矩阵法计算风险
假设:有以下信息系统中资产面临威胁利用脆弱性的情况:
共有两项重要财产:资产A1和资产A2;
资产A1面临一个主要威胁T1;
资产A2面临两个主要威胁T2,T3;
威胁T1可以利用资产A1存在的两个脆弱性,脆弱性V1和V2;
威胁T2可以利用资产A2存在的两个脆弱性,脆弱性V3和V4;
威胁T3可以利用资产A2存在的一个脆弱性V5;
资产价值分别为:资产A1=3 资产A2=4
威胁发生的频率分别是:威胁T1=3,威胁T2=2,威胁T3=4;
威胁性严重程度分别是:脆弱性V1=2,V2=3,V3=2,V4=5,V5=4。
- 矩阵法计算示例
(1)计算重要资产的风险值。
以资产A2为例子使用矩阵法计算其风险值,其他资产计算方法类似。资产A2面临两个主要威胁T2和T3,威胁T2可以利用资产A2的两个脆弱性,威胁T3可以利用资产A2的一个脆弱性,因此资产A2存在风险值包括三个。这三个风险值计算过程类似。以资产A2面临的威胁T2可以利用A2的脆弱性V3为例子计算:
- 计算安全事件发生的可能性。
威胁发生频率:威胁T2=2;
脆弱性严重程度:脆弱性V3=2;
首先根据矩阵法原理,构建安全事件发生可能性的矩阵:
采用Z(ij)=a*X(i)+b*Y(j)公式
矩阵中的Z(ij)不一定遵循统一的计算公式,但必须具有统一的增减趋势。a和b根据具体情况和函数递增情况而定。
表1.安全事件发生可能性的矩阵
| 脆弱性严重程度 | 1 | 2 | 3 | 4 | 5 |
| 1 | 2 | 4 | 7 | 11 | 16 |
| 2 | 3 | 5 | 8 | 12 | 17 |
| 3 | 7 | 9 | 12 | 16 | 21 |
| 4 | 9 | 11 | 14 | 18 | 23 |
| 5 | 16 | 18 | 21 | 25 | 30 |
由于威胁发生频率越大或者脆弱性严重程度越高,则计算安全事件发生的可能性就会越高(呈递增趋势)。
那么根据威胁发生频率为2和脆弱性严重程度为2,在矩阵对照中,可确定安全事件发生的可能性为5。
因为安全事件发生的可能性是风险计算函数的一个参数,所以在构建风险矩阵前,先对安全事件发生的可能性进行等级划分。
表2.划分安全事件可能性的等级
| 安全事件发生可能性的值 | 1~6 | 7~12 | 13~18 | 19~24 | 25~30 |
| 发生可能性的等级 | 1 | 2 | 3 | 4 | 5 |
此时可知安全事件发生可能性的等级为1。
- 计算安全事件的影响
资产价值:资产A2=4
脆弱性严重程度:脆弱性V3=2
根据矩阵阵法原理,构建安全事件影响的矩阵,如下表:
表3.安全事件影响的矩阵
| 脆弱性严重程度 | 1 | 2 | 3 | 4 | 5 |
| 1 | 2 | 4 | 7 | 11 | 16 |
| 2 | 3 | 5 | 8 | 12 | 17 |
| 3 | 7 | 9 | 12 | 16 | 21 |
| 4 | 9 | 11 | 14 | 18 | 23 |
| 5 | 16 | 18 | 21 | 25 | 30 |
那么根据资产价值为4和脆弱性严重程度为2,在矩阵中对照,可确定安全时间的影响值为11。
因为安全事件的影响是风险计算函数的一个参赛,所以在构建风险矩阵前,还要对安全事件的影响进行等级划分,如下表。
表4.划分安全时间影响的等级
| 安全事件发生可能性的值 | 1~6 | 7~12 | 13~18 | 19~24 | 25~30 |
| 发生可能性的等级 | 1 | 2 | 3 | 4 | 5 |
由此表可知安全事件影响的等级为2。
- 计算风险值
此时,已计算出:安全事件发生可能性=1,安全事件的影响=2。
同样,可根据矩阵法原理,构建风险矩阵,如下表
表5.风险矩阵
| 安全事件发生可能性 | 1 | 2 | 3 | 4 | 5 |
| 1 | 2 | 4 | 7 | 11 | 16 |
| 2 | 3 | 5 | 8 | 12 | 17 |
| 3 | 7 | 9 | 12 | 16 | 21 |
| 4 | 9 | 11 | 14 | 18 | 23 |
| 5 | 16 | 18 | 21 | 25 | 30 |
那么根据安全事件发生可能性为1和安全事件的影响为2,在矩阵对照中,可以确认风险值为3。
按照同样的方法,可计算得出资产A1的其他风险值,以及资产A2的风险。
(2)结果判定。
先确定风险等级划分的标准,如下表
表6.划分风险的等级
| 风险值 | 1~6 | 7~12 | 13~18 | 19~24 | 25~30 |
| 风险等级 | 1 | 2 | 3 | 4 | 5 |
根据计算出的风险值,结合表6可知,资产A2面临的威胁T2可以利用资产A2的脆弱性V3的风险等级为1。
以此类推,可计算出两个重要资产的其他风险值,并根据表6确定出各自的风险等级结果。如表7所示。
表7.风险结果
| 资产 | 威胁 | 脆弱性 | 风险值 | 风险等级 |
| 资产A1 | T1 | V1 | 5 | 2 |
| V2 | 5 | 2 | ||
| 资产A2 | T2 | V3 | 3 | 1 |
| V4 | 12 | 2 | ||
| T3 | V5 | 12 | 2 |
学艺不精,安全小白第一次写,如果有错误敬请指出,私信。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
