風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析演示_第1頁
風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析演示_第2頁
風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析演示_第3頁
風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析演示_第4頁
風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析演示_第5頁
已閱讀5頁,還剩20頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

(優(yōu)選)風(fēng)險(xiǎn)評(píng)估算法簡(jiǎn)析當(dāng)前第1頁\共有25頁\編于星期一\16點(diǎn)主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估基礎(chǔ)2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例對(duì)比分析當(dāng)前第2頁\共有25頁\編于星期一\16點(diǎn)主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估基礎(chǔ)2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例對(duì)比分析當(dāng)前第3頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)(1/4)風(fēng)險(xiǎn)評(píng)估要素關(guān)系圖概念:信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施,為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,最大限度地保障信息安全提供科學(xué)依據(jù)。信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范信息系統(tǒng)整改對(duì)策保障信息安全威脅脆弱性資產(chǎn)風(fēng)險(xiǎn)管理角度+方法當(dāng)前第4頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)(2/4)資產(chǎn)(A)asset概念:對(duì)組織具有價(jià)值的信息或資源,是安全策略保護(hù)的對(duì)象。資產(chǎn)值:風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量,而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。資產(chǎn)屬性:保密性、完整性、可用性。資產(chǎn)保密性完整性可用性保密性賦值賦值賦值加權(quán)計(jì)算得到資產(chǎn)最終賦值結(jié)果風(fēng)險(xiǎn)評(píng)估中最重要的三個(gè)要素依次為資產(chǎn)、威脅、脆弱性。當(dāng)前第5頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)(3/4)威脅(T)threat概念:可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。威脅賦值:威脅出現(xiàn)的頻率是威脅賦值的主要內(nèi)容。示例:以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì)實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)威脅賦值近一兩年來國際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)當(dāng)前第6頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)(4/4)脆弱性(V)vulnerability概念:可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。脆弱性賦值:對(duì)資產(chǎn)的損害程度、技術(shù)實(shí)現(xiàn)的難易程度、弱點(diǎn)的流行程度對(duì)已識(shí)別的脆弱性嚴(yán)重程度賦值。技術(shù)管理問卷調(diào)查滲透性測(cè)試文檔查閱人工檢測(cè)工具檢測(cè)示例脆弱性嚴(yán)重程度賦值表脆弱性識(shí)別當(dāng)前第7頁\共有25頁\編于星期一\16點(diǎn)主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估基礎(chǔ)2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例對(duì)比分析當(dāng)前第8頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(1/8)風(fēng)險(xiǎn)分析原理

風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(la,Va)),根據(jù)風(fēng)險(xiǎn)值的分布狀況,為每個(gè)等級(jí)設(shè)定風(fēng)險(xiǎn)值范圍。示例如下:當(dāng)前第9頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(2/8)風(fēng)險(xiǎn)分析計(jì)算風(fēng)險(xiǎn)分析計(jì)算原理風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(la,Va))R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;Ia表示安全事件所作用的資產(chǎn)價(jià)值;Va表示脆弱性嚴(yán)重程度;L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性;F表示安全事件發(fā)生后產(chǎn)生的損失。三個(gè)關(guān)鍵計(jì)算環(huán)節(jié)

a.計(jì)算安全事件發(fā)生的可能性

安全事件發(fā)生的可能性=L(威脅出現(xiàn)頻率,脆弱性)=L(T,V)

b.計(jì)算安全事件發(fā)生后的損失

安全事件的損失=F(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度)=F(Ia,Va)

