返回
信息安全风险评估的定量与定性分析方法

信息安全风险评估的定量与定性分析方法

ID:38123386

大小:129.28 KB

页数:3页

时间:2019-05-27

信息安全风险评估的定量与定性分析方法_第1页
信息安全风险评估的定量与定性分析方法_第2页
信息安全风险评估的定量与定性分析方法_第3页
资源描述:

《信息安全风险评估的定量与定性分析方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、网络通讯与安全电脑知识与技术信息安全风险评估的定量与定性分析方法刘曼华1,刘萍2(1.周口师范学院,河南周口466001;2.解放军信息工程大学电子技术学院,河南郑州450004)摘要:在信息安全领域,对信息系统进行风险评估十分重要,其最终目的就是要指导决策者在“投资成本”和“安全级别”这两者之间找到平衡,从而为等级优化的资产风险制定保护策略和缓和计划。本文基于BS7799的结构特点阐述了定性与定量的分析方法在风险评估过程中的应用。关键词:信息系统;风险评估;定量分析;定性分析中图分类号:TP393文献标识码:A文章编号:1009-3044(

2、2006)11-0053-03TheMethodsofQuantitativeAnalysisandQualitativeAnalysisofInformationSecurityRiskAssessmentLIUMan-hua1,LIUping2(1.ZhoukouNormalUniversity,Zhoukou466001,China;2.InstituteofElectronicTechnology,ThePLAInformationEngineeringUniversity,Zhengzhou450004,China)Abstract

3、:Intherealmoftheinformationsecurity,Itisveryimportanttocarrytheriskassessmenttotheinformationsystem.Itsultimategoalistoguideclecissionmakerfindingabalancebetween"investmentcost"and"safeclass",inordertoestablishtheprotectionstrategyandal-leviatingplanfortheriskofhighqualitya

4、ssets.ThisthesebasedonthecharacteristicsofBS7799'sstructureelucidatestheapplicationsofthemethodsofquantitativeanalysisandqualitativeanalysisinthefieldofriskassessment.Keywords:InformationSystem;RiskAssessment;QuantitativeAnalysis;QualitativeAnalysis1引言权行为的弱点[2]。技术弱点是指系统、设备和

5、直接导致未授权行为信息系统已经成为人们生活中的重要组成部分,人们总是希的组件中存在的弱点[3],文献[4]将其分为三类:(1)设计弱点(硬件或望信息系统能够带来更多的便利。但是信息系统自身以及与信息者软件中设计或者规范中存在的弱点)。(2)实现弱点(由一个良好系统相连的网络环境的特点与局限性决定了信息系统的发展和的设计在实现软件或者硬件时产生的错误而导致的弱点)。(3)配置应用将遭受木马、病毒、恶意代码、物理故障、人为破坏等各方面弱点(由一个系统或者组件在配置时产生的错误而导致的错误)。的威胁。由于这个原因,人们在不断的探索和研究防止信息系统

6、威胁是指潜在的不希望发生事件的指示器[3],文献[2]将其分威胁的手段和方法,并且迅速在杀毒软件、防火墙和入侵检测技为四类:基于网络方式访问造成的威胁、基于物理方式访问造成术等方面得到了迅猛发展。然而,这并没有从根本上解决信息系的威胁、系统问题以及其他问题等。威胁的属性包括资产、访问、统的安全问题,来自计算机网络的威胁更加多样化和隐蔽化,黑主角、动机和结果等。当一个威胁利用了资产所包含的弱点后,资客、病毒攻击事件也越来越多。据CERT/CC的统计2005年报告产将会面临风险。这种危害将会影响资产的保密性、完整性和可的安全事件(Security

7、incident)的数量远远高于往年。用性,并造成资产价值的损失。资产、威胁、弱点以及影响之间的怎样使组织能够在长时间内处于较高的安全水平,是目前急关系如图1。需解决的问题。安全管理是一个过程,而不是一个产品,不能期望通过一个安全产品就能把所有的安全问题都解决。同时,需要基于安全风险管理来建立信息安全战略,最适宜的信息安全战略就是最优化的风险管理对策。信息安全管理可以看成是一个不断降低安全风险的过程,其最终目的是使安全风险降低到一个可以接受的程度,使用户和决策者接受剩余的风险。如何获得信息系统的安全状态,以及如何对信息系统受到的威胁进行有效客

8、观科学的分析和评估是信息安全风险管理的第一步。图12信息安全风险评估概念Rowe认为,风险是指遭受损害或者损失的可能性,是实现一信息安全风险评估涉及4个主要因素:资

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。