本文详细介绍了信息安全风险评估中的风险计算矩阵法,包括其原理、适用范围、构造方式及特点,并通过示例展示了如何运用矩阵法计算风险。矩阵法适用于由两个要素确定第三个要素值的情况,如威胁和脆弱性对安全事件可能性的影响。该方法具有灵活性,能够清晰展现要素变化趋势。
信息安全风险评估
标准附录介绍
—风险计算和评估工具
标准起草组
2006年8月7 日
主要内容
附录A风险计算方法
附录B风险评估工具
附录A风险计算方法
风险计算矩阵法
矩阵法原理
计算示例
风险计算相乘法
相乘法原理
计算实例
风险计算矩阵法基本原理
矩阵法概念
矩阵法适用范围
矩阵法构造方式
矩阵法特点
矩阵法概念
Z=f(x,y) 。函数f采用矩阵形式表示。以要素x和要素y
的取值构建一个二维矩阵,矩阵内m*n个值即为要素Z
的取值
y y 1 y 2 … y j … y n
x z z … z … z
1 11 12 1j 1n
x z z … z … z
2 21 22 2j 2n
x … … … … … … …
x z z … z … z
i i1 i2 ij in
… … … … … … …
x z z … z … z
m m1 m1 mj mn
矩阵法适用范围
矩阵法主要适用于由两个要素值确定一个
要素值的情形。
在风险值计算中,通常需要对两个要素确
定的另一个要素值进行计算,例如由威胁
和脆弱性确定安全事件发生可能性值、由
资产和脆弱性确定安全事件的损失值等,
同时需要整体掌握风险值的确定,因此矩
阵法在风险分析中得到广泛采用。
矩阵法构造方式
首先需要确定二维计算矩阵,矩阵内各个
要素的值根据具体情况和函数递增情况采
用数学方法确定,然后将两个元素的值在
矩阵中进行比对,行列交叉处即为所确定
的计算结果。
矩阵的计算需要根据实际情况确定,矩阵
内值的计算不一定遵循统一的计算公式,
但必须具有统一的增减趋势,即如果是递
增函数,Z值应随着x与y 的值递增,反之亦
然。
矩阵法特点
矩阵法的特点在于通过构造两两要素计算
矩阵,可以清晰罗列要素的变化趋势,具
备良好灵活性。
矩阵法计算示例
资产:
共有三个重要资产,资产A1 、资产A2和资产A3 ;资产价值分别是:
资产A1=2 ,资产A2=3 ,资产A3=5 ;
威胁:
资产A1面临两个主要威胁,威胁T1和威胁T2 ;资产A2面临一个主要
威胁,威胁T3;资产A3面临两个主要威胁,威胁T4和T5;
威胁发生频率分别是:威胁T1=2,威胁T2=1,威胁T3=2,威胁
扫一扫
3155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
