术语解读：T/CCIA 001-2022 面向网络安全保险的风险评估指引安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科网络安全百科-网络安全114-网络安全在线-网络安全黄页

中国网络安全产业联盟团体标准

T/CCIA 001-2022 面向网络安全保险的风险评估指引（Risk assessment guidelines for cybersecurity insurance）

1 风险 risk

风险是指在特定情况下，某一事件发生的可能性以及其可能带来的不利后果。

特征：（1）不确定性（2）潜在损失（3）可变性

分类：

按风险的来源分类
- 自然风险：由自然现象引起的风险，如地震、洪水、台风等自然灾害。这些风险通常是不可控的，但可以通过采取预防措施和保险等方式来减轻损失。
- 人为风险：由人类活动引起的风险，包括故意行为和无意行为。故意行为如犯罪、恐怖袭击等；无意行为如操作失误、疏忽大意等。人为风险可以通过加强安全管理、提高人员素质等方式来降低。
- 经济风险：与经济活动相关的风险，如市场波动、通货膨胀、汇率变化等。经济风险会影响企业的盈利能力和财务状况，需要通过合理的财务管理和风险对冲策略来应对。
- 技术风险：与技术发展和应用相关的风险，如技术故障、技术过时、网络安全等。技术风险需要通过不断的技术创新和风险管理来控制。
按风险的影响范围分类
- 个体风险：影响个人的风险，如个人健康问题、财产损失等。个体风险通常由个人的行为和生活方式决定，可以通过个人的风险管理和保险来应对。
- 组织风险：影响组织的风险，如企业的经营风险、财务风险、法律风险等。组织风险需要通过企业的风险管理体系来管理，包括风险评估、风险控制、风险转移等。
- 社会风险：影响整个社会的风险，如环境污染、公共卫生事件、社会不稳定等。社会风险需要政府和社会各界共同努力来应对，包括制定政策、加强监管、提高公众意识等。

2 网络安全风险 cyber security risk

人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。

2.1 按风险来源分类

外部风险
- 黑客攻击：包括利用系统漏洞进行入侵、暴力破解密码、网络钓鱼等手段，以获取敏感信息或破坏系统。例如，黑客通过 SQL 注入攻击数据库，窃取用户数据。
- 恶意软件：如病毒、蠕虫、特洛伊木马、勒索软件等，可通过网络传播、电子邮件附件、移动存储设备等途径感染系统，破坏数据、窃取信息或控制计算机。例如，勒索软件加密用户文件并索要赎金。
- 分布式拒绝服务（DDoS）攻击：攻击者通过控制大量的计算机同时向目标服务器发送请求，使服务器资源耗尽，无法为正常用户提供服务。例如，游戏服务器遭受 DDoS 攻击，导致玩家无法登录游戏。
内部风险
- 员工疏忽：员工可能因安全意识不足，如使用弱密码、随意下载安装软件、在公共网络上处理敏感信息等，导致安全漏洞。例如，员工将公司电脑连接到公共 Wi-Fi 网络，可能被黑客窃取数据。
- 内部恶意行为：内部人员可能故意泄露公司机密信息、破坏系统或进行其他恶意活动。例如，员工为了获取私利，将公司客户名单出售给竞争对手。
- 权限滥用：员工可能超越自己的权限范围访问敏感信息或进行不当操作。例如，普通员工访问了只有管理人员才能查看的财务数据。

2.2 按风险影响分类

数据泄露风险
- 敏感信息被未经授权的人员获取，可能导致个人隐私泄露、商业机密被窃取等后果。例如，企业客户数据库被黑客攻击，客户的姓名、地址、信用卡信息等被泄露。
- 数据泄露可能发生在数据存储、传输或处理的各个环节。例如，未加密的网络传输可能被监听，导致数据泄露。
系统破坏风险
- 系统可能遭受恶意软件感染、黑客攻击等，导致系统崩溃、无法正常运行或数据丢失。例如，病毒感染导致计算机系统死机，重要文件丢失。
- 系统破坏可能影响企业的业务连续性，造成经济损失。例如，生产控制系统被破坏，导致生产线停工，企业遭受重大经济损失。
业务中断风险
- 网络攻击、硬件故障等可能导致企业的业务无法正常进行，影响客户服务和企业声誉。例如，电子商务网站遭受 DDoS 攻击，无法为用户提供购物服务，导致客户流失。
- 业务中断可能需要企业投入大量资源进行恢复，增加成本。例如，企业需要花费时间和金钱来恢复被破坏的系统，恢复业务运营。
法律合规风险
- 企业可能因违反网络安全法律法规而面临罚款、诉讼等法律后果。例如，企业未采取足够的安全措施保护用户数据，违反了数据保护法规，被监管机构罚款。
- 法律合规风险还包括合同违约风险，如企业未能按照与客户或合作伙伴的合同约定提供安全的服务，可能面临法律诉讼。

