网络安全风险分析理念:基于资产评估,威胁评估,脆弱性评估,安全管理评估,安全影
响评估,综合运用定性和定量分析方法,选择合适的风险计算方法或工具,以决定风险的大小
和程度。(就是要列出一份网络系统安全管理范围内的每一项网络资产因遭受泄漏、修改、无法
使用和破坏而产生的任何影响的风险度量表,以便确定并选择适当和正确的安全控制方式)
网络安全风险分析步骤。确定资产,并为资产的价值赋值。危险识别,描述危险的属性,给危
险分配频率。漏洞识别,资产漏洞严重程度的赋值。基于威胁的难度和威胁利用脆弱性来判断
安全事件发生的可能性。基于脆弱性的严重性和安全事件对资产的影响价值计算安全事件的损
失。基于网络安全事件发生的可能性和发生后的损失,计算出网络安全风险值。
险分配频率。漏洞识别,资产漏洞严重程度的赋值。基于威胁的难度和威胁利用脆弱性来判断
安全事件发生的可能性。基于脆弱性的严重性和安全事件对资产的影响价值计算安全事件的损
失。基于网络安全事件发生的可能性和发生后的损失,计算出网络安全风险值。
网络安全风险分析方法,质量计算法给出风险结果(无关紧要,可接受,有待观察,不可接受)
的主观评价,量化计算方法将数据量化,进行风险量化计算,输出风险数值(完全量化是不可行
的)。合成计算方法,网络安全风险的计算方法,相乘将安全事件的可能性和损失相乘,得到其
风险值。参考信息安全技术信息安全风险评估规范使用的公式:[公式]矩阵方法。构建矩阵,
形成安全事件的发生概率与损失之间的关系。
的主观评价,量化计算方法将数据量化,进行风险量化计算,输出风险数值(完全量化是不可行
的)。合成计算方法,网络安全风险的计算方法,相乘将安全事件的可能性和损失相乘,得到其
风险值。参考信息安全技术信息安全风险评估规范使用的公式:[公式]矩阵方法。构建矩阵,
形成安全事件的发生概率与损失之间的关系。
网络安全风险的处置和管理。目的:降低脆弱性或降低威胁的可能性。测量:开发清晰的安全
策略。成立安保机构实行网络资产的分类管理。强化员工安全管理。物质实体和环境的安全保
障。增强通信的安全性。采用存取控制机制。开发和维护安全系统;确保经营的持续性。遵守
法律法规,完成安全目标一致性检查。网络安全风险评估的技术手段和工具。收集资产资料。
方式:AssetPanda发现网络拓扑。方式:ping,traceroute,综合网络管理平台。扫描网络安全
漏洞。研究方法:端口扫描,漏洞扫描,数据库扫描,网络漏洞扫描。手动检查。方法:检查
列表,参考标准:CIS。互联网安全渗透测试。方式:BackTrack5,Metasploit,CobaltStrike。
策略。成立安保机构实行网络资产的分类管理。强化员工安全管理。物质实体和环境的安全保
障。增强通信的安全性。采用存取控制机制。开发和维护安全系统;确保经营的持续性。遵守
法律法规,完成安全目标一致性检查。网络安全风险评估的技术手段和工具。收集资产资料。
方式:AssetPanda发现网络拓扑。方式:ping,traceroute,综合网络管理平台。扫描网络安全
漏洞。研究方法:端口扫描,漏洞扫描,数据库扫描,网络漏洞扫描。手动检查。方法:检查
列表,参考标准:CIS。互联网安全渗透测试。方式:BackTrack5,Metasploit,CobaltStrike。
