返回
信息安全技术风险评估的理论与方法

信息安全技术风险评估的理论与方法

ID:22124590

大小:55.50 KB

页数:6页

时间:2018-10-27

信息安全技术风险评估的理论与方法_第1页
信息安全技术风险评估的理论与方法_第2页
信息安全技术风险评估的理论与方法_第3页
信息安全技术风险评估的理论与方法_第4页
信息安全技术风险评估的理论与方法_第5页
资源描述:

《信息安全技术风险评估的理论与方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息安全技术风险评估的理论与方法信息系统面临着各种各样的威胁,为了减少这些威胁的可能性,引发了一个安全事件,或减少安全事件所造成的损失,信息安全风险评估是有效的实施途径,它有助于识别组织或系统的信息安全环境,以认清信息安全现状,发现系统存在的安全问题及引发这些安全问题的因素,并了解系统的安全需求,分析安全策略与实际需求的差距,然后制定出适合系统的安全策略及管理和实施规范,做到及早化解风险,提高信息安全性。1信息安全风险评估基本理论1.1信息安全风险信息安全风险具有客观性、多样性、损失性、可变性、不确定性和可测性等多个特点。客观性是因为信

2、息安全风险在信息系统中普遍存在;多样性是指信息系统安全涉及多个方面;损失性是指任何一种信息安全风险,都会对信息系统造成或大或小的损失;可变性是指信息安全风险在系统生命周期的各个阶段动态变化;不确定性是一个安全事件可以有多种风险;可测试性是预测和计算信息安全风险的方法。1.2信息安全风险评估信息安全风险评估,采用科学的方法和技术和脆弱性分析信息系统面临的威胁,利用系统,评估安全事件可能会造成的影响,提出了防御威胁和保护策略,从而防止和解决信息安全风险,或控制在可接受范围内的风险,最大限度地保护系统的信息安全。通过评价过程对信息系统的脆弱性

3、进行评价,面临威胁和漏洞威胁利用的负面影响,并根据信息安全事件的可能性和严重程度,确定信息系统的安全风险。2信息安全风险评估原理2.1风险评估要素及其关系一般说来,信息安全风险评估要素有五个,除以上介绍的安全风险外,还有资产、威胁、脆弱性、安全措施等。信息安全风评估工作都是围绕这些基本评估要素展开的。2.1.1资产资产是在系统中有价值的信息或资源,是安全措施的对象。资产价值是资产的财产,也是资产识别的主要内容。它是资产的重要程度或敏感性。2.1.2威胁威胁是导致不期望事件发生的潜在起因,这些不期望事件可能危害系统。2.1.3脆弱性脆弱性

4、是资产存在的弱点,利用这些弱点威胁资产的使用。2.1.4安全措施安全措施是系统实施的各种保护机制,这种机制能有效地保护资产、减少脆弱性、抵御威胁、减少安全事件的发生或降低影响。风险评估围绕上述基本要素。各要素之间存在着这样的关系:(1)资产是风险评估的对象,资产价值是由资产价值计量的,资产价值越高,证券需求越高,风险越小。(2)漏洞可能会暴露资产的价值,使其被破坏,资产的脆弱性越大,风险越大;(3)威胁引发风险事件的发生,威胁越多风险越大;(4)威胁利用脆弱性来危害资产;(5)安全措施可以防御威胁,减小安全风险,从而保护资产。2.2风险

5、分析模型及算法在信息安全风险评估标准中,风险分析涉及资产的三个基本要素,威胁和脆弱性。每个元素都有它自己的属性,并由它的属性决定。资产的属性是资产的价值,而财产的威胁可以是主体、客体、频率、动机等。财产的脆弱性是资产脆弱性的严重性。在风险分析模型中,资产的价值、威胁的可能性、脆弱性的严重程度、安全事件的可能性和安全事件造成的损失,两者是整合的,它是风险的价值。风险分析的主要内容为:(1)识别资产并分配资产;(2)确定威胁,并分配潜在的威胁;(3)确定漏洞,并分配资产的脆弱性的严重程度;(4)判断安全事件的可能性。根据漏洞的威胁和使用的漏

6、洞来计算安全事件的可能性。安全事件发生可能性=L(威胁可能性,脆弱性)=L(T,V)(5)计算安全事件损失。根据脆弱性严重程度和资产价值计算安全事件的损失。安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);(6)确定风险值。根据安全事件发生可能性和安全事件造成的损失,计算安全事件发生对组织的影响。风险值=R(A,T,V)=R(F(Ia,Va),L(T,V))其中,A是资产;T是威胁可能性;V是脆弱性;Ia是资产价值;Va是脆弱性的严重程度;L是威胁利用脆弱性发生安全事件的可能性;F是安全事件造成的损失,R是风险计算函

7、数。3信息风险分析方法探析作为保障信息安全的重要措施,信息安全系统是信息安全的重要组成部分,而信息安全风险评估的算法分析方法,风险评估作为风险分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成为正式信息安全标准的一部分。从定性定量的角度可以将风险分析方法分为三类,也就是定性方法、定量方法和定性定量相结合。3.1定性的风险分析方法定性的方法是凭借分析师的经验和知识的国际和国内的标准或做法,风险管理因素的大小或程度的定性分类,以确定风险概率和风险的后果。定性的方法的优点是,信息系统是不容易得到的具体数据的相对值计算,没有太多的计算

8、负担。它有一定的缺陷,是很主观的,要求分析有一定的经验和能力。比较著名的定性分析方法有历史比较法、因素分析方法、逻辑分析法、Delphi法等,这些方法的成败与执行者的经验有很大的关系。3.2定量的风险分析方

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。