第一章绪论
要素的关系,从而判断资产面临的风险大小。
风险评估各要素间的相互作用关系如图1-1所示。
露一 ,
利 \《 ≯
一;、,
加一 , 弯◇jJ.%/-1“
\鳓 一b上逵三b◆
安全事件、)·』堕叫残余风险、)——叫安全措施
图卜1 风险评估各要素间的关系
图1-1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些
要素相关的属性。
风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业
务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各
类属性。
风险评估的各要素及属性之间的关系为:
1.业务战略依赖资产去实现。
2. 资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越
大。
3. 资产价值越大则其面临的风险越大。
4.风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成
安全事件。
5.威胁都要利用脆弱性,脆弱性越大则风险越大。
6.脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从
而形成风险。
7. 风险的存在及对风险的认识导出安全需求。
8. 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本。
2
第~章绪论
9. 安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响。
10.风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的
风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续
控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风
险,是可以被接受的。
11.残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
风险评估一般的工作流程如图卜2所示:
输入 风险评估活动 输出
图1-2风险评估的一般工作流程
上述工作流程是不断重复循环的大致过程。在实践中,基于不同目的和条件,
第一章绪论
不同阶段的风险评估工作可以简化或者充实其中的某些步骤。
随着人们对信息安全风险评估重要性的认识,风险评估工具得到广泛应用的
同时,也对风险评估工具的发展提出新的要求。
1.风险评估工具应整合多种安全技术
风险评估过程中要用到多种技术手段,如入侵检测、系统审计、漏洞扫描等,
将这些技术整合到一起,提供综合的风险分析工具,不仅解决了数据的多元获取
问题,而且为整个信息安全管理创造良好的条件。
2.风险评估工具应实现功能的集成
风险评估工具应具有状态分析、趋势分析和预见性分析等功能。同时,风险
评估工具应提供对系统及管理方面漏洞的修复和补偿办法。可以调动其他安全设
施如,防火墙、IDS等功能,使网络安全设备可以联动。风险分析是动态的分析
过程,又是管理人员进行控制措施选择的决策支持手段,因此全面完备的风险分
析功能是避免安全事件的前提条件。
3.风险评估工具逐步向智能化的决策支持系统发展
专家系统、神经网络等技术的引入使风险评估工具不是单纯的按照定制的控
制措施为用户提供解决方案,而是根据专家经验,进行推理分析后给出最佳的、
具有创新性质的控制方法。智能化的风险评估工具具有学习能力,可以在不断地
使用中产生新的知识,面对不断出现的新的问题。智能化的决策支持能够为普通
用户在面对各种安全现状的情况下提供专家级的解决方案。
4.风险分析工具向定量化方向发展
目前的风险分析工具主要通过对
882
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
