風險評估標準附錄介紹:風險計算與風險工具-張鑒

上傳人:fgh****35 文檔編號:248107628 上傳時間:2024-10-22 格式:PPT 頁數(shù):37 大?。?71.50KB
收藏 版權(quán)申訴 舉報 下載
風險評估標準附錄介紹:風險計算與風險工具-張鑒_第1頁
第1頁 / 共37頁
風險評估標準附錄介紹:風險計算與風險工具-張鑒_第2頁
第2頁 / 共37頁
風險評估標準附錄介紹:風險計算與風險工具-張鑒_第3頁
第3頁 / 共37頁

下載文檔到電腦,查找使用更方便

15 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《風險評估標準附錄介紹:風險計算與風險工具-張鑒》由會員分享,可在線閱讀,更多相關(guān)《風險評估標準附錄介紹:風險計算與風險工具-張鑒(37頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、*,單擊此處編輯母版標題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,信息安全風險評估標準附錄介紹,風險計算和評估工具,標準起草組,2006,年,8,月,7,日,主要內(nèi)容,附錄,A,風險計算方法,附錄,B,風險評估工具,附錄,A,風險計算方法,風險計算矩陣法,矩陣法原理,計算示例,風險計算相乘法,相乘法原理,計算實例,風險計算矩陣法基本原理,矩陣法概念,矩陣法適用范圍,矩陣法構(gòu)造方式,矩陣法特點,矩陣法概念,Z=,f(x,y,),。函數(shù),f,采用矩陣形式表示。以要素,x,和要素,y,的取值構(gòu)建一個二維矩陣,矩陣內(nèi),m*n,個值即為要素,Z,的取值,矩陣法適用范圍,矩陣法主要適

2、用于由兩個要素值確定一個要素值的情形。,在風險值計算中,通常需要對兩個要素確定的另一個要素值進行計算,例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值等,同時需要整體掌握風險值的確定,因此矩陣法在風險分析中得到廣泛采用。,矩陣法構(gòu)造方式,首先需要確定二維計算矩陣,矩陣內(nèi)各個要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學方法確定,然后將兩個元素的值在矩陣中進行比對,行列交叉處即為所確定的計算結(jié)果。,矩陣的計算需要根據(jù)實際情況確定,矩陣內(nèi)值的計算不一定遵循統(tǒng)一的計算公式,但必須具有統(tǒng)一的增減趨勢,即如果是遞增函數(shù),,Z,值應隨著,x,與,y,的值遞增,反之亦然。,矩陣法特

3、點,矩陣法的特點在于通過構(gòu)造兩兩要素計算矩陣,可以清晰羅列要素的變化趨勢,具備良好靈活性。,矩陣法計算示例,資產(chǎn):,共有三個重要資產(chǎn),資產(chǎn),A1,、資產(chǎn),A2,和資產(chǎn),A3,;資產(chǎn)價值分別是:資產(chǎn),A1=2,,資產(chǎn),A2=3,,資產(chǎn),A3=5,;,威脅:,資產(chǎn),A1,面臨兩個主要威脅,威脅,T1,和威脅,T2,;資產(chǎn),A2,面臨一個主要威脅,威脅,T3,;資產(chǎn),A3,面臨兩個主要威脅,威脅,T4,和,T5,;,威脅發(fā)生頻率分別是:威脅,T1=2,,威脅,T2=1,,威脅,T3=2,,威脅,T4=5,,威脅,T5=4,;,脆弱性:,威脅,T1,可以利用的資產(chǎn),A1,存在的兩個脆弱性,脆弱性,V1

