| 网络安全风险,是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性影响。网络安全风险评估(简称“网络风险评估”)就是指依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程,评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响,并根据安全事件发生的可能性影响大小来确认网络安全风险等级。简单地说,网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。下面举一个例子来理解网络风险评估的概念。某公司的电子商务网站因为存在RPC DCOM的漏洞,若遭到黑客入侵,则业务中断1天,其网络风险评估的相关内容如下表所示。
|
|
|
|
|
|
|
| 假设网站受到黑客攻击的概率为0.8,经济影响为2万元人民币,则该公司的网站安全风险量化值为1.6万元人民币。
|
|
|
| 一般来说,网络安全风险值可以等价为安全事件发生的概率(可能性)与安全事件的损失的乘积,即R=f(Ep,Ev)。其中,R表示风险值,Ep表示安全事件发生的可能性大小,Ev表示安全事件发生后的损失,即安全影响。
|
|
|
