學(xué)習(xí)《計算機網(wǎng)絡(luò)安全》
隨著網(wǎng)絡(luò)信息化技術(shù)的廣泛應(yīng)用，在提高科研、生產(chǎn)效率和質(zhì)量的同時，也極大地增加了網(wǎng)絡(luò)信息安全風(fēng)險。目前解決網(wǎng)絡(luò)信息安全問題普遍采用的方法之一是進行風(fēng)險評估（Risk Assessment）。從風(fēng)險管理的角度，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生時可能造成的危害程度，并提出有針對性的防護對策和整改措施，將風(fēng)險控制在可接受的水平，最大限度地保障信息安全。這一篇主要學(xué)習(xí)書中的網(wǎng)絡(luò)信息安全風(fēng)險評估的相關(guān)知識。

風(fēng)險評估概述

風(fēng)險評估的概念

風(fēng)險是一個給定的威脅，利用一項資產(chǎn)或多項資產(chǎn)的脆弱性，對組織造成損害的可能?？赏ㄟ^事件的概率及其后果進行度量。風(fēng)險評估是風(fēng)險標識、分析和評價的整個過程。

網(wǎng)絡(luò)信息安全風(fēng)險評估，則是指依據(jù)國家風(fēng)險評估有關(guān)管理要求和技術(shù)標準，對信息系統(tǒng)及由其存儲、處理和傳輸?shù)男畔⒌臋C密性、完整性和可用性等安全屬性進行科學(xué)、公正的綜合評價的過程。通過對信息及信息系統(tǒng)的重要性、面臨的威脅、其自身的脆弱性以及已采取安全措施有效性的分析，判斷脆弱性被威脅源利用后可能發(fā)生的安全事件及其所造成的負面影響程度來識別信息安全的安全風(fēng)險。

網(wǎng)絡(luò)信息系統(tǒng)的風(fēng)險評估是對威脅、脆弱點以及由此帶來的風(fēng)險大小的評估。對系統(tǒng)進行風(fēng)險分析和評估的目的就是：了解系統(tǒng)目前與未來的風(fēng)險所在，評估這些風(fēng)險可能帶來的安全威脅與影響程度，為安全策略的確定、信息系統(tǒng)的建立及安全運行提供依據(jù)。同時通過第三方權(quán)威或者國際機構(gòu)評估和認證，也給用戶提供了信息技術(shù)產(chǎn)品和系統(tǒng)可靠性的信心，增強產(chǎn)品、單位的競爭力。信息系統(tǒng)風(fēng)險分析和評估是一個復(fù)雜的過程，一個完善的信息安全風(fēng)險評估架構(gòu)應(yīng)該具備相應(yīng)的標準體系、技術(shù)體系、組織架構(gòu)、業(yè)務(wù)體系和法律法規(guī)。

網(wǎng)絡(luò)信息安全風(fēng)險評估分為自評估和檢查評估兩種形式。風(fēng)險自評估是建立信息安全體系的基礎(chǔ)和前提。

風(fēng)險評估有時候也稱為風(fēng)險分析，是組織使用適當?shù)娘L(fēng)險評估工具，對信息和信息處理設(shè)施的威脅（Threat）、影響（Impact）和薄弱點（Vulnerability）及其發(fā)生的可能性的評估，也就是確認安全風(fēng)險及其大小的過程。它是風(fēng)險管理的重要組成部分。

風(fēng)險評估是信息安全管理的基礎(chǔ)，它為安全管理的后續(xù)工作提供方向和依據(jù)，后續(xù)工作的優(yōu)先等級和關(guān)注程度都是由信息安全風(fēng)險決定的，而且安全控制的效果也必須通過對剩余風(fēng)險的評估來衡量。

風(fēng)險評估是在一定范圍內(nèi)識別所存在的信息安全風(fēng)險，并確定其大小的過程。風(fēng)險評估保證信息安全管理活動可以有的放矢，將有限的信息安全預(yù)算應(yīng)用到最需要的地方。風(fēng)險評估是風(fēng)險管理的前提。