4、,和脆弱性,V2,;,威脅,T2,可以利用的資產(chǎn),A1,存在的三個脆弱性,脆弱性,V3,、脆弱性,V4,和脆弱性,V5,;,威脅,T3,可以利用的資產(chǎn),A2,存在的兩個脆弱性,脆弱性,V6,和脆弱性,V7,;,威脅,T4,可以利用的資產(chǎn),A3,存在的一個脆弱性,脆弱性,V8,;,威脅,T5,可以利用的資產(chǎn),A3,存在的一個脆弱性,脆弱性,V9,。,脆弱性嚴重程度分別是:脆弱性,V1=2,,脆弱性,V2=3,,脆弱性,V3=1,,脆弱性,V4=4,,脆弱性,V5=2,,脆弱性,V6=4,,脆弱性,V7=2,,脆弱性,V8=3,,脆弱性,V9=5,。,風險分析原理,示例計算過程,風險計算過程,(,

5、1,)計算安全事件發(fā)生可能性,(,2,)計算安全事件造成的損失,(,3,)計算風險值,(,4,)結(jié)果判定,以下以資產(chǎn),A1,面臨的威脅,T1,可以利用的脆弱性,V1,為例,計算安全風險值 。,計算安全事件發(fā)生可能性,(,1,)構(gòu)建安全事件發(fā)生可能性矩陣;,(,2,)根據(jù)威脅發(fā)生頻率值和脆弱性嚴重程度值在矩陣中進行對照,確定安全事件發(fā)生可能性值 ;,(,3,)對計算得到的安全風險事件發(fā)生可能性進行等級劃分 。,計算安全事件發(fā)生可能性,條件,原理,計算安全事件的損失,(,1,)構(gòu)建安全事件損失矩陣 ;,(,2,)根據(jù)資產(chǎn)價值和脆弱性嚴重程度值在矩陣中進行對照,確定安全事件損失值 ;,(,3,)對計

6、算得到的安全事件損失進行等級劃分 。,計算安全事件的損失,條件,原理,計算風險值,(,1,)構(gòu)建風險矩陣 ;,(,2,)根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進行對照,確定安全事件風險 ;,計算風險值,風險結(jié)果判定,根據(jù)預設(shè)的等級劃分規(guī)則判定風險結(jié)果。,依此類推,得到所有重要資產(chǎn)的風險值,并根據(jù)風險等級劃分表,確定風險等級。,風險值等級柱狀圖,矩陣法風險計算過程小結(jié),計算安全事件發(fā)生可能性,(,1,)構(gòu)建安全事件發(fā)生可能性矩陣;,(,2,)根據(jù)威脅發(fā)生頻率值和脆弱性嚴重程度值在矩陣中進行對照,確定安全事件發(fā)生可能性值 ;,(,3,)對計算得到的安全風險事件發(fā)生可能性進行等級劃分 。,計算

7、安全事件的損失,(,1,)構(gòu)建安全事件損失矩陣 ;,(,2,)根據(jù)資產(chǎn)價值和脆弱性嚴重程度值在矩陣中進行對照,確定安全事件損失值 ;,(,3,)對計算得到的安全事件損失進行等級劃分 。,計算風險值,(,1,)構(gòu)建風險矩陣 ;,(,2,)根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進行對照,確定安全事件風險 ;,風險結(jié)果判定,風險計算相乘法基本原理,相乘法原理: ,當,f,為增量函數(shù)時, 可以為直接相乘,也可以為相乘后取模等 。,相乘法的特點:簡單明確,直接按照統(tǒng)一公式計算,即可得到所需結(jié)果。,相乘法適用范圍:在風險值計算中,通常需要對兩個要素確定的另一個要素值進行計算,因此相乘法在風險分析中得

