信息安全技術(shù)風(fēng)險(xiǎn)評(píng)估的理論與方法

《信息安全技術(shù)風(fēng)險(xiǎn)評(píng)估的理論與方法》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。

1、信息安全技術(shù)風(fēng)險(xiǎn)評(píng)估的理論與方法信息系統(tǒng)面臨著各種各樣的威脅，為了減少這些威脅的可能性，引發(fā)了一個(gè)安全事件，或減少安全事件所造成的損失，信息安全風(fēng)險(xiǎn)評(píng)估是有效的實(shí)施途徑，它有助于識(shí)別組織或系統(tǒng)的信息安全環(huán)境，以認(rèn)清信息安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題及引發(fā)這些安全問(wèn)題的因素，并了解系統(tǒng)的安全需求，分析安全策略與實(shí)際需求的差距，然后制定出適合系統(tǒng)的安全策略及管理和實(shí)施規(guī)范，做到及早化解風(fēng)險(xiǎn)，提高信息安全性。1信息安全風(fēng)險(xiǎn)評(píng)估基本理論1.1信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)具有客觀性、多樣性、損失性、可變性、不確定性和可測(cè)性等多個(gè)特點(diǎn)?？陀^性是因?yàn)樾?/p>

2、息安全風(fēng)險(xiǎn)在信息系統(tǒng)中普遍存在;多樣性是指信息系統(tǒng)安全涉及多個(gè)方面;損失性是指任何一種信息安全風(fēng)險(xiǎn)，都會(huì)對(duì)信息系統(tǒng)造成或大或小的損失;可變性是指信息安全風(fēng)險(xiǎn)在系統(tǒng)生命周期的各個(gè)階段動(dòng)態(tài)變化;不確定性是一個(gè)安全事件可以有多種風(fēng)險(xiǎn);可測(cè)試性是預(yù)測(cè)和計(jì)算信息安全風(fēng)險(xiǎn)的方法。1.2信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估，采用科學(xué)的方法和技術(shù)和脆弱性分析信息系統(tǒng)面臨的威脅，利用系統(tǒng)，評(píng)估安全事件可能會(huì)造成的影響，提出了防御威脅和保護(hù)策略，從而防止和解決信息安全風(fēng)險(xiǎn)，或控制在可接受范圍內(nèi)的風(fēng)險(xiǎn)，最大限度地保護(hù)系統(tǒng)的信息安全。通過(guò)評(píng)價(jià)過(guò)程對(duì)信息系統(tǒng)的脆弱性

3、進(jìn)行評(píng)價(jià)，面臨威脅和漏洞威脅利用的負(fù)面影響，并根據(jù)信息安全事件的可能性和嚴(yán)重程度，確定信息系統(tǒng)的安全風(fēng)險(xiǎn)。2信息安全風(fēng)險(xiǎn)評(píng)估原理2.1風(fēng)險(xiǎn)評(píng)估要素及其關(guān)系一般說(shuō)來(lái)，信息安全風(fēng)險(xiǎn)評(píng)估要素有五個(gè)，除以上介紹的安全風(fēng)險(xiǎn)外，還有資產(chǎn)、威脅、脆弱性、安全措施等。信息安全風(fēng)評(píng)估工作都是圍繞這些基本評(píng)估要素展開的。2.1.1資產(chǎn)資產(chǎn)是在系統(tǒng)中有價(jià)值的信息或資源，是安全措施的對(duì)象。資產(chǎn)價(jià)值是資產(chǎn)的財(cái)產(chǎn)，也是資產(chǎn)識(shí)別的主要內(nèi)容。它是資產(chǎn)的重要程度或敏感性。2.1.2威脅威脅是導(dǎo)致不期望事件發(fā)生的潛在起因，這些不期望事件可能危害系統(tǒng)。2.1.3脆弱性脆弱性

