随着信息化发展的加速和互联网的普及,网络安全问题也日益突出。各类攻击和漏洞不断涌现,网络安全风险加大,而且风险具有时效性、不确定性、动态性等特点。在保障企业信息系统的安全和稳健运行、防范网络攻击和纵火行为等方面,网络安全风险评估显得十分必要。本文将从网络安全风险评估的作用和网络安全风险量化评估的必要性两个方面进行探究。
一、网络安全风险评估的作用
1.识别风险点,加强安全预防
网络安全风险评估的首要作用是识别安全风险。评估过程会通过安全威胁画像、系统漏洞挖掘等方式,整体分析企业的安全风险点和安全薄弱环节,并确定相关风险事件和风险等级。经过深度挖掘,针对性强的安全措施就可更加有效地实施。在此基础上,企业可以有针对性地制定网络安全预防计划,提前预判和识别风险。
2.提高安全意识,增强防御能力
风险评估是一种自下而上的安全管理方式,其过程实现了对企业安全体系的全面了解和把握,大大提高了企业员工对身份识别、网络安全规则、远程访问管理等安全相关问题的认识和意识。同时,风险评估过程还会指导企业、组织在防御措施方面进行合理布局、因势利导。通过此评估,企业及员工的安全意识和防御能力都将得到进一步提升。
3.合规审计,降低法律风险
网络安全法的实施要求企业落实安全负责人、制定网络安全政策、过滤信息等,如不能做到将会遭受罚款、关停等处罚。风险评估对企业实施合规审计,为企业遵守网络安全法等法律法规提供了实用这条道路的侧重点。
二、网络安全风险量化评估的必要性
1. 提高预测准确性,实现有的防控
计算机较为智能,在某些领域有较高的判断能力。对于虚拟物理世界中许多不知道正确与否的东西,例如很多程序,在预测的准确性上能体现出它的优势。对脚本和攻击行为的流程分析,就是计算机能力的完美体现,比如说使算法域名等等技术。通过人为模拟攻击行为,使用数据科学、统计学和机器学习等技术,量化评估能够计算具体的数值标识,将侵犯缩减为数字数据,进而分析风险的来源、进展、趋势并进行分析。
2. 提高决策科学性,规避损失风险
我们知道,网络安全风险是动态不定的,但是面对风险,企业却不能“放任自流”,必须应对并对决策进行科学分析。对于网络安全风险,需要消除主观性的影响,必须通过量化评估来降低对于决策的误导。量化评估能够更精准地描述风险所带来的损失并进行比较。同时还可依据评估结果,相应调整投资、资源配置、技术部署等策略。
3. 加深企业防御意识,追求安全漏洞的全面性
网络安全风险量化评估的启发是从网络中可能隐藏的安全漏洞出发,充分考虑了企业安全漏洞的综合性与复杂性。从评估的结果反馈中,能够提高企业安全检测的全面性,更为科学地开展各种防范工作。
起来,网络安全风险评估,是一个不断深化的过程,其目标是建立模型、策略和方法,对网络安全风险进行全面风险管理。在大数据时代,越来越多的企业采用网络安全风险量化评估机制,旨在打造合理的网络防范体系,提高企业信息安全保障能力。
相关问题拓展阅读:
- 自测题5:风险评估方法如何创新?
自测题5:风险评估方法如何创新?
信息安全的至关重要性越来越受到更多人的关注,它牵涉的不只是技术问题,更多的是管理问题。信息安全所涉及的工作是识别、度量和减轻运作信息资产所面临的风险,或更低限度要记录这些风险。所以风险评估是信息安全管理中最核心的一环。 ITIL培训
风险评估是在整个信息安全战略中有着“知己知彼”的作用,了解机构运作的薄弱环节所在;了解机构的信息是如何处理、存储和传送以及机构有何种资源可用;发现与评估机构运作的风险;同时确定怎样控制和减少那些风正首锋险。选择一种合适的风险评估方法是进行风险评估的关键,直接影响评估结果的优劣。
常用风险评估方法
2.1 定量分析方法
定量分析方法是根据一定的数据,建立数学模型,再去计算分析各项指标的一种方法。这种方法把整个风险评估的过程和举晌结果量化,然后通过这些被量化的数值对信息系统进行评估判定。常见的定量分析方法有时序序列分析法、因子分析法、聚类分析法、决策树法等。定量分析方法由于在实际操作过程中要收集大量的数据,所需工作量太大而且有时数据保密而无法获得或成本过高,纯定量分析方法已经很少使用。
2.2 定性分析方法
定性分析方法不需要严格的数据来量化各个属性,它采用人为的判断、只关注威胁事件所带来的损失,而忽略事件发生的概率。利用一些非量化的指标对信息系统进行判断,最后,根据风险评估计算公式得出风险值。常用的定性分析方法有:德尔菲法、OCTAVE方法等。
定性分析方法由于是非量化的,主观性强,对评估者要求相对较高,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻,使用比较广范。
2.3 定量定性结合分析方法
