网络安全风险评估中威胁有哪些分类

1、软、硬件故障

对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题。

2、物理环境影响

对信息系统正常运行造成影响的物理环境问题和自然灾害。

3、无作为或操作失误

应该执行而没有执行相应的操作、或无意执行了错误的操作。

4、管理不到位

安全管理无法落实或不到位，从而***信息系统正常有序运行。

5、恶意代码

故意在计算机系统上执行恶意任务的程序代码。

6、越权或滥用

通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出***信息系统的行为。

7、网络攻击

利用工具和技术通过网络对信息系统进行攻击和***。

8、物理攻击

通过物理的接触造成对软件、硬件、数据的***。

9、泄密

信息***给不应了解的他人。

10、篡改

修改信息、***信息的完整性使系统的安全性减低或信息不可用。

11、抵赖

不承认收到的信息和所做的操作和交易。

网络安全风险评估的必要性

       网络与信息安全形势近年发生了巨大变化，以云计算、大数据、物联网、工业互联网、移动互联网为代表的新技术得到了快速应用，科技变革给人们的生活带来诸多便捷的同时，也带来了更多的信息安全隐患和安全挑战。纵观近几年国内外网络与信息安全态势，可以发现网络安全事件发生频率整体呈上升趋势，安全态势变得越来越复杂。LS病毒、挖矿病毒、可延续多年的 APT 攻击、暗网传播的大量 0day 漏洞以及个人信息***等安全问题让各大***面临着挑战，也严重威胁到***的网络空间安全。

      同时，《中华人民共和国网络安全法》（简称《网络安全法》）于 2016 年 11 月 7 日发布，自 2017 年 6 月 1 日起施行。《网络安全法》提出鼓励、开展、建立运营单位的网络与信息安全评估活动、建立健全风险评估体系等系列要求。 2019 年 5月 10 日，GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》正式颁布，自 2019 年 12 月 1 日起施行。加上已于 2015 年 5 月 15 日发布， 2016 年 1 月 1 日实施的 GB/T 31509-2015《信息安全技术 信息安全风险评估实施指南》，自此， 近年来陆续发布的具有***性和前瞻性的******和标准，为各类识别网络安全风险的评估活动提出了进行风险评估工作的要求。

如何保障风险评估服务的效果

为保证信息系统的正常运行，并且保证安全风险评估效果，评估工作将严格遵循以下原则：

标准化原则

严格遵守***和行业的相关***、标准，并参考国际的标准来实施。

 业务主导原则

风险评估主要围绕信息系统所承载业务开展工作，其保障信息系统所承载的业务和业务数据，这种以业务为主导的思想将贯穿整个安全风险评估过程的各个阶段。

 规范性原则

制订严谨的工作方案，通过规范的项目管理在人员、项目实施环节、质量保障和时间进度等方面进行严格管控。

保密性原则

确保所涉及到用户的任何保密信息，不会***给第三方单位或个人，不得利用这些信息损害用户利益。

降低影响原则

评估工作实施对系统和网络的正常运行可能造成的影响得到降低，不对网络系统和业务应用的正常运行产生显著影响，同时在工作实施前做好备份和应急措施。

 互动性原则

与用户（安全管理员、系统管理员、普通用户等相关工作人员）共同参与项目实施的整个过程，从而保证项目执行的效果并提高用户的安全技能和安全意识。