|
知识路径: > 网络安全风险评估技术原理与应用 > 网络安全风险评估过程 > 网络安全风险计算与分析 > 网络安全风险分析 >
|
相关知识点:6个
|
|
|
|
|
|
相乘法是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险值。参照《信息安全技术信息安全风险评估规范》,以资产A1为例使用相乘法来计算出网络安全风险值。约定使用计算公式,并对z的计算值进行四舍五入取整得到最终值。基于相乘法计算风险值的过程描述如下。
|
|
|
(1)假设资产A1的风险值计算输入信息,具体如下:
|
|
|
|
|
|
|
|
输入:威胁发生频率:T1=1,脆弱性严重程度:脆弱性V1=3。
|
|
|
输出:安全事件发生的可能性。
|
|
|
|
输入:资产价值:A1=4,脆弱性严重程度:脆弱性V1=3。
|
|
|
输出:安全事件的损失。
|
|
|
|
输入:安全事件发生的可能性,安全事件的损失。
|
|
|
输出:安全事件风险值。
|
|
|
|
矩阵法是指通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系。参照《信息安全技术信息安全风险评估规范》,以资产A1为例使用矩阵法来计算出网络安全风险值。基于矩阵法计算风险值的过程描述如下。
|
|
|
(1)假设资产A1的风险值计算输入信息,具体如下:
|
|
|
|
|
|
|
|
|
|
|
根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生的可能性值=6。
|
|
|
|
建立安全事件发生可能性等级划分表,对计算得到的安全事件发生可能性进行等级划分,如下表所示,对照确定安全事件发生可能性等级值=2。
|
|
|
|
|
|
|
|
|
根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值=5。
|
|
|
|
建立安全事件损失等级划分表,对计算得到的安全事件损失值进行等级划分,如下表所示,对照确定安全事件损失等级值=1。
|
|
|
|
|
|
首先构建风险矩阵,如下表所示。然后,根据上面已经计算出的结果,即安全事件发生可能性等级值=2,安全事件损失等级值=1,对照风险矩阵表查询,确定安全事件风险值=6。
|
|
|
|
|
|
首先建立风险等级划分表,如下表所示。然后,对照风险等级划分表查询,确定风险等级为2。
|
|
|
|
|
|
|