2.3 按风险性质分类

技术风险
- 软件漏洞：操作系统、应用程序等软件中存在的安全漏洞可能被攻击者利用。例如，浏览器漏洞可能导致用户在浏览网页时被恶意软件感染。
- 网络协议漏洞：网络通信协议中的安全缺陷可能被攻击者利用进行攻击。例如，TCP/IP 协议中的某些漏洞可能被黑客利用进行拒绝服务攻击。
- 硬件故障：网络设备、服务器等硬件设备的故障可能导致网络中断或数据丢失。例如，硬盘故障可能导致存储的数据无法读取。
管理风险
- 安全策略不完善：企业缺乏有效的网络安全策略，导致安全管理混乱。例如，没有明确的密码策略、访问控制策略等，容易被攻击者利用。
- 员工培训不足：员工缺乏网络安全意识和技能培训，可能成为安全风险的源头。例如，员工不知道如何识别钓鱼邮件，容易上当受骗。
- 应急响应能力不足：企业在面临网络安全事件时，缺乏有效的应急响应机制，可能导致事件影响扩大。例如，在遭受攻击后，不能及时采取措施恢复系统，导致业务中断时间延长。
人为风险
- 社会工程学攻击：攻击者利用人的心理弱点，如好奇心、信任等，进行欺骗，获取敏感信息。例如，攻击者通过电话诈骗，冒充银行工作人员获取用户的银行卡密码。
- 内部人员风险：如前所述，内部人员的疏忽、恶意行为或权限滥用都可能导致安全风险。

3 风险评估 risk assessment

风险评估是对风险进行识别、分析和评价的过程，目的是确定风险的大小和影响，为风险管理决策提供依据。

4 网络安全风险评估 cyber security risk assessment

依据有关网络安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

5 网络安全事件 cyber security incident

网络安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等，对网络和信息系统或者其中的数据造成危害，对社会造成负面影响的事件。

网络安全事件的类型

恶意软件攻击
- 计算机病毒：一种能够自我复制并传播到其他计算机的恶意程序，可能会破坏文件、窃取信息或干扰系统运行。例如，“熊猫烧香” 病毒曾在国内广泛传播，导致大量计算机系统瘫痪。
- 蠕虫：可以自我复制并通过网络传播的恶意程序，通常会消耗网络资源和系统资源。如 “Conficker” 蠕虫曾感染数百万台计算机，造成严重的网络堵塞。
- 特洛伊木马：看似正常的程序，但实际上包含恶意功能，如窃取信息、控制计算机等。例如，一些假冒的游戏外挂程序可能是特洛伊木马，用户下载安装后，黑客可以窃取用户的游戏账号和密码。
- 勒索软件：加密用户文件并索要赎金，若不支付赎金，文件将无法恢复。如 “WannaCry” 勒索软件在全球范围内爆发，影响了大量企业和个人用户。
网络攻击
- 拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）：通过向目标服务器发送大量请求，使其无法正常处理合法用户的请求，从而导致服务中断。例如，一些游戏服务器经常遭受 DDoS 攻击，导致玩家无法正常游戏。
- SQL 注入攻击：攻击者通过在输入数据中插入恶意 SQL 语句，获取或修改数据库中的数据。例如，一些网站可能因为 SQL 注入漏洞被黑客窃取用户信息。
- 跨站脚本攻击（XSS）：攻击者在网页中注入恶意脚本，当用户浏览该网页时，恶意脚本会在用户浏览器中执行，窃取用户信息或进行其他恶意操作。例如，一些社交网站可能因为 XSS 漏洞被黑客窃取用户的登录凭证。
- 网络钓鱼：攻击者通过伪造合法网站或发送欺诈性电子邮件等方式，诱骗用户提供敏感信息，如用户名、密码、信用卡号码等。例如，用户可能收到一封看似来自银行的电子邮件，要求用户点击链接并输入登录信息，实际上该链接指向一个假冒的银行网站。
数据泄露
- 内部人员泄露：企业或组织内部员工故意或无意地泄露敏感数据。例如，员工将公司的客户信息复制到外部存储设备并出售给竞争对手。
- 外部攻击导致泄露：黑客通过攻击网络系统窃取敏感数据。例如，一些大型企业的数据库被黑客入侵，导致大量用户的个人信息被泄露。
- 第三方服务提供商泄露：企业使用的第三方服务提供商（如云服务提供商、数据存储服务提供商等）出现安全漏洞，导致数据泄露。例如，一些云存储服务可能因为安全漏洞被黑客入侵，用户存储在云端的数据被泄露。
系统故障
- 硬件故障：服务器、网络设备等硬件出现故障，可能导致网络中断或数据丢失。例如，服务器硬盘损坏可能导致存储在其中的数据无法访问。
- 软件故障：操作系统、应用程序等软件出现故障，可能影响系统的正常运行。例如，一些关键业务系统的软件出现漏洞，可能导致系统崩溃或数据损坏。
- 人为错误：操作人员的错误操作可能导致系统故障或数据丢失。例如，管理员误删除重要文件或配置错误导致系统无法正常运行。

