網絡安全風險評估過程(網絡安全風險評估流程)

網絡安全風險評估工作涉及多個環節，主要包括網絡安全風險評估準備、資產識別、威脅識別、脆弱性識別、已有的網絡安全措施分析、網絡安全風險分析、網絡安全風險處置與管理等，如圖所示。

網絡安全風險評估準備

網絡安全風險評估準備的首要工作是確定評估對象和范圍。正式進行具體安全評估必須首先進行網絡系統范圍的界定，要求評估者明晰所需要評估的對象。

網絡評估范圍的界定一般包括如下內容:

• 網絡系統拓撲結構;
• 網絡通信協議;
• 網絡地址分配:
• 網絡設備;
• 網絡服務;
• 網上業務 類型與業務信息流程;
• 網絡安全防范措施(防火墻、IDS、保安系統等) ;
• 網絡操作系統;
• 網絡相關人員;
• 網絡物理環境(如建筑、設備位置)。

在這個階段，最終將生成評估文檔《網絡風險評估范圍界定報告》，該報告是后續評估工作的范圍限定。

資產識別

資產識別包含兩個步驟

1. “網絡資產鑒定”：給出評估所考慮的具體對象，確認網絡資產種類和清單，是整個評估工作的
2. “網絡資產價值估算”：是某一具體資產在網絡系統中的重要程度確認。組織可以按照自己的實際情況，將資產按其對于業務的重要性進行賦值，得到資產重要性等級劃分表

網絡安全風險評估中，價值估算不是資產的物理實際經濟價值，而是相對價值，一般是以資產的三個基本安全屬性為基礎進行衡量的，即保密性、完整性和可用性。價值估算的結果是由資產安全屬性未滿足時，對資產自身及與其關聯業務的影響大小來決定的。目前， 國家信息風險評估標準對資產的保密性、完整性和可用性賦值劃分為五級，級別越高表示資產越重要。

威脅識別

威脅來源

威脅源按照其性質可分

• 自然威脅
• 人為威脅

威脅途徑

威脅途徑是指威脅資產的方法和過程步驟，威脅者為了實現其意圖，會使用各種攻擊方法和工具，如計算機病毒、特洛伊木馬、蠕蟲、漏洞利用和嗅探程序。通過各種方法的組合，完成威脅實施。

威脅效果

威脅效果是指威脅成功后，給網絡系統造成的影響。一般來說，威脅效果抽象為三種非法訪問、欺騙、拒絕服務。例如最早的拒絕服務是“電子郵件炸彈”，它能使用戶在很短的時間內收到大量電子郵件，使用戶系統不能處理正常業務，嚴重時會使系統崩潰、網絡癱瘓。

威脅意圖

威脅意圖是指威脅主體實施威脅的目的。根據威脅者的身份，威脅意圖可以分為挑戰、情報信息獲取、恐怖主義、經濟利益和報復。

威脅頻率

威脅頻率是指出現威脅活動的可能性。一般通過已經發生的網絡安全事件、行業領域統計報告和有關的監測統計數據來判斷出現威脅活動的頻繁程度。例如，通過IDS和安全日志分析，可以掌握某些威脅活動出現的可能性。

脆弱性識別

脆弱性識別是指通過各種測試方法，獲得網絡資產中所存在的缺陷清單，這些缺陷會導致對信息資產的非授權訪問、泄密、失控、破壞或不可用、繞過已有的安全機制，缺陷的存在將會危及網絡資產的安全。

脆弱性識別以資產為核心，針對每一項需要保護的資產，識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估。

脆弱性識別的依據是網絡安全法律法規政策、國內外網絡信息安全標準以及行業領域內的網絡安全要求。

脆弱性評估工作又可分為技術脆弱性評估和管理脆弱性評估。

• 技術脆弱性評估。 技術脆弱性評估主要從現有安全技術措施的合理性和有效性方面進行評估。
• 管理脆弱性評估。管理脆弱性評估從網絡信息安全管理上分析評估存在的安全弱點，并標識其嚴重程度。安全管理脆弱性評估主要是指對組織結構、人員配備、安全意識、教育培訓、安全操作、設備管理、應急響應、安全制度等方面進行合理性、必要性評價，其目的在于確認安全策略的執行情況。

已有安全措施確認

對評估對象已采取的各種預防性和保護性安全措施的有效性進行確認，評估安全措施能否防止脆弱性被利用，能否抵御已確認的安全威脅。

網絡安全風險分析

網絡安全風險分析是指在資產評估、威脅評估、脆弱性評估、安全管理評估、安全影響評估的基礎上，綜合利用定性和定量的分析方法，選擇適當的風險計算方法或工具確定風險的大小與風險等級，即對網絡系統安全管理范圍內的每一個網絡資產因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表，以便識別與選擇適當和正確的安全控制方式。通過分析所評估的數據，進行風險值計算。

