网络安全风险评估的目的是什么
发布时间:2014-04-27 13:39:50作者:知识屋
在当前的信息安全领域,好像风险管理已经快成为信息安全的代名词了。搞安全好像离不开风险管理。而要进行全面的安全体系构建之前,自然要进行风险评估。风险评估会出现在几乎所有的安全文献、安全标准、安全规范中。要做风险评估,好像也很少有人质疑是否需要,因为全世界的人都在做。
但是,在这里我还是要问,“风险评估的目的是什么?”“我们为什么要进行风险评估?” 如果不回答清楚这个问题,可能会把真个事情搞颠倒。
在很多次演讲中,我常常阐述风险评估有两个目的:报告和决策支持。
以报告为目的的评估
这个目的就是说,风险评估就是要评估出来一个结果,并产生报告。而这个结果最好是能够表达出好/坏、严重/不严重等定性的结论,或者是风险程度的量化的结论。而这样的结论最大的用途就是进行“比较”。这种比较包括:
不同时间点的比较,比如:过去和现在的比较 不同机构之间的比较,在一个时间点不同机构的风险比较,可以得出谁更加危险,谁防护得更好 机构水平和某个标杆的比较,也就是有点像合规性比对一样报告常常能够让报告的读者掌握较全面的情况,而所谓的全面——用比较来表达是非常合适的。
合规性评估
以合规性比对为主要目的的评估,是以报告为目的评估的一个特例。为了能够更好地进行合规性比对,常常会引入“等级化”的概念。在我国现在正在推行的等级保护、涉密分级保护等等,就是类似的思想。
比如,等级保护中的定级,就是一个有关资产和狭义威胁两个量的一个评估。也是一种特殊的风险评估。
以行动决策为目的的评估
以行动决策为目的,最典型的形态就是:鉴别出来机构的风险,并且通过评估给这些风险评分,通过排序将最需要解决的前10个风险筛选出来,然后马上对这些风险进行处理和控制。
如果以此为目的,那么两个风险是1005vs.1000就被认为没有太大的区别,而两个风险是10000vs.100就会被认为是很大的区别。
如果以此为目的,那么在评估中就不一定要把理论上的风险模型的所有要素都进行评估并计算,只要评估方法能够帮助我们大致区分出风险的大小就可以了。所以,在我操作的很多风险评估中就不做狭义威胁分析,而用事件分析加以替代;再比如,等级保护的定级就只评估资产价值和狭义威胁,不考虑其他因素。这样这些结果能够带来行动决策的足够支持就可以。
除了上面阐述的目的之外,风险评估还有没有其他的目的呢?
知识阅读
软件推荐
更多 >
-
1菜鸟简单抓肉鸡(如何抓肉鸡)
2011-06-17
-
2
电脑开机时出现lass.exe进程是病毒吗?
-
3
自拍须谨慎!教你如何通过照片定位查看拍摄地点
-
4
电脑病毒最基础知识
-
5
黑客学员必须了解的C语言技术
-
6
精典详细内网渗透专题文章
-
7
教你破解Tp-Link的无线路由密码
-
8
解决SecureCRT中文显示乱码
-
9
QQ电脑管家和360哪个好?横评实测对比
-
10
攻防实战:无线网络路由入侵过程
