理参考。
网络安全风险评估
xudashaoyeHHH的博客
03-16 4239
依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的的实际影响,并根据安全事件发生的可能性影响大小来确认网路安全风险等级。(评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度)。
信息安全风险评估规范
04-06
信息安全技术 GBT 20984-2007信息安全风险评估规范 信息安全服务者必备,国家标准各行业通用
信息安全风险评估实施指南
06-30
本标准是对《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中各阶段评估工作的细化,适用于从事信息安全风险评估活动的有关组织机构和人员,也可为组织内部进行信息安全风险评估提供指导和参考。
信息安全风险评估报告.doc
12-17
本次信息安全风险评估采用定量的方法对资产进行识别,并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值,综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合同上的达成程度,在此基础上得出综合结果,根据制定的重要资产评价准则,确定重要资产。
网络安全网络安全风险评估:详尽100项清单要点!
2401_84215240的博客
04-09 2176
网络安全风险评估是识别、分析和评估组织信息系统、网络和资产中潜在风险和漏洞的系统过程。主要目标是评估各种网络威胁和漏洞的可能性和潜在影响,使组织能够确定优先顺序并实施有效的安全措施来减轻这些风险。该过程包括识别资产、评估威胁和漏洞、分析潜在影响以及制定管理和降低网络安全风险的策略。面对不断变化的网络威胁和技术环境,这种持续的评估对于保持强大的网络安全态势至关重要。点击这里**定义范围和目标:**明确概述风险评估的边界,并建立具体目标来指导流程。
信息安全风险评估标准GB20984
01-27
信息安全风险评估标准GB20984
信息安全风险评估
江南落花雨
01-11 6771
网站的风险,大多来自于漏洞! 漏洞扫描 漏洞扫描内容 网络设备 版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。 空弱口令,例如空/弱telnet口令、snmp口令等。 网络资源的访问控制:检测到无线访问点 域名系统,ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击 路由器,Cisco IOS Web配置接口安全认证可被绕过,N
信息安全工程师(72)网络安全风险评估概述
m0_73399576的博客
10-26 1113
信息安全工程师——网络安全风险评估概述篇
信息安全风险评估
12-12
信息安全风险评估
民航网络信息安全风险评估.ppt
最新发布
08-29
民航网络信息安全风险评估是对民航领域内信息系统的安全状况进行分析与评价的重要手段,涉及评估的范围、依据、准备、威胁与脆弱性分析、控制措施有效性的评估以及风险的识别、分析和处置。该评估过程不仅能够识别...
网络风险评估方案
12-24
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全风险评估风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
网络安全风险分析报告
02-24
网络安全风险分析报告 PDF格式的 完整
信息安全风险评估报告(模板).pdf
04-11
目 录 报告声明 ...................................................................................... 错误!未定义书签。 委托方信息 .................................................................................. 错误!未定义书签。 受托方信息 .................................................................................. 错误!未定义书签。 风险评估报告单 .......................................................................... 错误!未定义书签。 1. 风险评估项目概述 ................................................................ 错误!未定义书签。 1.1. 建设项目基本信息 .......................................................... 错误!未定义书签。 1.2. 风险评估实施单位基本情况 .......................................... 错误!未定义书签。 1.3. 风险评估活动概述 .......................................................... 错误!未定义书签。 1.3.1. 风险评估工作组织过程 ............................................ 错误!未定义书签。 1.3.2. 风险评估技术路线 .................................................... 错误!未定义书签。 1.3.3. 依据的技术标准及相关法规文件 ............................ 错误!未定义书签。 2. 评估对象构成 ........................................................................ 错误!未定义书签。 2.1. 评估对象描述 .................................................................. 错误!未定义书签。 2.2. 网络拓扑结构 .................................................................. 错误!未定义书签。 2.3. 网络边界描述 .................................................................. 错误!未定义书签。 2.4. 业务应用描述 .................................................................. 错误!未定义书签。 2.5. 子系统构成及定级 .......................................................... 错误!未定义书签。 3. 资产调查 ................................................................................ 错误!未定义书签。 3.1. 资产赋值 .......................................................................... 错误!未定义书签。 3.2. 关键资产说明 .................................................................. 错误!未定义书签。 4. 威胁识别与分析 ...................................................................................................... 3 4.1. 关键资产安全需求 ............................................................................................ 3 4.2. 关键资产威胁概要 ............................................................................................ 7 4.3. 威胁描述汇总 .................................................................................................. 20 4.4. 威胁赋值 .......................................................................................................... 22 第 2 页共 94 页 5. 脆弱性识别与分析 ................................................................................................ 25 5.1. 常规脆弱性描述 .............................................................................................. 25 5.1.1. 管理脆弱性 ................................................................................................ 25 5.1.2. 网络脆弱性 ................................................................................................ 25 5.1.3. 系统脆弱性 ................................................................................................ 25 5.1.4. 应用脆弱性 ................................................................................................ 25 5.1.5. 数据处理和存储脆弱性 ............................................................................ 25 5.1.6. 灾备与应急响应脆弱性 ............................................................................ 25 5.1.7. 物理脆弱性 ................................................................................................ 25 5.2. 脆弱性专项检查 .............................................................................................. 25 5.2.1. 木马病毒专项检查 .................................................................................... 25 5.2.2. 服务器漏洞扫描专项检测 ........................................................................ 26 5.2.3. 安全设备漏洞扫描专项检测 .................................................................... 37 5.3. 脆弱性综合列表 .............................................................................................. 40 6. 风险分析 ................................................................................................................ 47 6.1. 关键资产的风险计算结果 .............................................................................. 47 6.2. 关键资产的风险等级 ...................................................................................... 51 6.2.1. 风险等级列表 ............................................................................................ 51 6.2.2. 风险等级统计 ............................................................................................ 52 6.2.3. 基于脆弱性的风险排名 ............................................................................ 52 6.2.4. 风险结果分析 ............................................................................................ 54 7. 综合分析与评价 .................................................................................................... 55 7.1. 综合风险评价 .................................................................................................. 55 7.2. 风险控制角度需要解决的问题 ...................................................................... 56 8. 整改意见 ..............................................
