|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
基于风险评估结果,对风险进行优先排序,以便进一步进行定量分析和风险应对规划。下图为常用的概率影响矩阵,其中最左列数值为风险的概率,最底行数值为风险的影响,其他数据为风险值,即概率和影响的乘积。利用概率影响矩阵,可以对风险的重要性及优先级进行评估。
|
|
|
|
|
|
|
|
根据概率和影响的各种组合,该矩阵把风险划分为低、中、高风险。深灰色(数值最大)区域代表高风险,中灰色(数值最小)区域代表低风险,浅灰色(数值介于最大最小之间)区域代表中等风险。根据风险的风险值落在不同的区域,把风险分别归入高、中、低风险中。
|
|
|
|
风险评级有助于指导风险应对。如果风险对项目产生威胁,并处于高风险区域,就可能需要采取优先措施和积极的应对策略;而对处于低风险区域的威胁,可能只需列入观察清单或为之增加应急储备,而不需采取积极管理措施。同样,处于高风险区域的机会是最容易实现而且能带来最大利益的,故应首先抓住;对处于低风险区域的机会,则应加以监督。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
|
|
|
|
风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
|
|
|
|
|
|
风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
|
|
|
|
|
|
进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
|
|
|
|
|
|
对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
设S为具有n个不同元素的n元集,从S中选取r个元素且考虑其顺序称为S的一个r排列,不同排列的总数记为 ,有时也用P(n,r)表示。如果r=n,则称这个排列为S的全排列。从排列的定义可知,如果两个排列相同,不仅这两个排列的元素必须完全相同,而且排列的顺序也必须完全相同。
|
|
|
|
|
|
例子1:用0~9这十个数字,可以组成多少个没有重复数字的三位数?
|
|
|
解法1:由于百位数上的数字不能为0,因此可先考虑排百位上的数字,再排十位和个位上的数字。百位数上的数字只能从除0以外的1~9数字中任选一个,有 种;十位和个位上的数字,可以从余下的9个数字中任选两个,有 种。根据乘法原理,所求的三位数的个数是 。
|
|
|
解法2:可先考虑从0~9这十个数字中任取三个数字的排列数( ),再减去其中以0开头的排列数( )。因此,所求的三位数的个数是 。
|
|
|
解法3:符合条件的三位数可以分为三类:每一位数字都不是0的三位数有 个;个位数是0的三位数有 个;十位数是0的三位数有 个。根据加法原理,符合条件的三位数个数是 。
|
|
|
|
|
|
|
|
|
|
|
|
|
