信息安全风险评估---矩阵法计算风险

最新推荐文章于 2024-03-27 15:44:36 发布
最新推荐文章于 2024-03-27 15:44:36 发布
阅读量1.7w 收藏 33
点赞数 18
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suiyideAli/article/details/84076685
版权

                                                                                        矩阵法计算风险

假设:有以下信息系统中资产面临威胁利用脆弱性的情况:

共有两项重要财产:资产A1和资产A2;

资产A1面临一个主要威胁T1;

资产A2面临两个主要威胁T2,T3;

威胁T1可以利用资产A1存在的两个脆弱性,脆弱性V1和V2;

威胁T2可以利用资产A2存在的两个脆弱性,脆弱性V3和V4;

威胁T3可以利用资产A2存在的一个脆弱性V5;

资产价值分别为:资产A1=3 资产A2=4

威胁发生的频率分别是:威胁T1=3,威胁T2=2,威胁T3=4;

威胁性严重程度分别是:脆弱性V1=2,V2=3,V3=2,V4=5,V5=4。

  1. 矩阵法计算示例

(1)计算重要资产的风险值。

以资产A2为例子使用矩阵法计算其风险值,其他资产计算方法类似。资产A2面临两个主要威胁T2和T3,威胁T2可以利用资产A2的两个脆弱性,威胁T3可以利用资产A2的一个脆弱性,因此资产A2存在风险值包括三个。这三个风险值计算过程类似。以资产A2面临的威胁T2可以利用A2的脆弱性V3为例子计算:

  • 计算安全事件发生的可能性。

威胁发生频率:威胁T2=2;

脆弱性严重程度:脆弱性V3=2;

首先根据矩阵法原理,构建安全事件发生可能性的矩阵:

采用Z(ij)=a*X(i)+b*Y(j)公式

矩阵中的Z(ij)不一定遵循统一的计算公式,但必须具有统一的增减趋势。a和b根据具体情况和函数递增情况而定。

表1.安全事件发生可能性的矩阵

脆弱性严重程度 

威胁发生频率

1

2

3

4

5

1

2

4

7

11

16

2

3

5

8

12

17

3

7

9

12

16

21

4

9

11

14

18

23

5

16

18

21

25

30

   由于威胁发生频率越大或者脆弱性严重程度越高,则计算安全事件发生的可能性就会越高(呈递增趋势)。

那么根据威胁发生频率为2和脆弱性严重程度为2,在矩阵对照中,可确定安全事件发生的可能性为5。

因为安全事件发生的可能性是风险计算函数的一个参数,所以在构建风险矩阵前,先对安全事件发生的可能性进行等级划分。

表2.划分安全事件可能性的等级

安全事件发生可能性的值

1~6

7~12

13~18

19~24

25~30

发生可能性的等级

1

2

3

4

5

此时可知安全事件发生可能性的等级为1。

  • 计算安全事件的影响

资产价值:资产A2=4

脆弱性严重程度:脆弱性V3=2

根据矩阵阵法原理,构建安全事件影响的矩阵,如下表:

表3.安全事件影响的矩阵

脆弱性严重程度 

资产价值

1

2

3

4

5

1

2

4

7

11

16

2

3

5

8

12

17

3

7

9

12

16

21

4

9

11

14

18

23

5

16

18

21

25

30

那么根据资产价值为4和脆弱性严重程度为2,在矩阵中对照,可确定安全时间的影响值为11。

因为安全事件的影响是风险计算函数的一个参赛,所以在构建风险矩阵前,还要对安全事件的影响进行等级划分,如下表。

表4.划分安全时间影响的等级

安全事件发生可能性的值

1~6

7~12

13~18

19~24

25~30

发生可能性的等级

1

2

3

4

5

       由此表可知安全事件影响的等级为2。

 

 

