返回
动态风评综述

动态风评综述

ID:42839937

大小:279.77 KB

页数:16页

时间:2019-09-23

动态风评综述_第1页
动态风评综述_第2页
动态风评综述_第3页
动态风评综述_第4页
动态风评综述_第5页
资源描述:

《动态风评综述》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、动态风险评估综述信息安全风险评估概念风险评估是要全方面的预测并分析可能导致风险出现的事件发生的可能性,以及当风险出现后对组织造成损失的程度。通常情况下,一个信息系统是不可能不存在风险的。判断一个信息系统是否安全,主要看该信息系统的风险等级是否能够通过-些控制措施被控制在组织可接受的范围内。将传统的风险理论和评估方法应用于信息系统中的过程叫做信息安全风险评估。通过风险理论识别信息风险,并对其进行评估后作出综合分析,就是风险评估的过程。除此之外,信息安全风险评估信息系统在各其安全属性上所面临的风险要进行科学的分

2、析与理解,并根据自身情况以及风险的实际情况选择合适的风险控制方案,这些选择一般包括:接受风险、降低风险、转移风险以及规避风险。1.1静态风险评估大部分的静态风险评估利用一些评估标准來评估。常用的标准有:TCSEC、ITSEC>CC、ISO/IEC17799、BS7799、IS013335o静态网络安全风险评估方法缺乏实时性、只能粗略的估计网络长期处于的安全风险状态,对网络正在遭受的攻击缺乏实时网络安全风险检测。1.2动态风险评估当前国内外在信息系统尤其是网络安全动态风险评估还是处动态风险评估综述信息安全风险

3、评估概念风险评估是要全方面的预测并分析可能导致风险出现的事件发生的可能性,以及当风险出现后对组织造成损失的程度。通常情况下,一个信息系统是不可能不存在风险的。判断一个信息系统是否安全,主要看该信息系统的风险等级是否能够通过-些控制措施被控制在组织可接受的范围内。将传统的风险理论和评估方法应用于信息系统中的过程叫做信息安全风险评估。通过风险理论识别信息风险,并对其进行评估后作出综合分析,就是风险评估的过程。除此之外,信息安全风险评估信息系统在各其安全属性上所面临的风险要进行科学的分析与理解,并根据自身情况以及

4、风险的实际情况选择合适的风险控制方案,这些选择一般包括:接受风险、降低风险、转移风险以及规避风险。1.1静态风险评估大部分的静态风险评估利用一些评估标准來评估。常用的标准有:TCSEC、ITSEC>CC、ISO/IEC17799、BS7799、IS013335o静态网络安全风险评估方法缺乏实时性、只能粗略的估计网络长期处于的安全风险状态,对网络正在遭受的攻击缺乏实时网络安全风险检测。1.2动态风险评估当前国内外在信息系统尤其是网络安全动态风险评估还是处在不断探索的阶段,包括风险的分析、风险的预测、风险的决策

5、、风险的控制、风险的取证和风险的响应等都通过实时在线进行分析和处理。动态风险评估架构由5部分组成:包括安全检测模块、信息管理模块、事件资源库模块、规则资源库模块以及风险评估模块。安全检测模块主要通过安全检测设备实吋监控系统中影藏的威胁信息并发出告警信息,信息管理模块主要负责接收告警信息并输出为统一格式,事件资源库模块收集威胁评估,资产脆弱性评估结果,规则资源库用于存储风险评估计算方法,风险评估模块通过整合信息管理模块的输出值,依据规则资源库的风险评估计算方法计算系统的风险值。结构如下所示:风险评估模块kit

6、i网络安设络安全检测设希图1:动态风险评估结构图风险评估的主要任务包括:1)对于资产面临的各种风险进行识别评估;2)评估风险发牛的概率以及可能导致的负面影响;3)对企业或组织能承受风险的能力进行识别确定;4)对风险的削减和控制优化措施进行确认;-:信息安全风险评估方法2.1定性风险评估根据评估者的知识及经验对系统的风险状况作岀判断的评估方法叫做定性评估方法。其优点是:可以得到史全面深入的评估结论,缺点为:评估结果中带有评估这本身的主观性,而且需要评估者具有很高的素质。典型的评估方法有:事件树分析法、风险模式

7、影响及危害性分析、原因后果分析、故障树分析等。2.2定量风险评估将风险发生的概率、风险危害程度量化,并相乘得到的结果ALE或EAC,然后根据上述结果可以得到威胁事件的风险等级,最后根据不同的结果进行相应选择的评估方法叫做定量的评估方法。其优点是:具有直观且客观的分析过程和结果,对比性比较强。但量化过程中过于简单和模糊化也是缺点,这会产生一定的误解和曲解。典型的定量分析方法有:风险评审技术、故障树分析法。2.3定性与定量相结合的分析方法定性与定量相结合的评估方法就是要在风险评估中综合使用上述两种方法评估方法。

8、其优点是:可以在两种方法之间取长补短,得到更加客观、公正和准确的评估结果。典型的定性与定量相结合的评估方法有:层次分析法、概率风险评估、动态风险概率评估等。2.4动态风险评估方法动态风险评估方法在静态分析方法的基础上,通常结合层次分析法、灰统计理论法、贝叶斯网络分析法、神经网络法、模糊匹配法等方法对信息系统进行全面实时的监控和分析。三:信息安全风险评估内容3.1资产评估资产评佔包括资产识别和价值评佔两部分。资产识

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。