文档介绍:信息系统风险评估方法研究
信息系统风险评估方法研究
信息系统风险评估方法研究
信息系统风险评估方法研究
摘要:该文从标准、模型、知识、动态等多个角度对信息系统风险评估方法进行解析,指出了定量分析方法与定性分析方法各自的优分准则已经正式颁布并实施,该准则将信息系统安全分为五个等级,主要的安全考核指标有身份认证、自主访问控制、数据完整性、审计等,涵盖了不同级别的安全要求。2004 年9 月完成了《信息安全风险评估指南》与《信息安全风险管理指南》两个标准草案的制定初稿,前者主要内容包括风险评估要素关系模型、风险计算模型、风险评估实施模型、风险评估贯穿于信息系统生命周期以及风险评估的形式等后者针对信息安全风险管理所涉及的不同过程进行了综合性描述与规范,对信息安全风险管理在信息系统生命周期各阶段的应用作了系统阐述。
2 定量分析与定性分析
2、1 定量分析
定量分析方法就是指根据一定的数据,建立数学模型,然后计算分析各项指标的一种方法;常见的定量分析方法有时序序列分析法、Markov分析法、因子分析法、聚类分析法、决策树法、熵权系数法等。
定量分析的过程为:
1) 识别资产并为资产赋值;
2) 通过威胁与弱点评估,评价特定威胁作用于特定资产所造成的影响,即损失程度(EF)(取值在0%一100%之间);
3) 计算特定威胁发生率(ARO);
4) 计算资产的单一损失期望:单一损失期望(SLE)=资值×损失程度(EF);
5) 计算资产的年度损失期望:年度损失期望(ALE)=单一损失期望(SLE)×特定威胁发生率(ARO)。
定量分析的结果比较客观与直观,使研究结果更科学,更严密,更规范,缺点就是需要收集的数据较多,工作量特别大;收集数据也遇到很大困难,有些公司不愿意提供内部安全数据;另外收集的数据也不一定能全面反映实际情况。
信息系统风险评估方法研究
信息系统风险评估方法研究
信息系统风险评估方法研究
2、2定性分析
定性分析方法就是主要依赖于分析者的经验、直觉等一些非量化的指标来对系统进行分析的一种方法;常见的定性分析方法有Delphi方法、历史比较法、分解―综合比较法等。
定性分析就是目前运用最为广泛的一种风险评估方法,定性分析可贯穿整个风险评估的过程。首先,在进行资产识别时,通过咨询调查等方式就信息系统的保密性、完整性与可用性分析来确定资产的价值;同理,在对威胁与脆弱性识别时也就是利用一些非量化的指标对信息系统进行判断,最后,根据风险评估计算公式得出风险值。
定性评估方法的优点就是简便易行,具有很好的实用性,有可能挖掘出一些蕴藏很深的思想;缺点就是主观性强,对评估者本身的要求更高,不能真正做出客观的评估,而且由于定性评估征询意见的时间较长,对于需要快速判断的安全风险问题(如动态风险评估)就不太适用。
3 基于知识的风险评估方法
基于知识的风险评估方法考虑关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三方面的信息来确定系统的安全性。这类方法的主要代表有COBRA与OCTAVE。COBRA(Consultative Objective and Bi-functional Risk Analysis)就是