4、是資產(chǎn)存在的弱點(diǎn)，利用這些弱點(diǎn)威脅資產(chǎn)的使用。2.1.4安全措施安全措施是系統(tǒng)實(shí)施的各種保護(hù)機(jī)制，這種機(jī)制能有效地保護(hù)資產(chǎn)、減少脆弱性、抵御威脅、減少安全事件的發(fā)生或降低影響。風(fēng)險(xiǎn)評(píng)估圍繞上述基本要素。各要素之間存在著這樣的關(guān)系：(1)資產(chǎn)是風(fēng)險(xiǎn)評(píng)估的對(duì)象，資產(chǎn)價(jià)值是由資產(chǎn)價(jià)值計(jì)量的，資產(chǎn)價(jià)值越高，證券需求越高，風(fēng)險(xiǎn)越小。(2)漏洞可能會(huì)暴露資產(chǎn)的價(jià)值，使其被破壞，資產(chǎn)的脆弱性越大，風(fēng)險(xiǎn)越大;(3)威脅引發(fā)風(fēng)險(xiǎn)事件的發(fā)生，威脅越多風(fēng)險(xiǎn)越大;(4)威脅利用脆弱性來(lái)危害資產(chǎn);(5)安全措施可以防御威脅，減小安全風(fēng)險(xiǎn)，從而保護(hù)資產(chǎn)。2.2風(fēng)險(xiǎn)

5、分析模型及算法在信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)中，風(fēng)險(xiǎn)分析涉及資產(chǎn)的三個(gè)基本要素，威脅和脆弱性。每個(gè)元素都有它自己的屬性，并由它的屬性決定。資產(chǎn)的屬性是資產(chǎn)的價(jià)值，而財(cái)產(chǎn)的威脅可以是主體、客體、頻率、動(dòng)機(jī)等。財(cái)產(chǎn)的脆弱性是資產(chǎn)脆弱性的嚴(yán)重性。在風(fēng)險(xiǎn)分析模型中，資產(chǎn)的價(jià)值、威脅的可能性、脆弱性的嚴(yán)重程度、安全事件的可能性和安全事件造成的損失，兩者是整合的，它是風(fēng)險(xiǎn)的價(jià)值。風(fēng)險(xiǎn)分析的主要內(nèi)容為：(1)識(shí)別資產(chǎn)并分配資產(chǎn);(2)確定威脅，并分配潛在的威脅;(3)確定漏洞，并分配資產(chǎn)的脆弱性的嚴(yán)重程度;(4)判斷安全事件的可能性。根據(jù)漏洞的威脅和使用的漏

6、洞來(lái)計(jì)算安全事件的可能性。安全事件發(fā)生可能性=L(威脅可能性，脆弱性)=L(T，V)(5)計(jì)算安全事件損失。根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值計(jì)算安全事件的損失。安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)=F(Ia，Va);(6)確定風(fēng)險(xiǎn)值。根據(jù)安全事件發(fā)生可能性和安全事件造成的損失，計(jì)算安全事件發(fā)生對(duì)組織的影響。風(fēng)險(xiǎn)值=R(A，T，V)=R(F(Ia，Va)，L(T，V))其中，A是資產(chǎn);T是威脅可能性;V是脆弱性;Ia是資產(chǎn)價(jià)值;Va是脆弱性的嚴(yán)重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失，R是風(fēng)險(xiǎn)計(jì)算函

7、數(shù)。3信息風(fēng)險(xiǎn)分析方法探析作為保障信息安全的重要措施，信息安全系統(tǒng)是信息安全的重要組成部分，而信息安全風(fēng)險(xiǎn)評(píng)估的算法分析方法，風(fēng)險(xiǎn)評(píng)估作為風(fēng)險(xiǎn)分析的重要手段，早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標(biāo)準(zhǔn)的一部分。從定性定量的角度可以將風(fēng)險(xiǎn)分析方法分為三類，也就是定性方法、定量方法和定性定量相結(jié)合。3.1定性的風(fēng)險(xiǎn)分析方法定性的方法是憑借分析師的經(jīng)驗(yàn)和知識(shí)的國(guó)際和國(guó)內(nèi)的標(biāo)準(zhǔn)或做法，風(fēng)險(xiǎn)管理因素的大小或程度的定性分類，以確定風(fēng)險(xiǎn)概率和風(fēng)險(xiǎn)的后果。定性的方法的優(yōu)點(diǎn)是，信息系統(tǒng)是不容易得到的具體數(shù)據(jù)的相對(duì)值計(jì)算，沒(méi)有太多的計(jì)算

8、負(fù)擔(dān)。它有一定的缺陷，是很主觀的，要求分析有一定的經(jīng)驗(yàn)和能力。比較著名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等，這些方法的成敗與執(zhí)行者的經(jīng)驗(yàn)有很大的關(guān)系。3.2定量的風(fēng)險(xiǎn)分析方