《信息安全风险评估方法综述》由会员分享,可在线阅读,更多相关《信息安全风险评估方法综述(27页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估方法 综述 LOGO 信息安全风险评估方法综述 信息安全风险评估的概念 1 信息安全风险评估方法综述2 小结3 LOGO 一、风险评估的概念 信息安全风险评估: 对信息系统及由其处理、传输和存储的信息 的保密性、完整性和可用性等安全属性进行评价 的过程。 它要评估资产面临的威胁以及威胁利用脆弱 性导致安全事件的可能性,并结合安全事件所涉 及的资产价值来判断安全事件一旦发生对组织造 成的影响。 LOGO 二、风险评估的方法综述 传统的信息安 全风险评估方 法都包括那些 ? ? ? LOGO 二、风险评估的方法综述 相关方法 深入学习 解决问题 定性评估方 法 定量评估方 法 综合
2、评估方 法 因素分析法、逻辑分析 法、历史比较、德尔斐法 因子分析法、聚类分析 法、时序模型、回归模 型、决策树法等 基于模糊综合评价的风 险评估方法、基于灰色理 论的风险评 估方法 模 糊 综 合 评 价 法 对三类方法的优缺点进行比较分析 三 个 方 面 LOGO 二、风险评估的方法综述 定性评评估方法 定量评评估方法 综综合评评估方法 LOGO 二、定性的风险评估方法 典型的定性评评估方法: 因素分析法、逻辑逻辑 分析法、历历史比较较法、德尔斐法。 定性评评估: 依据研究者的知识识、经验经验 、历历史教训训、政策走向及特殊 变变例等非量化资资料对风险对风险 做出判断 采用文字形式或叙述性
3、数值值范围围描述风险风险 的影响程度和 可能性的大小(如高、中、低等) LOGO 二、定性的风险评估方法 风险风险 分析矩阵阵风险风险 程度 可能性 后果 可以忽略 1 较小 2 中等 3 较大 4 灾难性 5 A(几乎肯定)HHEEE B (很可能)MHH EE C ( 可能)LMHEE D(不太可能)LLMHE E (罕见)LLMHH E:极度风险风险 H:高风险风险 M:中等风险风险 L: 低风险风险 LOGO 二、定性的风险评估方法 E:极度风险风险 -要求立即采取措施 H:高风险风险 -需要高级级管理部门门的注意 M:中等风险风险 -必须规须规 定管理责责任 L: 低风险风险 -用日
4、常程序处处理 风险风险 的处处理措施(示例) LOGO 二、定量的风险评估方法 定量评评估: 运用数量指标标来对风险进对风险进 行评评估 采用量化的数值值描述后果(估计计出可能损损失的金额额 )和可能性(概率或频频率) 定量的评评估方法: 因子分析法、聚类类分析法、时时序模型、回归归模型、 风险图风险图 法、决策树树法等 LOGO 二、定量的风险评估方法 年度化损损失运算表(频频率) 不可能 0.0 300年一次 1/300 0.00333 200年一次 1/200 0.003 100年一次 1/100 0.01 50年一次 1/50 0.02 25年一次 1/25 0.04 5年一次 1/5
5、 0.20 LOGO 二、定性评估与定量评估的比较 优点缺点 定性评估 挖掘一些蕴藏很深的思想,使 评估结论更全面、更深刻 主观性很强,对评估者本身的 要求很高 定量评估 用直观的数据表述评估结果, 使研究结果更科学,更严密, 更深刻 使原本复杂的事物简单化、模 糊化,风险因素被量化后可能 被误解和曲解 LOGO 二、综合评估方法 综综合评评估方法: 定量分析是定性分析的基础础和前提 定性分析则则是灵魂,是形成概念,做出判断,得出 结论结论 的依靠 应该应该 将这这两种方法融合起来,得到综综合的评评估方法 典型的综综合评评估方法: 层层次分析法 (The analytic hierarchy
