時(shí)間:2015-06-28 00:00:00 來(lái)源:IT貓撲網(wǎng) 作者:網(wǎng)管聯(lián)盟 我要評(píng)論(0)
基于知識(shí)的分析方法
在基線風(fēng)險(xiǎn)評(píng)估時(shí),組織可以采用基于知識(shí)的分析方法來(lái)
找出目前的安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。
基于知識(shí)的分析方法又稱作經(jīng)驗(yàn)方法,它牽涉到對(duì)來(lái)自類似組織(包括規(guī)模、商務(wù)目標(biāo)和市場(chǎng)等)的"最佳慣例"的重用,適合一般性的信息安全社團(tuán)。
采用基于知識(shí)的分析方法,組織不需要付出很多精力、時(shí)間和資源,只要通過(guò)多種途徑采集相關(guān)信息,識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施,與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較,從中找出不符合的地方,并按照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施,最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。
基于知識(shí)的分析方法,最重要的還在于評(píng)估信息的采集,信息源包括:
· 會(huì)議討論;
· 對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查;
· 制作問(wèn)卷,進(jìn)行調(diào)查;
· 對(duì)相關(guān)人員進(jìn)行訪談;
· 進(jìn)行實(shí)地考察。
為了簡(jiǎn)化評(píng)估工作,組織可以采用一些輔助性的自動(dòng)化工具,這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問(wèn)卷,然后對(duì)解答結(jié)果進(jìn)行綜合分析,在與特定標(biāo)準(zhǔn)比較之后給出最終的推薦報(bào)告。市場(chǎng)上可選的此類工具有多種,Cobra 就是典型的一種。
基于模型的分析方法
2001 年1 月,由希臘、德國(guó)、英國(guó)、挪威等國(guó)的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開(kāi)發(fā)了一個(gè)名為CORAS 的項(xiàng)目,即Platform for Risk Analysis of Security Critical Systems。該項(xiàng)目的目的是開(kāi)發(fā)一個(gè)基于面向?qū)ο蠼L貏e是UML 技術(shù)的風(fēng)險(xiǎn)評(píng)估框架,它的評(píng)估對(duì)象是對(duì)安全要求很高的一般性的系統(tǒng),特別是99v 系統(tǒng)的安全。CORAS 考慮到技術(shù)、人員以及所有與組織安全相關(guān)的方面,通過(guò)CORAS 風(fēng)險(xiǎn)評(píng)估,組織可以定義、獲取并維護(hù)99v 系統(tǒng)的保密性、完整性、可用性、抗抵賴性、可追溯性、真實(shí)性和可靠性。
與傳統(tǒng)的定性和定量分析類似,CORAS 風(fēng)險(xiǎn)評(píng)估沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過(guò)程,但其度量風(fēng)險(xiǎn)的方法則完全不同,所有的分析過(guò)程都是基于面向?qū)ο蟮哪P蛠?lái)進(jìn)行的。CORAS 的優(yōu)點(diǎn)在于:提高了對(duì)安全相關(guān)特性描述的精確性,改善了分析結(jié)果的質(zhì)量;圖形化的建模機(jī)制便于溝通,減少了理解上的偏差;加強(qiáng)了不同評(píng)估方法互操作的效率;等等。
目前CORAS 還處于實(shí)驗(yàn)階段,相關(guān)信息可以參見(jiàn):
http://www.bitd.clrc.ac.uk/Activity/CORAS
定量分析
進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析時(shí),除了可以使用基于知識(shí)的評(píng)估方法外,最傳統(tǒng)的還是定量和定性分析的方法。
定量分析方法的思想很明確:對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額,當(dāng)度量風(fēng)險(xiǎn)的所有要素(資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等)都被賦值,風(fēng)險(xiǎn)評(píng)估的整個(gè)過(guò)程和結(jié)果就都可以被量化了。
簡(jiǎn)單說(shuō),定量分析就是試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。
定量風(fēng)險(xiǎn)分析中有幾個(gè)重要的概念:
暴露因子(Exposure Factor,EF)—— 特定威脅對(duì)特定資產(chǎn)造成損失的百分比,或者說(shuō)損失的程度。
