風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)附錄介紹：風(fēng)險(xiǎn)計(jì)算與風(fēng)險(xiǎn)工具-張鑒

《風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)附錄介紹：風(fēng)險(xiǎn)計(jì)算與風(fēng)險(xiǎn)工具-張鑒》由會(huì)員分享，可在線閱讀，更多相關(guān)《風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)附錄介紹：風(fēng)險(xiǎn)計(jì)算與風(fēng)險(xiǎn)工具-張鑒（37頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、*,,,,,,,,,,單擊此處編輯母版標(biāo)題樣式,,單擊此處編輯母版文本樣式,,第二級(jí),,第三級(jí),,第四級(jí),,第五級(jí),,,信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)附錄介紹,—,風(fēng)險(xiǎn)計(jì)算和評(píng)估工具,標(biāo)準(zhǔn)起草組,,2006,年,8,月,7,日,,,主要內(nèi)容,,附錄,A,風(fēng)險(xiǎn)計(jì)算方法,,附錄,B,風(fēng)險(xiǎn)評(píng)估工具,,,附錄,A,風(fēng)險(xiǎn)計(jì)算方法,,風(fēng)險(xiǎn)計(jì)算矩陣法,,矩陣法原理,,計(jì)算示例,,風(fēng)險(xiǎn)計(jì)算相乘法,,相乘法原理,,計(jì)算實(shí)例,,風(fēng)險(xiǎn)計(jì)算矩陣法基本原理,,矩陣法概念,,矩陣法適用范圍,,矩陣法構(gòu)造方式,,矩陣法特點(diǎn),,,,,,矩陣法概念,,Z=,f(x,y,),。函數(shù),f,采用矩陣形式表示。以要素,x,和要素,y,的取值構(gòu)

2、建一個(gè)二維矩陣，矩陣內(nèi),m*n,個(gè)值即為要素,Z,的取值,,,矩陣法適用范圍,,矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形。,,在風(fēng)險(xiǎn)值計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)算，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值等，同時(shí)需要整體掌握風(fēng)險(xiǎn)值的確定，因此矩陣法在風(fēng)險(xiǎn)分析中得到廣泛采用。,,,矩陣法構(gòu)造方式,,首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，然后將兩個(gè)元素的值在矩陣中進(jìn)行比對(duì)，行列交叉處即為所確定的計(jì)算結(jié)果。,,矩陣的計(jì)算需要根據(jù)實(shí)際情況確定，矩陣內(nèi)值的計(jì)算不一定遵循統(tǒng)一的計(jì)算公式，

3、但必須具有統(tǒng)一的增減趨勢(shì)，即如果是遞增函數(shù)，,Z,值應(yīng)隨著,x,與,y,的值遞增，反之亦然。,,矩陣法特點(diǎn),,矩陣法的特點(diǎn)在于通過(guò)構(gòu)造兩兩要素計(jì)算矩陣，可以清晰羅列要素的變化趨勢(shì)，具備良好靈活性。,,,矩陣法計(jì)算示例,,資產(chǎn)：,,共有三個(gè)重要資產(chǎn)，資產(chǎn),A1,、資產(chǎn),A2,和資產(chǎn),A3,；資產(chǎn)價(jià)值分別是：資產(chǎn),A1=2,，資產(chǎn),A2=3,，資產(chǎn),A3=5,；,,威脅：,,資產(chǎn),A1,面臨兩個(gè)主要威脅，威脅,T1,和威脅,T2,；資產(chǎn),A2,面臨一個(gè)主要威脅，威脅,T3,；資產(chǎn),A3,面臨兩個(gè)主要威脅，威脅,T4,和,T5,；,,威脅發(fā)生頻率分別是：威脅,T1=2,，威脅,T2=1,，威脅,T3

4、=2,，威脅,T4=5,，威脅,T5=4,；,,脆弱性：,,威脅,T1,可以利用的資產(chǎn),A1,存在的兩個(gè)脆弱性，脆弱性,V1,和脆弱性,V2,；,,威脅,T2,可以利用的資產(chǎn),A1,存在的三個(gè)脆弱性，脆弱性,V3,、脆弱性,V4,和脆弱性,V5,；,,威脅,T3,可以利用的資產(chǎn),A2,存在的兩個(gè)脆弱性，脆弱性,V6,和脆弱性,V7,；,,威脅,T4,可以利用的資產(chǎn),A3,存在的一個(gè)脆弱性，脆弱性,V8,；,,威脅,T5,可以利用的資產(chǎn),A3,存在的一個(gè)脆弱性，脆弱性,V9,。,,脆弱性嚴(yán)重程度分別是：脆弱性,V1=2,，脆弱性,V2=3,，脆弱性,V3=1,，脆弱性,V4=4,，脆弱性,V5=

