网络安全风险:是指用于网络的脆弱性
    CIA+可控性
    风险评估:分析网络系统的CIA+可控性,看看其脆弱性以及威胁,还有由此被利用后的实际影响(若发生攻击,对此的影响)。
    评估要素:资产、脆弱性、威胁、安全措施、风险
    评估模式(评估方与被评估方):
    1.自评估:自己评估
    2.检查评估:由安全管理机关、业务主管发起(确保符合标准)
    3.委托评估:第三方专业机构

    评估过程:
    1.评估准备:确定评估对象和范围
    2.资产识别(资产、鉴定、资产估值),5个等级(不重要、不太、中等、高、很高)
    3.威胁识别:来源、途径、能力、效果、意图、频率(5个等级,同上)
    4.脆弱性识别:通过各种测试方法、获得资产中的缺陷清单
    5.风险分析

    分析包括:
    分析方法:
    1.定性:给出主观评估,再给出风险计算结果(概率)
    2.定量:量化资产,威胁,脆弱性等
    3.定性和定量:量化,然后用相乘法或矩乘法完成
    风控措施:
    1.制定策略
    2.建立安全组织
    3.资产分类控制
    4.人员管理
    5.保证物理安全和环境安全
    6.加强安全通信运行
    7.采用访问控制机制
    8.进行安全系统开发与维护
    9.保证业务持续运行
    10.遵循法律法规、安全目标、一致性检查
    评估方法:
    1.资产信息搜集:查询资产登记数据库
    2.网络拓扑发现:获取资产关联结构信息
    3.漏扫:寻找脆弱性
    4.人工检查(常规补丁查找补全等)
    5.网络安全渗透测试:漏洞发现、攻击链构造复现
    6.通过问卷获取目前资产的安全措施效果情况
    管理类:面向管理者、操作员
    技术类:面向工厂技术人员
    7.访谈:与管理者、使用者等交谈,以获悉相关措施的实施在实际中是否起效
    8.审计数据分析:通常用于威胁识别,基于审计数据
    9.入侵检测
    评估前准备:确定对象、范围、颗粒度、时间 =》签订保密协议和合同 =》成立小组=》选择评估模式
    评估方案设计与论证、评估方案实施(至少两人且是签字同意的)
    评估报告撰写、结果评审与认可(最高管理者或上级主管机关对风险结构验收)

    应用:
    1.网络安全规划和设计
    2.网络安全等级保护
    3.网络安全运维与应急响应
    4.数据安全管理运营

    OWASP评估方法:
    1.确定风险类别(攻击者、攻击方法、利用漏洞和业务影响方面的信息)
    2.评估可能性因素(多方面分析风险发生可能性)
    3.评估影响的因素(技术影响因素、管理影响因素)
    4.确定严重程度
    数值:0~3 低 3~6中 6~9高
    表:行(影响)列(利用难度)低中高组成形成最终评级,口诀(双低注意、双高严重、低拉低、中不变)
    5.决定修复内容
    6.定制合适的评估模型(提高准确度)

    ICT供应链安全威胁识别参考:CIA+可控性
    ICT威胁识别参考:平台硬件、平台软件、平台配置和管理

    人工智能安全风险分析参考:保护人工智能的完整性、保密性、可用性、鲁棒性、透明性、公平性和保护隐私的能力。