生命在于学习——风险评估

风险评估的目录

  • 一、网络安全风险评估概述
    • 1、概念
    • 2、意义
    • 3、步骤
    • 4、基本原则
    • 5、评估要素
    • 6、网络安全风险评估方法
  • 二、网络安全风险评估方法
  • 三、网络安全风险评估方案
    • 1、确定评估范围和目标
    • 2、收集信息
    • 3、评估威胁和漏洞
    • 4、评估安全控制
    • 5、评估风险和制定建议
    • 6、报告和沟通
  • 四、实施流程

一、网络安全风险评估概述

1、概念

依据有关信息安全技术和管理标准,对网络系统保密性,完整性,可控性和可用性等安全属性进行科学评价。

2、意义

  1. 反应企业当前安全现状
  2. 提供信息安全防御机制的建议
  3. 同等保测评结合
  4. 对安全决策提供支撑和依据
  5. 为今后网络安全建议提供参考
  6. 提高员工的安全意识

3、步骤

风险之别,风险分析,风险评估

4、基本原则

标准性原则,可控性原则,最小影响原则

5、评估要素

威胁识别——威胁出现的频率——安全事件的可能性——风险值
脆弱性识别——脆弱性的严重程度——安全事件的可能性——风险值
脆弱性识别——脆弱性的严重程度——安全事件的损失——风险值
资产识别——资产的价值——安全事件的损失——风险值

信息资产价值:软件、硬件、数据、服务、人员等
威胁可能性:任何可能发生的、为组织或某种特定资产带来所不想玩的或不想要借过的事情。
弱点/脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性
安全措施:能小初脆弱性或对付一种或多种特定威胁的任何方法

6、网络安全风险评估方法

自评估
检查评估

二、网络安全风险评估方法

  1. 漏洞扫描
  2. 威胁建模
  3. 漏洞利用测试
  4. 安全评估框架
  5. 安全风险评估标准

三、网络安全风险评估方案

1、确定评估范围和目标

2、收集信息

3、评估威胁和漏洞

4、评估安全控制

5、评估风险和制定建议

6、报告和沟通

四、实施流程

生命在于学习——风险评估_第1张图片

五、风险值计算
生命在于学习——风险评估_第2张图片
图片来自freebuff。

你可能感兴趣的:(生命在于学习,#,信息安全学习日记,学习,网络,安全)