5、2,，脆弱性,V6=4,，脆弱性,V7=2,，脆弱性,V8=3,，脆弱性,V9=5,。,,風(fēng)險(xiǎn)分析原理,,,示例計(jì)算過(guò)程,,風(fēng)險(xiǎn)計(jì)算過(guò)程,,（,1,）計(jì)算安全事件發(fā)生可能性,,（,2,）計(jì)算安全事件造成的損失,,（,3,）計(jì)算風(fēng)險(xiǎn)值,,（,4,）結(jié)果判定,,以下以資產(chǎn),A1,面臨的威脅,T1,可以利用的脆弱性,V1,為例，計(jì)算安全風(fēng)險(xiǎn)值 。,,,計(jì)算安全事件發(fā)生可能性,,（,1,）構(gòu)建安全事件發(fā)生可能性矩陣；,,（,2,）根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值 ；,,（,3,）對(duì)計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級(jí)劃分 。,,,,計(jì)算安全事件發(fā)生可能

6、性,,條件,原理,,計(jì)算安全事件的損失,,（,1,）構(gòu)建安全事件損失矩陣 ；,,（,2,）根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件損失值 ；,,（,3,）對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分 。,,,計(jì)算安全事件的損失,,條件,原理,,計(jì)算風(fēng)險(xiǎn)值,,（,1,）構(gòu)建風(fēng)險(xiǎn)矩陣 ；,,（,2,）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對(duì)照，確定安全事件風(fēng)險(xiǎn) ；,,,計(jì)算風(fēng)險(xiǎn)值,,,風(fēng)險(xiǎn)結(jié)果判定,,根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果。,,依此類推，得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)。,,,,風(fēng)險(xiǎn)值等級(jí)柱狀圖,,,矩陣法風(fēng)險(xiǎn)計(jì)算過(guò)程小結(jié),,計(jì)算安全事

7、件發(fā)生可能性,,（,1,）構(gòu)建安全事件發(fā)生可能性矩陣；,,（,2,）根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值 ；,,（,3,）對(duì)計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級(jí)劃分 。,,計(jì)算安全事件的損失,,（,1,）構(gòu)建安全事件損失矩陣 ；,,（,2,）根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件損失值 ；,,（,3,）對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分 。,,計(jì)算風(fēng)險(xiǎn)值,,（,1,）構(gòu)建風(fēng)險(xiǎn)矩陣 ；,,（,2,）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對(duì)照，確定安全事件風(fēng)險(xiǎn) ；,,風(fēng)險(xiǎn)結(jié)果判定,,風(fēng)險(xiǎn)計(jì)算相乘法基本原理,相乘法原理：

8、 ，當(dāng),f,為增量函數(shù)時(shí)， 可以為直接相乘，也可以為相乘后取模等 。,,相乘法的特點(diǎn)：簡(jiǎn)單明確，直接按照統(tǒng)一公式計(jì)算，即可得到所需結(jié)果。,,相乘法適用范圍：在風(fēng)險(xiǎn)值計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)算，因此相乘法在風(fēng)險(xiǎn)分析中得到廣泛采用。,,風(fēng)險(xiǎn)計(jì)算相乘法示例,資產(chǎn)：,,共有兩個(gè)重要資產(chǎn)，資產(chǎn),A1,和資產(chǎn),A2,；,,資產(chǎn)價(jià)值分別是：資產(chǎn),A1=4,，資產(chǎn),A2=5,；,,威脅：,,資產(chǎn),A1,面臨三個(gè)主要威脅，威脅,T1,、威脅,T2,和威脅,T3,；,,資產(chǎn),A2,面臨兩個(gè)主要威脅，威脅,T4,和威脅,T5,；,,威脅發(fā)生頻率分別是：威脅,T1=

9、1,，威脅,T2=5,，威脅,T3=4,，威脅,T4=3,，威脅,T5=4,；,,脆弱性：,,威脅,T1,可以利用的資產(chǎn),A1,存在的一個(gè)脆弱性，脆弱性,V1,；,,威脅,T2,可以利用的資產(chǎn),A1,存在的兩個(gè)脆弱性，脆弱性,V2,、脆弱性,V3,；,,威脅,T3,可以利用的資產(chǎn),A1,存在的一個(gè)脆弱性，脆弱性,V4,；,,威脅,T4,可以利用的資產(chǎn),A2,存在的一個(gè)脆弱性，脆弱性,V5,；,,威脅,T5,可以利用的資產(chǎn),A2,存在的一個(gè)脆弱性，脆弱性,V6,。,,脆弱性嚴(yán)重程度分別是：脆弱性,V1=3,，脆弱性,V2=1,，脆弱性,V3=5,，脆弱性,V4=4,，脆弱性,V5=4,，脆弱性,

