返回
风险评估算法简析.ppt

风险评估算法简析.ppt

ID:49786023

大小:4.55 MB

页数:27页

时间:2020-03-01

风险评估算法简析.ppt_第1页
风险评估算法简析.ppt_第2页
风险评估算法简析.ppt_第3页
风险评估算法简析.ppt_第4页
风险评估算法简析.ppt_第5页
资源描述:

《风险评估算法简析.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、风险评估算法简析参考文献:《信息安全风险评估规范》,《基于属性分解的信息安全风险分析与计算模型》主要内容1.风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析主要内容1.风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析风险评估基础(1/4)风险评估要素关系图概念:信息安全风险评估就是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安

2、全风险,将风险控制在可接受的水平,最大限度地保障信息安全提供科学依据。信息安全技术信息安全风险评估规范信息系统整改对策保障信息安全威胁脆弱性资产风险管理角度+方法风险评估基础(2/4)资产(A)asset概念:对组织具有价值的信息或资源,是安全策略保护的对象。资产值:风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产属性:保密性、完整性、可用性。资产保密性完整性可用性保密性赋值赋值赋值加权计算得到资产最终赋值结果风险评估中最重要的三个要素依次为资产、威胁、脆弱性

3、。风险评估基础(3/4)威胁(T)threat概念:可能导致对系统或组织危害的不希望事故潜在起因。威胁赋值:威胁出现的频率是威胁赋值的主要内容。示例:以往安全事件报告中出现过的威胁及其频率的统计实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计威胁赋值近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计风险评估基础(4/4)脆弱性(V)vulnerability概念:可能被威胁所利用的资产或若干资产的薄弱环节。脆弱性赋值:对资产的损害程度、技术实现的难易程度、弱点的流行程度对已识别的脆弱性严重程度赋值。技术管理问卷调查渗透性测试

4、文档查阅人工检测工具检测示例脆弱性严重程度赋值表脆弱性识别主要内容1.风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析风险评估算法(1/8)风险分析原理风险值=R(A,T,V)=R(L(T,V),F(la,Va)),根据风险值的分布状况,为每个等级设定风险值范围。示例如下:风险评估算法(2/8)风险分析计算风险分析计算原理风险值=R(A,T,V)=R(L(T,V),F(la,Va))R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示

5、威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。三个关键计算环节a.计算安全事件发生的可能性安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V)b.计算安全事件发生后的损失安全事件的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va)c.计算风险值风险值=R(安全事件发生的可能性,安全事件造成的损失)=R(L(T,V),F(Ia,Va))风险评估算法(3/8)矩阵法特点:主要适用于由两个要素值确定一个要素值的情形。于通过构造两两要素计算矩阵,可以清晰罗列要素的变化趋势,具备良好灵活性。原理:构造z=f(x,

6、y),函数f可以采用矩阵法,其中,矩阵构造如下所示,m*n个值即为要素z的取值z的计算需要根据实际情况确定,不一定遵循统一的计算公式,但必须具有统一的增减趋势,即如果f是递增函数,z值应随着x与y的值递增,反之亦然。风险评估算法(4/8)相乘法适用:相乘法主要用于两个或多个要素值确定一个要素值的情形。原理:z=f(x,y)=x⊙y;计算方式:⊙可以为直接乘,也可以为相乘后取模HOW?风险评估算法(5/8)矩阵法示例条件三个要素资产价值A1=2A2=3A3=5T1=2T2=1T3=2T4=5T5=4威胁发生频率V1=2V2=3V3=1V4=4V5=2

7、脆弱性严重程度V6=4V7=2V8=3V9=5风险评估算法(6/8)矩阵法示例计算过程计算安全事件发生的可能性威胁发生频率:威胁T1=2脆弱性严重程度:脆弱性V1=21231安全事件发生可能性值=2风险评估算法(7/8)计算安全事件的损失资产价值:资产A1=2;脆弱性严重程度:脆弱性V1=22安全事件损失值=1风险评估算法(8/8)计算安全事件的损失安全事件发生可能性=2;安全事件损失=1;3依次类推得到风险结果主要内容1.风险评估基础2.风险评估计算方法3.基于属性分解的信息安全风险评估算法4.模型实例对比分析基于属性分解的信息安全风险评估算法(

8、1/5)现有风险评估模型缺陷风险值R=R(A,T,V)=R(L(T,V),F(la,Va))威胁资产价值脆弱性脆弱性严重程

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。