8、到廣泛采用。,風險計算相乘法示例,資產(chǎn):,共有兩個重要資產(chǎn),資產(chǎn),A1,和資產(chǎn),A2,;,資產(chǎn)價值分別是:資產(chǎn),A1=4,,資產(chǎn),A2=5,;,威脅:,資產(chǎn),A1,面臨三個主要威脅,威脅,T1,、威脅,T2,和威脅,T3,;,資產(chǎn),A2,面臨兩個主要威脅,威脅,T4,和威脅,T5,;,威脅發(fā)生頻率分別是:威脅,T1=1,,威脅,T2=5,,威脅,T3=4,,威脅,T4=3,,威脅,T5=4,;,脆弱性:,威脅,T1,可以利用的資產(chǎn),A1,存在的一個脆弱性,脆弱性,V1,;,威脅,T2,可以利用的資產(chǎn),A1,存在的兩個脆弱性,脆弱性,V2,、脆弱性,V3,;,威脅,T3,可以利用的資產(chǎn),A1,存

9、在的一個脆弱性,脆弱性,V4,;,威脅,T4,可以利用的資產(chǎn),A2,存在的一個脆弱性,脆弱性,V5,;,威脅,T5,可以利用的資產(chǎn),A2,存在的一個脆弱性,脆弱性,V6,。,脆弱性嚴重程度分別是:脆弱性,V1=3,,脆弱性,V2=1,,脆弱性,V3=5,,脆弱性,V4=4,,脆弱性,V5=4,,脆弱性,V6=3,。,示例計算過程,以資產(chǎn),A1,面臨的威脅,T1,可以利用的脆弱性,V1,為例,計算安全風險值 。,計算公式使用:,風險計算過程:,(,1,)計算安全事件發(fā)生可能性,(,2,)計算安全事件的損失,(,3,)計算風險值,(,4,)結(jié)果判定,示例計算過程,(,1,)計算安全事件發(fā)生可能性,

10、威脅發(fā)生頻率:威脅,T1=1,;,脆弱性嚴重程度:脆弱性,V1=3,。,安全事件發(fā)生可能性,=,(,2,)計算安全事件的損失,資產(chǎn)價值:資產(chǎn),A1=4,;,脆弱性嚴重程度:脆弱性,V1=3,。,計算安全事件的損失,安全事件損失,=,(,3,)計算風險值,安全事件發(fā)生可能性,=2,;,安全事件損失,=3,。,安全事件風險值,=,(,4,)確定風險等級,風險結(jié)果等級柱狀圖,相乘法風險計算過程小結(jié),計算安全事件發(fā)生可能性,(,1,)安全事件發(fā)生可能性,=,威脅發(fā)生頻率值 脆弱性嚴重程度值;,(,2,)對計算得到的安全風險事件發(fā)生可能性進行等級劃分 。,計算安全事件的損失,(,1,)安全事件損失值,=

11、,資產(chǎn)價值 脆弱性嚴重程度值 ;,(,2,)對計算得到的安全事件損失進行等級劃分 。,計算風險值,(,1,)安全事件風險值,=,安全事件發(fā)生可能性 安全事件損失;,風險結(jié)果判定,附錄,B,風險評估工具,根據(jù)在風險評估過程中的主要任務和作用原理的不同,風險評估的工具可以分成 :,風險評估與管理工具 :集成了風險評估各類知識和判據(jù)的管理信息系統(tǒng),以規(guī)范風險評估的過程和操作方法;或者是用于收集評估所需要的數(shù)據(jù)和資料,基于專家經(jīng)驗,對輸入輸出進行模型分析 。,系統(tǒng)基礎(chǔ)平臺風險評估工具 :主要用于對信息系統(tǒng)的主要部件(如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡設(shè)備等)的脆弱性進行分析,或?qū)嵤┗诖嗳跣缘墓簟?風險評

12、估輔助工具 :實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能,為風險評估各要素的賦值、定級提供依據(jù)。,風險評估與管理工具,基于信息安全標準的風險評估與管理工具,依據(jù)標準或指南的內(nèi)容為基礎(chǔ),開發(fā)相應的評估工具,完成遵循標準或指南的風險評估過程。如,ASSET,、,CC Toolbox,等。,基于知識的風險評估與管理工具,并不僅僅遵循某個單一的標準或指南,而是將各種風險分析方法進行綜合,并結(jié)合實踐經(jīng)驗,形成風險評估知識庫,以此為基礎(chǔ)完成綜合評估。如,COBRA,、,MSAT,、,RISK,等。,基于模型的風險評估與管理工具,對系統(tǒng)各組成部分、安全要素充分研究的基礎(chǔ)上,對典型系統(tǒng)的資產(chǎn)、威脅、脆弱性

