亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        矩陣法在信息安全風(fēng)險值定量計(jì)算中的應(yīng)用研究

        2016-02-07 02:37:54◆陳
        關(guān)鍵詞:安全事件脆弱性威脅

        ◆陳 卓

        (湖北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 湖北 430068)

        矩陣法在信息安全風(fēng)險值定量計(jì)算中的應(yīng)用研究

        ◆陳 卓

        (湖北工業(yè)大學(xué)計(jì)算機(jī)學(xué)院 湖北 430068)

        在信息安全風(fēng)險評估的過程中,需要對信息系統(tǒng)存在的風(fēng)險進(jìn)行定量計(jì)算,信息安全風(fēng)險評估準(zhǔn)則《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》給出了風(fēng)險值的一個宏觀的形式化計(jì)算模型,在實(shí)際的工程應(yīng)用過程中還需要采取不同的方法實(shí)現(xiàn)量化計(jì)算,本文將風(fēng)險矩陣法引入信息安全風(fēng)險評估,將定性的過程量化,并給出一個基于矩陣法進(jìn)行風(fēng)險值定量計(jì)算的實(shí)例。

        信息安全風(fēng)險評估;風(fēng)險值計(jì)算;矩陣法

        0 前言

        根據(jù)我國信息安全風(fēng)險評估準(zhǔn)則《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》,信息安全風(fēng)險評估的基礎(chǔ)包含威脅、脆弱性和資產(chǎn)的識別,在完成了資產(chǎn)識別、威脅識別、脆弱性識別、以及在確認(rèn)已有的安全措施后,應(yīng)采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。現(xiàn)有關(guān)于信息安全風(fēng)險評估的方法總體上可以分為定性和定量分析法[1.2],定性分析方法是評估的基礎(chǔ),定性分析方法需要憑借評估分析者的經(jīng)驗(yàn)、知識和直覺,結(jié)合標(biāo)準(zhǔn)和慣例,帶有較強(qiáng)的主觀性。如何在定性的基礎(chǔ)上引入合理的定量分析,是信息安全風(fēng)險評估中一個比較關(guān)鍵的問題。本文在文獻(xiàn)[3-5]基礎(chǔ)上對基于矩陣法的風(fēng)險定量計(jì)算進(jìn)行了重點(diǎn)研究,給出了《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》形式化計(jì)算方法中安全事件可能性函數(shù)、風(fēng)險值計(jì)算函數(shù)和安全事件造成的損失函數(shù)對應(yīng)的矩陣法計(jì)算方法,該方法利用威脅發(fā)生的可能性、脆弱性及資產(chǎn)的相對價值三者預(yù)定義的矩陣來確定風(fēng)險的大小,制定不同的等級。

        1 風(fēng)險評估的形式化方法和矩陣法的基本原理

        1.1 風(fēng)險評估的形式化方法

        信息安全風(fēng)險評估需要綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度,判斷安全事件造成的損失對組織的影響,《GB/T20984-2007》給出了一個風(fēng)險計(jì)算的形式化計(jì)算方法:

        風(fēng)險值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va));

        R表示安全風(fēng)險計(jì)算函數(shù);A、T、V分別表示資產(chǎn)、威脅、脆弱性。Ia表示安全事件所作用的資產(chǎn)價值;Va表示脆弱性嚴(yán)重程度。L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;F表示安全事件發(fā)生后造成的損失。

        風(fēng)險計(jì)算包括以下三個計(jì)算環(huán)節(jié):

        (1)計(jì)算安全事件發(fā)生的可能性。

        計(jì)算安全事件發(fā)生的可能性=L(T,V);

        L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;T表示威脅發(fā)生頻率;V表示脆弱性嚴(yán)重程度。

        (2)計(jì)算安全事件發(fā)生造成的損失。

        計(jì)算安全事件發(fā)生造成的損失=F(Ia,Va);

        F表示根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度來計(jì)算安全事件一旦發(fā)生后帶來的損失;Ia表示安全事件所作用的資產(chǎn)價值;Va表示脆弱性嚴(yán)重程度。

        (3)根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失,計(jì)算風(fēng)險值。

        風(fēng)險值=R(安全事件的可能性,安全事件造成的損失)=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va));

        安全事件可能性函數(shù)L、風(fēng)險值計(jì)算函數(shù)F和安全事件造成的損失函數(shù)R是三個二元函數(shù)。其中二元函數(shù)的構(gòu)造方法,決定了風(fēng)險值的計(jì)算方法。

        1.2 矩陣法的基本原理

        矩陣法通過二維矩陣由兩個要素值確定一個新的要素值。

        矩陣法在確定一個新的要素值之前,需要確定二維計(jì)算矩陣,矩陣內(nèi)各要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定,將兩個元素的值在矩陣中進(jìn)行比對,行列交叉處即為所確定的計(jì)算結(jié)果。

        矩陣法原理是:

        二元函數(shù)X=F(X,Y),函數(shù)F采用矩陣法構(gòu)造。

        以要素x和要素y的取值構(gòu)建一個如表1所示的二維矩陣,矩陣行值為要素y的所有取值,矩陣的列值為要素x的所有取值,矩陣內(nèi)個值即為要素z的取值其中為正整數(shù)。

