风险评估算法简析

《风险评估算法简析》由会员分享，可在线阅读，更多相关《风险评估算法简析（26页珍藏版）》请在装配图网上搜索。

1、参 考 文 献 ： 信 息 安 全 风 险 评 估 规 范 ， 基 于 属 性 分 解 的 信 息 安 全 风 险 分 析 与 计 算 模 型 1. 风 险 评 估 基 础2. 风 险 评 估 计 算 方 法3. 基 于 属 性 分 解 的 信 息 安 全 风 险 评 估 算 法4. 模 型 实 例 对 比 分 析 1. 风 险 评 估 基 础2. 风 险 评 估 计 算 方 法3. 基 于 属 性 分 解 的 信 息 安 全 风 险 评 估 算 法4. 模 型 实 例 对 比 分 析 风 险 评 估 要 素 关 系 图 概 念 ： 信 息 安 全 风 险 评 估 就 是 从 风 险 管 理

2、角 度 ， 运 用 科 学的 方 法 和 手 段 ， 系 统 地 分 析 信 息 系 统 所 面 临 的 威 胁 及 其 存在 的 脆 弱 性 ， 评 估 安 全 事 件 一 旦 发 生 可 能 造 成 的 危 害 程 度， 提 出 有 针 对 性 的 抵 御 威 胁 的 防 护 对 策 和 整 改 措 施 ， 为 防范 和 化 解 信 息 安 全 风 险 ， 将 风 险 控 制 在 可 接 受 的 水 平 ， 最大 限 度 地 保 障 信 息 安 全 提 供 科 学 依 据 。 信 息 安 全 技 术 信 息 安 全 风 险 评 估 规 范 信 息 系 统 整 改 对 策 保 障 信 息 安

3、 全 威 胁脆 弱 性 资 产风 险 管 理 角 度 +方 法 资 产 (A) asset 概 念 ： 对 组 织 具 有 价 值 的 信 息 或 资 源 ， 是 安 全 策 略 保 护 的 对 象 。 资 产 值 ： 风 险 评 估 中 资 产 的 价 值 不 是 以 资 产 的 经 济 价 值 来 衡 量 ， 而 是 由 资 产 在 这 三 个安 全 属 性 上 的 达 成 程 度 或 者 其 安 全 属 性 未 达 成 时 所 造 成 的 影 响 程 度 来 决 定 的 。 资 产 属 性 ： 保 密 性 、 完 整 性 、 可 用 性 。保 密性完 整 性 可 用 性保 密 性 赋 值

4、赋 值赋 值 加 权 计 算 得 到 资 产最 终 赋 值 结 果风 险 评 估 中 最 重 要 的 三 个 要 素 依 次 为 资 产 、 威 胁 、 脆 弱 性 。 威 胁 (T) threat 概 念 ： 可 能 导 致 对 系 统 或 组 织 危 害 的 不 希 望 事 故 潜 在 起 因 。 威 胁 赋 值 ： 威 胁 出 现 的 频 率 是 威 胁 赋 值 的 主 要 内 容 。 示 例 ： 以 往 安 全 事 件 报 告 中 出 现 过 的 威 胁 及 其 频 率 的 统 计实 际 环 境 中 通 过 检 测 工 具 以 及 各 种日 志 发 现 的 威 胁 及 其 频 率 的

5、统 计 威 胁 赋 值近 一 两 年 来 国 际 组 织 发 布 的 对 于 整 个社 会 或 特 定 行 业 的 威 胁 及 其 频 率 统 计 脆 弱 性 (V) vulnerability 概 念 ： 可 能 被 威 胁 所 利 用 的 资产 或 若 干 资 产 的 薄 弱 环 节 。 脆 弱 性 赋 值 ： 对 资 产 的 损 害 程度 、 技 术 实 现 的 难 易 程 度 、 弱点 的 流 行 程 度 对 已 识 别 的 脆 弱性 严 重 程 度 赋 值 。 技术 管理问 卷 调 查 渗 透 性 测 试 文 档 查 阅人 工 检 测工 具 检 测示 例 脆 弱 性 严 重 程 度

6、赋 值 表 脆 弱 性 识 别 1. 风 险 评 估 基 础2. 风 险 评 估 计 算 方 法3. 基 于 属 性 分 解 的 信 息 安 全 风 险 评 估 算 法4. 模 型 实 例 对 比 分 析 风险分析原理 风险值= R(A,T,V)= R(L(T,V),F(la，Va)，根据风险值的分布状况，为每个等级设定风险值范围。示例如下： 风 险 分 析 计 算 风 险 分 析 计 算 原 理 风 险 值 = R(A,T,V)= R(L(T,V),F(la， Va) R表 示 安 全 风 险 计 算 函 数 ； A表 示 资 产 ； T表 示 威 胁 ； V表 示 脆 弱 性 ； Ia表

