服务创造价值、存在造就未来
风险评估是风险管理的重要组成部分,要想更好地理解风险评估,首先要了解风险管理。风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。
风险评估是对组织存在的威胁进行评估、对安全措施有效性进行评估、以及对系统弱点被利用的可能性进行评估后的综合结果,是风险管理的重要组成部分,是信息安全工作中的重要一环。服务内容主要包括:资产评估、主机安全性评估、数据库安全性评估、安全设备评估、网络安全性评估。
资产指组织要保护的资产,是构成整个系统的各种元素的组合,它直接的表现了这个系统的业务或任务的重要性,这种重要性进而转化为资产应具有的保护价值。它包括计算机硬件、通信设备、物理线路、数据、软件、服务能力、人员及知识等等。
弱点是物理布局、组织、规程、人员、管理、硬件、软件或信息中存在的缺陷与不足,它们不直接对资产造成危害,但弱点可能被环境中的威胁所利用从而危害资产的安全。弱点也称为“脆弱性”或“漏洞”。
威胁是引起不期望事件从而对资产造成损害的潜在可能性。威胁可能源于对组织信息直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用组织网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。从宏观上讲,威胁按照产生的来源可以分为非授权蓄意行为、不可抗力、人为错误、以及设施/设备错误等。
安全风险是环境中的威胁利用弱点造成资产毁坏或损失的潜在可能性。风险的大小主要表现在两个方面:事故发生的可能性及事故造成影响的大小。资产、威胁、弱点及保护的任何变化都可能带来较大的风险,因此,为了降低安全风险,应对环境或系统的变化进行检测以便及时采取有效措施加以控制或防范。
安防措施是阻止威胁、降低风险、控制事故影响、检测事故及实施恢复的一系列实践、程序或机制。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。
通常安防措施只是降低了安全风险而并未完全杜绝风险,而且风险降低得越多,所需的成本就越高。因此,在系统中就总是有残余风险(RR)的存在,这样,系统安全需求的确定实际上也是对余留风险及其接受程度的确定。
上一篇:关键信息基础设施安全评估
下一篇:渗透测试服务