c.計(jì)算風(fēng)險(xiǎn)值

風(fēng)險(xiǎn)值=R(安全事件發(fā)生的可能性,安全事件造成的損失)=R(L(T,V),F(xiàn)(Ia,Va))當(dāng)前第10頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(3/8)矩陣法特點(diǎn):主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形。于通過構(gòu)造兩兩要素計(jì)算矩陣,可以清晰羅列要素的變化趨勢(shì),具備良好靈活性。原理:構(gòu)造z=f(x,y),函數(shù)f可以采用矩陣法,其中,矩陣構(gòu)造如下所示,m*n個(gè)值即為要素z的取值z(mì)的計(jì)算需要根據(jù)實(shí)際情況確定,不一定遵循統(tǒng)一的計(jì)算公式,但必須具有統(tǒng)一的增減趨勢(shì),即如果f是遞增函數(shù),z值應(yīng)隨著x與y的值遞增,反之亦然。當(dāng)前第11頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(4/8)相乘法適用:相乘法主要用于兩個(gè)或多個(gè)要素值確定一個(gè)要素值的情形。原理:z=f(x,y)=x⊙y;計(jì)算方式:⊙可以為直接乘,也可以為相乘后取模HOW?當(dāng)前第12頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(5/8)矩陣法示例條件三個(gè)要素資產(chǎn)價(jià)值A(chǔ)1=2A2=3A3=5T1=2T2=1T3=2T4=5T5=4威脅發(fā)生頻率V1=2V2=3V3=1V4=4V5=2脆弱性嚴(yán)重程度V6=4V7=2V8=3V9=5當(dāng)前第13頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(6/8)矩陣法示例計(jì)算過程計(jì)算安全事件發(fā)生的可能性威脅發(fā)生頻率:威脅T1=2脆弱性嚴(yán)重程度:脆弱性V1=21231安全事件發(fā)生可能性值=2當(dāng)前第14頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(7/8)

計(jì)算安全事件的損失資產(chǎn)價(jià)值:資產(chǎn)A1=2;脆弱性嚴(yán)重程度:脆弱性V1=22安全事件損失值=1當(dāng)前第15頁\共有25頁\編于星期一\16點(diǎn)風(fēng)險(xiǎn)評(píng)估算法(8/8)

計(jì)算安全事件的損失安全事件發(fā)生可能性=2;安全事件損失=1;3依次類推得到風(fēng)險(xiǎn)結(jié)果當(dāng)前第16頁\共有25頁\編于星期一\16點(diǎn)主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估基礎(chǔ)2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例對(duì)比分析當(dāng)前第17頁\共有25頁\編于星期一\16點(diǎn)基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法(1/5)現(xiàn)有風(fēng)險(xiǎn)評(píng)估模型缺陷風(fēng)險(xiǎn)值R=R(A,T,V)=R(L(T,V),F(la,Va))威脅資產(chǎn)價(jià)值脆弱性脆弱性嚴(yán)重程度V和Va如何賦值以及兩者之間的區(qū)別沒有述及,在評(píng)估時(shí)容易混淆。而在附錄的計(jì)算示例中,實(shí)際取Va為脆弱性值V有何區(qū)別?當(dāng)前第18頁\共有25頁\編于星期一\16點(diǎn)基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法(2/5)信息安全風(fēng)險(xiǎn)屬性分解

風(fēng)險(xiǎn)的屬性包括威脅、脆弱性和資產(chǎn),對(duì)組織造成的影響實(shí)際就是對(duì)于資產(chǎn)屬性的破壞。a.評(píng)價(jià)資產(chǎn)的三個(gè)屬性:保密性,完整性,可用性;

b.威脅屬性可劃分為:威脅發(fā)生頻率(該威脅已經(jīng)發(fā)生的統(tǒng)計(jì)結(jié)果)和威脅發(fā)生概率(威脅發(fā)生的可能性);

