信息安全风险评估方法的研究 |
| 2012-07-06 10:41 作者:罗 佳 来源:硅谷网 HV: 编辑:GuiGu 【搜索试试】
|
|
硅谷网讯 (原文载于《硅谷》杂志1月下)有效的信息安全风险评估方法能准确评估出信息系统风险,使组织采取相应的有效措施对风险进行控制,使机构风险被降低到一个可被接受的水平,主要比较几种常用的信息安全风险评估方法的优缺点,并指出信息安全风险评估方法应是几种风险评估方法的结合,定性与定量评估评估系统风险,使评估结果更准确。
近年来,信息安全问题逐渐受到各部门的重视,对信息系统进行有效的风险评估能减少风险对系统造成的损失。信息安全风险评估对信息在产生、存储、处理、传输等过程中的保密性、完整性、可用性、产生破坏的可能性以及对信息系统产生的后果所做的评价或估计。信息安全是一个动态的复杂过程,存在与信息系统的整个生命周期。任何信息系统都存在风险,没有准确及时的风险评估,将使得各个机构无法对其信息安全状况做出准确判断,风险一旦发生将给机构带来严重的影响。通过开展信息安全风险评估,对信息系统的资产价值、潜在的安全威胁、脆弱性、防护措施等进行分析,可以发现信息系统中存在的主要风险,并找到解决系统风险的方法,有针对性地对系统进行风险控制。
1常用的信息安全风险评估方法
通常把信息安全风险评估方法分为:定性风险评估方法、定量风险评估方法和定性与定量相结合的评估方法。定性的风险分析是定量风险分析的基础。
定性风险评估方法一般用描述性语言来描述风险评估结果。当可用的数据少,不足以进行定量评估或根据经验或推理,主观认为风险不大,没有必要采用定量评估方法时可采用定性风险评估法。定性风险评估的优点是所需的时间、费用和人力资源较少。缺点是评估不够准确。
定量评估方法是一种比较精确的风险评估方法,通常以数学形式表达。当资料比较充分或风险对信息资产的危害可能很大,可采用定量风险评估。定量的评估方法的优点是用直观的数据来表述评估的结果看起来一目了然,而且比较客观,定量分析方法可以使研究结果更科学。它的缺点是常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解,而且资产价值的确定,发生概率的量化比较困难,因此使用此方法来评估是有难度的而且成本一般比较高。
信息系统风险评估是个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很困难甚至是不可能的。定量分析是定性分析的基础和前提,定性分析应该建立在定量分析的基础上,不能将定性分析方法与定量分析方法简单的割裂开来,而是将这两种方法结合起来,采用定性与定量结合的方法。主要的定性与定量的分析方法有层次分析法、概率风险评估(PRA)等。
信息系统安全风险具有不确定性和模糊性的特点,信息安全风险分析与评估的实质就是对不确定性的识别与判断。概率风险评估、德尔菲法、模糊综合评判法是信息安全风险评估的常用方法。
概率风险评估是通过故障树分析网络系统被攻击的根本原因,定性与定量计算相结合,将系统逐步分解转化为初始事件进行分析,以概率与数理统计为基础计算风险事件发生的可能性大小。由于概率与数理统计强调统计数据与历史关系,其出发点是大样本,并要求对象服从某种典型分布,所以概率风险评估需要大量全面风险评估历史数据,通过数据累计确定风险事件发生的概率来计算风险。但是因为信息系统安全风险涉及很多影响因素,风险影响因素带有很强的模糊性,风险评估历史数据的获取通常不充分,所以概率风险评估是不易采用的。
德尔菲法由20世纪50年代美国兰德公司提出,便于集思广益,非常适合于在大型评估项目中使用。首先由管理人员将设计好的问卷分发给有关专家,由这些专家背对背地填写,然后这些问卷汇总到管理人员处,有管理人员对问卷填写内容进行统计分析处理和适当调整,然后再反馈给专家进一步征求专家意见,如此反复多此,直至满意结果。在信息安全风险评估中,德尔菲法能保证专家各自的独立性,不会受相互的影响,评估结果独立。
模糊综合评判法以模糊数学为基础,是模糊决策的一种方法。模糊数学研究“认知不确定”问题,其研究对象具有“内涵明确,外延不明确”的特点。模糊数学主要是凭经验借助于隶属度函数进行处理。信息系统风险因素含有大量的模糊不确定性信息,信息安全风险评估离不开专家的评判,因评判者能力,经验和偏好不同,使评估结果带有很强的主观性。
灰色系统理论是一种研究少数据、贫信息、不确定性的方法色系统理论的研究对象是“部分信息已知、部分信息未知”的小样本、“贫信息”的不确定性系统[36]。“灰”介于“白”与“黑”之间,“白”指信息确定、数据完整的白色系统。“黑”指信息很不确定、数据很少对应的黑色系统。“灰”指信息部分不确定,部分确定;部分不完全、部分完全;部分未知、部分已知、对应的即灰色系统。灰色系统理论用灰数、灰色方程、灰色矩阵来描述,灰数是灰色系统的基本单元。把只知道大概范围而不知道确切值的数,称为灰数,用记号表示。灰数可以表示为:1)仅有下界的灰数即:,其中为灰数的下确界,是确定数,为的灰域;2)仅有上界的灰数即:,其中为灰数的上确界,是确定的数。3)区间灰数即:既有下界又有下界,记为:。4)当时,记当的上下界为无穷时,称为黑数。当且时,称为白数,黑数和白数都是特殊的灰数。
信息系统实际是一个灰色系统,含有灰色模糊信息。信息系统安全风险评估数据的获取通常不充分,需要专家参与评判,因评判者的能力和偏好不同,使得风险评价信息带有灰色性和模糊性。
2结论
信息安全风险评估中存在许多不确定性,风险评估的实质就是对不确定性的推断,风险评估中存在许多人为评估的因素,采用不同的风险评估方法可能得到不同的结果。因此,科学、系统地对信息安全风险做出分析和评估,能保证信息系统的安全,信息风险评估的最终目的是为了使组织实施正确的管理和控制。
贵州省科学技术基金项目(黔科合)字【2007】2204(《硅谷》杂志 罗佳)
|
|
|
|
【对“信息安全风险评估方法的研究”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
