的威胁越多则风险越大,并可能演变成为安全事件;Р资产的脆弱性可能暴露资产的价值,资产具有的脆弱性越多则风险越大;Р脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;Р风险的存在及对风险的认识导出安全需求;Р安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;Р安全措施可抵御威胁,降低风险;Р残余风险有些是安全措施不当或无效,需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后不去控制的风险;Р残余风险应受到密切监视,它可能会在将来诱发新的安全事件。Р风险分析原理Р风险分析原理如图2所示:Р图2 风险分析原理图Р风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为:Р对资产进行识别,并对资产的价值进行赋值;Р对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值;Р对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值;Р根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性;Р根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;Р根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。Р实施流程Р风险评估的实施流程如图3所示:Р图3 风险评估实施流程图Р风险评估实施流程的详细说明见第5章。Р风险评估实施Р风险评估准备Р5.1.1 概述Р风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑,其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此,在风险评估实施前,应:Р确定风险评估的目标;Р确定风险评估的范围;Р组建适当的评估管理与实施团队;Р进行系统调研;Р确定评估依据和方法;Р制定风险评估方案;
全文预览
