网络安全风险评估方法有

A. 网络安全风险与对策

网络安全风险与对策【1】

摘要：要使网络信息在一个良好的环境中运行，加强网络信息安全至关重要。

必须全方位解析网络的脆弱性和威胁，才能构建网络的安全措施，确保网络安全。

本文在介绍网络安全的脆弱性与威胁的基础上，简述了网络安全的技术对策。

关键词：网络安全 脆弱性 威胁 技术对策

一、网络安全的脆弱性

计算机网络尤其是互连网络，由于网络分布的广域性、网络体系结构的开放性、信息资源的共享性和通信信道的共用性，使计算机网络存在很多严重的脆弱性。

1.不设防的网络有许多个漏洞和后门

系统漏洞为病毒留后门，计算机的多个端口、各种软件，甚至有些安全产品都存在着或多或少的漏洞和后门，安全得不到可靠保证。

2.电磁辐射

电磁辐射在网络中表现出两方面的脆弱性：一方面，网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源;另一方面，网络的终端、打印机或其他电子设备在工作时产生的电磁辐射泄露，可以将这些数据(包括在终端屏幕上显示的数据)接收下来，并且重新恢复。

4.串音干扰

串音的作用是产生传输噪音，噪音能对网络上传输的信号造成严重的破坏。

5.硬件故障

硬件故障可造成软件系统中断和通信中断，带来重大损害。

6.软件故障

通信网络软件包含有大量的管理系统安全的部分，如果这些软件程序受到损害，则该系统就是一个极不安全的网络系统。

7.人为因素

系统内部人员盗窃机密数据或破坏系统资源，甚至直接破坏网络系统。

8.网络规模

网络规模越大，其安全的脆弱性越大。

9.网络物理环境

这种脆弱性来源于自然灾害。

10.通信系统

一般的通信系统，获得存取权是相对简单的，并且机会总是存在的。

一旦信息从生成和存储的设备发送出去，它将成为对方分析研究的内容。

二、网络安全的威胁

网络所面临的威胁大体可分为两种：一是对网络中信息的威胁;二是对网络中设备的威胁。

造成这两种威胁的因有很多：有人为和非人为的、恶意的和非恶意的、内部攻击和外部攻击等，归结起来，主要有三种：

1.人为的无意失误

如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。

2.人为的恶意攻击

这是计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。

此类攻击又分为以下两种：一种是主动攻击，它是以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。

这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。

3.网络软件的漏洞和后门

网络软件不可能是百分之百的`无缺陷和漏洞的。

然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，黑客攻入网络内部就是因为安全措施不完善所招致的苦果。

另外，软件的后门都是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦后门洞开，其造成的后果将不堪设想。

三、网络安全的技术对策

一个不设防的网络，一旦遭到恶意攻击，将意味着一场灾难。

居安思危、未雨绸缪，克服脆弱、抑制威胁，防患于未然。

网络安全是对付威胁、克服脆弱性、保护网络资源的所有措施的总和。

针对来自不同方面的安全威胁，需要采取不同的安全对策。

从法律、制度、管理和技术上采取综合措施，以便相互补充，达到较好的安全效果。

技术措施是最直接的屏障，目前常用而有效的网络安全技术对策有如下几种：

1.加密

加密的主要目的是防止信息的非授权泄露。

网络加密常用的方法有链路加密、端点加密和节点加密三种。

链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。

信息加密过程是由形形色色的加密算法来具体实施的，加密算法有许多种，如果按照收发双方密钥是否相同来分类，可分为常规密码算法和公钥密码算法，但在实际应用中人们通常将常规密码算法和公钥密码算法结合在一起使用，这样不仅可以实现加密，还可以实现数字签名、鉴别等功能，有效地对抗截收、非法访问、破坏信息的完整性、冒充、抵赖、重演等威胁。

