网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。
网络安全管理实际上就是风险控制,其基本过程是通过网络管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施,降低网络管理对象的风险。
所有的安全管理、安全服务、安全技术等都是围绕网络信息安全管理要素来的。
网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。
网络安全风险,是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性。网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。
网络安全风险评估过程,主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的安全措施分析、网络安全风险分析、网络安全风险处置与管理等。
资产识别包含“网络资产鉴定”和“网络资产价值估算”。前者给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面。
“网络资产价值估算”是某一具体资产在网络系统中的重要程度确认。
威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险,威胁识别是对网络资产有可能受到的安全危害进行分析,一般从威胁来源、威胁途径、威胁意图等几个方面来分析。
脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞,这些漏洞可能会被威胁所利用。脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。
| 任务 | 输出文档 | 文档内容 |
| 风险评估准备 | 会议记录并确认需要评估的系统、评估计划和评估程序 | 评估系统、评估计划和内容安排,双方负责人及需要明确的协调工作 |
| 访谈 | 针对业务系统进行技术安全和管理安全评估的访谈表 | 业务系统描述、运营情况和用户群体,并了解业务管理流程 |
| 文档审查 (资产识别) | 资产审查记录和业务系统审查记录 | 资产管理台账、网络拓扑图、业务运营管理制度和责任人 |
| 威胁识别 | 技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录 | 漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果 |
| 脆弱性识别 | 根据威胁识别结果,技术安全测评的网络、主机、应用测评 | 检查检查内容的记录,并根据威胁对业务系统脆弱性进行识别 |
| 风险处置 | 风险处置措施记录 | 对已识别的风险进行评估和处置,并评估是否存在残余风险 |
| 风险管理 | 对可接受的残余风险进行风险管理并出具风险评估报告 | 风险评估过程中发现的问题、问题的证据和证据源、每项检查活动中测评委托单位配合人员的书面认可 |
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算。
网络安全风险分析的主要步骤如下:
一、对资产进行识别,并对资产的价值进行赋值。
二、对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
三、对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
四、根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性
五、根据脆弱性的严重程度及安全事件所作用的资产价值计算安全事件的损失。
六、根据安全事件发生的可能性及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中,安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。