本站小編為你精心準備了分析網絡信息安全的風險評估參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

1資產識別

資產是在組織中有一定價值且需要保護的東西。它可以是有形的也可以是無形的，可以以硬件、軟件、代碼、服務等形式存在。通常認為，信息資產的完整性、可用性、機密性是構成資產安全特性的三個因素。不同的資產安全特性決定了信息價值的不同，因此存在的威脅、本身的弱點以及安全控制也就各不相同。為此，需要對組織中的信息資產進行識別，以便制定風險評估策略。

1.1資產分類

資產識別是一個復雜的過程，需要對資產進行適當的分類，這樣才能更有效地開展下一步工作。分類方法應依據具體環境由評估主體靈活把握。資產的種類可分為數據、硬件、軟件、服務、文檔、設備、人員等。

1.2資產賦值

對資產的安全價值進行評估首先要對資產進行賦值，賦值并不是以賬面價值去衡量資產價值。在資產賦值估價時，不僅應考慮資產本身的應有價值，還應該綜合考慮資產組織業務的重要性程度。為保證資產評估的準確性和一致性，評估機構應依據一定的原則，建立規范的評估標準，以準確地對資產進行賦值評估。資產賦值的最終確定是根據資產的可用性、完整性以及機密性三個方面綜合評定，且一般采用由高到低定性相對等級方式，整個等級分為5等，從5到1，由高到低，分別代表五個級別的資產各自相對應價值，等級越高資產的重要性程度也就越高，等級越低，資產也就相對不重要。

2威脅識別

威脅是指可能對整個系統結構的安全性構成潛在危險的破壞性因素。從理論上來講，無論機構的信息系統如何安全，威脅都是客觀存在的，是進行風險評估不得不考慮的因素之一。

2.1威脅分類

威脅的產生因素可以分為環境因素和人為因素兩種。環境因素又分為不可抗因素和其他物理性因素。威脅的作用形式不一，可以是對信息系統的直接攻擊，也可以是間接攻擊。如對非授權信息的破壞、泄露、篡改、刪除等，或者破壞信息的嚴密性、可塑性以及完整性等。一般而言，威脅總是需要借助一定的平臺，如網絡、系統亦或是應用數據的弱點，才會對系統造成損害。針對威脅的產生因素，可以對威脅進行分類，如：軟件障礙、硬件故障、物理環境威脅、操作失誤、惡意病毒、黑客攻擊、泄密、管理不善等。

2.2威脅賦值

在評估的過程中，同樣還需要對引發威脅的可能性賦值。如同資產賦值一般，威脅賦值也是采用定性的相對等級的方式。威脅的等級同樣分為五級，從5到1分別代表由高到低，五個級別引發威脅的可能性。等級數值越高，則表明引發威脅的可能性越大，反之，則越小。

3脆弱性識別

脆弱性評估（又稱弱點評估），是風險評估環節中很重要的內容。任何資產本身都不可避免的存有弱點，這些微小的弱點卻很容易被威脅利用，進而對資產和商業目標造成損害。資產的弱點不僅包括人員構成、組織機構、組織過程、管理技術等，還包括組織軟件、硬件、信息以及物理環境資產的脆弱性。資產脆弱性評估工作主要是從管理和技術兩個方面進行的，是涉及到整個管理層、系統層、網絡層、應用層等各個層面的安全問題。技術脆弱性主要包括系統性安全、網絡化完全、物理性安全、應用性安全等層面。而管理脆弱性主要是指進行安全管理。在很大程度上，資產脆弱性與機構所采取的安全控制措施有關，因此，在判定威脅發生的可能性時應該特別注意已有安全控制會對脆弱性產生的影響。

4總結

在筆者看來，信息安全風險評估流程的設計需要綜合考慮評估前的準備，資產識別、威脅識別、以及脆弱性識別等各個因素，通過綜合分析與評估，制定科學合理的信息安全風險評估流程，這是保證整個信息安全風險評估工作順利進行的關鍵環節，不可忽略。

作者：孫偉成單位：河海大學公共管理學院