10、V6=3,。,,示例計(jì)算過(guò)程,,以資產(chǎn),A1,面臨的威脅,T1,可以利用的脆弱性,V1,為例，計(jì)算安全風(fēng)險(xiǎn)值 。,,計(jì)算公式使用：,,風(fēng)險(xiǎn)計(jì)算過(guò)程：,,（,1,）計(jì)算安全事件發(fā)生可能性,,（,2,）計(jì)算安全事件的損失,,（,3,）計(jì)算風(fēng)險(xiǎn)值,,（,4,）結(jié)果判定,,示例計(jì)算過(guò)程,,（,1,）計(jì)算安全事件發(fā)生可能性,,威脅發(fā)生頻率：威脅,T1=1,；,,脆弱性嚴(yán)重程度：脆弱性,V1=3,。,,安全事件發(fā)生可能性,=,,（,2,）計(jì)算安全事件的損失,,資產(chǎn)價(jià)值：資產(chǎn),A1=4,；,,脆弱性嚴(yán)重程度：脆弱性,V1=3,。,,計(jì)算安全事件的損失，安全事件損失,=,,（,3,）計(jì)算風(fēng)險(xiǎn)值,,安全事件發(fā)生

11、可能性,=2,；,,安全事件損失,=3,。,,安全事件風(fēng)險(xiǎn)值,=,,（,4,）確定風(fēng)險(xiǎn)等級(jí),,,風(fēng)險(xiǎn)結(jié)果等級(jí)柱狀圖,,,相乘法風(fēng)險(xiǎn)計(jì)算過(guò)程小結(jié),,計(jì)算安全事件發(fā)生可能性,,（,1,）安全事件發(fā)生可能性,=,威脅發(fā)生頻率值 脆弱性嚴(yán)重程度值；,,（,2,）對(duì)計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級(jí)劃分 。,,計(jì)算安全事件的損失,,（,1,）安全事件損失值,=,資產(chǎn)價(jià)值 脆弱性嚴(yán)重程度值 ；,,（,2,）對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分 。,,計(jì)算風(fēng)險(xiǎn)值,,（,1,）安全事件風(fēng)險(xiǎn)值,=,安全事件發(fā)生可能性 安全事件損失；,,風(fēng)險(xiǎn)結(jié)果判定,,附錄,B,風(fēng)險(xiǎn)評(píng)估工具,,根據(jù)在風(fēng)

12、險(xiǎn)評(píng)估過(guò)程中的主要任務(wù)和作用原理的不同，風(fēng)險(xiǎn)評(píng)估的工具可以分成 ：,,風(fēng)險(xiǎn)評(píng)估與管理工具 ：集成了風(fēng)險(xiǎn)評(píng)估各類知識(shí)和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險(xiǎn)評(píng)估的過(guò)程和操作方法；或者是用于收集評(píng)估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗(yàn)，對(duì)輸入輸出進(jìn)行模型分析 。,,系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具 ：主要用于對(duì)信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓簟?,風(fēng)險(xiǎn)評(píng)估輔助工具 ：實(shí)現(xiàn)對(duì)數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢(shì)分析等單項(xiàng)功能，為風(fēng)險(xiǎn)評(píng)估各要素的賦值、定級(jí)提供依據(jù)。,,風(fēng)險(xiǎn)評(píng)估與管理工具,,基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評(píng)估與管理工具,,依據(jù)標(biāo)準(zhǔn)或指南的內(nèi)容為基礎(chǔ)，開(kāi)發(fā)相應(yīng)的

13、評(píng)估工具，完成遵循標(biāo)準(zhǔn)或指南的風(fēng)險(xiǎn)評(píng)估過(guò)程。如,ASSET,、,CC Toolbox,等。,,基于知識(shí)的風(fēng)險(xiǎn)評(píng)估與管理工具,,并不僅僅遵循某個(gè)單一的標(biāo)準(zhǔn)或指南，而是將各種風(fēng)險(xiǎn)分析方法進(jìn)行綜合，并結(jié)合實(shí)踐經(jīng)驗(yàn)，形成風(fēng)險(xiǎn)評(píng)估知識(shí)庫(kù)，以此為基礎(chǔ)完成綜合評(píng)估。如,COBRA,、,MSAT,、,@RISK,等。,,基于模型的風(fēng)險(xiǎn)評(píng)估與管理工具,,對(duì)系統(tǒng)各組成部分、安全要素充分研究的基礎(chǔ)上，對(duì)典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型，根據(jù)采集信息的輸入，得到評(píng)價(jià)的結(jié)果。 如,RA,、,CORA,等。,,常用風(fēng)險(xiǎn)評(píng)估與管理工具對(duì)比,,,評(píng)估工具舉例：,COBRA,,COBRA,：,Consulta