  • 计算风险值

此时,已计算出:安全事件发生可能性=1,安全事件的影响=2。

同样,可根据矩阵法原理,构建风险矩阵,如下表

表5.风险矩阵

安全事件发生可能性

安全事件的影响

1

2

3

4

5

1

2

4

7

11

16

2

3

5

8

12

17

3

7

9

12

16

21

4

9

11

14

18

23

5

16

18

21

25

30

       那么根据安全事件发生可能性为1和安全事件的影响为2,在矩阵对照中,可以确认风险值为3。

按照同样的方法,可计算得出资产A1的其他风险值,以及资产A2的风险。

(2)结果判定。

先确定风险等级划分的标准,如下表

表6.划分风险的等级

风险值

1~6

7~12

13~18

19~24

25~30

风险等级

1

2

3

4

5

根据计算出的风险值,结合表6可知,资产A2面临的威胁T2可以利用资产A2的脆弱性V3的风险等级为1。

       以此类推,可计算出两个重要资产的其他风险值,并根据表6确定出各自的风险等级结果。如表7所示。

表7.风险结果

资产

威胁

脆弱性

风险值

风险等级

资产A1

T1

V1

5

2

V2

5

2

资产A2

T2

V3

3

1

V4

12

2

T3

V5

12

2

学艺不精,安全小白第一次写,如果有错误敬请指出,私信。

阿粒
关注
  • 18
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
信息安全风险评估
Xing___wei的博客
03-08 9342
信息安全风险评估风险评估流程一.评估准备1.1确定评估目标1.2确定评估范围1.3组建评估团队1.4评估工作启动会议1.5系统调研1.6确定评估依据1.7确定评估工具1.8制定评估方案二.风险要素识别2.1实施流程2.2资产识别2.2.1资产调查2.2.2资产分类2.2.3资产赋值2.3威胁识别2.3.1威胁评估2.3.2威胁分类2.3.3威胁赋值2.4脆弱性识别2.4.1脆弱性评估2.4.2脆弱性赋值2.5已有安全措施确认三.风险分析3.1风险分析模型3.2风险计算3.2.1计算安全事件可能性3.2.
风险管理总结(二):一种计算风险值的方
甘焕的博客
09-01 5115
见下图,无需赘述。
风险评估流程
weixin_44108866的博客
06-30 1185
准备阶段 资产识别 威胁识别 脆弱性识别 已有安全措施 风险分析 文档0x01 准备阶段确定风险评估的目标 确定风险评估的范围 组建适当的评估管理与实施团队 进行系统调研;确定评估依据和方 获得最高管理者对风险评估工作的支持0x02 资产识别资产分类 数据 软件 硬件 服务 人员 其他保密性赋值 完整性赋值 可用性赋值 判定资产的重要等级0x03 威胁识别 威胁来源 环境威胁 人为因素 恶意人员 非恶意人员威胁分类 : 物理环境 软硬件故障 无作为,操作失误 管理不到位 恶意代...
阿里云2024 CTF pwn 签到题
最新发布
m0_74220442的博客
03-27 1134
定义了两个数组,通过给第二个数组赋值来绕过各种判断语句 到达漏洞函数,通过第一个漏洞函数泄露libc地址,通过第二个漏洞函数 进行栈溢出并且能够绕过canary 执行rop链。
计算风险计算原理,信息安全风险评估标准附录介绍—风险计算和评估工具.pdf...
weixin_42681774的博客
07-15 747
信息安全风险评估标准附录介绍—风险计算和评估工具标准起草组2006年8月7 日主要内容 附录A风险计算 附录B风险评估工具附录A风险计算风险计算矩阵矩阵原理计算示例 风险计算相乘相乘原理计算实例风险计算矩阵基本原理 矩阵概念 矩阵适用范围 矩阵构造方式 矩阵特点矩阵概念 Z=f(x,y) 。函数f采用矩阵形式表示。以要素x和要素y的取值构建一...
基于数据安全的风险评估-风险分析与评估
热门推荐
MR王峰的专栏
02-18 1万+
完成了资产识别、脆弱性识别及威胁识别后(链接请见文章末尾处),我们可以采用适当的方和工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件作用资产价值及脆弱性的严重程度,判断事件造成的损失及对组织的影响,即安全风险风险分析原理 本篇将从风险计算风险结果判定、风险处置、风险评估四个方面进行介绍。 一、风险计算形式及关键环节 风险计算原理其范式形式如下: 风险值=R(A,T...
信息安全风险评估计算
weixin_47697875的博客
11-16 1870
信息安全风险评估风险分析阶段涉及到风险值的计算问题,计算包括矩阵和相乘两种,本文介绍了在信息安全风险评估过程的风险分析中矩阵和相乘的使用方
论文研究-一种基于风险矩阵信息安全风险评估模型.pdf
09-13
信息安全风险等级的评定在信息安全风险管理中至关重要,量化风险数值依旧是当前评估领域的热点。将风险矩阵引入信息安全风险评估,构建了以专家二维矩阵、Borda排序和层次分析为评估流程的风险评估模型,将定性的过程定量化,提高了评估的客观性。最后以校控制与网络实验室为评估对象进行实例计算
矩阵排列算
隐竹的专栏
02-28 4387