        表1 矩陣構(gòu)造

        矩陣內(nèi)ijz的值的計(jì)算可以采用以下計(jì)算方法:

        表2是文獻(xiàn)[6]給出的一個風(fēng)險矩陣,矩陣中資產(chǎn)價值的級別值為0-4級,以此確定合適的行,威脅發(fā)生的可能性(分低、中、高三級)和脆弱性(每種威脅可利用的脆弱性分低、中、高三級)被利用的容易程度則確定合適的列。

        表2 一個風(fēng)險矩陣的示例

        1.3 基于矩陣法的風(fēng)險值計(jì)算過程

        表2給出的威脅等級和脆弱性嚴(yán)重程度的分級只有3個級別,在實(shí)際的應(yīng)用中該矩陣表的大小和具體的構(gòu)造還需根據(jù)實(shí)際的組織的需要進(jìn)行調(diào)整。圖1給出一個改進(jìn)的矩陣法風(fēng)險值計(jì)算方案,在表2的基礎(chǔ)上擴(kuò)展構(gòu)建了三個矩陣,即事件可能性矩陣、事件損失值矩陣和風(fēng)險矩陣。

        圖1 基于矩陣法的風(fēng)險值計(jì)算方案

        L、F表示事件可能性矩陣和事件損失值矩陣,矩陣L和F的行均代表脆弱性的嚴(yán)重程度,L中的列代表威脅出現(xiàn)頻率,F(xiàn)中的列代表資產(chǎn)賦值。

        由事件可能性矩陣L確定風(fēng)險發(fā)生可能性,事件損失值矩陣F確定安全事件損失值。

        R為風(fēng)險矩陣,矩陣的行為安全事件發(fā)生可能性等級;矩陣的列為安全事件損失程度;矩陣內(nèi)的值為風(fēng)險值。

        2 采用矩陣法進(jìn)行風(fēng)險評估的定量計(jì)算實(shí)例

        2.1 實(shí)例背景

        共有三個重要資產(chǎn),資產(chǎn)A1,資產(chǎn)A2和資產(chǎn)A3。

        資產(chǎn)A1面臨兩個主要威脅,威脅T1和威脅T2;

        資產(chǎn)A2面臨一個主要威脅,威脅T3;

        資產(chǎn)A3面臨兩個主要威脅,威脅T4和T5。

        威脅T1可以利用資產(chǎn)A1存在的兩個脆弱性,脆弱性V1和脆弱性V2;

        威脅T2可以利用資產(chǎn)A1存在的三個脆弱性,脆弱性V3和脆弱性V4和脆弱性V5;

        威脅T3可以利用資產(chǎn)A2存在的兩個脆弱性,脆弱性V6和脆弱性V7;

        威脅T4可以利用資產(chǎn)A3存在的一個脆弱性,脆弱性V8;

        威脅T5可以利用資產(chǎn)A3存在的兩個脆弱性,脆弱性V9。

        資產(chǎn)、威脅、威脅可利用的脆弱性如表3所示:

        表3 資產(chǎn)、威脅、威脅可利用的脆弱性

        資產(chǎn)的價值分別是:資產(chǎn)A1=2,資產(chǎn)A2=3,資產(chǎn)A3=5。

        威脅發(fā)生頻率分別是:威脅T1=2,威脅T2=1,T3=2,T4=5,T5=4。

        脆弱性嚴(yán)重程度分別是:脆弱性V1=2,脆弱性V2=3,V3=1,V4=4,V5=2,V6=4,V7=2,V8=3,V9=5。

        2.2 采用矩陣法的定量計(jì)算流程

        (1)計(jì)算安全事件發(fā)生可能性

        威脅發(fā)生頻率,威脅T1=2。

        脆弱性嚴(yán)重程度:脆弱性V1=2。

        首先構(gòu)建安全事件發(fā)生可能性矩陣,如表4所示。

        表4 安全事件發(fā)生可能性矩陣L

        然后根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對照,確定安全事件發(fā)生可能性值等于6。

        由于安全事件發(fā)生可能性將參與風(fēng)險事件值的計(jì)算,為了構(gòu)建風(fēng)險矩陣,對上述計(jì)算的到的安全風(fēng)險事件發(fā)生可能性進(jìn)行等級劃分,如表5所示,安全事件發(fā)生可能性等級等于2。

        表5 安全事件可能性等級劃分

        (2)計(jì)算安全事件的損失

        資產(chǎn)價值:資產(chǎn)A1=2

        脆弱性嚴(yán)重程度:脆弱性V1=2

        首先構(gòu)建安全事件損失矩陣,如表6所示。

        然后根據(jù)資產(chǎn)價值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對照,確定安全事件損失值等于5。

        表6 安全事件損失矩陣F

        5 6 10 16 21 25

        由于安全事件損失將參與風(fēng)險事件值的計(jì)算,為了構(gòu)建風(fēng)險矩陣,對上述計(jì)算得到的安全事件損失進(jìn)行等級劃分,如表7所示,安全事件損失等級等于1。

