风险评估模型和方法概述
发布时间:2008-01-17   录入:启明星辰

信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生所造成的影响。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。

 

信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制。没有准确及时的风险评估,将使得各个机构无法对其信息安全的状况做出准确的判断。


风险评估是信息安全风险管理的第二步,针对确立的风险管理对象所面临的风险进行识别、分析和评价。
安全风险(以下简称风险)是一种潜在的、负面的东西,处于未发生的状态。与之相对应,安全事件(以下简称事件)是一种显在的、负面的东西,处于已发生的状态。风险是事件产生的前提,事件是在一定条件下由风险演变而来的。风险的构成包括五个方面:起源、方式、途径、受体和后果。起源是威胁的发起方,叫做威胁源;方式是威胁源实施威胁所采取的手段,叫做威胁行为;途径是威胁源实施威胁所利用的薄弱环节,叫做脆弱性或漏洞;受体是威胁的承受方,即资产;后果是威胁源实施威胁所造成的损失,叫做影响。它们之间的相互关系可表述为,风险的一个或多个起源(威胁源),采用一种或多种方式(威胁行为),通过一种或多种途径(脆弱性或漏洞),侵害一个或多个受体(资产),造成不良后果(影响)。风险的概念模型可表述为,威胁源利用脆弱性,对资产实施威胁行为,造成负面影响。其中的虚线表示威胁行为和影响是潜在的,虽处于未发生状态,但具有发生的可能性。


风险评估依据风险的概念模型做以下方面工作:


评估前的准备工作,包括制定风险评估计划、确定风险评估程序、选择风险评估方法和工具等。


识别需要保护的资产、面临的威胁和存在的脆弱性。


在确认已有安全措施的基础上,分析威胁源的动机、威胁行为的能力、脆弱性的被利用性、资产的价值和影响的程度。


分别对上述五个方面的分析结果进行评价,给出相应的等级划分,然后综合计算这五个方面的评价结果,最后得出风险的等级。

文章来源:http://www.venustech.com.cn/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号