网络安全风险管理与目标:
风险管理的主要目的是要将风险降低到一个可以接受的级别。达到风险管理主要目标的过程被称为风险分析(risk analysis)。风险评估(Risk Assessment)是对信息资产及其价值、 面临的威胁、存在的弱点,以及三者综合作用而带来风险的大小或水平的评估。
信息风险管理IRM(1nfonnation Risk Management)是识别并评估风险、将风险降低至可接受级别、执行适当机制来维护这种级别的过程。
风险分析提供了一种成本/收益比(costl1-benefit comparison),也就是用来保护公司免受威胁的防护措施的费用与预料中的损失所需要付出的代价之间的比值。在大多数情况下,如果损失的代价没有超过防护措施本身的费用,那么就不应该实行该防护措施。
风险分析有下列4个主要目标:
1标识资产和它们对于组织机构的价值。
2识别脆弱性和威胁。
3量化潜在威胁的可能性及其对业务的影响。
4在威胁的影响和对策的成本之间达到预算的平衡。
网络安全风险的术语有哪些:
我们常常使用术语“脆弱性”、“威胁”、“风险”和“暴露”来表示同样的事情,然而, 它们实际上有不同的含义,相互之间也有不同的关系。理解每一个术语的定义是非常重要的, 但更重要的是应当理解它们彼此之间的关系。
1资产(Asset)
资产是指环境中应该加以保护的任何事物。如:计算机文件、网络服务、系统资源、进程、 程序、产品、IT基础架构、数据库、硬件设备、家具、产品秘方/配方、人员、软件和设施等。
2资产估值(Asset Valuation)AV
就是资产具备的货币价值。包括开发、维护、管理、宣传、支持、 维修和替换瓷产的所有成本,还包括公众信心、行业支持、生产率增加、知识资产以及所有者权益等无形价值。
3弱点/脆弱性(Vulnerability)
一个资产的弱点(缺少安全措施)、缺陷(安全方面的问题)或者漏洞被称为脆弱性。一旦被利用,就会对资产造成损害。如果没被利用,当然也就没事了。
4威胁(Threats)
前面讲了脆弱性,那么一个弱点有多个大可能会被利用,并产生破坏呢?
威胁就是利用脆弱性的行为,它会带来危险:即某人或某个软件识别出特定的脆弱性,并利用其来危害公司或个人。任何可能发生的、造成资产价值损失的事情都被称为威胁。威胁主体通常是人,不过也可能是程序、硬件或系统。威胁事件包括火灾、地震、水灾、系统故障和人为错误(一般是因为缺少培训或无知)和断电等等。
下一篇:什么是网络安全风险评估