網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理與目標(biāo)：

風(fēng)險(xiǎn)管理的主要目的是要將風(fēng)險(xiǎn)降低到一個(gè)可以接受的級(jí)別。達(dá)到風(fēng)險(xiǎn)管理主要目標(biāo)的過(guò)程被稱為風(fēng)險(xiǎn)分析(risk analysis)。風(fēng)險(xiǎn)評(píng)估(Risk Assessment)是對(duì)信息資產(chǎn)及其價(jià)值、 面臨的威脅、存在的弱點(diǎn)，以及三者綜合作用而帶來(lái)風(fēng)險(xiǎn)的大小或水平的評(píng)估。

信息風(fēng)險(xiǎn)管理IRM(1nfonnation Risk Management)是識(shí)別并評(píng)估風(fēng)險(xiǎn)、將風(fēng)險(xiǎn)降低至可接受級(jí)別、執(zhí)行適當(dāng)機(jī)制來(lái)維護(hù)這種級(jí)別的過(guò)程。

風(fēng)險(xiǎn)分析提供了一種成本/收益比(costl1-benefit comparison),也就是用來(lái)保護(hù)公司免受威脅的防護(hù)措施的費(fèi)用與預(yù)料中的損失所需要付出的代價(jià)之間的比值。在大多數(shù)情況下，如果損失的代價(jià)沒(méi)有超過(guò)防護(hù)措施本身的費(fèi)用，那么就不應(yīng)該實(shí)行該防護(hù)措施。

風(fēng)險(xiǎn)分析有下列4個(gè)主要目標(biāo):

1標(biāo)識(shí)資產(chǎn)和它們對(duì)于組織機(jī)構(gòu)的價(jià)值。

2識(shí)別脆弱性和威脅。

3量化潛在威脅的可能性及其對(duì)業(yè)務(wù)的影響。

4在威脅的影響和對(duì)策的成本之間達(dá)到預(yù)算的平衡。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的術(shù)語(yǔ)有哪些：

我們常常使用術(shù)語(yǔ)“脆弱性”、“威脅”、“風(fēng)險(xiǎn)”和“暴露”來(lái)表示同樣的事情，然而， 它們實(shí)際上有不同的含義，相互之間也有不同的關(guān)系。理解每一個(gè)術(shù)語(yǔ)的定義是非常重要的， 但更重要的是應(yīng)當(dāng)理解它們彼此之間的關(guān)系。

1資產(chǎn)(Asset)

資產(chǎn)是指環(huán)境中應(yīng)該加以保護(hù)的任何事物。如:計(jì)算機(jī)文件、網(wǎng)絡(luò)服務(wù)、系統(tǒng)資源、進(jìn)程、 程序、產(chǎn)品、IT基礎(chǔ)架構(gòu)、數(shù)據(jù)庫(kù)、硬件設(shè)備、家具、產(chǎn)品秘方/配方、人員、軟件和設(shè)施等。

2資產(chǎn)估值(Asset Valuation)AV

就是資產(chǎn)具備的貨幣價(jià)值。包括開發(fā)、維護(hù)、管理、宣傳、支持、 維修和替換瓷產(chǎn)的所有成本，還包括公眾信心、行業(yè)支持、生產(chǎn)率增加、知識(shí)資產(chǎn)以及所有者權(quán)益等無(wú)形價(jià)值。

3弱點(diǎn)/脆弱性(Vulnerability)

一個(gè)資產(chǎn)的弱點(diǎn)(缺少安全措施)、缺陷(安全方面的問(wèn)題)或者漏洞被稱為脆弱性。一旦被利用，就會(huì)對(duì)資產(chǎn)造成損害。如果沒(méi)被利用，當(dāng)然也就沒(méi)事了。

4威脅(Threats)

前面講了脆弱性，那么一個(gè)弱點(diǎn)有多個(gè)大可能會(huì)被利用，并產(chǎn)生破壞呢？

威脅就是利用脆弱性的行為，它會(huì)帶來(lái)危險(xiǎn):即某人或某個(gè)軟件識(shí)別出特定的脆弱性，并利用其來(lái)危害公司或個(gè)人。任何可能發(fā)生的、造成資產(chǎn)價(jià)值損失的事情都被稱為威脅。威脅主體通常是人，不過(guò)也可能是程序、硬件或系統(tǒng)。威脅事件包括火災(zāi)、地震、水災(zāi)、系統(tǒng)故障和人為錯(cuò)誤(一般是因?yàn)槿鄙倥嘤?xùn)或無(wú)知)和斷電等等。

上一篇：工信部明確數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則

下一篇：什么是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估