网络信息安全管理要素和安全风险评估

网络信息安全 专栏收录该内容
8 篇文章 1 订阅

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。

网络信息安全管理要素

由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。

网络安全管理实际上就是风险控制,其基本过程是通过网络管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施,降低网络管理对象的风险。

所有的安全管理、安全服务、安全技术等都是围绕网络信息安全管理要素来的。

网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。

网络安全风险,是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性。网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。

网络安全风险评估过程,主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的安全措施分析、网络安全风险分析、网络安全风险处置与管理等。

网络安全风险评估过程

资产识别包含“网络资产鉴定”和“网络资产价值估算”。前者给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面。

“网络资产价值估算”是某一具体资产在网络系统中的重要程度确认。

威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险,威胁识别是对网络资产有可能受到的安全危害进行分析,一般从威胁来源、威胁途径、威胁意图等几个方面来分析。

脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞,这些漏洞可能会被威胁所利用。脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。

任务

输出文档

文档内容

风险评估准备

会议记录并确认需要评估的系统、评估计划和评估程序

评估系统、评估计划和内容安排,双方负责人及需要明确的协调工作

访谈

针对业务系统进行技术安全和管理安全评估的访谈表

业务系统描述、运营情况和用户群体,并了解业务管理流程

文档审查

(资产识别)

资产审查记录和业务系统审查记录

资产管理台账、网络拓扑图、业务运营管理制度和责任人

威胁识别

技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录

漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果

脆弱性识别

根据威胁识别结果,技术安全测评的网络、主机、应用测评

检查检查内容的记录,并根据威胁对业务系统脆弱性进行识别

风险处置

风险处置措施记录

对已识别的风险进行评估和处置,并评估是否存在残余风险

风险管理

对可接受的残余风险进行风险管理并出具风险评估报告

风险评估过程中发现的问题、问题的证据和证据源、每项检查活动中测评委托单位配合人员的书面认可

网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算。

网络安全风险分析

网络安全风险分析的主要步骤如下:

一、对资产进行识别,并对资产的价值进行赋值。

二、对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。

三、对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。

四、根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性

五、根据脆弱性的严重程度及安全事件所作用的资产价值计算安全事件的损失。

六、根据安全事件发生的可能性及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中,安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。

 

 

  • 0
    点赞
  • 0
    评论
  • 3
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

美国商务部国家标准与技术研究院(NIST)发布《提升关键基础设施网络安全的框架》,该框架由框架核心、框架实施层框架概况三大基本要素组成。框架核心提供了一套关键基础设施行业通用的网络安全活动、预期结果适用参考。框架核心提出了行业标准、指南实践,以便组织机构从管理层到执行层的层级沟通网络安全活动结果。框架核心包含功能、类别、 子类别信息参考4个要素,以及识别、保护、检测、响应恢复5个功能。 框架实施层为组织机构提供相关机制,供其了解网络安全风险管理方法的特征,并提供网络安全风险审视方法管理风险的流程,可帮助组织机构确定优先级并实现网络安全目标。实施层指的是组织机构安全风险管理实践的程度,衡量标准包括风险与威胁意识、可重复自适应等要素。实施层通过四个层级范围描述组织机构的实践程度,各层级(从部分的层级1到自适应的层级4)反映了从非正式、被动响应到自适应的表现。该框架指出,在确定实施层级的过程中,组织机构应考虑当前的风险管理实践、威胁环境、法律法规要求、业务/任务目标限制条件。   框架概况根据组织机构的业务需求、风险承受能力、资源等要素,对功能、类别子类别进行调整,帮助各组织机构建立降低网络安全风险的路线图,确保既能兼顾整体与部门目标、考虑法律法规要求行业最佳实践,又能反映风险管理的轻重缓急。“概况”可被定义为在特定实施场景下对核心框架的类别子类别进行调整。借助概况,组织机构可对比“当前概况”“目标概况”,以此识别提升网络安全态势的机会。要制定出框架“概况”,组织机构可查看所有的类别子类别,并基于业务或任务需求以及风险评估,以此确定最重要的事项。组织机构可按需添加类别子类别解决风险。“当前概况”可用来审视“目标概况”需考虑的优先级进度衡量,同时考虑包括成本效益创新在内的其它业务需求。组织机构可利用概况进行自我评估,并有助于在组织机构内部组织机构之间进行风险沟通。
©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值