网络安全概论-自主学习报告
题目:信息安全测评(或网络安全风险评估)的一般方法和流程
一、信息安全风险评估概述:
信息安全风险评估是指依据有关信息安全技术标准和准则,对信息系统及
由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行的全
面、科学的分析和评价的过程。信息安全风险评估将对信息系统的脆弱性、信
息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响进行分析、
评价,并将根据信息安全事件发生的可能性和负面影响的程度来识别信息系统
的安全风险。
通过系统缜密的风险分析和评估,可以导出信息系统风险的安全需求,实
现信息系统风险的安全控制,从而建立一个可靠的、有效的风险控制体系,保
障信息系统的动态安全。因此,信息系统安全风险评估依其应用环境、应用领
域以及处理信息敏感度的不同,安全需求上有很大差别,但概括起来风险评估
可以明确信息系统的安全现状,确定现在的主要安全威胁,指导信息系统安全
的建设体系方向。
二、信息安全风险评估原理:
1.信息安全风险要素:
由风险的定义可知,信息风险同样也具有不确定性,而这种不确定性是针
对信息系统安全特性而言的。国内外学者普遍认为所谓信息系统的安全特性即
为信息系统及其资产的机密性、完整性、可用性。因此所谓的信息系统的安全
剩余21页未读,继续阅读
评论0