因此，密码技术是信息网络安全的核心技术。

2.数字签名

数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等安全问题。

数字签名采用一种数据交换协议，使得收发数据的双方能够满足两个条件：接受方能够鉴别发送方宣称的身份;发送方以后不能否认他发送过数据这一事实。

数据签名一般采用不对称加密技术，发送方对整个明文进行加密变换，得到一个值，将其作为签名。

接收者使用发送者的公开密钥签名进行解密运算，如其结果为明文，则签名有效，证明对方省份是真实的。

3.鉴别

鉴别的目的是验明用户或信息的正身。

对实体声称的身份进行唯一地识别，以便验证其访问请求、或保证信息来自或到达指定的源目的。

鉴别技术可以验证消息的完整性，有效地对抗冒充、非法访问、重演等威胁。

按照鉴别对象的不同，鉴别技术可以分为消息源鉴别和通信双方相互鉴别。

鉴别的方法很多;利用鉴别码验证消息的完整性;利用通行字、密钥、访问控制机制等鉴别用户身份，防治冒充、非法访问;当今最佳的鉴别方法是数字签名。

利用单方数字签名，可实现消息源鉴别，访问身份鉴别、消息完整性鉴别。

4.访问控制

访问控制是网络安全防范和保护的主要对策，它的目的是防止非法访问，访问控制是采取各种措施保证系统资源不被非法访问和使用。

一般采用基于资源的集中式控制、基于源和目的地址的过滤管理、以及网络签证技术等技术实现。

5.防火墙

防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互连环境中。

在大型网络系统与因特网互连的第一道屏障就是防火墙。

防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，其基本功能为：过滤进、出网络的数据;管理进出网络的访问行为：封堵某些禁止行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和和告警。

随着计算机技术和通信技术的发展，计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段，渗透到社会生活的各个领域。

因此，认清网络的脆弱性和潜在威胁，采取强有力的安全对策，对于保障网络的安全性将变得十分重要。

参考文献：

[1]张世永.网络安全原理与应用.北京：科学出版社，2003.

[2]崔国平.国防信息安全战略.北京：金城出版社，2000.

网络安全风险评估的仿真与应用【2】

摘 要 伴随着互联网的普及和应用，网络安全问题日益突出，在采用防火墙技术、入侵检测和防御技术、代理技术、信息加密技术、物理防范技术等一系列网络安全防范技术的同时，人们开始采用网络安全风险评估的方法辅助解决网络安全问题。

为提高网络安全风险评估准确率，本文提出了一种基于支持向量机的评价模型，通过仿真分析，得出采用该模型进行网络安全风险评估具有一定可行性，值得应用。

关键词 网络安全 安全风险评估 仿真

当今时代是信息化时代，计算机网络应用已经深入到了社会各个领域，给人们的工作和生活带来了空前便利。

然而与此同时，网络安全问题也日益突出，如何通过一系列切实有效的安全技术和策略保证网络运行安全已成为我们面临的重要课题。

网络安全风险评估技术很早前就受到了信息安全领域的关注，但发展至今，该技术尚需要依赖人员能力和经验，缺乏自主性和实效性，评价准确率较低。

本文主要以支持向量机为基础，构建一个网络安全风险评估模型，将定性分析与定量分析相结合，通过综合数值化分析方法对网络安全风险进行全面评价，以期为网络安全管理提供依据。

1网络安全风险评估模型的构建

网络安全风险模型质量好坏直接影响评估结果，本文主要基于支持向量机，结合具有良好泛化能力和学习能力的组合核函数，将信息系统样本各指标特征映射到一个高维特征空间，构成最优分类超平面，构造网络信息安全风险二分类评估模型。

组合核函数表示为：

K(x，y)=d1Kpoly(x，y)+d2KRBF(x，y) d1+d2=1

Kpoly为多项式核函数，KRBF为径向基核函数。

组合核函数能够突出测试点附近局部信息，也保留了离测试点较远处的全局信息。

本文主要选用具有良好外推能力的d=2，d=4阶多项式。

另外一方面，当%l=1时，核函数局部性不强，当%l=0.5时，核函数则具有较强局部性，所以组合核函数选用支持向量机d=2，%l=0.5的组合进行测试。

2仿真研究

2.1数据集与实验平台

构建网络安全风险评估模型前，需要在深入了解并归纳网络安全影响因素的基础上，确定能够反映评估对象安全属性、反映网络应对风险水平的评估指标，根据网络安全三要素，确定资产(通信服务、计算服务、信息和数据、设备和设施)、威胁(信息篡改、信息和资源的破坏、信息盗用和转移、信息泄露、信息丢失、网络服务中断)和脆弱性(威胁模型、设计规范、实现、操作和配置的脆弱性)为网络安全风险评估指标，从网络层、传输层和物理层三方面出发，构建一个完整的网络安全评估指标体系。

