风险价值:一个信息安全风险评估方法,计算机专业外文翻译,信息安全,风险评估
译文(字数:6273):
一.文摘
本文提出了风险价值(VAR),一个新的信息安全的方法风险评估。VAR总结损失最严重的是安全漏洞对目标层,与给定的置信水平两方面。VAR更正式的描
述了在一个给定的时间段内分位数的投射损失的分布。大部分的工具,用于ISEC风险评估是定性性质,并不是建立在理论。在ISEC专家手中VAR是一个有
用的工具,它为我们提供ISEC为理论基础,定量测量的信息安全风险的评估方法。使用这个衡量风险,
可以最好的可能的在风险和成本之间的平衡实现提供安全保障。大多数组织,尤其是那些重点投资电子商务,已经确定可接受的风险水平。美元金额的风险然后计
算。当一个组织的总VAR超过这个数量,这个组织意识到这个事实,增加安全投资是必需的。
二.介绍
在组织中信息安全(ISEC)有着很重要的作用,几个作者(Finne Bhimani
1997;1996)指出信息不安全在ISEC可以带来显著的违反经济损失。提供一个基础设施的重要性对安全事务电子商务是一直强调的安全文学
(Bequai Bhimani
2000;1996)。信息系统一直处于危险的恶意行为,疏忽的用户误差、自然灾害和其他不可预知的不良事件中。近年来,系统变得更容易受到这些威胁是因
为越来越多的计算机互连网络,从而导致更加相互依存和访问大量的网络现状。依照最近的一项调查结果显示网络欺诈是一个日益严重的全球性问题。根据调查显
示,83%的受访的商人销售商品在线认为威胁欺诈是一种严重的问题(Bequai
2000)。失去了敏感信息的后果可能是灾难性的。媒体大肆报道的“BubbleBoy”病毒和频繁的网络故障电子商务网站“E
*贸易”可能会警示公众,但是这的确是真实的(PFIRES的威胁2000)。金融风险是惊人的:在1999年76亿美元是迷失
原文(PDF格式,未统计):
Value at Risk: A methodology for Information Security Risk Assessment
Abstract
This paper presents Value at Risk (VAR), a new methodology for
Information Security Risk Assessment. VAR summarizes the worst loss due
to a security breach over a target horizon, with a given level of
confidence. More formally, VAR describes the quantile of the projected
distribution of losses over a given time period. Most of the tools that
are used for ISEC risk assessment are qualitative in nature and are not
grounded in theory. VAR is a useful tool in the hands of an ISEC expert
as it provides a theoretically based, quantitative measure of
information security risk.