4.1定性计算?
定性计算通过对影响风险的各类因素近似表征系统的风险,通常考虑的因素为表征安全事件发生概率程度的相关因素和表征安全事件影响程度的相关因素。定性计算方法包括德尔菲法、比较法、分解—综合比较法等。?
定性评价方法的优点主要是简便易行,具有很好的实用性。但由于评价主要依靠评估者,趋于评估方的主观判断,不能真正客观地做出预测,而且定性评价的方法征询意见的时间相对偏长。?
4.2定量计算?
定量计算风险需要明确地计算出风险时间发生的概率,以及准确计算出事件对组织的影响,包括间接影响。目前在信息安全领域,对风险评价的定量计算大概有如下几类评价模型:?
(1)Markov概率预测模型?
Markov分析法的研究对象是一个随机变化的动态系统,根据状态之间的转移概率来预测系统未来的发展变化??[8]?。因此,Markov预测法通常预测风险概率未来变动趋势,但无法准确预测风险概率的取值。?
(2)最大熵法?
该方法利用最大熵来设定风险因子的概率分布,在信息系统安全风险评价中,许多风险因子的随机特征都无先验样本,而只能获得它的一些数字特征,如均值。而均值的概率分布有无穷多个,要从中选择一个分布作为真实分布的近似,其优选标准就可以采用最大熵准则。?
(3)统计参数解析法?
统计参数解析法通过找出安全风险各个影响因素的概率密度函数,推求其联合概率密度函数,进而通过积分方法计算信息系统的风险概率。解析方法理论严谨,但最大缺点是很难获得各个影响因素的概率密度函数,在影响因素很多时计算非常困难。?
(4)神经网络法?
使用混合神经网络,预测某种交互的风险概率的机制,尽可能地避免风险概率预测中的主观性,但该方法得到的预测结果往往是局部解,对历史风险数据缺乏全面的考虑。?
风险概率估计方法还有二阶矩法、随机模拟法、非参数估计方法、统计样条法、极端事件风险估计法等。由于各类因素,准确量化评估的方法几乎没有在实际中应用,在具体的评价实践中,比较通用定性量化分析的方法,通过对风险相关的因素进行定性量化,在一定程度上表征安全风险的状况。?
参 考 文 献
[1] National Security Agency. Information Assurance Technical Framework(IATF),Version 3.0.2000,http://www.iatf.net.?
(责任编辑:adminadmin2008)
相关阅读:
- MySQL CMake source code can't find Curses 2015.08.19
- 网络安全:互联网安全 如何防范木马及病毒的攻击 2015.08.17
- 加强网站服务器安全维护的技巧 2015.08.17
- 电脑离线就安全?这个软件一样能远程窃取数据 2015.08.12
- 如何在Linux上最妥善地管理加密密钥? 2015.08.11