将选取的网络安全风险评价指标划分为可忽略的风险、可接受的风险、边缘风险、不可接受的分享、灾变风险五个等级。

在此之后，建立网络评估等级，将网络安全风险评估等级定为安全、基本安全、不安全、很不安全四个等级。

确定评价指标后，构造样本数据集，即训练样本集和测试样本集。

为验证模型可行性和有效性，基于之前研究中所使用的有效的网络实验环境，构建实验网络，在实验网络中设计网络中各节点的访问控制策略，节点A为外网中的一台PC机，它代表的是目标网络外的访问用户;节点B网络信息服务器，其WWW服务对A开放，Rsh服务可监听本地WWW服务的数据流;节点C为数据库，节点B的WWW服务可向该数据库读写信息;节点D为管理机，可通过Rsh服务和Snmp服务管理节点B;节点E为个人计算机，管理员可向节点C的数据库读写信息。

2.2网络安全风险评估模型实现

将数据分为训练数据和测试数据，如果每一个训练数据可表示为1?6维的行向量，即：

Rm=[Am，0，Am，1，Am，2，……Am，15]

那么，整个网络信息系统安全性能指标矩阵为：

Rm=[R0，R1，R2，……Rm-1]

将这M个项目安全性能指标矩阵作为训练数据集，利用训练数据集对二分类评估模型进行训练，作非线性变换使训练数据成为线性可分，通过训练学习，寻找支持向量，构造最优分类超平面，得出模型决策函数，然后设定最小误差精度和最大训练次数，当训练精度小于预定目标误差，或是网络迭代次数达到最大迭代次数，停止训练，保存网络。

采用主成分析法即“指标数据标准化――计算协方差矩阵――求解特征值和U值――确定主成分”对指标进行降维处理，消除冗余信息，提取较少综合指标尽可能多地将原有指标信息反映出来，提高评价准确率。

实际操作中可取前5个主成分代表16个指标体系。

在训练好的模型中输入经过主成分析法处理后的指标值，对待评估的网络进行评估，根据网络输出等级值来判断网络安全分等级。

2.3实验结果与分析

利用训练后的网络对测试样本集进行测试后，得到测试结果。

结果表明，基于支持向量机的二分类评估模型能正确地对网络的安全等级进行评价，评估准确率高达100%，结果与实际更贴近，评估结果完全可以接受。

但即便如此，在日常管理中，仍需加强维护，采取适当网络安全技术防范黑客攻击和病毒侵犯，保证网络正常运行。

3结语

总之，网络安全风险评估技术是解决网络安全风险问题行之有效的措施之一。

本文主要提出了一种基于支持向量机的二分类评估模型，通过仿真分析，得到该模型在网络安全风险的量化评估中具有一定可行性和有效性的结论。

未来，我们还应考虑已有安全措施和安全管理因素等对网络安全的影响，通过利用网络数据，进一步改进评估模型和相关评估方法，以达到完善评估效果的目的。

参考文献

[1] 步山岳，张有东.计算机安全技[M].高等教育出版社，2005，10.

[2] 张千里.网络安全新技术[M].人民邮电出版社，2003.

[3] 冯登国.网络安全原理与技术[M].科技出版社，2003，9.

B. 风险评估的方法有哪些

介绍一下风险评估的五种方法，这些方法各有所长、各有所重，针对不同的风险识别对象，可灵活运用，或专取一种，或几种组合，主要应考虑其有效性和员工的接受性，最终的目的是准确地识别出所有可能的有价值的风险，为后续的风险评估和风险控制提供可靠的依据。

1 现场观察法：通过对工作环境的现场观察，以查找现场隐患的方式发现存在的危险源，适应范围较广。

优点：现场观察法适用各场所及作业环节；缺点：①从事现场观察的人员，要求具有安全技术知识和掌握了完善的职业健康安全法规、标准；②不适应于大面积的观察。

2 安全检查表法SCL：它是由一些对工艺过程、机械设备和作业情况熟悉并富有安全技术、安全管理经验的人员，根据有关规范、标准、工艺、制度等事先对分析对象进行详尽分析和充分讨论，列出检查项目和检查要点等内容并编制成表。分析者依据现场观察、阅读系统文件、与操作人员交谈、以及个人的理解，通过回答安全检查表所列的问题，发现系统设计和操作等各个方面与标准、规定不符的地方，记下差异。

优点：安全检查表是定性分析的结果，是建立在原有的安全检查基础之上，简单易学，容易掌握，尤其适用于岗位员工进行危害因素辨识，对其起到很好的提示作用，便于全面辨识危害因素。缺点：检查表约束限制了人们主管能动性的发挥，对不在检查表中反映的问题，可能会被忽视，因此，采用该方法可能会漏掉以往未曾出现过的一些新的危害。