13、建立量化或半量化的模型,根據(jù)采集信息的輸入,得到評價的結(jié)果。 如,RA,、,CORA,等。,常用風險評估與管理工具對比,評估工具舉例:,COBRA,COBRA,:,Consultative Objective Bi-Functional Risk Analysis,由,C&A Systems Security Ltd,推出的自動化風險管理工具 。,COBRA,采用調(diào)查表的形式,在,PC,機上使用,基于知識庫,類似專家系統(tǒng)的模式。,COBRA,不僅具有風險管理功能,還可以用于評估是否符合,BS7799,標準、是否符合組織自身制定的安全策略。,COBRA,的風險定性分析方法,COBRA,風險評估過

14、程,1,、問題表構(gòu)建,:通過知識庫模塊構(gòu)建問題表,采用手動或自動方式從各個模塊中選擇所需的問題,構(gòu)建針對具體組織進行評估的問題表。,2,、風險評估,:通過完成問題表實現(xiàn)整個風險評估過程。問題表的不同模塊由系統(tǒng)不同人完成,各個模塊可以不同時完成,但是評估結(jié)果是在全部問題表答案的基礎(chǔ)上形成的。,3,、報告生成,:通過問題表的回答生成報告,報告包括建議采取的安全措施、解決方案建議、對于系統(tǒng)相關(guān)的每類風險進行分析排序、對于風險給系統(tǒng)帶來的影響分析、風險與系統(tǒng)潛在影響的聯(lián)系分析。,系統(tǒng)基礎(chǔ)平臺風險評估工具,脆弱性掃描工具,基于網(wǎng)絡的掃描器,基于主機的掃描器,分布式網(wǎng)絡掃描器,數(shù)據(jù)庫脆弱性掃描器,滲透性測

15、試工具,根據(jù)脆弱性掃描工具掃描的結(jié)果進行模擬攻擊測試,判斷被非法訪問者利用的可能性。這類工具通常包括黑客工具、腳本文件 等。,一個好的漏洞掃描工具應包括以下幾個特性:,最新的漏洞檢測庫,掃描工具必須準確并使誤報率減少到最小,掃描器有某種可升級的后端,能夠存儲多個掃描結(jié)果并提供趨勢分析的手段。,應包括清晰的且準確地提供彌補發(fā)現(xiàn)問題的信息。,常用脆弱性檢測工具對比,風險評估輔助工具,檢查列表:基于特定標準或基線建立的,對特定系統(tǒng)進行審查的項目條款。,入侵檢測網(wǎng)絡或主機造成危害的入侵攻擊事件;幫助檢測各種攻擊試探和誤操作;同時也可以作為一個警報器,提醒管理員發(fā)生的安全狀況。,安全審計工具:用于記錄網(wǎng)絡行為,分析系統(tǒng)或網(wǎng)絡安全現(xiàn)狀;它的審計記錄可以作為風險評估中的安全現(xiàn)狀數(shù)據(jù),并可用于判斷被評估對象威脅信息的來源。,拓撲發(fā)現(xiàn)工具:主要是自動完成網(wǎng)絡硬件設(shè)備的識別、發(fā)現(xiàn)功能。,資產(chǎn)信息收集系統(tǒng):通過提供調(diào)查表形式,完成被評估信息系統(tǒng)數(shù)據(jù)、管理、人員等資產(chǎn)信息的收集功能 。,其他:評估指標庫、知識庫、漏洞庫、算法庫、模型庫等。,中國信息安全風險評估論壇,Q/A,謝謝!,

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!