7、示 安 全 事 件 所 作 用 的 资 产价 值 ； Va表 示 脆 弱 性 严 重 程 度 ； L表 示 威 胁 利 用 资 产 的 脆 弱 性 导 致 安 全 事 件 发 生 的 可 能 性 ； F表 示安 全 事 件 发 生 后 产 生 的 损 失 。 三 个 关 键 计 算 环 节 a.计 算 安 全 事 件 发 生 的 可 能 性 安 全 事 件 发 生 的 可 能 性 =L(威 胁 出 现 频 率 ， 脆 弱 性 ) L(T， V) b.计 算 安 全 事 件 发 生 后 的 损 失 安 全 事 件 的 损 失 =F(资 产 价 值 ， 脆 弱 性 严 重 程 度 ) F(Ia，

8、Va ) c.计 算 风 险 值 风 险 值 =R(安 全 事 件 发 生 的 可 能 性 ， 安 全 事 件 造 成 的 损 失 ) R(L(T， V)， F(Ia， Va ) 矩 阵 法 特 点 ： 主 要 适 用 于 由 两 个 要 素 值 确 定 一 个 要 素 值 的 情 形 。 于 通 过 构 造 两 两 要素 计 算 矩 阵 ， 可 以 清 晰 罗 列 要 素 的 变 化 趋 势 ， 具 备 良 好 灵 活 性 。 原 理 ： 构 造 z=f(x,y)， 函 数 f可 以 采 用 矩 阵 法 ， 其 中 ， 矩 阵 构 造 如 下 所 示 ， m*n个 值 即 为 要 素 z的

9、取 值 z的 计 算 需 要 根 据 实 际 情 况 确 定 ， 不 一 定 遵 循 统 一 的 计 算 公 式 ， 但 必 须 具 有 统 一 的增 减 趋 势 ， 即 如 果 f 是 递 增 函 数 ， z值 应 随 着 x 与 y 的 值 递 增 ， 反 之 亦 然 。 相 乘 法 适 用 ： 相 乘 法 主 要 用 于 两 个 或 多 个 要 素 值 确 定 一 个 要 素 值 的 情 形 。 原 理 ： z =f(x,y)=x y； 计 算 方 式 ： 可 以 为 直 接 乘 ， 也 可 以 为 相 乘 后 取 模 HOW? 矩 阵 法 示 例 条 件 三 个 要 素 资 产 价 值

10、A1=2A2=3A3=5 T1=2T2=1T3=2T4=5T5=4威 胁 发 生 频 率 V1=2V2=3V3=1V4=4V5=2脆 弱 性 严 重 程 度V6=4V7=2V8=3V9=5 矩 阵 法 示 例 计 算 过 程 计 算 安 全 事 件 发 生 的 可 能 性 威 胁 发 生 频 率 ： 威 胁 T1=2 脆 弱 性 严 重 程 度 ： 脆 弱 性 V1=2 12 31 安 全 事 件 发 生 可 能 性 值 =2 计 算 安 全 事 件 的 损 失 资 产 价 值 ： 资 产 A1=2； 脆 弱 性 严 重 程 度 ： 脆 弱 性 V1=22 安 全 事 件 损 失 值 =1 计

11、 算 安 全 事 件 的 损 失 安 全 事 件 发 生 可 能 性 =2； 安 全 事 件 损 失 =1；3 依 次 类 推 得 到 风 险 结 果 1. 风 险 评 估 基 础2. 风 险 评 估 计 算 方 法3. 基 于 属 性 分 解 的 信 息 安 全 风 险 评 估 算 法4. 模 型 实 例 对 比 分 析 现 有 风 险 评 估 模 型 缺 陷风 险 值 R= R(A,T,V)= R(L(T,V),F(la， Va)威 胁 资 产 价值脆 弱 性 脆 弱 性 严 重程 度 V和 Va如 何 赋 值 以 及 两 者 之 间 的 区 别 没 有述 及 ， 在 评 估 时 容 易

12、混 淆 。 而 在 附 录 的 计算 示 例 中 ， 实 际 取 Va为 脆 弱 性 值 V 有 何 区别 ？ 信 息 安 全 风 险 属 性 分 解 风 险 的 属 性 包 括 威 胁 、 脆 弱 性 和 资 产 ， 对 组 织 造成 的 影 响 实 际 就 是 对 于 资 产 属 性 的 破 坏 。 a.评 价 资 产 的 三 个 属 性 ： 保 密 性 ， 完 整 性 ， 可 用性 ； b.威 胁 属 性 可 划 分 为 ： 威 胁 发 生 频 率 （ 该 威 胁 已经 发 生 的 统 计 结 果 ） 和 威 胁 发 生 概 率 （ 威 胁 发 生的 可 能 性 ） ； c.脆 弱 性

