欢迎来到天天文库
浏览记录
ID:8500861
大小:1.92 MB
页数:37页
时间:2018-03-30
《基于多要素融合的风险评估模型的设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、·5·基于多要素融合的风险评估模型的设计基于多要素融合的风险评估模型的设计海然谢小权中国航天科工集团706所摘要:本文在分析现有风险评估模型存在不足的基础上,设计了基于多要素融合的风险评估模型MFDM。MFDM模型考虑了当前风险评估模型中没有考虑资产间关联关系及脆弱性间关联关系的不足,通过将影响风险的要素进行关联、分析、计算,最后得出风险评估结论。关键词:风险评估模型信息安全·5·基于多要素融合的风险评估模型的设计一、概述信息安全风险评估是当前信息安全领域研究的热点之一,目前国家也在大力倡导开展信息安全
2、风险评估工作。信息安全风险评估技术可以使人们了解信息系统目前与未来的安全状况,明确信息系统存在的风险,以便更好的采取相应的安全措施,将风险降低到可接受水平。目前国内外对信息安全风险评估研究主要包括信息安全风险评估相关标准的制定、自动化风险评估工具的研制、风险评估模型的研究等。其中,风险评估模型在风险评估过程中发挥着重要的作用:风险评估需要依靠风险评估模型完成相应的评估功能、确保风险评估结果的准确性、全面性、可信性。虽然目前对风险评估模型的研究已取得了一定的成果,但现有的风险评估模型对影响风险的主要因素之
3、间的关系进行抽象时基本都采取了资产面临威胁、威胁利用脆弱性的要素关联关系,忽略了资产之间的相互影响关系、脆弱性之间的相互影响关系,而这种影响关系又是衡量系统安全性的重要指标,直接影响了系统安全状态。本文针对现有风险评估模型存在的上述问题,设计基于多要素融合的风险评估模型,解决影响信息系统安全的关键因素之间存在的相互影响关系。本文首先分析总结了现有风险评估模型存在的不足,然后设计了多要素融合模型MFDM,其中重点对模型的结构进行了详细设计,最后对设计的MFDM模型进行总结。二、信息安全风险评估模型现状风险
4、评估模型对信息系统进行风险评估具有指导作用,对风险评估模型的研究一直是信息安全风险评估技术的研究热点之一。根据不同的研究目的,国外建立了各种风险评估模型,这些模型大致可以分为风险概念模型、风险评估过程模型、风险计算模型[1]。风险概念模型主要描述了风险评估的相关要素,以及各个要素之间的相互关系。其中应用比较广泛的风险概念模型包括ISO13355中提出的风险要素相互作用模型、BS7799中提出的风险要素模型等。风险评估过程模型描述了风险评估操作的总体流程,可用来指导风险评估的进行。其中比较典型的风险过程模
5、型包括OCTAVE模型等。风险计算模型主要描述了风险的计算方法。其中比较典型的风险计算模型包括美国标准局发布的《自动的数据处理风险分析指南》中提出的使用年损失期望(ALE)计算风险。·5·基于多要素融合的风险评估模型的设计上述模型比较具有代表性,目前风险评估模型大多是在这些模型的基础上,根据评估需求,对上述模型进行细化或裁减,满足不同的评估要求。但是这些模型也存在一定的不足,主要有以下3个方面:(1)没有考虑资产之间的关系对风险的影响目前利用风险评估模型对信息系统的资产进行风险评估,只是针对单个资产进行
6、分析,没有考虑资产之间的相互关系。信息系统中单个资产的安全不足以保证资产交互后整个信息系统是安全的,一个资产面临风险,可能导致与其存在关联的资产面临风险,进而导致整个网络面临的风险增加[2]。(2)没有建立脆弱性之间的关联关系资产存在的脆弱性之间也存在一定的相互关系,从攻击者的角度看,网络攻击与脆弱性的关系,应当认为攻击者挖掘脆弱性不是孤立的,而是组合各脆弱性进行挖掘[3]。一个脆弱性可以被攻击者利用进行攻击,也可以作为另一个脆弱性被利用的条件,增加另一个脆弱性被利用的可能性,从而导致资产面临的风险增加
7、。(3)缺少对信息系统提供的应用服务的安全性的分析信息系统中的资产是信息系统安全性关注的一个方面,除此之外,信息系统的安全性还体现在所提供的应用服务的安全性等方面。但是现有的风险评估模型中没有提出衡量应用服务安全的要素。通过上面的分析可以看出,现实世界中影响信息系统安全性各个要素之间的关系是错综复杂的、互相影响的,只有准确反映信息系统安全要素关系的评估模型,才能保证评估结果的准确性。本文主要针对问题(1)、(2),设计风险评估模型,提高风险计算的精确度。下文将对模型进行详细描述。三、多要素融合模型的设计
8、本章将设计风险评估模型——多要素融合模型(Multi-factorsDissolveModel,简写为:MFDM)。首先设计MFDM模型的总体结构,然后对MFDM模型的风险评估要素、风险评估要素关联关系、模型的处理过程进行详细设计,最后确定模型的应用过程。1.MFDM模型的设计(1)模型的总体结构MFDM模型包括风险评估要素、风险评估要素关联关系、模型的处理过程三个部分。MFDM模型描述为:MFDM模型=F表示MFDM模型的风险评估要素,指
此文档下载收益归作者所有