6、process,简简 称AHP)(20 世纪纪70 年代,美国著名的运筹学专专家 ,萨萨蒂提出) 冯冯登国 LOGO 二、基于层次分析法的风险评估方 法的基本步骤: 第一步:系统分解,建立层次结构模型 第二步:构造判断矩阵 第三步:层次单排序及其一致性检验 第四步:层次总排序,完成综合判断 LOGO 二、层次分析法的不足: 判断矩阵阵建立的主观观性问题问题 判断矩阵阵不一致性问题时问题时 常发发生 不能对对系统进统进 行整体定量评评价 LOGO 二、改进的风险综合评估方法 基于模糊综综合评评价的风险评风险评 估方法 基于灰色理论论的风险评风险评 估方法 基于D-S证证据理论论的风险评风险评 估
7、方法 基于机器学习习的风险评风险评 估方法 LOGO 二、改进的风险综合评估方法 基于模糊综综合评评价的风险评风险评 估方法: 概念:一种以模糊推理为为主的分析评评价方法 结结果清晰、系统统性强 特点: 处处理人们们在评评价过过程中的主观观性以及客观观所遇到的模糊现现 象和难难以量化的问题问题 LOGO 二、改进的风险综合评估方法 寻寻找元素间间接比较较信息,综综合比较较与初始判断矩阵阵的逻逻 辑辑相关联联程度,修正初始判断矩阵阵 判断矩阵选阵选 取n-1个元素,衍生新的完全一致矩阵阵,找出 与判断矩阵阵最接近的矩阵阵,即为为修正矩阵阵 层层次分析法标标度过过渡到模糊层层次分析法标标度,确定一
8、族 模糊层层次分析法权权重的方法 熊立等和 王国华华等 华华中生等 兰继兰继 斌等 LOGO 二、改进的风险综合评估方法 AHP方法与模糊逻辑逻辑 法相结结合,网络络安全和无线线网络络安 全 一种基于模糊综综合评评判理论论的信息系统统安全风险评风险评 估 模型和方法 一种模糊风险评风险评 估模型,给给出系统统的综综合评评估结结果 赵赵冬梅 黄松等 汪楚娇娇等 LOGO 二、改进的风险综合评估方法 基于灰色理论论的风险评风险评 估方法: 概念:一门门基于数学理论论的系统统工程学科( 20世纪纪80年代,华华中理 工大学,邓邓聚龙龙教授首提并创创立) 层层次分析法与模糊逻辑逻辑 方法相结结合 特点
9、: 能反映参数的模糊性与不确定性并能对对系统进统进 行整体的评评估 LOGO 二、改进的风险综合评估方法 灰色评评估模型与算法,评评估军军方信息系统统安全有效性 灰色评评估方法与层层次分析法相结结合,评评估水质风险质风险 参数评评估值值不确定性问题问题 ,信息系统统看作决策,一种基 于灰色关联联决策算法的信息安全风险评风险评 估方法。 张张磊等 张张春荣等 高阳等 LOGO 二、改进的风险综合评估方法 基于D-S证证据理论论的风险评风险评 估方法: 概念:一种不确定性推理方法,1967年Dempster最早提出,Shafer在 1976年整理、完善形成的一种数学推理理论论 特点:消除专专家评评
10、判中存在的不确定因素 LOGO 二、改进的风险综合评估方法 D-S证证据理论对论对 AHP的判断矩阵阵改造,电电信网的网络络 改进进的D-S证证据合成法则则,各因素可信度函数的合成, 消除不确定因素,可信度较较高的风险评风险评 判值值 方阳 顾顾孟钧钧等 LOGO 二、改进的风险综合评估方法 基于机器学习习的风险评风险评 估方法: 概念:机器学习习(machine learning,ML)是人工智能的主要核心研究 领领域之一,无需进进行矩阵阵的一致性检验检验 Foroughi,Bayes学习习技术术 应应用: 党德鹏鹏等,支持向量机(SVM) 张张利将,决策树树 LOGO 二、改进的风险综合评
11、估方法 四种改进综进综 合风险评风险评 估方法的优势优势 : 方法优势 基于模糊综合评价 的风险评 估方法 处理人们在评价过程中的主观性以及客观所 遇到的模糊现象和难以量化的问题 基于灰色理论的风 险评估方法 能反映参数的模糊性与不确定性 基于D-S证据理论的 风险评 估方法 消除专家评判中存在的不确定因素 基于机器学习的风 险评估方法 无需进行矩阵的一致性检验 LOGO 三、小结 从定性、定量、综合三个方面对信息安全评估方法进 行介绍,综合各方法的优缺点,得出综合评估法中基于 模糊综合评价的评估法对于大数据背景下的信息安全风 险评估可能适用。 相关评估方法 模糊综合评价法 解决大数据背景 下的信息安全风 险评估问题 请批评指正!请批评指正!
