提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
前言
信息安全风险评估风险分析阶段涉及到风险值的计算问题,计算方法包括矩阵法和相乘法两种,本文就两种方法差异进行说明,并通过举例的方式介绍两种方法在风险分析中的应用。
一、矩阵法原理
矩阵法主要适用于由两个要素值确定一个要素值的情形。首先需要确定一个二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素值在矩阵中进行比对,行列交叉处即为所确定的计算结果。
二、相乘法原理
相乘法主要用于两个或多个要素值确定一个要素值的情形。即z=f(x,y),函数f可以采用相乘法。相乘法的原理是:z=f(x,y)=x*y 当f为增函数时,可以为直接相乘,也可以为相乘后取模等。
三、风险计算过程示例
1.识别业务B1,并根据其重要性赋值,设B1=2,B2=3,确定B1和B2业务存在紧密关联,经调整后,B1=B2=3;
2.识别系统资产A以及其对应的系统组件和单元资产C1、C2,…,并对组件和单元资产赋值Vc1,Vc2,赋值依据是资产的保密性、完整性、可用性取平均值;
3. A’的价值等级=f(Vc1,Vc2,业务承载性等级),取平均值;根据业务重要性,调整系统资产A的最终等级;
4.识别威胁T,确定威胁等级,设T=3;
5.已有安全措施识别,这里需要大量主观判断,较难量化,用于降低脆弱性被利用的可能以及影响程度的等级;
6.识别脆弱性A,需要与威胁和资产(组件和单元)进行关联,确定脆弱性利用难易程度(Av)和影响程度(Di)赋值,设Av=3,Di=4;
7.计算安全事件发生的可能性L=(T,Av),利用相乘法得L=3;
**注:如果这里采取了安全措施S1,可以一定程度降Av,则Av降为2级,L=2.45。**
8.计算安全事件发生后的损失F=(Vc1,Di),设Vc1=2,Vc2=3利用相乘法得F1=2.82,F2=3.46;
**(安全事件发生后对系统资产A造成的损失值F=F1+F2+····Fn/n)F=F1+F2/2=3.14≈3**
9.计算系统资产A风险值R1=(L,F),得R1=3;
10.计算业务风险值Rb=(R1,R2,…,Rn),取平均值。
总结
以上就是今天要讲的内容,本文介绍了在信息安全风险评估过程的风险分析中矩阵法和相乘法的使用,而在实际的项目实施过程中,我们更多的是将两种方法融合起来,同时借鉴矩阵法的客观性以及相乘法的便捷性,保障风险评估服务的科学有效。
参考依据:GB/T-20984 2022《信息安全技术 信息安全风险评估方法》