返回
信息安全风险分析方法及其应用研究.pdf

信息安全风险分析方法及其应用研究.pdf

ID:52475881

大小:220.55 KB

页数:3页

时间:2020-03-28

信息安全风险分析方法及其应用研究.pdf_第1页
信息安全风险分析方法及其应用研究.pdf_第2页
信息安全风险分析方法及其应用研究.pdf_第3页
资源描述:

《信息安全风险分析方法及其应用研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全风险分析方法及其应用研究张晶(国电科学技术研究院,江苏南京210031)[摘要]信息技术的广泛深入应用使得信息安全问题更加复杂化,如何有效地进行信息安全的安全漏洞并及时修补,最大限度地降低组织的安全风险,已经成为信息安全领域研究的重要内容。法、实施过程及步骤的基础上,以电信运营商计费帐务系统为应用主体,对信息安全风险分析方法进[关键字】信息安全风险;风险分析;应用1.引言随着社会信息化程度的不断提高,信息系统得到广泛应用,计算机网络和信息系统已经成为社会经济发展和人们日常生活中不可或缺的动力和工具,网络和信息系统的基础性、全局性作用日益增强、信息的重要性也更加突

2、出。信息网络技术为人们带来工作便利、高效的同时,也为各类社会组织带来了前所未有的信息安全威胁,信息安全所导致的问题日益突出且逐渐被重视。信息安全的风险管理是一个不断降低安全风险的过程,其最终日的是使安全风险降低到一个町接受的程度,使用户和决策者可以接受剩余的风险,信息风险分析作为风险管理的基础,如何采用风险分析方法进行科学有效的信息安全管理,真正掌握企业内部信息系统的安全状况,并及时采取主动安全管理措施,具有很强的实际参考价值。2.信息安全风险分析方法风险分析是利用适当的风险分析辅助工具,对评估客体的威胁、影响、弱点以及三者发生的町能性进行调查、研究,确定风险消减和控制

3、优先等级,其目的是为了识别风险大小,从而采取适当的控制目标与控制方式对其进行风险控制。信息安全风险分析方法可以分为基于知识的风险分析方法、基于模型的风险分析方法、定性分析和定量分析。基于知识的分析方法主要是依靠经验进行的,组织不需要付出很多精力、时间和资源,但要通过多种途径采集相关信息,识别组织存在风险和已采取的安全措施,将搜集到的信息与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按照标准或最佳惯例推荐的安全措施来消减和控制风险,其优越性足能够直接提供推荐的保护措施、结构框架和实施计划。基于模型的分析方法是应用UML面向对象建模技术,通过促进对安全相关特性描述

4、的精确性、促进不同评估方法的互操作和沟通来提高风险评估的质最和效率,通过增加评估方法重用的可能性来减少维护费用。基于模型的风险分析特点是整合各种风险评估方法来评估不同的风险评估案例,对建模方法学和风险评估的结合给出详细建议,提供风险评估结果文档的建模方法。定量分析就是试图从数字上对安全风险进行分析评估的一种方法。对构成风险的各个要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成本等)和潜在损失赋予数值或货币金额。定性分析是凭借分析者的经验和直觉或业界的标准和惯例,为风险管理诸要素大小或高低程度定性分级。同定量分析相比较,定性分析的准确性稍好但精确性不够,定性分析

5、没有定量分析那样繁多的计算负担,但要求分析者具备一定的经验和能力。基于以上总体信息安全风险分析方法,在进行安全风险分析时可以采用层次分析法和Delphi法。层次分析法首先将所要分析的问题层次化,将问题分解成不同的组成冈素,按照因素间的相互关系及隶属关系,将因素按不同层次聚集组合,形成一个多层分析结构模型,最终归结为最低层相对于最高层相对重要程度的权值或相对优劣次序的问题。Delphi法是一种群体决策方法,是一种最常用的定性分析方法.是在复杂情况下,通过排除各种外部干扰和分析障碍,减少调查中的信息误差,从而通过正确的程序来获取专家的意见和智慧。3.信息安全风险评估分析的实

6、施信息安全风险分析主要包括六个步骤:资产识别与赋值、弱点分析、威胁分析、已有控制措施分析、风险识别、形成评估报告。信息安全风险分析实施过程和步骤如下:图l信息安全风险分析实施过程和步骤资产识别和贼值的实现方式是通过填写资产调查表、人作者简介:张晶,女,辽宁抚顺人,本科,工程师,研究方向:信息技术应用和信息系统开发、维护、管理。~81—员访谈、文档审查来实现。根据收集到的资料识别关键资产并赋值。资产赋值是对资产安全价值的估价,不仅要考虑资产的成本价格,还有考虑资产对于组织业务的安全重要性,即根据资产损失所引发的潜在的商务影响来决定。硬件资产的赋值综合了硬件本身和其中包含的

7、软件的价值。为确保资产估价时的一致性和准确性,按照上述原则建立资产价值尺度,以明确如何对资产进行赋值。可以采用CIA赋值方法,就是对资产保密性、完整性和可用性影响进行分析。资产价值计算公式如下:k=l092[(2c+2q-2^)/3】(1)威胁分析首先就要对组织需要保护的每一项关键资产进行威胁识别,根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。威胁分析可以采用资产环境方法,即评估资产所在的环境r业务、系统、物理区域和逻辑区域)面临的威胁,再叠加映射到环境中的资产

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。