|
|
|
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算。网络安全风险分析的过程如下图所示。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
步骤二,对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
|
|
|
|
步骤三,对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
|
|
|
|
步骤四,根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。
|
|
|
|
步骤五,根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。
|
|
|
|
步骤六,根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中,安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。一般情况下,其影响主要从以下几个方面来考虑:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
网络安全风险值的计算方法主要有定性计算方法、定量计算方法、定性和定量综合计算方法。
|
|
|
|
|
|
定性计算方法是将风险评估中的资产、威胁、脆弱性等各要素的相关属性进行主观评估,然后再给出风险计算结果。例如,资产的保密性赋值评估为:很高、高、中等、低、很低;威胁的出现频率赋值评估为:很高、高、中等、低、很低;脆弱性的严重程度赋值评估为:很高、高、中等、低、很低;定性计算方法给出的风险分析结果是:无关紧要、可接受、待观察、不可接受。
|
|
|
|
|
|
定量计算方法是将资产、威胁、脆弱性等量化为数据,然后再进行风险的量化计算,通常以经济损失、影响范围大小等进行呈现。但是实际上资产、威胁、脆弱性、安全事件损失难以用数据准确地量化,因而完全的定量计算方法不可行。定量计算方法的输出结果是一个风险数值。
|
|
|
|
|
|
综合计算方法结合定性和定量方法,将风险评估的资产、威胁、脆弱性、安全事件损失等各要素进行量化赋值,然后选用合适的计算方法进行风险计算。例如,脆弱性的严重程度量化赋值评估为:5(很高)、4(高)、3(中等)、2(低)、1(很低)。综合计算方法的输出结果是一个风险数值,同时给出相应的定性结论。
|
|
|
|
|
|
|
|
|
相乘法是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险值。参照《信息安全技术信息安全风险评估规范》,以资产A1为例使用相乘法来计算出网络安全风险值。约定使用计算公式 ,并对z的计算值进行四舍五入取整得到最终值。基于相乘法计算风险值的过程描述如下。
|
|
|
|
(1)假设资产A1的风险值计算输入信息,具体如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
输入:威胁发生频率:T1=1,脆弱性严重程度:脆弱性V1=3。
|
|
|
输出:安全事件发生的可能性 。
|
|
|
|
|
|
输入:资产价值:A1=4,脆弱性严重程度:脆弱性V1=3。
|
|
|
输出:安全事件的损失 。
|
|
|
|
|
输入:安全事件发生的可能性 ,安全事件的损失 。
|
|
|
输出:安全事件风险值 。
|
|
|
|
|
|
矩阵法是指通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系。参照《信息安全技术信息安全风险评估规范》,以资产A1为例使用矩阵法来计算出网络安全风险值。基于矩阵法计算风险值的过程描述如下。
|
|
|
|
(1)假设资产A1的风险值计算输入信息,具体如下:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生的可能性值=6。
|
|
|
|
|
|
建立安全事件发生可能性等级划分表,对计算得到的安全事件发生可能性进行等级划分,如下表所示,对照确定安全事件发生可能性等级值=2。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值=5。
|
|
|
|
|
|
建立安全事件损失等级划分表,对计算得到的安全事件损失值进行等级划分,如下表所示,对照确定安全事件损失等级值=1。
|
|
|
|
|
|
|
|
|
|
首先构建风险矩阵,如下表所示。然后,根据上面已经计算出的结果,即安全事件发生可能性等级值=2,安全事件损失等级值=1,对照风险矩阵表查询,确定安全事件风险值=6。
|
|
|
|
|
|
|
|
|
|
首先建立风险等级划分表,如下表所示。然后,对照风险等级划分表查询,确定风险等级为2。
|
|
|
|
|
|
|
|
|
|
|
