返回
基于国家信息安全风险评估指南的量化模型研究.pdf

基于国家信息安全风险评估指南的量化模型研究.pdf

ID:55399111

大小:274.17 KB

页数:3页

时间:2020-05-15

基于国家信息安全风险评估指南的量化模型研究.pdf_第1页
基于国家信息安全风险评估指南的量化模型研究.pdf_第2页
基于国家信息安全风险评估指南的量化模型研究.pdf_第3页
资源描述:

《基于国家信息安全风险评估指南的量化模型研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、E—mail:jnfo@CCCC.net.CllISSN1009—3044http://www.dnzs.net.cnComputerKnowledgeandTechnology电脑知识与技术Teh+86—551—56909635690964Vo1.5,No.7,March2009,PP.1573-1574,1577基于国家信息安全风险评估指南的量化模型研究彭泽伟2萎究.1,然关资后键产综资识合产别评识一即估别赋系值统,的就风是险对。资整产个保量密化性模、型完框整架性如和图可用1所性示影。响分析的;:雾}=;昙三=二一_『=兰一=L『』_一音丽开]、曩;

2、露}一二=堡_坐:.羔~_lI』j:;蓓情形。经过对机构的资产识别并借鉴AHP法,最终可毳得到各资产篙的磊相对厂l蝇酸分}}。。垂f㈨二值al,a2~83"'"ano⋯一三三二三三个层面,其中共涉及表1中的10个方面,即评估指标。方法步骤如下:图1风险评估量化模型总体框架表1管理控制类风险量化项目访应急交流资产安机系统人物理——问和和分娄全构开发员环境融控响应操作和策安和安安性制能力管理控制略全维护全全取值oAo/io/10/10/1o/10/1o/io/ioll1值域11对表2.1中的10个管理控制项目,按照其重要性进行排序,简化为一个10位二进制数的

3、量化表。组合各个项目的取值(共10个),得到二进制数r值,其取值定然在0000000000—111l11】111之间。显然,数字越小.则风险值越大。2)根据机构对系表2急管妻理。控制翼类风险集合管理控制类风险集合。图2资产赋值的层次一结构将上述各风险集合的临界点换算成十进制数分别得到:(O0000l1111)e=(31)O,(00111l1111)e=(255)o,(将叭风11险1l与11rl值1)B:的(5关11系)D,绘(1制11l成11曲11线l】,)见B=(网10323。)显D’然,管理控制类风险随r图3管理控制类风险与r值关系曲线收稿日期:20

4、09-'1—23本栏目责任编辑:冯蕾*一⋯。网络通讯及安全*1573ComputerKnowledgeandTechnology电脑知识与技术第5卷第7期(2009年3月)值的增大而减小,R是一个单调递减函数3)分析实际的管理控制项目,根据评估标准,判断各项目是否满足安全需求,对10个管理控制大项求值,得到r.然后判断r的所属集合。管理控制类的风险值R。就是r所属集合所对应的值:H一3,M一2,L一1,N一0。2.3威胁类风险量化量化威胁类风险,关键是确定风险事件发生的町能性,文献[1】给出了利用入侵检测系统日志数据计算威胁发生可能性的思想,文献[3】则

5、给出了一个具体公式:l0C。该式不足在于:仅仅以攻击次数C来描述威胁强度是不够的,这并没有充分体现威胁源的能力、拥有的资源等评价威胁发生可能性的指标,对风险事件的完整性描述应当包含威胁主体、行为、动机、攻击技能、目标信息资产及其安全措施的脆弱点等要素[41。下面引入系数p将其定义为威胁源T的威胁能力系数:(∑∑0C),.、j=1i=l(1)式中:s为攻击源数;k为某威胁源所实施的攻击事件种类数,而C则为该事件的攻击次数,Pi为该事件的威胁等级以p,10C.修正原有公式,得到单个资产威胁类风险值计算=式:r=A∑cA(¨P1cI1]II=Ipf2]l=li

6、=l』⋯I、-,式中,r为该资产的风险数值;A为其相对赋值;m为针对(该资产的所有攻击事件总数,C。为该事件的攻击次数,P。为该事件的威胁等级,h为资产总数。进一步得到威胁类系统风险数值ro计算式:P1三f—/(3)至于风险等级值R。,其取值范围仅仅是三个离散值:3一对应高安全风险,2一对应中安全风险,l对应低安全风险,并遵循下述算法:Ro=Max{R。(资产1).,Rm(资产2)一,Rm(资产i),⋯,R(资产n)}(4)r/的算法遵循木桶原理,即系统的安全取决于最薄弱环节的安全程度。Pm2.4系统综合风险表3系统综合风险值的组合求法1在前面的管理控制

7、类风险和威胁类风险量化的基础上.参照——\管理控制类风险R风险矩阵组合方法Ⅲ,可以得到由这二者共同决定的系统风险值。外在j赢霹\32l0当机构定义的安全需求是“一般情形下能正常运行,允许间36/o5/o41o2/i或中断”,如果符合,则值为1,否则为0。系统综合风险值R按照24/03/l2/11/1表3取值13/12/l1/lo/1当定义安全需求是“需要都能正常运行“,则系统综合风险值R按照表4取值。表4系统综合风险值的组合求法2通过查表,便可以得到当前系统的综合风险值R。至此,完成~\~~管理控制类风险R了系统整体的风险量化。—\3210外在威胁类风险

8、—~3测评案例37/o6/051o2/126/o5/o41o1/12005年10

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。