网络安全风险评估是近年迅邃发展起来的一个肠兴研究课月.也是网络安全银城筋要迫切解决的“热点.、“难点.问题。网络安全成胁多种多禅.如何应对多种网络安全城胁?且然不翻完全消除网络安全城肋.但可以对网络进行安全评估和风险,理3从而使得安全玻胁降低到级低搜度。风险评估的核心不仅仅是理论,更是实践,而且评估的实映工作很困劝。据阅外统计欲字显示.只有60%的风晚评估是成功的。国内的风险评估工作更是面临,堵多挑战。下面在讨论网络风险评估要众的荃助上,跟据.实际礴要给出风险评估的主要环节及其实用的方法,以便实现有效地网络安全风险管理。
何为完整意义的风险评估应用网络设计的安全风险.是指由于网络存在的脆弱性,人为或自然的城脸导致安全事件发生的可能性及其造成的影晌。.如说.可山站点可能团临请多安全咬胁.那么如何发现web站点的安全翻润.或者说如何确认web站点是否存在安全瀚翻和弱点呢?这鱿份要对web站点进行全面的安全风险评估。网络安全风险评估是指依据有关网络安全技术标准.对网络系统及由其处理、传.和存储信息的机密性、完性性和可用性等安全属性进行科学评价的过程。
在网络风险评估中.级终要很据对安全事件发生的可能性和负口形晌的评估来识别网络不统的安全风段。一个充井t义上的风脸评估资众有:o位*。即一个单位通过网络不忱实现的工作任务。使命对两络蔽魄的依帕程度越离,风脸评估的任务枕越,要‘o资产及x价值。资产是指通过信g化建设积用起来的网络系筑、信息、生产成皿务能力等;价值是指资产的橄感程度、,要程度和关健程度.伪成胁。网络资产可能女到的任容。成胁可以用多种属性来描述.如成胁的主体《成脸耳)、.力、资砚、动机、途径、可能性和后果;④脆弱性。网络资产及其安全措施在安全方面的不足和月点.也常称之为口润;⑤事件。威协主体利用网络资产及其安全措旅的跪弱性,实际产生危育的情况;⑥风睑。由于网络系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响;o残余风险。采取安全措施、提高网络安全保体能力之后,网络仍然存在的风险;班余风险是不可落免的;即安全偏求。为保证佼命能够正常行使.在网络安全保库抽施方面提出的具体要求;匆安全措施。应对成胁.减少脆弱性.保护资产.限侧班外事件的形响.检侧、响应愈外事件.促进灾难恢x和打击网络犯推而实施的各种实晚、规程和机创的总和.网络风位俘估的主要环节及其方法
通过对风降评估所肠趁的要农分析可知,网络风晚评估是一个复杂的过程。许多研究始出了进行网络风险评估的过程与步吸。事实上,一个风院评估沙及谙多方面,主要包含风险分析、风晚评估、安全决策和安全监侧4个环节.
(1)安全风险分析
安全风险分析是风脸评估的第一个环节。所谓风险就是指丢失所偏要保护资产的可能性。网络安全风险分析鱿是估计网络成协发生的可能性.以及因系统的脆弱性面引起的潜在摄失。大多数风险分析在最初贾对网络资产进行确认和评估;此后再用不同的方法进行投失什算。鱿网络安全而官。瀚润和成胁是侧定风险的两个主要对象。
(2)风险评估
在进行网络安全风晚评估时.所位用的方法对评估的有效性有举足轻,的作用。评估方法的选择宜接形响到评估过程中的每个环节,共至可以左右.终的评估结果。所以肠要很姗网络的具体情况.选一适当的风脸评估方法。风险评估的方法有很多种.概括起来可分为两大类:定,的风险评估方法、定性的风险评估方法。
定f评估方法是指运用教f指标来对风晚进行评估。一般位用分布状态函效,并将风险定义为分布状鑫的效的某一函数。典组的定.分析方法有因子分析法、.类分析法、时序搜盛、回归棋盛等。定.评估方法的优点是用宜砚的数据来衰述评估的结果.粉起来一目了然,比较容砚。采用定t评估方法.可以使研究结果科学、严道。定性评估方法主要是依据研究者的知识、经脸、历史教训、政策走向及特殊实例娜非云化资料.对东统风险状况做出到断。它主贾以与闷查对t的深人访谈傲出个案记最为基本资
料.然后通过理论推导、演绎的分析.对资料进行傲理.傲出评估结论。定性评估方法不擂要知道以前事件的概率值,可以从军开始建立合理的决策棋典。定性评估是一种常用的分析方法.
(3)安全决策
安全决策就是报据评估结论决定网络系统所盆要采取的安全擂旅。风险分析与评估的目的是为了向网络,理者提供决策支持信息.进面形成合理的、有针对性的安全策略,使网络威胁得到有效控侧。