一种基于模型的信息安全风险评估方法

一种基于模型的信息安全风险评估方法

ID:13337633

大小:200.00 KB

页数:7页

时间:2018-07-22

一种基于模型的信息安全风险评估方法_第1页
一种基于模型的信息安全风险评估方法_第2页
一种基于模型的信息安全风险评估方法_第3页
一种基于模型的信息安全风险评估方法_第4页
一种基于模型的信息安全风险评估方法_第5页
资源描述:

《一种基于模型的信息安全风险评估方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、□□□□□□□□□一种基于模型的信息安全风险评估方法李嵩孟亚平孙铁刘海峰[摘要]基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法,运用面向对象的、半形式化的方法分析和描述安全风险相关要素,基于ATA模型深入分析评估关键信息资产的安全风险,基于ETA分析安全事件对业务的影响,提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用,以及评估工具的开发和应用,提高风险评估的生产率。[关键词]信息安全风险评估基于模型统一建模语言攻击树分析

2、事件树分析AModelDrivenInformationSecurityRiskAssessmentApproachLiSongMemgYapingSunTieLiuHaifengBeijingInformationSecurityTestandEvaluationCenter[Abstract]Model-drivenassessmentapproachhassignificantmeaningforinformationsecurityassessment.Thispaperpresentsaninformationsecuritya

3、ssessmentapproachbasedonUML,ATAandETAmodel,whichusingobject-orientedandsemi-formallymethodtoanalysisanddescribetheelementsrelatedtorisk,thoroughlyassessingtheriskofcriticalassetsbasedonATAmodel,analysingthesecurityincidentimpactsonbusinessbasedonETA,andimprovingaccuracyan

4、dobjectivityofriskassessment.Model-drivenapproachalsohelptoabstractandreusepatternsoftheelementsrelatedtorisk,developanduseassessmenttools,andincreasetheproductivityofriskassessment.[keyword]InformationSecurityRiskAssessment,Model-driven,UML,ATA,ETA作者单位:100037北京北京信息安全测评中心

5、6□□□□□□□□□1引言为了评估信息系统的安全风险,多种风险评估方法被开发出来并在实践中应用,但由于信息安全具有的高度复杂性和不确定性,这些方法还存在很多难以解决问题。具有共性的问题表现在:1)缺乏形式化的分析和描述方法,无法精确分析和描述风险相关要素,给评估结果带来很大的偏差;2)缺乏对关键信息资产安全风险相关要素的深入分析,评估结果主观性强,有实际价值的内容往往只是系统的脆弱性检测结果;3)缺乏对风险相关要素的抽象、归纳和复用的方法,使风险评估陷入低水平低效率的循环;4)缺乏工具支持,低层次手工作业量较大,风险评估的生产率较低。采用

6、统一建模语言(UnifiedModellingLanguage,UML)分析和描述被评估信息系统及其安全风险相关要素,可以运用面向对象的分析方法,采用图形方式的半形式化建模技术,提高信息系统及其相关安全要素描述的精确性,提高以此为基础的评估结果的质量。UML在系统分析与设计中具有广泛深入的应用,UML在风险评估中的应用,有利于风险评估过程与系统开发过程的相互支持[1]。故障树分析(FaultTreeAnalysis,FTA)[2]是一种成熟的可靠性和安全性分析技术,攻击树分析(AttackTreeAnalysis,ATA)[3]是其在安全

7、领域的应用。采用ATA技术,分析建立关键信息资产的ATA模型,可以有针对性地分析识别关键信息资产相关的安全事件和安全威胁,并对关键信息资产进行概率风险评估(ProbabilisticRiskAssessment,PRA)[4],提高风险评估的客观性。ETA(EventTreeAnalysis,ETA)[4]是一种逻辑演绎法,它在给定的一个初因事件的前提下,分析此初因事件可能导致的各种事件序列的结果。基于ETA方法分析安全事件对系统业务的影响,可以提高业务影响分析的全面性和系统性。基于图形模型的分析与描述方法有利于深入的交流与沟通,防止由于

8、不确切的理解而影响评估质量和效率。基于模型的风险评估方法,有利于对安全风险相关要素进行模式抽象和总结,通过模式的复用,以及开发应用基于模型方法的工具集,提高效率,降低成本,提高风险评估的生产率

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。