單一損失期望(Single Loss Expectancy,SLE)—— 或者稱作SOC(Single OccuranceCosts),即特定威脅可能造成的潛在損失總量。
年度發(fā)生率(Annualized Rate of Occurrence,ARO)—— 即威脅在一年內(nèi)估計(jì)
會(huì)發(fā)生的頻率。
年度損失期望(Annualized Loss Expectancy,ALE)—— 或者稱作EAC(Estimated
Annual Cost),表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。
考察定量分析的過(guò)程,從中就能看到這幾個(gè)概念之間的關(guān)系:
?。?) 首先,識(shí)別資產(chǎn)并為資產(chǎn)賦值;
?。?) 通過(guò)威脅和弱點(diǎn)評(píng)估,評(píng)價(jià)特定威脅作用于特定資產(chǎn)所造成的影響,即EF(取值
在0%~100%之間);
?。?) 計(jì)算特定威脅發(fā)生的頻率,即ARO;
?。?) 計(jì)算資產(chǎn)的SLE:
SLE = Asset Value × EF
?。?) 計(jì)算資產(chǎn)的ALE:
ALE = SLE × ARO
這里舉個(gè)例子:假定某公司投資500,000 美元建了一個(gè)網(wǎng)絡(luò)運(yùn)營(yíng)中心,其最大的威脅是火災(zāi),一旦火災(zāi)發(fā)生,網(wǎng)絡(luò)運(yùn)營(yíng)中心的估計(jì)損失程度是45%。根據(jù)消防部門推斷,該網(wǎng)絡(luò)運(yùn)營(yíng)中心所在的地區(qū)每5 年會(huì)發(fā)生一次火災(zāi),于是我們得出了ARO 為0.20 的結(jié)果?;谝陨蠑?shù)據(jù),該公司網(wǎng)絡(luò)運(yùn)營(yíng)中心的ALE 將是45,000 美元。
我們可以看到,對(duì)定量分析來(lái)說(shuō),有兩個(gè)指標(biāo)是最為關(guān)鍵的,一個(gè)是事件發(fā)生的可能性(可以用ARO 表示),另一個(gè)就是威脅事件可能引起的損失(用EF 來(lái)表示)。
理論上講,通過(guò)定量分析可以對(duì)安全風(fēng)險(xiǎn)進(jìn)行準(zhǔn)確的分級(jí),但這有個(gè)前提,那就是可供參考的數(shù)據(jù)指標(biāo)是準(zhǔn)確的,可事實(shí)上,在信息系統(tǒng)日益復(fù)雜多變的今天,定量分析所依據(jù)的數(shù)據(jù)的可靠性是很難保證的,再加上數(shù)據(jù)統(tǒng)計(jì)缺乏長(zhǎng)期性,計(jì)算過(guò)程又極易出錯(cuò),這就給分析的細(xì)化帶來(lái)了很大困難,所以,目前的信息安全風(fēng)險(xiǎn)分析,采用定量分析或者純定量分析方法的已經(jīng)比較少了。
定性分析
定性分析方法是目前采用最為廣泛的一種方法,它帶有很強(qiáng)的主觀性,往往需要憑借分析者的經(jīng)驗(yàn)和直覺(jué),或者業(yè)界的標(biāo)準(zhǔn)和慣例,為風(fēng)險(xiǎn)管理諸要素(資產(chǎn)價(jià)值,威脅的可能性,弱點(diǎn)被利用的容易度,現(xiàn)有控制措施的效力等)的大小或高低程度定性分級(jí),例如"高"、"中"、"低"三級(jí)。
定性分析的操作方法可以多種多樣,包括小組討論(例如Delphi 方法)、檢查列表(Checklist)、問(wèn)卷(Questionnaire)、人員訪談(Interview)、調(diào)查(Survey)等。
定性分析
操作起來(lái)相對(duì)容易,但也可能因?yàn)椴僮髡呓?jīng)驗(yàn)和直覺(jué)的偏差而使分析結(jié)果失準(zhǔn)。
與定量分析相比較,定性分析的準(zhǔn)確性稍好但精確性不夠,定量分析則相反;定性分析沒(méi)有定量分析那樣繁多的計(jì)算負(fù)擔(dān),但卻要求分析者具備一定的經(jīng)驗(yàn)和能力;定量分析依賴大量的統(tǒng)計(jì)數(shù)據(jù),而定性分析沒(méi)有這方面的要求;定性分析較為主觀,定量分析基于客觀;
此外,定量分析的結(jié)果很直觀,容易理解,而定性分析的結(jié)果則很難有統(tǒng)一的解釋。
組織可以根據(jù)具體的情況來(lái)選擇定性或定量的分析方法。
關(guān)鍵詞標(biāo)簽:方法,剖析,常用,信息,
相關(guān)閱讀
熱門文章 路由器地址大全-各品牌路由設(shè)置地址 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 Nslookup命令詳解-域名DNS診斷 站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼 路由器地址大全-各品牌路由設(shè)置地址 騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程 ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程 路由表說(shuō)明(詳解route print) Nslookup命令詳解-域名DNS診斷 網(wǎng)管員實(shí)際工作的一天 網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量