应用范围：安全检查表一般适用于比较成熟（或传统）的行业，领域的危害因素辨识，且需要事先编制检查表，以对照进行辨识。安全检查表法尤其适用于一线岗位员工进行危害因素辨识，如，作业活动开始前，或对设备设施的检查等等。只能对已经有的或传统的业务对象、活动进行检查，对新业务活动、新行业领域的危害因素辨识不适用此法。

危害因素辨识所使用的检查表与安全检查时所使用的检查表并不完全一致，它们大致相同，但又各有侧重，因此，不应直接使用安全检查表所用的检查表进行危害因素辨识，应在其基础上进行修改、补充，最好是重新编制。

3 预先危险性分析法PHA：预先危险性分析又称初步危险性分析，是在进行某项工程活动（包括设计、施工、生产、维修等）之前，对系统存在的各种危险因素（类别、分布）、出现条件和事故可能造成的后果进行宏观、概略分析的系统安全分析方法。

优点：在最初构思产品设计时，即可指出存在的主要危险，从一开始便可采取措施排除、降低和控制它们，避免由于考虑不周造成损失。在进行庞大、复杂系统危害因素辨识，可以首先通过预先危险性分析，分析判断系统主要危险所在，从而有针对性地对主要风险进行深入分析。缺点：易受分析人员主观因素影响。另外，预先危险性分析一般都是概略性分析，只能提供初步信息，且精准程度不高，复杂或高风险系统需在此基础上，借助其他方法再做进一步分析。PHA只能提供初步信息，不够全面，也无法提供有关风险及其最佳风险预防措施方面的详细信息。

应用范围：预先危险性分析一般用于项目评价的初期，通过预先危险性分析过滤一些风险性低的环节、区域，同时，也为在其它风险性高的环节、区域，进一步采用其它方法进行深入的危害因素辨识创造了条件。适用于固有系统中采取新的方法，接触新的物料、设备的危险性评价。当只希望进行粗略的危险和潜在事故情况分析时，也可以用PHA对已建成的装置进行分析。

4 工作危害分析法JHA：工作危害分析（JHA）又称工作安全分析(JSA)是目前欧美企业在安全管理中使用最普遍的一种作业。安全分析与控制的管理工具，是为了识别和控制操作危害的预防性工作流程。通过对工作过程的逐步分析，找出其多余的、有危险的工作步骤和工作设备/设施，制定控制和改进措施，以达到控制风险、减少和杜绝事故的目标。

优点：该方法简单明了，通俗易懂，尤其是目前已开发JSA/JHA方法标准，可操作性强，便于实施。使作业人员更加清楚地认识到作业过程的风险，使预防措施更有针对性、可操作性。缺点：该方法在危害因素辨识方面并无太多优势，它并不是推荐用于危害因素辨识的专门方法，但由于其简单明了、可操作，一般用于非常规作业活动的风险管理。

应用范围：工作危害分析一般应用于一些作业活动，如对新的作业、非常规（临时）的风险管理（当然，包括危害因素辨识），或者在评估现有的作业，改变现有的作业时，开展工作危害分析。工作危害分析不适用于对连续性工艺流程以及设备、设施等方面的危害因素辨识。

5 故障类型及影响分析法FMEA：故障类型和影响分析就是在产品设计过程中，通过对产品各组成单元潜在的各种故障类型及其对产品功能的影响进行分析。并把每一个故障按它的严重程度予以分类，提出可以采取的预防、改进措施，以提高是将工作系统分别分割为子系统、设备或原件，逐个分析各自可能发生的故障类型及产生的影响，以便采取相应的防治措施，提高系统的安全性。

优点：系统化表述工具；创造了详细的可审核的危害因素辨识过程；适用性较广，广泛适用于人力、设备和系统失效模式，以及软硬件等。

缺点：该方法只考虑了单个的失效情况，而无法把这些失效情况综合在一起去考虑；该方法需要依靠哪些对该系统、装置有着透彻了解的专业人士的参与；另外，该方法耗时费力，花费较高。

应用范围：故障类型及影响分析广泛应用于制造行业产品生命周期的各个阶段，尤其适用于产品或工艺设计阶段的危害因素辨识。如果说要做好作业活动的危害因素辨识需要细化活动步骤，那么，设备、装置的危害因素辨识就要细化其功能单元，在此基础上，才能做好设备、装置的危害因素辨识，FMEA方法就是范例。