定量定性结合的分析方法是把前两种方法结合起来,取长补短,发挥各自的优势,比如在现场调查阶段,针对系统关键资产进行定量的调查、分析,提供量化的参考依据,在风险分析阶段,可以采用定性的分析形成概念、观点、作出判断,得出结论。常用的方法有层次分析法(AHP)、故障树分析方法、模糊综合评价法等。定量定性结合的分析方法由于网络环境的多元化,信息安全风险评估的不确定性因素随之增加,采用这种评估方法,能更精确地对大型系统进行风险评估,是实际应用中最常使用的方法。
风险评估新方法的发展
近年来,国内外学者对信息安全风险评估做了大量研究,人们也在探索更科学的理论、技术和方法。本文对风险评估的新方法进行探讨,希望有助于新方法的论证和推广应用。
国内学者基于前面三类常用方法做出了一些研究,将更多的新技术应用到信息安全风险评估中,提出了一些新的评估方法。如基于模糊层次法的评估方法、基于模糊-小波神经网络的评估方法、基于逻辑渗透图模型的评估方法、基于离散动态贝叶斯网络的评估方法等。
3.1 基于模糊层次法的评估方法
通过对层次分析法和模糊评价法分别进行改进,将两者有机结合,分析和评估风险事件发生的概率和影响,以确定各风险因素的风险等级,并给出了信息系统的风险控制建议。该方法通过算例表明是一种有效且操作性强的方法。
3.2 基于模糊-小波神经芹塌网络的评估方法
此方法是将人工神经网络(ANN)理论应用到风险评估。首先将人工神经网络应用于信息系统风险因素评估,对神经网络的输入进行了预处理,将模糊系统的输出作为神经网络的输入。人工神经网络经过训练,可以实时地估算风险因素的级别。然后提出了一种信息安全风险评估的小波神经网络模型,该模型以非线性小波基为神经元函数,通过优化伸缩因子和平移因子确定对应各神经元的小波基函数,从而合成小波神经网络。该模型经过训练后可用于信息、安全风险因素的评估,精度更高。ITIL
3.3 基于逻辑渗透图模型的评估方法
这是一种基于逻辑渗透图模型的网络安全风险评估方法)(LEG-SRA),该方法建立了一套识别网络系统需要受保护的安全目标的方法,该方法可将安全目标与网络系统的关信息资产及其安全需求关联起来。基于这种关联关系,能够在真实的业务背景下识别与分析各种风险因素,使风险评估结果和安全改进活动更具有现实意义;基于威胁主体的行为特征对安全风险的形成过程进行建模,确定威胁主体利用脆弱性制造风险的过程及其蕴含的时序逻辑,并在此基础上计算安全风险的更大成功概率;采用客观数据、主观数据和缺失数据相结合方法进行风险量化评估,通过对原子渗透敏感度和风险概率可信度来调整不确定数据对评估结果的影响,不断地进行数据采集和计算反馈,从而使得评估结果趋于更加精确和可信;评估结果可以直接支持科学的安全改进活动;针对不同的网络系统可以对评估方法进行定制,根据网络系统实际情况和评估者的意愿对评估流程进行动态调整,合理配置资源,突出安全管理的重点;能够监测风险的变化情况,这几个方面因素中任何因素的变化都可能触发新一轮评估周期,以产生新的适应于新形势的安全方案。
3.4 基于离散动态贝叶斯网络的评估方法
首先用指定的网络初始状态和条件概率对模型进行初始化;当某一时刻检测到新的风险指标变量信息,即网络的叶结点信息更新或者说是网络的观测结点的信息更新,则触发网络模型推理,通过推理算法,得到网络风险的后验概率,从而更新整个网络结点状态的概率分布,更新后的后验概率分布则作为下一时刻推理的依据;通过时序观测数据的不断输入模型,可得到网络实时风险,进而采取相应的措施对风险进行实时的控制。
以上四种方法是在对现阶段的大量研究进行解读后得到风险评估的新的方法,通过分析,我们可以得到:由于信息技术应用的更加广泛、信息安全风险因素难以获取、不确定性较多的特点,一种风险评估方法难以进行准确的风险分析,就要两种方法相结合,或者把先进的计算机技术应用到信息安全风险评估中,得到更精确,实践性更强的评估方法。新方法中的基于模糊层次法的评估方法、基于模糊-小波神经网络的评估方法可以应用于各个风险因素风险级别的计算;基于逻辑渗透图模型的评估方法、基于离散动态贝叶斯网络的评估方法可以动态的、实时的对网络信息系统进行风险评估。
结束语
对信息系统进行风险评估时,选择不同的方法对评估的有效性占有举足轻重的地位,直接影响到评估过程中的每个环节,甚至可以左右最终的评估结果,影响决策者的重大决定。所以在选择时应该考虑法律、法规、政策和标准要求;电子商务或者电子政务的特殊行业要求;风险评估方法应与风险接受准则和组织相关目标相一致,并能产生可再现的结果;风险评估应包括风险分析和风险评价;风险评估的结果应能识别、量化和区分风险的优先次序,用以指导确定适当的管理措施及其优先级。
网络安全风险量化评估的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于网络安全风险量化评估,网络安全风险评估有何作用?——探究网络安全风险量化评估的必要性,自测题5:风险评估方法如何创新?的信息别忘了在本站进行查找喔。
