當前,國際上提出了壹些廣義的、傳統的風險評估理論(並非特別針對信息系統安全)。從計算方法區分,有定性的方法、定量的方法和部分定量的方法。從實施手段區分,有基於“樹”的技術、動態系統的技術等。各類方法舉例如下。 定性的方法包括: 1.初步的風險分析(Preliminary Risk Analysis) 2.危險和可操作性研究(Hazard and Operability studies (HAZOP)) 3.失效模式及影響分析(Failure Mode and Effects Analysis (FMEA/FMECA)) 基於“樹”的技術(Tree Based Techniques )包括: 1.故障樹分析(Fault tree analysis) 2.事件樹分析(Event tree analysis) 3.因果分析(Cause-Consequence Analysis) 4.管理失敗風險樹(Management Oversight Risk Tree) 5.安全管理組織檢查技術(Safety Management Organization Review Technique) 動態系統的技術(Techniques for Dynamic system)包括: 1.嘗試方法(Go Method) 2.有向圖/故障圖(Digraph/Fault Graph) 3.馬爾可夫建模(Markov Modeling) 4.動態事件邏輯分析方法學(Dynamic Event Logic Analytical Methodology) 5.動態事件樹分析方法(Dynamic Event Tree Analysis Method) 目前存在的信息安全評估工具大體可以分成以下幾類: 1.掃描工具:包括主機掃描、網絡掃描、數據庫掃描,用於分析系統的常見漏洞; 2.入侵檢測系統(IDS):用於收集與統計威脅數據; 3.滲透性測試工具:黑客工具,用於人工滲透,評估系統的深層次漏洞; 4.主機安全性審計工具:用於分析主機系統配置的安全性; 5.安全管理評價系統:用於安全訪談,評價安全管理措施; 6.風險綜合分析系統:在基礎數據基礎上,定量、綜合分析系統的風險,並且提供分類統計、查詢、TOP N查詢以及報表輸出功能; 7.評估支撐環境工具:評估指標庫、知識庫、漏洞庫、算法庫、模型庫。 綜觀這些理論和工具的現狀,存在的問題是:尚缺乏模型化、形式化描述和證明的深度;壹般化的廣義的理論如何用於風險評估;定性,定量的理論方法如何更加有效;工具運用的結果如何能夠反映實質,有效測度,準確無誤;工具的使用如何能夠綜合協調。 作者:不詳
上一篇:老北京布鞋什麽牌子好?下一篇:十佳設計師禮服