20 元
下载资源

风险计算工具

上传人:bei****lei 文档编号:252910065 上传时间:2024-11-22 格式:PPT 页数:37 大小:869.50KB
返回 下载 相关 举报
风险计算工具_第1页
第1页 / 共37页
风险计算工具_第2页
第2页 / 共37页
风险计算工具_第3页
第3页 / 共37页
点击查看更多>>
资源描述
*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,信息安全风险评估标准附录介绍,风险计算和评估工具,标准起草组,2006,年,8,月,7,日,主要内容,附录,A,风险计算方法,附录,B,风险评估工具,附录,A,风险计算方法,风险计算矩阵法,矩阵法原理,计算示例,风险计算相乘法,相乘法原理,计算实例,风险计算矩阵法基本原理,矩阵法概念,矩阵法适用范围,矩阵法构造方式,矩阵法特点,矩阵法概念,Z=,f(x,y,),。函数,f,采用矩阵形式表示。以要素,x,和要素,y,的取值构建一个二维矩阵,矩阵内,m*n,个值即为要素,Z,的取值,矩阵法适用范围,矩阵法主要适用于由两个要素值确定一个要素值的情形。,在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等,同时需要整体掌握风险值的确定,因此矩阵法在风险分析中得到广泛采用。,矩阵法构造方式,首先需要确定二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即为所确定的计算结果。,矩阵的计算需要根据实际情况确定,矩阵内值的计算不一定遵循统一的计算公式,但必须具有统一的增减趋势,即如果是递增函数,,Z,值应随着,x,与,y,的值递增,反之亦然。,矩阵法特点,矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰罗列要素的变化趋势,具备良好灵活性。,矩阵法计算示例,资产:,共有三个重要资产,资产,A1,、资产,A2,和资产,A3,;资产价值分别是:资产,A1=2,,资产,A2=3,,资产,A3=5,;,威胁:,资产,A1,面临两个主要威胁,威胁,T1,和威胁,T2,;资产,A2,面临一个主要威胁,威胁,T3,;资产,A3,面临两个主要威胁,威胁,T4,和,T5,;,威胁发生频率分别是:威胁,T1=2,,威胁,T2=1,,威胁,T3=2,,威胁,T4=5,,威胁,T5=4,;,脆弱性:,威胁,T1,可以利用的资产,A1,存在的两个脆弱性,脆弱性,V1,和脆弱性,V2,;,威胁,T2,可以利用的资产,A1,存在的三个脆弱性,脆弱性,V3,、脆弱性,V4,和脆弱性,V5,;,威胁,T3,可以利用的资产,A2,存在的两个脆弱性,脆弱性,V6,和脆弱性,V7,;,威胁,T4,可以利用的资产,A3,存在的一个脆弱性,脆弱性,V8,;,威胁,T5,可以利用的资产,A3,存在的一个脆弱性,脆弱性,V9,。,脆弱性严重程度分别是:脆弱性,V1=2,,脆弱性,V2=3,,脆弱性,V3=1,,脆弱性,V4=4,,脆弱性,V5=2,,脆弱性,V6=4,,脆弱性,V7=2,,脆弱性,V8=3,,脆弱性,V9=5,。,风险分析原理,示例计算过程,风险计算过程,(,1,)计算安全事件发生可能性,(,2,)计算安全事件造成的损失,(,3,)计算风险值,(,4,)结果判定,以下以资产,A1,面临的威胁,T1,可以利用的脆弱性,V1,为例,计算安全风险值。,计算安全事件发生可能性,(,1,)构建安全事件发生可能性矩阵;,(,2,)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可能性值;,(,3,)对计算得到的安全风险事件发生可能性进行等级划分。,计算安全事件发生可能性,条件,原理,计算安全事件的损失,(,1,)构建安全事件损失矩阵;,(,2,)根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值;,(,3,)对计算得到的安全事件损失进行等级划分。,计算安全事件的损失,条件,原理,计算风险值,(,1,)构建风险矩阵;,(,2,)根据安全事件发生可能性和安全事件损失在矩阵中进行对照,确定安全事件风险;,计算风险值,风险结果判定,根据预设的等级划分规则判定风险结果。,依此类推,得到所有重要资产的风险值,并根据风险等级划分表,确定风险等级。,风险值等级柱状图,矩阵法风险计算过程小结,计算安全事件发生可能性,(,1,)构建安全事件发生可能性矩阵;,(,2,)根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生可能性值;,(,3,)对计算得到的安全风险事件发生可能性进行等级划分。,计算安全事件的损失,(,1,)构建安全事件损失矩阵;,(,2,)根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值;,(,3,)对计算得到的安全事件损失进行等级划分。,计算风险值,(,1,)构建风险矩阵;,(,2,)根据安全事件发生可能性和安全事件损失在矩阵中进行对照,确定安全事件风险;,风险结果判定,风险计算相乘法基本原理,相乘法原理:,当,f,为增量函数时,可以为直接相乘,也可以为相乘后取模等。,相乘法的特点:简单明确,直接按照统一公式计算,即可得到所需结果。,相乘法适用范围:在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,因此相乘法在风险分析中得到广泛采用。