C. 如何进行企业网络的安全风险评估

安全风险评估，也称为网络评估、风险评估、网络安全评估、网络安全风险评估，它是指对网络中已知或潜在的安全风险、安全隐患，进行探测、识别、控制、消除的全过程，是企业网络安全管理工作的必备措施之一。

安全风险评估的对象可以是整个网络，也可以是针对网络的某一部分，如网络架构、重要业务系统。通过评估，可以全面梳理网络资产，了解网络存在的安全风险和安全隐患，并有针对性地进行安全加固，从而保障网络的安全运行。

一般情况下，安全风险评估服务，将从IT资产、网络架构、网络脆弱性、数据流、应用系统、终端主机、物理安全、管理安全共8个方面，对网络进行全面的风险评估，并根据评估的实际情况，提供详细的网络安全风险评估报告。

成都优创信安，专业的网络安全服务、网站安全检测、IT外包服务提供商。我们提供了专业的网络安全风险评估服务，详细信息可查看我们网站。

D. 如何对网络安全进行风险评估

安全风险分为四个颜色，红、蓝、黄、绿。
分别对应四个等级，其含义和用途：
（1）红色：表示禁止、停止，用于禁止标志、停止信号、车辆上的紧急制动手柄等；
（2）蓝色：表示指令、必须遵守的规定，一般用于指令标志；
（3）黄色：表示警告、注意，用于警告警戒标志、行车道中线等；
（4）绿色：表示提示安全状态、通行，用于提示标志、行人和车辆通行标志等。



(4)网络安全风险评估方法有扩展阅读：
国家标准GB2893—82《 安全色》对安全色的含义及用途、照明要求、颜色范围以及检查与维修等均作了具体规定。
根据《安全色》（GB2893-2001），国家规定了四种传递安全信息的安全色：红色表示禁止、危险；黄色表示警告、注意；蓝色表示指令、遵守；绿色表示通行、安全。
安全风险评估
安全风险评估：就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。
风险评估工作贯穿信息系统整个生命周期，包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。
常用的安全风险评价方法：
1、工作危害分析（JHA）；
2、安全检查表分析（SCL）；
3、预危险性分析（PHA）；
4、危险与可操作性分析（HAZOP）；
5、失效模式与影响分析（FMEA）；
6、故障树分析（FTA）；
7、事件树分析（ETA）；
8、作业条件危险性分析（LEC）等方法。

E. 网络安全评估主要有哪些项目

网络安全评估，也称为网络评估、风险评估、网络风险评估、安全风险评估。一般情况下，它包括以下几个方面：
网络资产评估、网络架构评估、网络脆弱性评估、数据流评估、应用系统评估、终端主机评估、物理安全评估、管理安全评估，一共8个方面。

成都优创信安，专业的网络和信息安全服务提供商。

F. 信息网络安全评估的方法

信息网络安全发展的时间是比较短的，所以，存在的问题还是比较多的、下面一起来看看信息网络安全风险评估的方法。
方法/步骤
1/6 分步阅读
定制适合的评估方法

在之前会有很多的评估方法，当我们需要评估的时候，应该将那些案例作为参考。然后，根据自己产品的特点，制定出适合的评估方法。

2/6
制定完整的框架

在做信息网络安全风险评估的时候，不只是要评估存在的风险，也是需要为管理提供一个基础的依据，整理出相关的数据。应该为产品设计一个1到2年的设计框架，这样才有一个基础的保证。

3/6
对用户的需求进行评估

不同的用户会有不用的需求，同时就会存在不同的风险，想要查找出风险，就需要和用户进行必要的沟通。多与用户沟通，对风险的评估有很大的帮助。

4/6
细致的分析

现在大多数的企业的系统都是比较复杂的，同时风险也是越来越隐蔽，越来越多的。所以，有必要对此进行一个细致深度的评估。找出了风险了以后，还需要找出为什么会存在风险，并找到解决方法。

