【IT168 专稿】我们时常都在谈论这样的问题:网络具有怎样的风险,存在怎样的安全隐患,并由此引发怎样的安全问题。
那在网络安全领域,风险究竟指的是什么呢?
《信息安全风险评估规范(报批稿)》中,对风险的定义是:人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。
从定义可知,风险综合了多个要素,风险是否存在,风险的高低,需要从多个方面共同考虑,综合多个因素得出的结果,才是准确的风险情况。
风险分析原理
为更好的理解什么是风险,我们来看一下风险分析的原理,如下图。
从上图可知,风险分析包括资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
风险分析的内容包括:
1) 对资产进行识别,并对资产的价值进行赋值;
2) 对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;
3) 对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;
4) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;
5) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;
6) 根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。