信息安全技術(shù)風(fēng)險評估的理論與方法的論文

　　信息系統面臨著(zhù)各種各樣的威脅，為了減少這些威脅的可能性，引發(fā)了一個(gè)安全事件，或減少安全事件所造成的損失，信息安全風(fēng)險評估是有效的實(shí)施途徑，它有助于識別組織或系統的信息安全環(huán)境，以認清信息安全現狀，發(fā)現系統存在的安全問(wèn)題及引發(fā)這些安全問(wèn)題的因素，并了解系統的安全需求，分析安全策略與實(shí)際需求的差距，然后制定出適合系統的安全策略及管理和實(shí)施規范，做到及早化解風(fēng)險，提高信息安全性。

　　1 信息安全風(fēng)險評估基本理論

　　1.1 信息安全風(fēng)險

　　信息安全風(fēng)險具有客觀(guān)性、多樣性、損失性、可變性、不確定性和可測性等多個(gè)特點(diǎn)�？陀^(guān)性是因為信息安全風(fēng)險在信息系統中普遍存在;多樣性是指信息系統安全涉及多個(gè)方面;損失性是指任何一種信息安全風(fēng)險，都會(huì )對信息系統造成或大或小的損失;可變性是指信息安全風(fēng)險在系統生命周期的各個(gè)階段動(dòng)態(tài)變化;不確定性是一個(gè)安全事件可以有多種風(fēng)險;可測試性是預測和計算信息安全風(fēng)險的方法。

　　1.2 信息安全風(fēng)險評估

　　信息安全風(fēng)險評估，采用科學(xué)的方法和技術(shù)和脆弱性分析信息系統面臨的威脅，利用系統，評估安全事件可能會(huì )造成的影響，提出了防御威脅和保護策略，從而防止和解決信息安全風(fēng)險，或控制在可接受范圍內的風(fēng)險，最大限度地保護系統的信息安全。通過(guò)評價(jià)過(guò)程對信息系統的脆弱性進(jìn)行評價(jià)，面臨威脅和漏洞威脅利用的負面影響，并根據信息安全事件的可能性和嚴重程度，確定信息系統的安全風(fēng)險。

　　2 信息安全風(fēng)險評估原理

　　2.1 風(fēng)險評估要素及其關(guān)系

　　一般說(shuō)來(lái)，信息安全風(fēng)險評估要素有五個(gè)，除以上介紹的安全風(fēng)險外，還有資產(chǎn)、威脅、脆弱性、安全措施等。信息安全風(fēng)評估工作都是圍繞這些基本評估要素展開(kāi)的。

　　2.1.1 資產(chǎn)

　　資產(chǎn)是在系統中有價(jià)值的信息或資源，是安全措施的對象。資產(chǎn)價(jià)值是資產(chǎn)的財產(chǎn)，也是資產(chǎn)識別的主要內容。它是資產(chǎn)的重要程度或敏感性。

　　2.1.2 威脅

　　威脅是導致不期望事件發(fā)生的潛在起因，這些不期望事件可能危害系統。

　　2.1.3 脆弱性

　　脆弱性是資產(chǎn)存在的弱點(diǎn)，利用這些弱點(diǎn)威脅資產(chǎn)的使用。

　　2.1.4 安全措施

　　安全措施是系統實(shí)施的各種保護機制，這種機制能有效地保護資產(chǎn)、減少脆弱性、抵御威脅、減少安全事件的發(fā)生或降低影響。風(fēng)險評估圍繞上述基本要素。各要素之間存在著(zhù)這樣的關(guān)系：

　　(1)資產(chǎn)是風(fēng)險評估的對象，資產(chǎn)價(jià)值是由資產(chǎn)價(jià)值計量的，資產(chǎn)價(jià)值越高，證券需求越高，風(fēng)險越小。

　　(2)漏洞可能會(huì )暴露資產(chǎn)的價(jià)值，使其被破壞，資產(chǎn)的脆弱性越大，風(fēng)險越大;

　　(3)威脅引發(fā)風(fēng)險事件的發(fā)生，威脅越多風(fēng)險越大;

　　(4)威脅利用脆弱性來(lái)危害資產(chǎn);

　　(5)安全措施可以防御威脅，減小安全風(fēng)險，從而保護資產(chǎn)。

　　2.2 風(fēng)險分析模型及算法

　　在信息安全風(fēng)險評估標準中，風(fēng)險分析涉及資產(chǎn)的三個(gè)基本要素，威脅和脆弱性。每個(gè)元素都有它自己的屬性，并由它的屬性決定。資產(chǎn)的屬性是資產(chǎn)的價(jià)值，而財產(chǎn)的威脅可以是主體、客體、頻率、動(dòng)機等。財產(chǎn)的脆弱性是資產(chǎn)脆弱性的嚴重性。在風(fēng)險分析模型中，資產(chǎn)的價(jià)值、威脅的可能性、脆弱性的嚴重程度、安全事件的可能性和安全事件造成的損失，兩者是整合的，它是風(fēng)險的價(jià)值。

