風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析

風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析參考文獻(xiàn)：?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?，?基于屬性分解的信息平安風(fēng)險(xiǎn)分析與計(jì)算模型?主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估根底2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例比照分析2a主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估根底2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例比照分析3a風(fēng)險(xiǎn)評(píng)估根底(1/4)風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖概念：信息平安風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評(píng)估平安事件一旦發(fā)生可能造成的危害程度，提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施，為防范和化解信息平安風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制在可接受的水平，最大限度地保障信息平安提供科學(xué)依據(jù)。信息平安技術(shù)信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)信息系統(tǒng)整改對(duì)策保障信息安全威脅脆弱性資產(chǎn)風(fēng)險(xiǎn)管理角度+方法4a風(fēng)險(xiǎn)評(píng)估根底(2/4)資產(chǎn)(A)asset概念：對(duì)組織具有價(jià)值的信息或資源，是平安策略保護(hù)的對(duì)象。資產(chǎn)值：風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在這三個(gè)平安屬性上的達(dá)成程度或者其平安屬性未達(dá)成時(shí)所造成的影響程度來決定的。資產(chǎn)屬性：保密性、完整性、可用性。資產(chǎn)保密性完整性可用性保密性賦值賦值賦值加權(quán)計(jì)算得到資產(chǎn)最終賦值結(jié)果風(fēng)險(xiǎn)評(píng)估中最重要的三個(gè)要素依次為資產(chǎn)、威脅、脆弱性。5a風(fēng)險(xiǎn)評(píng)估根底(3/4)威脅(T)threat概念：可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。威脅賦值：威脅出現(xiàn)的頻率是威脅賦值的主要內(nèi)容。例如：以往平安事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)威脅賦值近一兩年來國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)6a風(fēng)險(xiǎn)評(píng)估根底(4/4)脆弱性(V)vulnerability概念：可能被威脅所利用的資產(chǎn)或假設(shè)干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性賦值：對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度對(duì)已識(shí)別的脆弱性嚴(yán)重程度賦值。技術(shù)管理問卷調(diào)查滲透性測(cè)試文檔查閱人工檢測(cè)工具檢測(cè)例如脆弱性嚴(yán)重程度賦值表脆弱性識(shí)別7a主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估根底2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例比照分析8a風(fēng)險(xiǎn)評(píng)估算法(1/8)風(fēng)險(xiǎn)分析原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(la，Va))，根據(jù)風(fēng)險(xiǎn)值的分布狀況，為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍。例如如下：9a風(fēng)險(xiǎn)評(píng)估算法(2/8)風(fēng)險(xiǎn)分析計(jì)算風(fēng)險(xiǎn)分析計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(la，Va))R表示平安風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示平安事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致平安事件發(fā)生的可能性；F表示平安事件發(fā)生后產(chǎn)生的損失。三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)a.計(jì)算平安事件發(fā)生的可能性平安事件發(fā)生的可能性=L(威脅出現(xiàn)頻率，脆弱性)＝L(T，V)b.計(jì)算平安事件發(fā)生后的損失平安事件的損失=F(資產(chǎn)價(jià)值，脆弱性嚴(yán)重程度)＝F(Ia，Va)c.計(jì)算風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值=R(平安事件發(fā)生的可能性，平安事件造成的損失)＝R(L(T，V)，F(xiàn)(Ia，Va))10a風(fēng)險(xiǎn)評(píng)估算法(3/8)矩陣法特點(diǎn)：主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形。于通過構(gòu)造兩兩要素計(jì)算矩陣，可以清晰羅列要素的變化趨勢(shì)，具備良好靈活性。原理：構(gòu)造z=f(x,y)，函數(shù)f可以采用矩陣法，其中，矩陣構(gòu)造如下所示，m*n個(gè)值即為要素z的取值z(mì)的計(jì)算需要根據(jù)實(shí)際情況確定，不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢(shì)，即如果f是遞增函數(shù)，z值應(yīng)隨著x與y的值遞增，反之亦然。11a風(fēng)險(xiǎn)評(píng)估算法(4/8)相乘法適用：相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。原理：z=f(x,y)=x⊙y；計(jì)算方式：⊙可以為直接乘，也可以為相乘后取模HOW?12a風(fēng)險(xiǎn)評(píng)估算法(5/8)矩陣法例如條件三個(gè)要素資產(chǎn)價(jià)值A(chǔ)1=2A2=3A3=5T1=2T2=1T3=2T4=5T5=4威脅發(fā)生頻率V1=2V2=3V3=1V4=4V5=2脆弱性嚴(yán)重程度V6=4V7=2V8=3V9=513a風(fēng)險(xiǎn)評(píng)估算法(6/8)矩陣法例如計(jì)算過程計(jì)算平安事件發(fā)生的可能性威脅發(fā)生頻率：威脅T1=2脆弱性嚴(yán)重程度：脆弱性V1=21231平安事件發(fā)生可能性值=214a風(fēng)險(xiǎn)評(píng)估算法(7/8)計(jì)算平安事件的損失資產(chǎn)價(jià)值：資產(chǎn)A1=2；脆弱性嚴(yán)重程度：脆弱性V1=22平安事件損失值=115a風(fēng)險(xiǎn)評(píng)估算法(8/8)計(jì)算平安事件的損失平安事件發(fā)生可能性=2；平安事件損失=1；3依次類推得到風(fēng)險(xiǎn)結(jié)果16a主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估根底2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例比照分析17a基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法(1/5)現(xiàn)有風(fēng)險(xiǎn)評(píng)估模型缺陷風(fēng)險(xiǎn)值R=R(A,T,V)=R(L(T,V),F(la，Va))威脅資產(chǎn)價(jià)值脆弱性脆弱性嚴(yán)重程度V和Va如何賦值以及兩者之間的區(qū)別沒有述及，在評(píng)估時(shí)容易混淆。而在附錄的計(jì)算例如中，實(shí)際取Va為脆弱性值V有何區(qū)別？18a基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法(2/5)信息平安風(fēng)險(xiǎn)屬性分解風(fēng)險(xiǎn)的屬性包括威脅、脆弱性和資產(chǎn)，對(duì)組織造成的影響實(shí)際就是對(duì)于資產(chǎn)屬性的破壞。a.評(píng)價(jià)資產(chǎn)的三個(gè)屬性：保密性，完整性，可用性；b.威脅屬性可劃分為：威脅發(fā)生頻率〔該威脅已經(jīng)發(fā)生的統(tǒng)計(jì)結(jié)果〕和威脅發(fā)生概率〔威脅發(fā)生的可能性〕；c.脆弱性嚴(yán)重程度即通過利用該脆弱性能夠?qū)Y產(chǎn)造成的危害或破壞程度，可以參考相關(guān)組織的等級(jí)評(píng)判標(biāo)準(zhǔn)；脆弱性被利用的難易程度，主要通過評(píng)估人員的經(jīng)驗(yàn)推斷，也可輔以檢測(cè)工具、漏洞利用工具等進(jìn)行驗(yàn)證。保密性可用性完整性發(fā)生概率發(fā)生頻率可利用的難易程度嚴(yán)重程度資產(chǎn)威脅脆弱性信息安全風(fēng)險(xiǎn)19a基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法(3/5)風(fēng)險(xiǎn)分析模型資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別保密性嚴(yán)重程度可利用的難易程度發(fā)生頻率發(fā)生概率安全事件造成的損失安全事件的可能性風(fēng)險(xiǎn)值完整性可用性資產(chǎn)值威脅值不需要對(duì)脆弱性進(jìn)行總體賦值基于屬性分解的風(fēng)險(xiǎn)分析模型有兩個(gè)顯著優(yōu)點(diǎn)：該模型中不存在屬性被重復(fù)利用的情況20a基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法(4/5)風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)值R=R(A，T，V)=R(L(VT，VVe)，F(xiàn)(VA，VVs))R表示平安風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；L表示威脅利用資產(chǎn)的脆弱性，導(dǎo)致平安事件的可能性；F表示平安事件發(fā)生后造成的損失

