网络信息安全风险评估-风险评估的意义

学习《计算机网络安全》

风险评估的意义

长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等。厂商在安全技术和产品的研发上不遗余力，新的技术和产品不断涌现；消费者也更加相信安全产品，把仅有的预算投入安全产品的采购上。

但实际情况是，单纯依靠技术和产品保障企业信息安全往往不够。复杂多变的安全威胁和隐患靠产品难以消除。“三分技术，七分管理”，这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。

根据有关部门披露的数字，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起的。其中技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成的。

不难看出，属于内部人员方面的原因超过70%，而这些安全问题中的95%可以通过科学的信息安全风险评估来避免。

可见，对于一个企业来说，搞清楚网络信息系统现有以及潜在的风险，充分评估这些风险可能带来的威胁和影响，是企业实施安全建设必须首先解决的问题，也是制订安全策略的基础与依据。

风险评估的意义在于对风险的认识，而风险的处理过程，可以在考虑了管理成本后，选择适合企业自身的控制方法，对同类的风险因素采用相同的基线控制，这样有助于在保证效果的前提下降低风险评估的成本。