網路安全風險評估流程包括哪些步驟?小白入門必看

老男孩IT教育機構 發表於 2021-10-25

  隨著資訊化時代的到來,網際網路成為人們工作和生活中不可或缺的部分,它在為我們帶來便利的同時,也帶來了許多網路威脅,因此網路安全問題不容小覷。不過風險評估可以識別風險的大小,那麼網路安全風險評估流程分為幾個階段,你知道嗎?具體內容請看下文。

  網路安全風險評估的過程主要分為:風險評估準備、資產識別過程、威脅識別過程、脆弱性識別過程、已有安全措施確認和風險分析過程六個階段。

  1、風險評估準備

  該階段的主要任務是制定評估工作計劃,包括評估目標、評估範圍、制定安全風險評估工作方案。根據評估工作需要,元件評估團隊,明確各方責任。

  2、資產識別過程

  資產識別主要通過向被評估方發放資產調查表來完成。在識別資產時,以被評估方提供的資產清單為依據,對重要和關鍵資產進行標註,對評估範圍內的資產詳細分類。根據資產的表現形式,可將資產分為資料、軟體、硬體、服務和人員等型別。

  根據資產在保密性、完整性和可用性上的不同要求,對資產進行保密性賦值、完整性賦值、可用性賦值和資產重要程度賦值。

  3、威脅識別過程

  在威脅評估階段評估人員結合當前常見的人為威脅、其可能動機、可利用的弱點、可能的攻擊方法和造成的後果進行威脅源的識別。威脅識別完成後還應該對威脅發生的可能性進行評估,列出為威脅清單,描述威脅屬性,並對威脅出現的頻率賦值。

  4、脆弱性識別過程

  脆弱性分為管理脆弱性和技術脆弱性。管理脆弱性主要通過發放管理脆弱性調查問卷、訪談以及手機分析現有的管理制度來完成;技術脆弱性主要藉助專業的脆弱性檢測工具和對評估範圍內的各種軟硬體安全配置進行檢查來識別。脆弱性識別完成之後,要對具體資產的脆弱性嚴重程度進行賦值,數值越大,脆弱性嚴重程度越高。

  5、已有安全措施確認

  安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性,如入侵檢測系統;保護性安全措施可以減少因安全事件發生後對組織或系統造成的影響。

  6、風險分析過程

  完成上述步驟之後,將採用適當的方法與工具進行安全風險分析和計算。可以根據自身情況選擇相應的風險計算方法計算出風險值,如矩陣法或相乘法等。如果風險值在可接受的範圍內,則改風險為可接受的風險;如果風險值在可接受的範圍之外,需要採取安全措施降低控制風險。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69952527/viewspace-2839117/,如需轉載,請註明出處,否則將追究法律責任。