设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 手机 公司 数据
当前位置: 首页 > 服务器 > 安全 > 正文

浅析信息安全风险评估的方法与特点

发布时间:2022-09-01 11:27 所属栏目:53 来源:互联网
导读:网络安全是信息化持续发展的根本保障,网络安全中的安全风险评估则是网络安全保障工作的基础性工作和重要环节。本文将从目前应用较成熟的安全风险评估方法出发,梳理探讨其他的可行的风险评估方法,并从资源能力、不确定性、复杂性、能否提供定量结果等方面
  网络安全是信息化持续发展的根本保障,网络安全中的安全风险评估则是网络安全保障工作的基础性工作和重要环节。本文将从目前应用较成熟的安全风险评估方法出发,梳理探讨其他的可行的风险评估方法,并从资源能力、不确定性、复杂性、能否提供定量结果等方面进行对比,为企业选择和优化安全风险评估方法提供进一步改进的思路。

  由于信息资产与业务关联困难,导致信息资产过度保护或保护不当。企业部分信息资产(如IT基础设施、安全设备、虚拟机、中间件、各类数据等)很难与重要业务进行充分关联。主要原因在于将信息资产与业务关联需要安全人员既要熟悉组织的业务流程,又要对组织的IT架构、信息系统有着深入的了解。这样才能确保将业务与IT基础设施、安全设备、虚拟机、中间件、数据等信息资产进行有效关联。如果安全人员在实操中与业务脱离,会影响资产赋值的准确性,资产赋值的偏差会导致需要保护的重要资产未得到保护,或者不重要资产受到过度保护导致资源浪费。
 
  资产与风险相关因素对应困难,导致识别新风险困难。风险相关因素变化(如用户新业务不断发展,国家法律法规要求越来越严格等)带来的新安全需求很难直接与资产进行直接对应,无法通过资产发现新环境下的新威胁和脆弱性,导致识别无法识别新风险从而失去对新风险的控制等。
 
  基于资产的风险评估方法根据现有理论设计,设计比较简单,但是在实施过程中,资产威胁脆弱性比较抽象,因此实施分析和赋值相对复杂。
 
  其他风险评估方法的探索
  目前,企业在开展信息安全风险评估时,大多是通过基于资产的风险评估这一较成熟的方法来应用实施。但是这种方法在实施过程中会遇到资产梳理繁琐、时间成本高、不易发现风险相关因素变化带来的新风险等问题,业界正在积极尝试探索新的风险评估方法。我们也对其中较典型的3种方法,进行了探索和研究,并与基于资产的风险评估方法进行了对比分析。

(编辑:ASP站长网)

    网友评论
    推荐文章
      热点阅读