新賦值含義VTp表示某威脅的發(fā)生可能性VA表示某資產(chǎn)的總體賦值VVs表示某脆弱性的嚴(yán)重程度VT表示該威脅的總體賦值VTf表示某威脅的發(fā)生頻率VVe表示某脆弱性被利用的難易程度21a基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法(5/5)風(fēng)險(xiǎn)計(jì)算公式

風(fēng)險(xiǎn)值R=R(A，T，V)=R(L(VT，VVe)，F(xiàn)(VA，VVs))VA=2／3×avg(VAc，VAi，VAa)+1／3×max(VAc，VAi，VAa)VT=3／5×VTf+2／5×VTp參見?風(fēng)險(xiǎn)評(píng)估中威脅發(fā)生可能性的定量分析方法?主要通過評(píng)估人員的技術(shù)能力和評(píng)估經(jīng)驗(yàn)推斷，也可輔以檢測(cè)工具、漏洞利用工具等進(jìn)行驗(yàn)證其中，VAc、VAi、VAa分別為資產(chǎn)的保密性、完整性和可用性的賦值等級(jí)參見風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)參見風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)注：平安事件造成的損失F(VA，VVs)、平安事件發(fā)生的可能性，J(VT，VVe)和風(fēng)險(xiǎn)R(L，F(xiàn))的計(jì)算公式參考矩陣法22a主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估根底2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息平安風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例比照分析23a模型實(shí)例比照分析(1/2)模型實(shí)例對(duì)一個(gè)典型環(huán)境，分別采用原有模型和屬性分解模型進(jìn)行風(fēng)險(xiǎn)計(jì)算，然后對(duì)于計(jì)算結(jié)果進(jìn)行比較分析條件屬性賦值31233224R1R2R3R4原有模型屬性分解模型風(fēng)險(xiǎn)值43R5原有模型R1=3，R2=1，R3=2，R4=3，R5=4屬性分解模型R1=3，R2=2，R3=2，R4=4，R5=324a模型實(shí)例比照分析(2/2)結(jié)果比較分析利用相關(guān)系數(shù)計(jì)算比較風(fēng)險(xiǎn)對(duì)各屬性的相關(guān)程度。屬性分解模型原有模型資產(chǎn)值：0.661威脅值：-0.413脆弱性嚴(yán)重程度：0.920