返回
安全风险评估模型综述.pdf

安全风险评估模型综述.pdf

ID:52398199

大小:262.85 KB

页数:4页

时间:2020-03-27

安全风险评估模型综述.pdf_第1页
安全风险评估模型综述.pdf_第2页
安全风险评估模型综述.pdf_第3页
安全风险评估模型综述.pdf_第4页
资源描述:

《安全风险评估模型综述.pdf》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、第19卷第4期河南教育学院学报(自然科学版)Vo.l19No.42010年12月JournalofHenanInstituteofEducation(NaturalScienceEdition)Dec.2010do:i10.3969/.jissn.1007-0834.2010.04.003安全风险评估模型综述123杨明增,李拴保,唐慧林(1.河南教育学院数学系,河南郑州450046;2.河南财政税务高等专科学校信息工程系,河南郑州450002;3.解放军信息工程大学电子技术学院,河南郑州450004)摘要

2、:深入分析总结了信息安全风险模型的研究现状,给出了信息安全风险评估模型的现有分类,为安全风险研究的深入和具体实施提供了重要基础.关键词:风险评估;模型;因素;风险分析;综述中图分类号:O159;TP393.08文献标识码:A文章编号:1007-0834(2010)04-0006-03模型是客观系统某一方面本质属性的描述,它以某种确定的形式提供关于该系统的知识,是我们用来认[1]识客观世界的有力工具.系统的研究目的决定了本质属性的选取,创建模型的目标指导着客观对象的概念化过程,它决定了模型中必须

3、体现客观对象的哪些属性以及如何描述它们.根据系统风险评估的阶段和目标可将评估模型分为风险概念模型、评估过程模型、风险分析模型和风险评价模型,本文通过较常用的模型介绍这4种风险评估模型.1风险概念模型风险概念模型主要反映风险因素之间的相互关系,对概念进行建模有助于理清评估思路,认清风险的本质属性,同时也为发现评估指标提供了很好的途径.图1为系统安全风险的简要示意图,该模型说明威胁对系统资产构成风险的前提有两个,一是系统的安全防护存在脆弱点,二是资产存在价值.如果没有这两个前提,则无风险可言.风险的存在性可导出安全

4、需求,安全需求通过安全设施的加图1系统安全风险简要模型强而被满足,而安全设施的加强或者完备可减缓风险.2评估过程模型评估过程模型可以指导评估操作的总体流程,虽然评估方法差异较大,但各种评估过程模型却有着较大的相似性.OCTAVE(OperationallyCriticalThrea,tAssetandVulnerabilityEvaluation)是确认、管理信息安全性风险的框架体系,它定义了全面的评估过程.利用OCTAVE可以确认组织业务的关键性资产,对于这些资产的威胁以及可能为威胁所利用的资产脆弱性,

5、其[2]风险评估实施流程如图2所示.文献[3]认为,首先识别信息在实际运用中困难比较大,所以建议按照某种定义先划分评估范围,再对各个部分进行资产识别和评估,同时也可以按照该划分对评估小组进行分组.资产识别和评估应该以自评估为主,由评估小组共同完成.文献[4]图2OCTAVE风险评估过程以安全策略的制定为评估目标,主要突出各阶段提交的文档形式和风险评估的目标,该模型将风险评估分为4个阶段:前期准备阶段、现场调查阶段、风险分析阶段和风险管理阶段.收稿日期:2010-09-10作者简介:杨明增(1965),男,河南

6、林州人,河南教育学院数学系副教授,研究方向:代数学.第4期杨明增等:安全风险评估模型综述7从上述几个风险评估过程可以总结出风险评估的一般过程,如图3所示.首先要明确评估目标、制定评估计划,不仅包括识别系统评估边界、业务流程、系图3风险评估的一般过程统网络结构、组织机构等,还包括人员分工和制定风险评估准则等;然后采集评估所需的数据,如威胁调查、事故记录、漏洞信息等;信息采集充足之后,可以开始进行综合分析,评价系统的风险大小;最后,要根据分析的结果制定策略,主要考虑成本效益等方面,接受风险或采取适当的措施防范风

7、险.3风险分析模型风险评估过程的重点是风险分析.根据前期的调查结果,分析系统面临的主要威胁因素、信息系统关键资产组件的构成情况以及关键资产存在的脆弱性(包括技术措施和组织措施)等.传统建模分析方法,如故障树分析法(FTA)、应用于化工行业的危害及可操作性研究分析方法(HazOp)、应用于飞机制造业的失效模[5-6]式及效果/危害程度分析方法(FMEA&FMECA)和Markov分析法等,对于信息系统风险评估也很有借鉴意义.我们可以在风险的不同阶段采用合适的方法.在建立环境环节,主要使用HazOp技术识别信息安全

8、风险分析需要关注的领域、资产和安全需求.在风险识别环节,通常以HazOp技术为主,FTA、FMECA为辅,标示资产面临的威胁和脆弱点.在风险分析环节,通常以FMECA为主,HazOp、FTA为辅,调查不期望发生的事件及其发生的可能性.在风险评估环节,主要通过FMECA技术,确定风险的等级.在风险处理环节,主要通过FTA技术,对每项标示的风险提出可供选择的处理措施.4风险

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。