信息安全风险评估研究(4)

4 信息安全风险评价的计算确定


    4.1定性计算?

    定性计算通过对影响风险的各类因素近似表征系统的风险,通常考虑的因素为表征安全事件发生概率程度的相关因素和表征安全事件影响程度的相关因素。定性计算方法包括德尔菲法、比较法、分解—综合比较法等。?
    定性评价方法的优点主要是简便易行,具有很好的实用性。但由于评价主要依靠评估者,趋于评估方的主观判断,不能真正客观地做出预测,而且定性评价的方法征询意见的时间相对偏长。?

    4.2定量计算?

    定量计算风险需要明确地计算出风险时间发生的概率,以及准确计算出事件对组织的影响,包括间接影响。目前在信息安全领域,对风险评价的定量计算大概有如下几类评价模型:?
    (1)Markov概率预测模型?
Markov分析法的研究对象是一个随机变化的动态系统,根据状态之间的转移概率来预测系统未来的发展变化??[8]?。因此,Markov预测法通常预测风险概率未来变动趋势,但无法准确预测风险概率的取值。?
    (2)最大熵法?
该方法利用最大熵来设定风险因子的概率分布,在信息系统安全风险评价中,许多风险因子的随机特征都无先验样本,而只能获得它的一些数字特征,如均值。而均值的概率分布有无穷多个,要从中选择一个分布作为真实分布的近似,其优选标准就可以采用最大熵准则。?
    (3)统计参数解析法?
统计参数解析法通过找出安全风险各个影响因素的概率密度函数,推求其联合概率密度函数,进而通过积分方法计算信息系统的风险概率。解析方法理论严谨,但最大缺点是很难获得各个影响因素的概率密度函数,在影响因素很多时计算非常困难。?
    (4)神经网络法?
    使用混合神经网络,预测某种交互的风险概率的机制,尽可能地避免风险概率预测中的主观性,但该方法得到的预测结果往往是局部解,对历史风险数据缺乏全面的考虑。?
    风险概率估计方法还有二阶矩法、随机模拟法、非参数估计方法、统计样条法、极端事件风险估计法等。由于各类因素,准确量化评估的方法几乎没有在实际中应用,在具体的评价实践中,比较通用定性量化分析的方法,通过对风险相关的因素进行定性量化,在一定程度上表征安全风险的状况。?

参 考 文 献

[1] National Security Agency. Information Assurance Technical Framework(IATF),Version 3.0.2000,http://www.iatf.net.?

(责任编辑:adminadmin2008)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

网络安全:互联网安全 如何防范木马及病毒

网络安全:互联网安全 如何防范木马及病毒的攻击

一、计算机中毒有哪些症状? 人生病了,会有各种各样的症状,同样,电脑中毒了也会有...[详细]

加强网站服务器安全维护的技巧

加强网站服务器安全维护的技巧

计算机系统服务器的维护工作十分重要,稍有不慎就会使整个网络陷入瘫痪。目前,网络经...[详细]

电脑离线就安全?这个软件一样能远程窃取数

电脑离线就安全?这个软件一样能远程窃取数据

以色列的一个研究团队已改良了窃取离线电脑数据的方法。人们一直认为这种离线电脑在面...[详细]

如何在Linux上最妥善地管理加密密钥?

如何在Linux上最妥善地管理加密密钥?

存储SSH加密密钥和牢记密码可能是一件让人很头痛的事儿。不过遗憾的是,在如今恶意黑...[详细]

如何在 Linux 上运行命令前临时清空 Bash

如何在 Linux 上运行命令前临时清空 Bash 环境变量

我是个 bash shell 用户。我想临时清空 bash shell 环境变量。但我不想删除或者 unset...[详细]

返回首页 返回顶部