網絡安全風險管理與目標：

風險管理的主要目的是要將風險降低到一個可以接受的級別。達到風險管理主要目標的過程被稱為風險分析(risk analysis)。風險評估(Risk Assessment)是對信息資產及其價值、 面臨的威脅、存在的弱點，以及三者綜合作用而帶來風險的大小或水平的評估。

信息風險管理IRM(1nfonnation Risk Management)是識別并評估風險、將風險降低至可接受級別、執(zhí)行適當機制來維護這種級別的過程。

風險分析提供了一種成本/收益比(costl1-benefit comparison),也就是用來保護公司免受威脅的防護措施的費用與預料中的損失所需要付出的代價之間的比值。在大多數(shù)情況下，如果損失的代價沒有超過防護措施本身的費用，那么就不應該實行該防護措施。

風險分析有下列4個主要目標:

1標識資產和它們對于組織機構的價值。

2識別脆弱性和威脅。

3量化潛在威脅的可能性及其對業(yè)務的影響。

4在威脅的影響和對策的成本之間達到預算的平衡。

網絡安全風險的術語有哪些：

我們常常使用術語“脆弱性”、“威脅”、“風險”和“暴露”來表示同樣的事情，然而， 它們實際上有不同的含義，相互之間也有不同的關系。理解每一個術語的定義是非常重要的， 但更重要的是應當理解它們彼此之間的關系。

1資產(Asset)

資產是指環(huán)境中應該加以保護的任何事物。如:計算機文件、網絡服務、系統(tǒng)資源、進程、 程序、產品、IT基礎架構、數(shù)據(jù)庫、硬件設備、家具、產品秘方/配方、人員、軟件和設施等。

2資產估值(Asset Valuation)AV

就是資產具備的貨幣價值。包括開發(fā)、維護、管理、宣傳、支持、 維修和替換瓷產的所有成本，還包括公眾信心、行業(yè)支持、生產率增加、知識資產以及所有者權益等無形價值。

3弱點/脆弱性(Vulnerability)

一個資產的弱點(缺少安全措施)、缺陷(安全方面的問題)或者漏洞被稱為脆弱性。一旦被利用，就會對資產造成損害。如果沒被利用，當然也就沒事了。

4威脅(Threats)

前面講了脆弱性，那么一個弱點有多個大可能會被利用，并產生破壞呢？

威脅就是利用脆弱性的行為，它會帶來危險:即某人或某個軟件識別出特定的脆弱性，并利用其來危害公司或個人。任何可能發(fā)生的、造成資產價值損失的事情都被稱為威脅。威脅主體通常是人，不過也可能是程序、硬件或系統(tǒng)。威脅事件包括火災、地震、水災、系統(tǒng)故障和人為錯誤(一般是因為缺少培訓或無知)和斷電等等。

上一篇：工信部明確數(shù)據(jù)安全風險評估實施細則

下一篇：什么是網絡安全風險評估