欢迎来到天天文库
浏览记录
ID:36640047
大小:375.43 KB
页数:7页
时间:2019-05-13
《网络安全风险评估方法的研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、万方数据第42卷第1期2010年3月东北师大学报(自然科学版)JournalofNortheastNormalUniversity(NaturalScienceEdition)V01.42No.1March2010[文章编号]1000—1832(2010)01—0053—06网络安全风险评估方法的研究吴涛,马军(河北理工大学网络中心,河北唐山063009)[摘要]根据当前网络安全所面临的风险,探讨评价网络安全风险的指标体系,通过定性分析与定量计算相结合的方法,引入模糊数学的概念,提出网络安全风险的评估模型,
2、以期为网络安全建设提供依据和尺度.[关键词]网络安全;风险;评估;模型[中图分类号]TP393.07[学科代码]520·30[文献标志码]A网络安全风险评估是一个系统工程,其评估体系受到主观和客观、确定和不确定、自身和外界等多种因素的影响.尤其当网络中承载了用户极为重要的信息资产时,这些安全风险将会给国家、社会、企业和个人带来极大的安全隐患.因此安全风险评估是网络安全防护体系中的重要组成部分.本文旨在研究网络安全风险评价方法,为准确、及时、定量地掌握网络安全的风险程度及规避风险提供依据.1网络安全风险评估指
3、标体系的建立网络安全风险评估指标体系是网络安全风险评估体系的重要组成部分,是反映评估对象安全属性的指示标志.该指标体系是根据评估目标和评估内容的要求构建的一组反映网络应对风险水平的相关指标,据以搜集评估对象的有关信息资料,反映评估对象的基本面貌、素质和水平.设置网络安全风险指标体系的基本原则动态性原则:网络安全风险的指标体系要体现出动态性,能够使相关部门适时、方便地掌握本区域网络安全的第一手资料,从而使各项工作的制订建立在科学的基础上.科学性原则:网络安全风险指标体系要能科学地反映本区域网络安全的基本状况和
4、运行规律.可比性原则:所选指标能够对网络安全状况进行横向与纵向的比较.综合性原则:要综合反映出本区域网络安全的风险状况.所谓综合性评价就是对总体中各种个体的多方面标志特征的综合评价.可操作性原则:指标体系具有资料易得、方法直观和计算简便的特点,因而要求具有操作上的可行性.目前网络安全风险评估的理论标准在国际上较为流行的有ISO/IECl3335IT安全管理指南、BS7799-1基于风险管理的信息安全管理体系、AS/NZS4360风险管理标准等[1],根据以上标准和网络安全风险评估指标的特性,评估指标可分为定
5、性指标与定量指标,相对应的评估方法也主要有以下两类:定性分析方法.定性分析操作起来较为简单,但通常仅关注威胁事件带来的损失而忽略事件发生的概率,同时也会由于操作者的经验和直觉的偏差而使分析结果失准.定量分析方法.对构成风险的各个要素和潜在的损失水平赋予数值.定量分析的结果直观,便于理解,但存在数值不可靠和不精确的问题.本文研究的是定性和定量分析方法相结合的一种风险评估方法,并最终通过综合的数值化分析方法得出对网络安全风险的一个全面评价.因此第一步工作就是围绕着网络安全的目标建立合理的评估[收稿日期]2009
6、—02—20[基金项目]国家自然科学基金资助项目(60473042).[作者简介]吴涛(1979~),男,实验师,主要从事计算机网络与通信.计算机网络管理研究.万方数据54东北师大学报(自然科学版)第42豢指标体系.1.1网络安全的目标要求网络安全的目标要求是网络安全评估的出发点,并且在网络安全框架模型的不同层面、不同侧面的各个安全纬度,有其相应的安全目标要求,而这些安全目标要求可以通过一个或多个指标来评估.根据构成网络安全的三要素:数据、关系和能力,网络安全的目标要求又包括9个方面的内容,图1表示了上述关
7、系.瞄1网络安全风险评估指标的提炼过程1.2网络安全风险评估指标的确定网络安全风险指标体系由网络层指标体系、传输网风险指标体系和物理安全风险指标体系三部分构成。同时,每种指标体系中包含资产、威胁和脆弱性三要素,详见表1.衰1风险指标体系层面指标(资产、威胁、脆弱性)网络传输物理拓扑健壮性、认证与访问控制、管理数据保密性、业务失败频率、业务支持响应能力、用户认证、抗抵赖等挽毁佳、生存性与冗余度关系、敌障(失效)事、平均故障(失效)闻隔时问(MTBF).平均故障(失效)前时闻(MTTF)、平均停机时间(MDT)
8、、平均正常时问(MUT)、可用性(或不可用性)等抗电磁干扰、电气安全、温湿度、不可控的自然灾害和人为灾害等2网络安全风险评估模型及算法风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价4个阶段凹].用定量的方法进行级别划分,对应不同的级别赋以不同的数值,并进行综合的分析,得出风险的总体评估值.风险计算模型和算法如下:(1)对信息资产进行识别,并对信息资产价值赋值.(2)对威胁进行识别,并对威
此文档下载收益归作者所有