在風險評估過程中,可以采用多種可操作的方法,包括基於知識的分析方法、基於模型的分析方法、定性分析和定量分析。無論哪種方法,* * *的目標都是找出組織的信息資產所面臨的風險及其影響,以及當前的安全級別與組織的安全需求之間的差距。壹、基於知識的分析方法在基線風險評估中,組織可以使用基於知識的分析方法,找出當前安全狀況與基線安全標準之間的差距。基於知識的分析方法,也稱為經驗方法,涉及重用來自類似組織的“最佳實踐”(包括規模、業務目標和市場等)。)並適用於壹般的信息安全社區。使用基於知識的分析方法,組織不需要付出大量的精力、時間和資源。它只需要通過各種渠道收集相關信息,識別組織的風險和當前的安全措施,與特定的標準或最佳實踐進行比較,找出不符合項,根據標準或最佳實踐的建議選擇安全措施,最終達到降低和控制風險的目的。基於知識的分析方法,最重要的是評價信息的收集,信息來源包括:1。會議討論;2.審查當前的信息安全政策和相關文件;3.做壹個問卷,做壹個調查;4.采訪相關人員;5.進行實地考察。為了簡化評估工作,組織可以采用壹些輔助的自動化工具,這些工具可以幫助組織擬定符合特定標準要求的調查問卷,然後綜合分析答案,與特定標準進行比較後給出最終的推薦報告。市面上有很多種這樣的工具,Cobra就是典型的壹種。二、基於模型的分析方法2001 1壹個名為CORAS的項目,即安全關鍵系統風險分析平臺,是由希臘、德國、英國、挪威等國的多家商業公司和研究機構聯合開發的。這個項目的目的是開發壹個基於面向對象建模,尤其是UML技術的風險評估框架。其評估對象是安全性要求較高的壹般系統,尤其是IT系統的安全性。CORAS考慮技術、人員以及與組織安全相關的所有方面。通過CORAS風險評估,組織可以定義、獲取和維護IT系統的機密性、完整性、可用性、不可否認性、可追溯性、真實性和可靠性。與傳統的定性定量分析類似,CORAS風險評估遵循識別風險、分析風險、評估和處理風險的過程,但其風險度量方法完全不同,所有分析過程都基於面向對象的模型。CORAS的優點是:提高了描述安全相關特性的準確性,提高了分析結果的質量;圖形化建模機制,方便溝通,減少理解上的偏差;提高不同評估方法互操作的效率;等壹下。三、定量分析在進行詳細的風險分析時,除了基於知識的評估方法外,最傳統的方法是定量和定性分析。定量分析方法的思路非常清晰:對構成風險的所有要素和潛在損失的水平賦予數值或貨幣金額。當所有衡量風險的要素(資產價值、威脅頻率、漏洞利用程度、安全措施的效率和成本等。)都有賦值,風險評估的整個過程和結果都可以量化。簡單來說,定量分析就是試圖用數值來分析和評估安全風險的方法。在定量風險分析中有幾個重要的概念:暴露系數(EF)——特定威脅對特定資產造成的損失百分比,或損失程度。單次損失預期(SLE)-或SOC(單次發生成本),即特定威脅可能導致的潛在損失總額。年發生率(ARO)-即壹年內威脅的估計頻率。年度預期損失(ale)-或EAC(估計年度成本),表示特定資產在壹年內遭受損失的預期價值。考察定量分析的過程,可以看出這幾個概念之間的關系:(1)首先,識別資產,給資產賦值;(2)通過威脅和漏洞評估,評估特定威脅對特定資產的影響,即EF(取值在0%-100%之間);(3)計算特定威脅的頻率,即ARO;;(4)計算資產的SLE:SLE =資產價值× ef (5)計算資產的ALE:ALE = SLE×ARO這裏舉個例子:假設壹家公司投資50萬美元建了壹個網絡運營中心,它最大的威脅是火災。壹旦發生火災,網絡運營中心的估計損失為45%。根據消防部門的推斷,網絡運營中心所在區域每五年就會發生壹次火災,所以我們得到的結果是ARO為0.20。基於以上數據,該公司網絡運營中心的ALE將為45,000美元。我們可以看到,對於定量分析,有兩個最關鍵的指標,壹個是事件發生的可能性(可以用ARO表示),另壹個是威脅性事件可能造成的損失(用EF表示)。從理論上講,安全風險是可以通過定量分析進行準確分類的,但有壹個前提,可供參考的數據指標是準確的。事實上,在當今日益復雜多變的信息系統中,定量分析所依據的數據的可靠性是難以保證的。此外,缺乏長期的數據統計,計算過程容易出錯,給分析的精細化帶來了很大的困難。因此,目前的信息安全風險分析采用定量分析或純定量分析的方法。四。定性分析定性分析方法是目前應用最廣泛的方法,主觀性很強。它通常需要依靠分析師的經驗和直覺,或者行業的標準和實踐來對風險管理的各種要素(資產價值、威脅的可能性、弱點被利用的難易程度、現有控制措施的有效性等)的大小或水平進行定性分級。),如“高”、“中”、“低”。定性分析的操作方法可以多種多樣,包括小組討論(如德爾菲法)、清單、問卷、訪談、調查等。定性分析相對容易操作,但也可能由於操作者經驗和直覺的偏差而導致分析結果不準確。與定量分析相比,定性分析稍好但不夠準確,定量分析則相反;定性分析沒有定量分析那麽多的計算負擔,但需要分析人員有壹定的經驗和能力;定量分析依賴於大量的統計數據,而定性分析沒有這樣的要求;定性分析是主觀的,而定量分析是客觀的。另外,定量分析的結果直觀易懂,而定性分析的結果很難有統壹的解釋。組織可以根據具體情況選擇定性或定量的分析方法。
上一篇:電氣知識下一篇:工程監理的行業競爭格局