文档介绍:-
. z.
信息系统风险评估方法研究
摘要:该文从标准、模型、知识、动态等多个角度对信息系统风险评估方法进展解析,指出了定量分析方法和定性分析方法各自的优缺点,最后对风险考核指标有身份认证、自主控制、数据完整性、审计等,涵盖了不同级别的平安要求。2004 年9 月完成了"信息平安风险评估指南"和"信息平安风险管理指南"两个标准草案的制定初稿,前者主要内容包括风险评估要素关系模型、风险计算模型、风险评估实施模型、风险评估贯穿于信息系统生命周期以及风险评估的形式等后者针对信息平安风险管理所涉及的不同过程进展了综合性描述和标准,对信息平安风险管理在信息系统生命周期各阶段的应用作了系统阐述。
2 定量分析与定性分析
定量分析
定量分析方法是指根据一定的数据,建立数学模型,然后计算分析各项指标的一种方法;常见的定量分析方法有时序序列分析法、Markov分析法、因子分析法、聚类分析法、决策树法、熵权系数法等。
定量分析的过程为:
1) 识别资产并为资产赋值;
2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即损失程度(EF)(取值在0%一100%之间);
3) 计算特定威胁发生率(ARO);
4) 计算资产的单一损失期望:单一损失期望(SLE)=资值×损失程度(EF);
5) 计算资产的年度损失期望:年度损失期望(ALE)=单一损失期望(SLE)
-
. z.
×特定威胁发生率(ARO)。
定量分析的结果比较客观和直观,使研究结果更科学,更严密,更标准,缺点是需要收集的数据较多,工作量特别大;收集数据也遇到很大困难,有些公司不愿意提供内部平安数据;另外收集的数据也不一定能全面反映实际情况。
定性分析方法是主要依赖于分析者的经历、直觉等一些非量化的指标来对系统进展分析的一种方法;常见的定性分析方法有Delphi方法、历史比较法、分解―综合比较法等。
定性分析是目前运用最为广泛的一种风险评估方法,定性分析可贯穿整个风险评估的过程。首先,在进展资产识别时,通过咨询调查等方式就信息系统的**性、完整性和可用性分析来确定资产的价值;同理,在对威胁和脆弱性识别时也是利用一些非量化的指标对信息系统进展判断,最后,根据风险评估计算公式得出风险值。
定性评估方法的优点是简便易行,具有很好的实用性,有可能挖掘出一些蕴藏很深的思想;缺点是主观性强,对评估者本身的要求更高,不能真正做出客观的评估,而且由于定性评估征询意见的时间较长,对于需要快速判断的平安风险问题(如动态风险评估)就不太适用。
3 基于知识的风险评估方法
基于知识的风险评估方法考虑关键信息资产、资产所面临的威胁以及威胁所利用的脆弱点三方面的信息来确定系统的平安性。这类方法的主要代表有COBRA和OCTAVE。COBRA(Consultative Objective and Bi-functional Risk Analysis)是一个基于专家系统的平安评估工具。它是
-
.