信息安全风险评估概述
- 2017-06-06 10:20:00
- 网站编辑 原创
- 4726
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
1.2风险评估相关
资产,任何对组织有价值的事物。
威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。
风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。
风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
1.3信息安全现状
伴随着信息技术的飞速发展,我国高校信息化建设不断取得新的成果,高校信息的安全是学校正常运行的保证。据统计,100%的一类重点本科高校拥有校园网,10%以上的高校已经开始建设数字化校园。各个院校对网络和信息系统的依赖程度越来越大,同时面临的信息安全问题也更加复杂化,如何在有限的人力、物力、财力条件下最大限度保障信息安全是每个院校面临的共同问题。因此,对高校进行信息安全风险评估势在必行。
1.4风险评估目的
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。
发表评论
文章分类
联系我们
| 联系人: | 谭主任 |
|---|---|
| 电话: | 13699061441 |
| 传真: | 028-64700918 |
| Email: | scscjc64700668@163.com |
| 网址: | www.scscjc.com |
| 地址: | 四川省成都市成华区建业路109号朗基城公馆1栋3单元19楼1926 |
友情链接