网络安全风险分析 被考次数： 1次 被考频率： 低频率 答错率：    37% 知识难度： 考试要求： 熟悉      知识路径：  > 网络安全风险评估技术原理与应用  > 网络安全风险评估过程  > 网络安全风险计算与分析

	本知识点历年真题试卷分布 >> 试题列表

	网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上，综合利用定性和定量的分析方法，选择适当的风险计算方法或工具确定风险的大小与风险等级，即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据，进行风险值计算。网络安全风险分析的过程如下图所示。        网络安全风险分析示意图        网络安全风险分析步骤        网络安全风险分析的主要步骤如下：        步骤一，对资产进行识别，并对资产的价值进行赋值。        步骤二，对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值。        步骤三，对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值。        步骤四，根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。        步骤五，根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。        步骤六，根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即网络安全风险值。其中，安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。一般情况下，其影响主要从以下几个方面来考虑：        . 违反了有关法律或规章制度；        . 对法律实施造成了负面影响；        . 违反社会公共准则，影响公共秩序；        . 危害公共安全；        . 侵犯商业机密；        . 影响业务运行；        . 信誉、声誉损失；        . 侵犯个人隐私；        . 人身伤害；        . 经济损失。        网络安全风险分析方法        网络安全风险值的计算方法主要有定性计算方法、定量计算方法、定性和定量综合计算方法。           定性计算方法           定性计算方法是将风险评估中的资产、威胁、脆弱性等各要素的相关属性进行主观评估，然后再给出风险计算结果。例如，资产的保密性赋值评估为：很高、高、中等、低、很低；威胁的出现频率赋值评估为：很高、高、中等、低、很低；脆弱性的严重程度赋值评估为：很高、高、中等、低、很低；定性计算方法给出的风险分析结果是：无关紧要、可接受、待观察、不可接受。           定量计算方法           定量计算方法是将资产、威胁、脆弱性等量化为数据，然后再进行风险的量化计算，通常以经济损失、影响范围大小等进行呈现。但是实际上资产、威胁、脆弱性、安全事件损失难以用数据准确地量化，因而完全的定量计算方法不可行。定量计算方法的输出结果是一个风险数值。           综合计算方法           综合计算方法结合定性和定量方法，将风险评估的资产、威胁、脆弱性、安全事件损失等各要素进行量化赋值，然后选用合适的计算方法进行风险计算。例如，脆弱性的严重程度量化赋值评估为：5（很高）、4（高）、3（中等）、2（低）、1（很低）。综合计算方法的输出结果是一个风险数值，同时给出相应的定性结论。        网络安全风险计算方法        风险计算一般有相乘法或矩阵法。           相乘法           相乘法是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险值。参照《信息安全技术信息安全风险评估规范》，以资产A1为例使用相乘法来计算出网络安全风险值。约定使用计算公式，并对z的计算值进行四舍五入取整得到最终值。基于相乘法计算风险值的过程描述如下。           （1）假设资产A1的风险值计算输入信息，具体如下：           资产价值：A1=4。           威胁发生频率：T1=1。           脆弱性严重程度：脆弱性V1=3。           （2）使用相乘法计算的过程，具体如下：           步骤一，计算安全事件发生的可能性。           输入：威胁发生频率：T1=1，脆弱性严重程度：脆弱性V1=3。           输出：安全事件发生的可能性。           步骤二，计算安全事件的损失。           输入：资产价值：A1=4，脆弱性严重程度：脆弱性V1=3。           输出：安全事件的损失。           步骤三，计算安全风险值。           输入：安全事件发生的可能性，安全事件的损失。           输出：安全事件风险值。           矩阵法           矩阵法是指通过构造一个二维矩阵，形成安全事件发生的可能性与安全事件的损失之间的二维关系。参照《信息安全技术信息安全风险评估规范》，以资产A1为例使用矩阵法来计算出网络安全风险值。基于矩阵法计算风险值的过程描述如下。           （1）假设资产A1的风险值计算输入信息，具体如下：           资产价值：A1=2。           威胁发生频率：T1=2。           脆弱性严重程度：脆弱性V1=2。           （2）使用矩阵法计算的过程，具体如下：           步骤一，计算安全事件发生的可能性。           构建安全事件发生可能性矩阵，如下表所示。           安全事件发生可能性矩阵           根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照，确定安全事件发生的可能性值=6。           步骤二，安全事件发生可能性等级划分。           建立安全事件发生可能性等级划分表，对计算得到的安全事件发生可能性进行等级划分，如下表所示，对照确定安全事件发生可能性等级值=2。           安全事件发生可能性等级划分           步骤三，计算安全事件的损失。           构建安全事件损失矩阵，如下表所示。           安全事件损失矩阵           根据资产价值和脆弱性严重程度值在矩阵中进行对照，确定安全事件损失值=5。           步骤四，划分安全事件损失等级。           建立安全事件损失等级划分表，对计算得到的安全事件损失值进行等级划分，如下表所示，对照确定安全事件损失等级值=1。           安全事件损失等级划分           步骤五，计算风险值。           首先构建风险矩阵，如下表所示。然后，根据上面已经计算出的结果，即安全事件发生可能性等级值=2，安全事件损失等级值=1，对照风险矩阵表查询，确定安全事件风险值=6。           风险矩阵           步骤六，结果判定。           首先建立风险等级划分表，如下表所示。然后，对照风险等级划分表查询，确定风险等级为2。           风险等级划分           步骤七，输出。           根据计算得出资产A1的风险值=6，风险等级为2。

更多复习资料 请登录电脑版软考在线 www.rkpass.cn 京B2-20210865 | 京ICP备2020040059号-5 京公网安备 11010502032051号 | 营业执照  Copyright ©2000-2025 All Rights Reserved 软考在线版权所有