　　風(fēng)險分析的主要內容為：

　　(1)識別資產(chǎn)并分配資產(chǎn);

　　(2)確定威脅，并分配潛在的威脅;

　　(3)確定漏洞，并分配資產(chǎn)的脆弱性的嚴重程度;

　　(4)判斷安全事件的可能性。根據漏洞的威脅和使用的漏洞來(lái)計算安全事件的可能性。

　　安全事件發(fā)生可能性=L(威脅可能性，脆弱性)=L(T，V)

　　(5)計算安全事件損失。根據脆弱性嚴重程度和資產(chǎn)價(jià)值計算安全事件的損失。

　　安全事件造成的損失=F(資產(chǎn)價(jià)值，脆弱性嚴重程度)=F(Ia，Va);

　　(6)確定風(fēng)險值。根據安全事件發(fā)生可能性和安全事件造成的損失，計算安全事件發(fā)生對組織的影響。

　　風(fēng)險值=R(A，T，V)=R(F(Ia，Va)，L(T，V))

　　其中，A是資產(chǎn);T是威脅可能性;V是脆弱性;Ia是資產(chǎn)價(jià)值;Va是脆弱性的嚴重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失，R是風(fēng)險計算函數。

　　3 信息風(fēng)險分析方法探析

　　作為保障信息安全的重要措施，信息安全系統是信息安全的重要組成部分，而信息安全風(fēng)險評估的算法分析方法，風(fēng)險評估作為風(fēng)險分析的重要手段，早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標準的一部分。從定性定量的角度可以將風(fēng)險分析方法分為三類(lèi)，也就是定性方法、定量方法和定性定量相結合。

　　3.1 定性的風(fēng)險分析方法

　　定性的方法是憑借分析師的經(jīng)驗和知識的國際和國內的標準或做法，風(fēng)險管理因素的大小或程度的定性分類(lèi)，以確定風(fēng)險概率和風(fēng)險的后果。定性的方法的優(yōu)點(diǎn)是，信息系統是不容易得到的具體數據的相對值計算，沒(méi)有太多的計算負擔。它有一定的缺陷，是很主觀(guān)的，要求分析有一定的經(jīng)驗和能力。比較著(zhù)名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等，這些方法的成敗與執行者的經(jīng)驗有很大的關(guān)系。

　　3.2 定量的風(fēng)險分析方法

　　定量方法是用數字來(lái)描述風(fēng)險，通過(guò)數學(xué)和統計的援助，對一些指標進(jìn)行處理和處理，來(lái)量化安全風(fēng)險的結果。定量方法的優(yōu)點(diǎn)是評價(jià)結果直觀(guān)，使用數據表示，使分析結果更加客觀(guān)、科學(xué)、嚴謹、更有說(shuō)服力。缺點(diǎn)是，計算過(guò)程復雜，數據詳細，可靠的數據難以獲得。正式且嚴格的評估方法的數據一般是估計而來(lái)的，風(fēng)險分析達到完全的量化也不太可能。與著(zhù)名的定時(shí)模型定量分析方法、聚類(lèi)分析法、因子分析法、回歸模型、決策樹(shù)等方法相比較，這些方法都是具有數學(xué)或統計工具的風(fēng)險模型。

　　3.3 定性定量相結合的風(fēng)險分析方法

　　是因為有優(yōu)點(diǎn)和缺點(diǎn)的定量和定量的方法，只使用定性的方法，太主觀(guān)，但只有使用定量方法，數據是難以獲得的，所以目前常用的是定性和定量的風(fēng)險分析方法相結合。這樣，既能克服定性方法主觀(guān)性太強的缺點(diǎn)，又能解決數據不好獲取的困難。典型的定性定量相結合的風(fēng)險評估工具有@Risk、CORA等。

【信息安全技術(shù)風(fēng)險評估的理論與方法的論文】相關(guān)文章：

信息安全風(fēng)險管理理論03-12

關(guān)于模糊綜合的信息安全風(fēng)險評估03-02

信息安全管理論文06-21

信息安全管理論文(經(jīng)典)06-23

風(fēng)險管理論文06-22

相似云下的網(wǎng)絡(luò )安全風(fēng)險評估論文11-27

企業(yè)風(fēng)險管理論文02-20

林業(yè)信息技術(shù)管理論文03-30

企業(yè)風(fēng)險治理理論與方法概述03-20

論信息化技術(shù)管理論文11-26