,风险计算相乘法示例,资产:,共有两个重要资产,资产,A1,和资产,A2,;,资产价值分别是:资产,A1=4,,资产,A2=5,;,威胁:,资产,A1,面临三个主要威胁,威胁,T1,、威胁,T2,和威胁,T3,;,资产,A2,面临两个主要威胁,威胁,T4,和威胁,T5,;,威胁发生频率分别是:威胁,T1=1,,威胁,T2=5,,威胁,T3=4,,威胁,T4=3,,威胁,T5=4,;,脆弱性:,威胁,T1,可以利用的资产,A1,存在的一个脆弱性,脆弱性,V1,;,威胁,T2,可以利用的资产,A1,存在的两个脆弱性,脆弱性,V2,、脆弱性,V3,;,威胁,T3,可以利用的资产,A1,存在的一个脆弱性,脆弱性,V4,;,威胁,T4,可以利用的资产,A2,存在的一个脆弱性,脆弱性,V5,;,威胁,T5,可以利用的资产,A2,存在的一个脆弱性,脆弱性,V6,。,脆弱性严重程度分别是:脆弱性,V1=3,,脆弱性,V2=1,,脆弱性,V3=5,,脆弱性,V4=4,,脆弱性,V5=4,,脆弱性,V6=3,。,示例计算过程,以资产,A1,面临的威胁,T1,可以利用的脆弱性,V1,为例,计算安全风险值。,计算公式使用:,风险计算过程:,(,1,)计算安全事件发生可能性,(,2,)计算安全事件的损失,(,3,)计算风险值,(,4,)结果判定,示例计算过程,(,1,)计算安全事件发生可能性,威胁发生频率:威胁,T1=1,;,脆弱性严重程度:脆弱性,V1=3,。,安全事件发生可能性,=,(,2,)计算安全事件的损失,资产价值:资产,A1=4,;,脆弱性严重程度:脆弱性,V1=3,。,计算安全事件的损失,安全事件损失,=,(,3,)计算风险值,安全事件发生可能性,=2,;,安全事件损失,=3,。,安全事件风险值,=,(,4,)确定风险等级,风险结果等级柱状图,相乘法风险计算过程小结,计算安全事件发生可能性,(,1,)安全事件发生可能性,=,威胁发生频率值 脆弱性严重程度值;,(,2,)对计算得到的安全风险事件发生可能性进行等级划分。,计算安全事件的损失,(,1,)安全事件损失值,=,资产价值 脆弱性严重程度值;,(,2,)对计算得到的安全事件损失进行等级划分。,计算风险值,(,1,)安全事件风险值,=,安全事件发生可能性 安全事件损失;,风险结果判定,附录,B,风险评估工具,根据在风险评估过程中的主要任务和作用原理的不同,风险评估的工具可以分成:,风险评估与管理工具:集成了风险评估各类知识和判据的管理信息系统,以规范风险评估的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专家经验,对输入输出进行模型分析。,系统基础平台风险评估工具:主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,或实施基于脆弱性的攻击。,风险评估辅助工具:实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。,风险评估与管理工具,基于信息安全标准的风险评估与管理工具,依据标准或指南的内容为基础,开发相应的评估工具,完成遵循标准或指南的风险评估过程。如,ASSET,、,CC Toolbox,等。,基于知识的风险评估与管理工具,并不仅仅遵循某个单一的标准或指南,而是将各种风险分析方法进行综合,并结合实践经验,形成风险评估知识库,以此为基础完成综合评估。如,COBRA,、,MSAT,、,RISK,等。,基于模型的风险评估与管理工具,对系统各组成部分、安全要素充分研究的基础上,对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,根据采集信息的输入,得到评价的结果。如,RA,、,CORA,等。,常用风险评估与管理工具对比,评估工具举例:,COBRA,COBRA,:,Consultative Objective Bi-Functional Risk Analysis,由,C&A Systems Security Ltd,推出的自动化风险管理工具。,COBRA,采用调查表的形式,在,PC,机上使用,基于知识库,类似专家系统的模式。,COBRA,不仅具有风险管理功能,还可以用于评估是否符合,BS7799,标准、是否符合组织自身制定的安全策略。,COBRA,的风险定性分析方法,COBRA,风险评估过程,1,、问题表构建,:通过知识库模块构建问题表,采用手动或自动方式从各个模块中选择所需的问题,构建针对具体组织进行评估的问题表。,2,、风险评估,:通过完成问题表实现整个风险评估过程。问题表的不同模块由系统不同人完成,各个模块可以不同时完成,但是评估结果是在全部问题表答案的基础上形成的。,3,、报告生成,:通过问题表的回答生成报告,报告包括建议采取的安全措施、解决方案建议、对于系统相关的每类风险进行分析排序、对于风险给系统带来的影响分析、风险与系统潜在影响的联系分析。,系统基础平台风险评估工具,脆弱性扫描工具,基于网络的扫描器,基于主机的扫描器,分布式网络扫描器,数据库脆弱性扫描器,渗透性测试工具,根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件 等。,一个好的漏洞扫描工具应包括以下几个特性:,最新的漏洞检测库,扫描工具必须准确并使误报率减少到最小,扫描器有某种可升级的后端,能够存储多个扫描结果并提供趋势分析的手段。,应包括清晰的且准确地提供弥补发现问题的信息。,常用脆弱性检测工具对比,风险评估辅助工具,检查列表:基于特定标准或基线建立的,对特定系统进行审查的项目条款。,入侵检测网络或主机造成危害的入侵攻击事件;帮助检测各种攻击试探和误操作;同时也可以作为一个警报器,提醒管理员发生的安全状况。,安全审计工具:用于记录网络行为,分析系统或网络安全现状;它的审计记录可以作为风险评估中的安全现状数据,并可用于判断被评估对象威胁信息的来源。,拓扑发现工具:主要是自动完成网络硬件设备的识别、发现功能。,资产信息收集系统:通过提供调查表形式,完成被评估信息系统数据、管理、人员等资产信息的收集功能。,其他:评估指标库、知识库、漏洞库、算法库、模型库等。,中国信息安全风险评估论坛,http:/,Q/A,谢谢!,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学培训


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!