1.網絡安全風險分析步驟

• 網絡安全風險分析的主要步驟如下: .
• 對資產進行識別，并對資產的價值進行賦值。
• 對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦值。
• 對脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值。
• 根據威脅及威脅利用脆弱性的難易程度判斷安全事件發生的可能性。
• 根據脆弱性的嚴重程度及安全事件所作用的資產的價值計算安全事件的損失。
• 根據安全事件發生的可能性以及安全事件出現后的損失，計算安全事件一旦發本對組織的影響，即網絡安全風險值。

其中，安全事件損失是指確定已經鑒定的資產受到損害所帶來的影響。一般情況下， 其影響主要從以下幾個方面來考慮:

• 違反了有關法律或規章制度:
• 對法律實施造成了負面影響;
• 違反社會公共準則，影響公共秩序;
• 危害公共安全;
• 侵犯商業機密:
• 影響業務運行:
• 信譽、聲譽損失:
• 侵犯個人隱私;
• 人身傷害:
• 經濟損失。

2.網絡安全風險分析方法

網絡安全風險值的計算方法主要有定性計算方法、定量計算方法、定性和定量綜合計算方法。

1)定性計算方法

定性計算方法是將風險評估中的資產、威脅、脆弱性等各要素的相關屬性進行主觀評估，然后再給出風險計算結果。例如，資產的保密性賦值評估為:很高、高、中等、低、很低;威脅的出現頻率賦值評估為:很高、高、中等、低、很低;脆弱性的嚴重程度賦值評估為:很高、高、中等、低很低;定性計算方法給出的風險分析結果是:無關緊要、可接受、待觀察、不可接受。

2)定量計算方法

定量計算方法是將資產、威脅、脆弱性等量化為數據，然后再進行風險的量化計算，通常以經濟損失、影響范圍大小等進行呈現。但是實際上資產、威脅、脆弱性、安全事件損失難以用數據準確地量化，因而完全的定量計算方法不可行。定量計算方法的輸出結果是一-個風險數值。

3)綜合計算方法

綜合計算方法結合定性和定量方法，將風險評估的資產、威脅、脆弱性、安全事件損失等各要素進行量化賦值，然后選用合適的計算方法進行風險計算。例如，脆弱性的嚴重程度量化賦值評估為: 5 (很高)、4(高)、3(中等)、2(低)、1(很低)。綜合計算方法的輸出結果是一個風險數值，同時給出相應的定性結論。

3.網絡安全風險計算方法

風險計算有相乘法或矩陣法。

1)相乘法

相乘法是將安全事件發生的可能性與安全事件的損失進行相乘運算得到風險值。

2)矩陣法

矩陣法是指通過構造一個 二維矩陣，形成安全事件發生的可能性與安全事件的損失之間的二維關系。

網絡安全風險處置與管理

針對網絡系統所存在的各種風險，給出具體的風險控制建議，其目標在于降低網絡系統的安全風險。對不可接受的相關風險，應根據導致該風險的脆弱性制定風險處理計劃。風險處理計劃中明確應采取的彌補弱點的安全措施、預期效果、實施條件、進度安排、責任部門等。安全措施的選擇從管理與技術兩個方面考慮。安全措施的選擇與實施參照信息安全的相關標準進行。

網絡安全風險管理的控制措施主要有以下十大類:

• 制訂明確安全策略;
• 建立安全組織;
• 實施網絡資產分類控制;
• 加強人員安全管理;
• 保證物理實體和環境安全;
• 加強安全通信運行;
• 采取訪問控制機制;
• 進行安全系統開發與維護;
• 保證業務持續運行;
• 遵循法律法規、安全目標一致性檢查。

為確保安全措施的有效性，一般要進行再評估，以判斷實施安全措施后的風險是否已經降低到可接受的水平。殘余風險的評估可按照風險評估流程實施，也可做適當裁減。安全措施的實施是以減少脆弱性或降低安全事件發生可能性為目標的，因此，殘余風險的評估從脆弱性評估開始，在對照安全措施實施前后的脆弱性狀況后，再次計算風險值的大小。某些風險可能在選擇了適當的安全措施后，殘余風險的結果仍處于不可接受的風險范圍內，應考慮是否接受此風險或進一步增加相應的安全措施。

學習參考資料：

信息安全工程師教程（第二版）

建群網培信息安全工程師系列視頻教程

信息安全工程師5天修煉

來源:生活資訊網