        表7 安全時間損失等級劃分

        (3)計(jì)算風(fēng)險值

        安全事件發(fā)生可能性=2,安全事件損失等級=1

        首先構(gòu)建風(fēng)險矩陣,如表8:

        表8 風(fēng)險矩陣R

        然后根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對照,確定安全事件風(fēng)險等于6。

        按照上述方法進(jìn)行計(jì)算,得到資產(chǎn)A1的及其的風(fēng)險值,以及資產(chǎn)A2和資產(chǎn)A3的風(fēng)險。然后再進(jìn)行風(fēng)險結(jié)果等級判斷。

        (4)結(jié)果判斷

        確定風(fēng)險等級劃分如表9。

        表9 風(fēng)險等級劃分

        根據(jù)上述計(jì)算方法,并根據(jù)風(fēng)險等級劃分,確定風(fēng)險等級,如表10。

        表10 風(fēng)險結(jié)果

        3 結(jié)束語

        矩陣法的特點(diǎn)在于通過構(gòu)造兩兩要素計(jì)算矩陣,本文給出了《GB/T20984-2007信息安全風(fēng)險評估規(guī)范》形式化計(jì)算方法中安全事件可能性函數(shù)、風(fēng)險值計(jì)算函數(shù)和安全事件造成的損失函數(shù)對應(yīng)的矩陣法計(jì)算方法,該方法利用威脅發(fā)生的可能性、脆弱性及資產(chǎn)的相對價值三者預(yù)定義的矩陣來確定風(fēng)險的大小,制定不同的等級,該方案可以清晰羅列要素的變化趨勢,具備良好的實(shí)用性。

        [1]Ruth Breu,Frank Innerhofer-Oberperfler.Quantitative assessment of enterprise security system.Availability,Reliability and Security,2008.ARES 08.Third International Conference,4-7 March 2008.

        [2]Sherif M.Yacoub,Hany H.Ammar,and Tom Robinson,Methodology for Architectural-Level Risk Assessment using Dynamic Metrics,Proceedings.11th International Symposium on Volume,Issue,2000.

        [3]張弢等.一種基于風(fēng)險矩陣法的信息安全風(fēng)險評估模型.計(jì)算機(jī)工程與應(yīng)用,2010.

        [4]向宏.信息安全測評與風(fēng)險評估.電子工業(yè)出版社,2014.

        [5]趙剛.信息安全風(fēng)險管理與風(fēng)險評估.清華大學(xué)出版社,2014.

        [6]ISO/IEC 27005:2008.信息安全風(fēng)險管理.

        [7]GB/T 20984-2007信息安全技術(shù).信息安全風(fēng)險評估規(guī)范.

        湖北省自然基金(2014CFB484);湖北省科技支撐項(xiàng)目項(xiàng)目(2015BAA118)。

        猜你喜歡
        安全事件脆弱性威脅
        人類的威脅
        受到威脅的生命
        面對孩子的“威脅”,我們要會說“不”
        家教世界(2017年11期)2018-01-03 01:28:49
        煤礦電網(wǎng)脆弱性評估
        電子制作(2017年10期)2017-04-18 07:23:09
        殺毒軟件中指令虛擬機(jī)的脆弱性分析
        基于攻擊圖的工控系統(tǒng)脆弱性量化方法
        Why Does Sleeping in Just Make Us More Tired?
        食品安全事件的價格沖擊效應(yīng)
        公交車公共安全事件調(diào)查
        基于電流介數(shù)的電力系統(tǒng)脆弱性評估
        国成成人av一区二区三区| a级毛片免费观看视频| 国产精品天天看大片特色视频| 国模精品二区| 美腿丝袜av在线播放| 色播视频在线观看麻豆| 黄桃av无码免费一区二区三区| 中文字幕一区二区人妻性色| 国产午夜视频在永久在线观看| 日韩精品一区二区三区四区| 日本加勒比一道本东京热| 国产三a级三级日产三级野外| 伊人精品久久久久中文字幕| 久久精品人人做人人爽电影蜜月| 国产成人久久综合热| 国产后入内射在线观看| 国产老熟女精品一区二区| 狠狠人妻久久久久久综合蜜桃| 国产无遮挡无码视频免费软件| 奇米影视久久777中文字幕 | 亚洲午夜久久久久中文字幕久| 天堂视频一区二区免费在线观看| av网站不卡的av在线| 久久综合狠狠综合久久综合88| 国产熟女露脸大叫高潮| 麻豆AⅤ精品无码一区二区| 女同欲望一区二区三区| 中文字幕av伊人av无码av| 精品国精品无码自拍自在线| 亚洲精品日本| 中文字幕亚洲精品专区| 成午夜精品一区二区三区| 午夜国产在线| 日韩精品一级在线视频| 蜜桃av精品一区二区三区| 日本乱人伦在线观看| 日本嗯啊在线观看| 国产成人精品日本亚洲i8| 漂亮人妻被中出中文字幕久久 | 亚洲精品天堂av免费看| 国产自拍三级黄片视频|