c.脆弱性嚴(yán)重程度即通過利用該脆弱性能夠?qū)Y產(chǎn)造成的危害或破壞程度,可以參考相關(guān)組織的等級(jí)評(píng)判標(biāo)準(zhǔn);脆弱性被利用的難易程度,主要通過評(píng)估人員的經(jīng)驗(yàn)推斷,也可輔以檢測(cè)工具、漏洞利用工具等進(jìn)行驗(yàn)證。保密性可用性完整性發(fā)生概率發(fā)生頻率可利用的難易程度嚴(yán)重程度資產(chǎn)威脅脆弱性信息安全風(fēng)險(xiǎn)當(dāng)前第19頁\共有25頁\編于星期一\16點(diǎn)基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法(3/5)風(fēng)險(xiǎn)分析模型資產(chǎn)識(shí)別脆弱性識(shí)別威脅識(shí)別保密性嚴(yán)重程度可利用的難易程度發(fā)生頻率發(fā)生概率安全事件造成的損失安全事件的可能性風(fēng)險(xiǎn)值完整性可用性資產(chǎn)值威脅值不需要對(duì)脆弱性進(jìn)行總體賦值基于屬性分解的風(fēng)險(xiǎn)分析模型有兩個(gè)顯著優(yōu)點(diǎn):該模型中不存在屬性被重復(fù)利用的情況當(dāng)前第20頁\共有25頁\編于星期一\16點(diǎn)基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法(4/5)風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)值R=R(A,T,V)=R(L(VT,VVe),F(xiàn)(VA,VVs))R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);A表示資產(chǎn);T表示威脅;V表示脆弱性;L表示威脅利用資產(chǎn)的脆弱性,導(dǎo)致安全事件的可能性;F表示安全事件發(fā)生后造成的損失

新賦值含義VTp表示某威脅的發(fā)生可能性VA表示某資產(chǎn)的總體賦值VVs表示某脆弱性的嚴(yán)重程度VT表示該威脅的總體賦值VTf表示某威脅的發(fā)生頻率VVe表示某脆弱性被利用的難易程度當(dāng)前第21頁\共有25頁\編于星期一\16點(diǎn)基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法(5/5)風(fēng)險(xiǎn)計(jì)算公式

風(fēng)險(xiǎn)值R=R(A,T,V)=R(L(VT,VVe),F(xiàn)(VA,VVs))VA=2/3×avg(VAc,VAi,VAa)+1/3×max(VAc,VAi,VAa)VT=3/5×VTf+2/5×VTp參見《風(fēng)險(xiǎn)評(píng)估中威脅發(fā)生可能性的定量分析方法》主要通過評(píng)估人員的技術(shù)能力和評(píng)估經(jīng)驗(yàn)推斷,也可輔以檢測(cè)工具、漏洞利用工具等進(jìn)行驗(yàn)證其中,VAc、VAi、VAa分別為資產(chǎn)的保密性、完整性和可用性的賦值等級(jí)參見風(fēng)險(xiǎn)評(píng)估規(guī)范參見風(fēng)險(xiǎn)評(píng)估規(guī)范注:安全事件造成的損失F(VA,VVs)、安全事件發(fā)生的可能性,J(VT,VVe)和風(fēng)險(xiǎn)R(L,F(xiàn))的計(jì)算公式參考矩陣法當(dāng)前第22頁\共有25頁\編于星期一\16點(diǎn)主要內(nèi)容1.風(fēng)險(xiǎn)評(píng)估基礎(chǔ)2.風(fēng)險(xiǎn)評(píng)估計(jì)算方法3.基于屬性分解的信息安全風(fēng)險(xiǎn)評(píng)估算法4.模型實(shí)例對(duì)比分析當(dāng)前第23頁\共有25頁\編于星期一\16點(diǎn)模型實(shí)例對(duì)比分析(1/2)模型實(shí)例對(duì)一個(gè)典型環(huán)境,分別采用原有模型和屬性分解模型進(jìn)行風(fēng)險(xiǎn)計(jì)算,然后對(duì)于計(jì)算結(jié)果進(jìn)行比較分析條件屬性賦值31233224R1R2R3R4原有模型屬性分解模型風(fēng)險(xiǎn)值43R5原有模型R1=3,R2=1,R3=2,R4=3,R5=4屬性分解模型R1=3,R2=2,R3=2,R4=4,R5=3當(dāng)前第24頁\共有25頁\編于星期一\16點(diǎn)模型實(shí)例對(duì)比分析(2/2)結(jié)果比較分析

利用相關(guān)系數(shù)計(jì)算比較風(fēng)險(xiǎn)對(duì)各屬性的相關(guān)程度。屬性分解模型原有模型資產(chǎn)值:0.661

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論