13、严 重 程 度 即 通 过 利 用 该 脆 弱 性 能 够 对 资产 造 成 的 危 害 或 破 坏 程 度 ， 可 以 参 考 相 关 组 织 的等 级 评 判 标 准 ； 脆 弱 性 被 利 用 的 难 易 程 度 ， 主 要通 过 评 估 人 员 的 经 验 推 断 ， 也 可 辅 以 检 测 工 具 、漏 洞 利 用 工 具 等 进 行 验 证 。 保 密 性可 用 性完 整 性发 生概 率发 生频 率 可 利 用 的难 易 程 度严 重 程 度资 产威 胁 脆 弱 性信 息 安 全 风 险 风 险 分 析 模 型资 产 识 别脆 弱 性 识 别威 胁 识 别 保 密 性 严 重 程

14、度可 利 用 的难 易 程 度发 生 频 率 发 生 概 率 安 全 事 件造 成 的 损 失安 全 事 件的 可 能 性 风 险 值完 整 性可 用 性 资 产 值威 胁 值不 需 要 对 脆弱 性 进 行 总体 赋 值基 于 属 性 分 解 的 风 险 分 析 模 型 有 两 个 显 著 优 点 ：该 模 型 中 不 存在 属 性 被 重 复利 用 的 情 况 风 险 计 算 方 法 风 险 值 R=R(A， T， V)=R(L(VT， VVe)， F(VA， VVs) R表 示 安 全 风 险 计 算 函 数 ； A表 示 资 产 ； T表 示 威 胁 ； V表 示 脆 弱 性 ； L表

15、 示 威 胁 利 用 资 产 的 脆 弱 性 ， 导致 安 全 事 件 的 可 能 性 ； F表 示 安 全 事 件 发 生 后 造 成 的 损 失 新 赋 值含 义VTp表 示 某 威 胁 的 发 生 可 能 性VA表 示 某 资 产 的 总 体 赋 值 VVs表 示 某 脆 弱 性 的 严 重 程 度 VT表 示 该 威 胁 的 总 体 赋 值VTf表 示 某 威 胁 的 发 生 频 率VVe表 示 某 脆 弱 性 被 利 用 的 难 易 程 度 风 险 计 算 公 式 风 险 值 R=R(A， T， V)=R(L(VT， VVe)， F(VA，VVs) VA=2 3 avg(VAc， V

16、Ai， VAa)+1 3 max(VAc， VAi， VAa)VT =3 5 VTf+ 25 VTp 参 见 风 险 评 估 中 威 胁 发 生 可 能 性 的 定 量 分 析 方 法 主 要 通 过 评 估 人 员 的 技 术能 力 和 评 估 经 验 推 断 ， 也可 辅 以 检 测 工 具 、 漏 洞 利用 工 具 等 进 行 验 证其 中 ， VAc、 VAi、 VAa分 别 为 资 产 的 保 密 性 、 完 整 性 和 可 用 性 的 赋 值 等 级参 见 风 险 评 估 规 范 参 见 风 险 评 估 规 范注 ： 安 全 事 件 造 成 的 损 失 F(VA， VVs)、 安

17、全 事 件 发 生 的 可 能 性 ， J(VT， VVe)和 风 险 R(L， F)的 计 算 公 式 参 考 矩 阵 法 1. 风 险 评 估 基 础2. 风 险 评 估 计 算 方 法3. 基 于 属 性 分 解 的 信 息 安 全 风 险 评 估 算 法4. 模 型 实 例 对 比 分 析 模 型 实 例 对 一 个 典 型 环 境 ， 分 别 采 用 原 有 模 型 和 属 性 分 解 模 型 进 行 风 险 计 算 ， 然 后 对 于 计 算 结 果 进 行 比 较 分 析条 件属 性 赋 值 312 3 32 2 4R 1R 2R 3R 4原 有 模 型 属 性 分 解 模 型风

18、 险 值4 3R 5 原 有 模 型R1=3， R2=1， R3=2，R4=3， R5=4属 性 分 解 模 型R1=3， R2=2， R3=2，R4=4， R5=3 结 果 比 较 分 析 利 用 相 关 系 数 计 算 比 较 风 险 对 各 属 性 的 相 关 程 度 。属 性 分 解 模 型原 有 模 型 资 产 值 ： 0.661 威 胁 值 ： -0.413 脆 弱 性 严 重 程 度 ： 0.920 资 产 值 ： 0.758 威 胁 值 ： -0.579 脆 弱 性 严 重 程 度 ： 0.110原 有 模 型 中 风 险 值 严 重 地 相关 于 脆 弱 性 严 重 程 度 。 因 此 ，脆 弱 性 严 重 程 度 赋 值 的 稍 许偏 差 将 导 致 最 终 风 险 值 的 偏差 。 结 论 ：通 过 对 信 息 安 全 风 险 进 行 属 性 分解 ， 获 得 了 一 个 新 的 易 操 作 的 风险 分 析 与 计 算 模 型 。 该 模 型 更 加细 致 ， 风 险 对 脆 弱 性 严 重 程 度 的相 关 性 减 弱 ， 而 且 结 构 清 晰 、 计算 简 便 ， 可 广 泛 应 用 于 实 际 的 风险 评 估 工 作 。