14、tive Objective Bi-Functional Risk Analysis,由,C&A Systems Security Ltd,推出的自動(dòng)化風(fēng)險(xiǎn)管理工具 。,,COBRA,采用調(diào)查表的形式，在,PC,機(jī)上使用，基于知識(shí)庫(kù)，類似專家系統(tǒng)的模式。,,COBRA,不僅具有風(fēng)險(xiǎn)管理功能，還可以用于評(píng)估是否符合,BS7799,標(biāo)準(zhǔn)、是否符合組織自身制定的安全策略。,,,,COBRA,的風(fēng)險(xiǎn)定性分析方法,,,COBRA,風(fēng)險(xiǎn)評(píng)估過(guò)程,,1,、問(wèn)題表構(gòu)建,：通過(guò)知識(shí)庫(kù)模塊構(gòu)建問(wèn)題表，采用手動(dòng)或自動(dòng)方式從各個(gè)模塊中選擇所需的問(wèn)題，構(gòu)建針對(duì)具體組織進(jìn)行評(píng)估的問(wèn)題表。,,2,、風(fēng)險(xiǎn)評(píng)估,：通過(guò)完成問(wèn)題

15、表實(shí)現(xiàn)整個(gè)風(fēng)險(xiǎn)評(píng)估過(guò)程。問(wèn)題表的不同模塊由系統(tǒng)不同人完成，各個(gè)模塊可以不同時(shí)完成，但是評(píng)估結(jié)果是在全部問(wèn)題表答案的基礎(chǔ)上形成的。,,3,、報(bào)告生成,：通過(guò)問(wèn)題表的回答生成報(bào)告，報(bào)告包括建議采取的安全措施、解決方案建議、對(duì)于系統(tǒng)相關(guān)的每類風(fēng)險(xiǎn)進(jìn)行分析排序、對(duì)于風(fēng)險(xiǎn)給系統(tǒng)帶來(lái)的影響分析、風(fēng)險(xiǎn)與系統(tǒng)潛在影響的聯(lián)系分析。,,系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評(píng)估工具,,脆弱性掃描工具,,,基于網(wǎng)絡(luò)的掃描器,,基于主機(jī)的掃描器,,分布式網(wǎng)絡(luò)掃描器,,數(shù)據(jù)庫(kù)脆弱性掃描器,,,滲透性測(cè)試工具,,,根據(jù)脆弱性掃描工具掃描的結(jié)果進(jìn)行模擬攻擊測(cè)試，判斷被非法訪問(wèn)者利用的可能性。這類工具通常包括黑客工具、腳本文件 等。,,一個(gè)好的漏

16、洞掃描工具應(yīng)包括以下幾個(gè)特性：,,最新的漏洞檢測(cè)庫(kù),,掃描工具必須準(zhǔn)確并使誤報(bào)率減少到最小,,掃描器有某種可升級(jí)的后端，能夠存儲(chǔ)多個(gè)掃描結(jié)果并提供趨勢(shì)分析的手段。,,應(yīng)包括清晰的且準(zhǔn)確地提供彌補(bǔ)發(fā)現(xiàn)問(wèn)題的信息。,,常用脆弱性檢測(cè)工具對(duì)比,,,風(fēng)險(xiǎn)評(píng)估輔助工具,,檢查列表：基于特定標(biāo)準(zhǔn)或基線建立的，對(duì)特定系統(tǒng)進(jìn)行審查的項(xiàng)目條款。,,入侵檢測(cè)網(wǎng)絡(luò)或主機(jī)造成危害的入侵攻擊事件；幫助檢測(cè)各種攻擊試探和誤操作；同時(shí)也可以作為一個(gè)警報(bào)器，提醒管理員發(fā)生的安全狀況。,,安全審計(jì)工具：用于記錄網(wǎng)絡(luò)行為，分析系統(tǒng)或網(wǎng)絡(luò)安全現(xiàn)狀；它的審計(jì)記錄可以作為風(fēng)險(xiǎn)評(píng)估中的安全現(xiàn)狀數(shù)據(jù)，并可用于判斷被評(píng)估對(duì)象威脅信息的來(lái)源。,,拓?fù)浒l(fā)現(xiàn)工具：主要是自動(dòng)完成網(wǎng)絡(luò)硬件設(shè)備的識(shí)別、發(fā)現(xiàn)功能。,,資產(chǎn)信息收集系統(tǒng)：通過(guò)提供調(diào)查表形式，完成被評(píng)估信息系統(tǒng)數(shù)據(jù)、管理、人員等資產(chǎn)信息的收集功能 。,,其他：評(píng)估指標(biāo)庫(kù)、知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)、模型庫(kù)等。,,中國(guó)信息安全風(fēng)險(xiǎn)評(píng)估論壇,,,,,,Q/A,,,謝謝！,,,