5/6
系统的管理

对于评估信息网络安全风险并不是一个人就可以完成的，需要拥有一个专业的团队才可以及时有效的应对。拥有专业知识的团队是评估风险的一个保障、

6/6
计划好评估过程

在评估的时候一般是有前期，中期，后期这三个评估的过程的。在每一个过程都需要做不同的事情。同时也需要对风险评估有一个重要的认识，才可以准确的评估出风险。

G. 信息安全风险评估包括哪些

一、ISO27001信息安全管理体系标准的发展
随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO2700:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。ISO2700:2005-1与ISO2700:2005-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，ISO2700:2005-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，ISO2700:2005-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时ISO2700:2005-2:1999被废止。现在，ISO2700:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。目前除英国之外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对ISO2700:2005标准感兴趣，我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。截至2002年9月，全球共有142家各类组织通过了ISO2700:2005信息安全管理体系认证。

H. 风险评估分为哪几个步骤

1、资产识别与赋值：对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的损失大小，根据危害和损的大小为资产进行相对赋值；资产包括硬件、软件、服务、信息和人员等。

2、威胁识别与赋值：即分析资产所面临的每种威胁发生的频率，威胁包括环境因素和人为因素。

3、脆弱性识别与赋值：从管理和技术两个方面发现和识别脆弱性，根据被威胁利用时对资产造成的损害进行赋值。

4、风险值计算：通过分析上述测试数据，进行风险值计算，识别和确认高风险，并针对存在的安全风险提出整改建议。

5、被评估单位可根据风险评估结果防范和化解信息安全风险，或者将风险控制在可接受的水平，为最大限度地保障网络和信息安全提供科学依据。

(8)网络安全风险评估方法有扩展阅读

风险评估的操作范围可以为整个组织，也可以是组织中的某一部门，或者独立的信息系统、特定系统组件和服务。

影响风险评估进展的某些因素，包括评估时间、力度、展开幅度和深度，都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。

风险评估的主要任务包括：识别评估对象面临的各种风险；评估风险概率和可能带来的负面影响；确定组织承受风险的能力；确定风险消减和控制的优先等级；推荐风险消减对策。

I. 风险评估程序有哪些

网络安全风险评估的过程主要分为：风险评估准备、资产识别过程、威胁识别过程、脆弱性识别过程、已有安全措施确认和风险分析过程。

1、风险评估准备

该阶段的主要任务是制定评估工作计划，包括评估目标、评估范围、制定安全风险评估工作方案。根据评估工作需要，组件评估团队，明确各方责任。

2、资产识别过程

资产识别主要通过向被评估方发放资产调查表来完成。在识别资产时，以被评估方提供的资产清单为依据，对重要和关键资产进行标注，对评估范围内的资产详细分类。根据资产的表现形式，可将资产分为数据、软件、硬件、服务和人员等类型。

根据资产在保密性、完整性和可用性上的不同要求，对资产进行保密性赋值、完整性赋值、可用性赋值和资产重要程度赋值。

3、威胁识别过程

在威胁评估阶段评估人员结合当前常见的人为威胁、其可能动机、可利用的弱点、可能的攻击方法和造成的后果进行威胁源的识别。威胁识别完成后还应该对威胁发生的可能性进行评估，列出为威胁清单，描述威胁属性，并对威胁出现的频率赋值。

4、脆弱性识别过程

脆弱性分为管理脆弱性和技术脆弱性。管理脆弱性主要通过发放管理脆弱性调查问卷、访谈以及手机分析现有的管理制度来完成;技术脆弱性主要借助专业的脆弱性检测工具和对评估范围内的各种软硬件安全配置进行检查来识别。脆弱性识别完成之后，要对具体资产的脆弱性严重程度进行赋值，数值越大，脆弱性严重程度越高。

5、已有安全措施确认

安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统;保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。

6、风险分析过程

完成上述步骤之后，将采用适当的方法与工具进行安全风险分析和计算。可以根据自身情况选择相应的风险计算方法计算出风险值，如矩阵法或相乘法等。如果风险值在可接受的范围内，则改风险为可接受的风险;如果风险值在可接受的范围之外，需要采取安全措施降低控制风险。

J. 网络风险评估

网络风险评估，也称为安全风险评估、网络安全风险评估，它是指对网络中已知或潜在的安全风险、安全隐患，进行探测、识别、控制、消除的全过程，是企业网络安全管理工作的必备措施之一。通过网络安全评估，可以全面梳理网络中的资产，了解当前存在的安全风险和安全隐患，并有针对性地进行安全加固，从而保障网络的安全运行。

评估对象可以是面向整个网络的综合评估；也可以是针对网络某一部分的评估，如网络架构、重要业务系统、重要安全设备、重要终端主机等。

成都优创网络，专注于网络安全评估、网站安全检测、安全应急响应。