信息安全风险评估指标采集技术

信息安全风险评估指标采集技术

ID:9228456

大小:28.97 KB

页数:6页

时间:2018-04-24

信息安全风险评估指标采集技术_第1页
信息安全风险评估指标采集技术_第2页
信息安全风险评估指标采集技术_第3页
信息安全风险评估指标采集技术_第4页
信息安全风险评估指标采集技术_第5页
资源描述:

《信息安全风险评估指标采集技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、关于信息安全风险评估指标采集技术的几点考虑范红吕俊杰摘要:信息安全成为国家安全的重要组成部分,因此为保证信息安全,建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础,在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具,本文首先对风险管理和风险评估的关系进行了分析,然后对指标体系技术进行了简要介绍,并依据此技术提出了风险评估的指标采集技术。在分析指标采集技术和风险评估关系的基础上,提出了信息安全指标采集技术的实现路线。关键字:信息安全风险评

2、估指标采集随着信息技术的发展,信息安全风险分析方法也逐渐发展起来,由最初的单一技术手段发展成为技术与管理相结合的科学方法。信息安全风险评估在信息安全管理中占据着重要的位置。最早发表的信息安全风险评估方法是由1979年美国标准局发布了FIPS65,自动的数据处理风险分析指南。该指南基于年损失率ALE为大型数据处理中心提出了风险评估标准,在上世纪80年代末到90年代初,市场上开发了很多与基于该指南的商业工具,如@Risk,BDSS,及Buddy等。由于ALE风险分析方法过于侧重细节而影响了其可行性,

3、导致该方面没有获得广泛应用。整个上世纪90年代,对于信息安全风险分析方法的研究并没有取得实质进展,更多的研究侧重于风险评估的流程研究,所采取的方法大多是调查问卷方式,如OCTACVE。目前,关于风险评估的标准也很多,如CC,SSE-CMM,ISO17799等等。本文根据信息安全风险管理的特征,根据ISO17799信息安全风险管理指南和风险评估指南的规定,提出了一种在信息安全风险管理过程中采用指标采集技术的思路。一、信息安全风险评估和风险管理1.信息安全风险管理的目的。一个机构要利用其拥有的资产来

4、完成其使命。在信息时代,信息成为第一战略资源,更是起着至关重要的作用。因此,信息资产的安全是关系到该机构能否完成其使命的大事。资产与风险是天生的一对矛盾,资产价值越高,面临的风险就越大。信息资产有着与传统资产不同的特性,面临着新型风险。信息安全风险管理的目的就是要缓解和平衡这一对矛盾,将风险控制到可接受的程度,保护信息及其相关资产,最终保证机构能够完成其使命。2.信息安全风险评估的目的。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和

5、可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。3.信息安全风险评估和风险管理的关系。信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动。风险评估使得机构能够准确“定位”风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择成本效益合理的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,已被

6、广泛应用于各个领域。因此,风险评估是信息安全管理体系和信息安全风险管理的基础。是对现有网络的安全性进行分析的第一手资料,也是网络安全领域内最重要的内容之一,为实施风险管理和风险控制提供了直接的依据。4.信息安全风险评估的过程和难点。风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。风险因素的识别方式包括文档审查、人员访谈、现场考察、辅助工具等多种形式,在风险因素识别的基础上,如何对风险进行度量一直是一个难点。信息系统安全是一个整体性概念,包括很多方面,除了依赖于所

7、采用的信息安全技术,还更多的依赖于信息安全管理体制。风险评估通过信息资产的识别与赋值,威胁评估,弱点评估,现有安全措施评估,综合风险分析等环节,对组织当前的安全现状进行评价,为制定改善安全措施提供依据。根据《信息安全风险评估指南》,风险的计算公式为:R=f(A,V,T)=f(Ia,L(Va,T))R表示风险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。也

8、就是说风险是关于资产、脆弱性和威胁的函数。他们之间的函数关系如何定量化的表示就是研究的主要内容。二、指标采集技术信息安全风险管理要通过度量系统的风险以及选择经济有效的安全控制来增进系统的安全性。然而,网络与信息系统是一个复杂的系统工程,其中既有硬件,也有软件;既有外部因素也有内部因素;而且许多方面是相互制约的。另外,不仅系统本身是复杂的,考虑风险管理得7个要素,每个要素又是由多个因素构成的。以威胁源为例。威胁源是任何可能对系统造成危害的环境或事件,包括人、自然以及环境等多种因素。指标采集技术为解

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。