1、网络安全风险评估概述

1.1、网络安全风险评估概念

网络安全风险评估（简称“网络风险评估＂）就是指依据有关信息安全技术和管理标准，对网络系统的保密性、完整性、可控性和可用性等安全属性进行科学评价的过程，评估内容涉及网络系统的脆弱性、网络安全威胁以及脆弱性被威胁者利用后所造成的实际影响，并根据安全事件发生的可能性影响大小来确认网络安全风险等级。

网络安全风险值可以等价为安全事件发生的概率（可能性）与安全事件的损失的乘积，即R寸(EP, Ev) 。其中， R表示风险值，EP表示安全事件发生的可能性大小，Ev 表示安全事件发生后的损失，即安全影响。

1.2、网络安全风险评估要素

网络安全风险评估涉及资产、威胁、脆弱性、安全措施、风险等各个要素，各要素之间相互作用。

1.3、网络安全风险评估模式

（1）自评估

是网络系统拥有者依靠自身力量，对自有的网络系统进行的风险评估活动。

（2）检查评估

由网络安全主管机关或业务主管机关发起，旨在依据已经颁布的安全法规、安全标准或安全管理规定等进行检查评估。

（3）委托评估

指网络系统使用单位委托具有风险评估能力的专业评估机构实