6 安全控制 security controls

为保护某一系统及其信息的保密性、完整性和可用性以及可核查性、真实性、抗抵赖性、私有性和可靠性等，而对信息系统所选择并施加的管理、操作和技术等方面的控制（即防御或对抗）。

安全控制可以分为技术控制、管理控制和物理控制三大类。

7 资产 asset

资产是指企业、个人或组织拥有或控制的具有经济价值的资源。资产可以分为有形资产和无形资产两大类。

8 威胁 threat

威胁是指可能对个人、组织或系统造成损害、破坏或不良影响的潜在因素或事件。

特征：（1）不确定性（2）破坏性（3）复杂性（4）动态性

类型：

自然威胁
- 自然威胁是由自然现象引起的威胁，如地震、洪水、飓风、火灾等。这些威胁通常是不可预测的，并且可能对个人、组织和社会造成巨大的破坏。
- 例如，2011 年日本发生的 9.0 级地震和海啸，导致了福岛核电站的核泄漏事故，对当地居民和环境造成了严重的影响。
人为威胁
- 人为威胁是由人类活动引起的威胁，如恐怖袭击、网络攻击、盗窃、欺诈等。这些威胁通常是有目的的，并且可能对个人、组织和社会造成严重的损失。
- 例如，2017 年 5 月，全球范围内爆发了 WannaCry 勒索病毒攻击，导致大量企业和个人的计算机系统被感染，数据被加密，造成了巨大的经济损失。
技术威胁
- 技术威胁是由技术发展和应用引起的威胁，如人工智能的滥用、生物技术的风险、纳米技术的安全问题等。这些威胁通常是新兴的，并且可能对个人、组织和社会造成潜在的危害。
- 例如，人工智能的发展可能导致失业率上升、隐私泄露、道德和伦理问题等。

9 脆弱性 vulnerability

脆弱性是指系统、组织或个人在面对威胁时容易受到损害或攻击的弱点或缺陷。

脆弱性的类型

技术脆弱性
- 软件漏洞：软件在开发过程中可能存在各种漏洞，如缓冲区溢出、SQL 注入、跨站脚本攻击等。这些漏洞可能被攻击者利用，从而获取系统的控制权或窃取敏感信息。
- 硬件故障：硬件设备可能出现故障，如硬盘损坏、内存故障、网络设备故障等。这些故障可能导致系统中断、数据丢失或被篡改。
- 网络协议漏洞：网络协议在设计和实现过程中可能存在漏洞，如 TCP/IP 协议中的漏洞可能被攻击者利用，进行拒绝服务攻击、中间人攻击等。
- 配置错误：系统管理员在配置系统时可能出现错误，如弱密码、开放不必要的端口、未及时更新软件等。这些错误可能被攻击者利用，从而获取系统的控制权或窃取敏感信息。
管理脆弱性
- 安全策略不完善：组织可能没有制定完善的安全策略，或者安全策略没有得到有效执行。这可能导致员工对安全问题不够重视，从而增加系统被攻击的风险。
- 人员安全意识淡薄：员工可能缺乏安全意识，如随意点击链接、下载未知来源的软件、使用弱密码等。这些行为可能被攻击者利用，从而获取系统的控制权或窃取敏感信息。
- 安全培训不足：组织可能没有对员工进行充分的安全培训，导致员工不知道如何识别和防范安全威胁。这可能增加系统被攻击的风险。
- 应急响应能力不足：组织可能没有制定完善的应急响应计划，或者应急响应计划没有得到有效执行。这可能导致在安全事件发生时，无法及时采取有效的措施，从而增加系统被攻击的风险。
物理脆弱性
- 环境因素：系统所处的环境可能存在各种危险因素，如火灾、水灾、地震等。这些因素可能导致系统中断、数据丢失或被篡改。
- 物理访问控制不足：系统可能没有采取有效的物理访问控制措施，如门禁系统、监控系统等。这可能导致未经授权的人员进入系统，从而获取系统的控制权或窃取敏感信息。
- 设备损坏：硬件设备可能受到物理损坏，如被盗、被破坏等。这可能导致系统中断、数据丢失或被篡改。