信息安全风险评估
标准附录介绍
—风险计算和评估工具
标准起草组
2006年8月7 日
主要内容
附录A风险计算方法
附录B风险评估工具
附录A风险计算方法
风险计算矩阵法
矩阵法原理
计算示例
风险计算相乘法
相乘法原理
计算实例
风险计算矩阵法基本原理
矩阵法概念
矩阵法适用范围
矩阵法构造方式
矩阵法特点
矩阵法概念
Z=f(x,y) 。函数f采用矩阵形式表示。以要素x和要素y
的取值构建一个二维矩阵,矩阵内m*n个值即为要素Z
的取值
y y 1 y 2 … y j … y n
x z z … z … z
1 11 12 1j 1n
x z z … z … z
2 21 22 2j 2n
x … … … … … … …
x z z … z … z
i i1 i2 ij in
… … … … … … …
x z z … z … z
m m1 m1 mj mn
矩阵法适用范围
矩阵法主要适用于由两个要素值确定一个
要素值的情形。
在风险值计算中,通常需要对两个要素确
定的另一个要素值进行计算,例如由威胁
和脆弱性确定安全事件发生可能性值、由
资产和脆弱性确定安全事件的损失值等,
同时需要整体掌握风险值的确定,因此矩
阵法在风险分析中得到广泛采用。
矩阵法构造方式
首先需要确定二维计算矩阵,矩阵内各个
要素的值根据具体情况和函数递增情况采
用数学方法确定,然后将两个元素的值在
矩阵中进行比对,行列交叉处即为所确定
的计算结果。
矩阵的计算需要根据实际情况确定,矩阵
内值的计算不一定遵循统一的计算公式,
但必须具有统一的增减趋势,即如果是递
增函数,Z值应随着x与y 的值递增,反之亦
然。
矩阵法特点
矩阵法的特点在于通过构造两两要素计算
矩阵,可以清晰罗列要素的变化趋势,具
备良好灵活性。
矩阵法计算示例
资产:
共有三个重要资产,资产A1 、资产A2和资产A3 ;资产价值分别是:
资产A1=2 ,资产A2=3 ,资产A3=5 ;
威胁:
资产A1面临两个主要威胁,威胁T1和威胁T2 ;资产A2面临一个主要
威胁,威胁T3;资产A3面临两个主要威胁,威胁T4和T5;
威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