 很多时候我们需要对一组显示对象做一个矩阵的排列,如果我们把这些显示对象放在一个数组或者Vector中那么就可以利用索引编号来进行计算每个对象应该处于的位置。这里简单介绍二维的矩阵排列算,很简单,写下来只是做个记录: const columnNum=10;//每一行放的元素个数 for(var i:int=0;i
风险矩阵图示 3乘4维度分析.pptx
09-26
风险矩阵图示 3乘4维度分析.pptx,pptfans_7279a3230173d7b.pptx
数据安全风险评估及实施指南(深圳).pdf
08-09
网络安全,风险评估,策略,以及欧美建立此规则的经验
论文研究-基于FAHP的信息安全风险群组决策评估方.pdf
07-22
结合当前信息安全风险评估的特点和发展现状,提出一种结合FAHP和群组决策的风险量化评估方。该方利用FAHP处理主观评估判断结果,实现了综合考虑风险发生概率和风险损失的偏好排序;在评估过程中引入群组决策,...
基于优化组合权与云-VIKOR的PFMEA风险评估分析与改进
04-30
针对过程失效模式与影响分析(PFMEA)风险评估过程专家评估信息的模糊性与随机性,引入云模型将其量化为云语义评估信息,并集结成综合云评价矩阵。针对传统客观加权不考虑风险因子间相互影响关系的问题,提出改进...
信息安全风险评估培训.ppt
10-07
信息安全风险评估培训 风险评估信息安全管理的重要组成部分。风险评估的目的是识别和评估可能对资产造成损害的各种威胁,确定风险的可能性和影响,采取相应的安全措施来减少风险风险评估的基本概念包括资产、...
基于云计算信息安全风险评估.docx
11-03
信息安全风险评估的演变】 传统的信息安全风险评估主要关注资产、威胁和脆弱性。在云计算环境中,风险评估变得更加复杂,因为数据和应用程序不再仅限于本地,而是分布在云中的多个位置。企业需要考虑更多的因素,...
基于云计算信息安全风险评估.pdf
11-03
**基于云计算信息安全风险评估** 随着信息技术的飞速发展,云计算作为其中的代表性技术,已经逐渐成为企业数据处理和业务运营的重要平台。然而,云计算的广泛应用也带来了新的信息安全挑战。本文将深入探讨云计算...
cissp课程计算风险的公式
m0_71518346的博客
07-24 534
单一威胁年预期损失 (ALE)表示的是因风险造成的年度预期损失。单一威胁造成损失的百分比(EF)是指资产损失对整个组织的影响。单一威胁预期损失(SLE)是资产价值(AV)单次损失的成本。某个资产损失发生的频度我们称为单一威胁年发生率(ARO)单一威胁年预期损失计算公式: ALE=SLE*ARO。风险计算公式: 风险=资产价值*威胁*漏洞*影响。单一威胁预期损失计算公式:SLE=AV*EF。cissp课程计算风险的公式。
识别评估项目风险常用6大方
CoCode888的博客
09-07 633
识别评估项目风险 常用的方,CoCode高风险预警和组织级风险资产库,助力项目风险管理。
信息安全_置换加密算_矩阵换位加…
CHINAonlyQiu的专栏
08-23 8490
【题意描述】 置换密码算的原理是不改变明文字符,而是按照某一规则重新排列消息中的比特或字符顺序,才而实现明文信息的加密。置换密码有时又称为换位密码。 矩阵换位是实现置换密码的一种常用方。它将明文中的字母按照给定的顺序安排在一个矩阵中,然后用根据密钥提供的顺序重新组合矩阵中的字母,从而形成密文。例如,明文为attack begins at five,密钥为cipher,将明文按照每行6个字
飞利浦公司信息安全风险评估实施工具表.xlsx
06-22
### 回答1: 飞利浦公司信息安全风险评估实施工具表.xlsx 是一个旨在帮助飞利浦公司评估其信息系统中存在的安全风险的工具表格。这个表格实现了一种系统化的方来分析和评估可能存在的风险,并试图识别可能出现的问题和根源,以减轻或消除这些风险所带来的影响。 表格包括风险的定义,分型和分级,以及各种监测手段和对应的应对计划。此外,表格还提供了定义和范围,以帮助用户在评估过程中更好地了解对象和事物,以及相关的投入成本和时间规划。表格的核心在于风险评估矩阵,它允许评估不同类型的风险,并仔细分析将每个风险与公司的整体风险设计方案相结合的机会和决策。 因此,这个工具表格不仅提供了评估风险的方,而且为飞利浦公司通过全面的信息安全计划,更好地应对各种潜在的安全风险提供了策略和方向。需要注意的是,这个表格是连续发展的,并不断更新以跟上技术和运营世界的变化,以确保它始终与飞利浦公司的安全风险规划保持同步。 ### 回答2: 飞利浦公司信息安全风险评估实施工具表.xlsx是一个用于评估公司信息系统安全风险的工具表格。该工具包含多个评估表格,在不同的方面评估信息安全风险,包括物理安全、操作系统漏洞、网络安全、人员安全等方面。 工具表格采用了飞利浦公司的信息安全标准和最佳实践,并结合了国际标准和行业标准,能够全面地评估系统的安全风险,并为飞利浦公司制定安全策略和措施提供参考。 该工具表格的使用需要完整的信息安全管理体系支持,并需要具有一定的信息安全知识、技能和经验的专业人员来实施。使用者需要根据实际情况填写表格中的各项内容,并权衡风险和资源,确定相应的措施和优先级。同时,使用者需要不断更新和修订评估结果,确保最终的安全策略和措施得到有效实施和监控。 飞利浦公司信息安全风险评估实施工具表.xlsx是一个广泛适用于企业和组织的信息安全评估工具,通过科学的风险评估,能够保障信息资产的安全性和可用性,减少安全事故的发生,并提高公司整体的安全意识和管理水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值