网络安全评估
05-13
基本信息: 书名:网络安全评估_Cbris ISBN:7508338618 定价:45 页数:378 出版社:北京:电力出版社 作者:Cbris McNab著;王景新译 出版日期:2006.01
信息安全风险评估报告.pdf
04-11
目 录 1 概述 ................................................................................................................................................. 5 1.1 项目背景 ................................................................................................................................ 5 1.2 工作方法 ................................................................................................................................ 5 1.3 评估范围 ................................................................................................................................ 5 1.4 基本信息 ................................................................................................................................ 5 2 业务系统分析 ................................................................................................................................. 6 2.1 业务系统职能 ........................................................................................................................ 6 2.2 网络拓扑结构 ........................................................................................................................ 6 2.3 边界数据流向 ........................................................................................................................ 6 3 资产分析 ......................................................................................................................................... 6 3.1 信息资产分析 ........................................................................................................................ 6 3.1.1 信息资产识别概述 ............................................................................................................ 6 3.1.2 信息资产识别 .................................................................................................................... 7 4 威胁分析 ......................................................................................................................................... 7 4.1 威胁分析概述 ........................................................................................................................ 7 4.2 威胁分类 ................................................................................................................................ 8 4.3 威胁主体 ................................................................................................................................ 8 4.4 威胁识别 ................................................................................................................................ 9 5 脆弱性分析 ..................................................................................................................................... 9 5.1 脆弱性分析概述 .................................................................................................................... 9 5.2 技术脆弱性分析 .................................................................................................................. 10 5.2.1 网络平台脆弱性分析 ...................................................................................................... 10 5.2.2 操作系统脆弱性分析 ...................................................................................................... 10 5.2.3 脆弱性扫描结果分析 ...................................................................................................... 11 5.2.3.1 扫描资产列表 ......................................................................................................... 11 5.2.3.2 高危漏洞分析 ......................................................................................................... 11 5.2.3.3 系统帐户分析 ......................................................................................................... 11 5.2.3.4 应用帐户分析 ......................................................................................................... 11 5.3 管理脆弱性分析 .................................................................................................................. 12 5.4 脆弱性识别 .......................................................................................................................... 13 6 风险分析 ....................................................................................................................................... 14 6.1 风险分析概述 ...................................................................................................................... 14 6.2 资产风险分布 ...................................................................................................................... 14 6.3 资产风险列表 ...................................................................................................................... 15 7 系统安全加固建议 ....................................................................................................................... 15 7.1 管理类建议 .......................................................................................................................... 15 7.2 技术类建议 .......................................................................................................................... 15 7.2.1 安全措施 .....
3-1民航网络信息安全风险评估.pptx
09-23
【民航网络信息安全风险评估】 民航网络信息安全风险评估是中国民航大学计算机科学与技术学院杨宏宇教授探讨的主题,旨在分析和管理民航行业中网络和信息系统的安全风险。这份PPT文档资料详细阐述了评估的过程和...
模糊神经网络信息安全风险评估方法在信息系统中的应用.pdf
09-26
本文探讨了一种将模糊神经网络应用于信息安全风险评估的方法,特别是在信息系统中的实践应用。作者冯雪峰、龚军和吕小毅提出了一种结合模糊数学理论和BP神经网络信息安全风险评估模型,旨在解决风险评估中的不确定...
信息安全工程师(73)网络安全风险评估过程
m0_73399576的博客
10-26 742
信息安全工程师——网络安全风险评估过程篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小旺不正经

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值