(一)网络安全风险分析
对网络系统安全管理范围内的网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出风险测量列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估数据,进行风险值计算。
(二)风险分析方法
计算方法 | 说明 | |
1 | 定性计算方法 | 对风险评估中资产、威胁、脆弱性等各要素相关属性主观评估,给出风险计算结果 |
2 | 定量计算方法 | 将资产、威胁、脆弱性等量化为数据并计算,常以经济损失、影响范围大小等进行呈现 缺点:数据难以准确量化,完全定量计算方法不可行。输出结果是一个风险数值 |
3 | 综合计算方法 | 结合定性和定量方法,将风险评估资产、威胁、脆弱性、安全事件损失等各要素量化赋值(1低-5高),选用合适计算方法进行风险计算 |
(三)风险分析步骤
(1)对资产进行识别,并对资产价值赋值
(2)对威胁进行识别,描述威胁属性,并对威胁出现频率赋值
(3)对脆弱性进行识别,并对具体资产脆弱性严重程度赋值
(4)根据威胁及威胁利用脆弱性的难易程度,判断安全事件发生可能性
(5)根据脆弱性严重程度及安全事件所作用的资产价值,计算安全事件损失
(6)根据安全事件发生可能性及安全事件出现后的损失,计算安全事件一旦发生对组织影响,即网络安全风险值
(四)安全事件损失
确定已鉴定资产受到损害所带来的影响
(1)风险计算之相乘法
将安全事件发生可能性与损失相乘运算得到风险值
资产价值:A=4
威胁发生频率:T=1
脆弱性严重程度:脆弱性V=3
(a)计算安全事件发生可能性:√T*V=√3
(b)计算安全事件损失:√A*V=√12
(c)计算安全风险值:发生可能性*损失=√36=6
(2)风险计算之矩阵法
构造一个二维矩阵,形成安全事件发生可能性与安全事件损失之间的二维关系
资产价值:A=2
威胁发生频率:T=2
脆弱性严重程度:脆弱性V=2
(a)计算安全事件发生可能性
由表可知:安全事件发生可能性值=6
(b)计算安全事件发生可能性等级划分
由表可知:安全事件发生可能性等级=2
(c)计算安全事件的损失
由表可知:安全事件的损失值=5
(d)划分安全事件损失等级
由表可知:安全事件损失等级值=1
(e)计算安全风险值
由表可知:安全风险值=6