信息安全风险评估---矩阵法计算风险
矩阵法计算风险
假设:有以下信息系统中资产面临威胁利用脆弱性的情况:
共有两项重要财产:资产A1和资产A2;
资产A1面临一个主要威胁T1;
资产A2面临两个主要威胁T2,T3;
威胁T1可以利用资产A1存在的两个脆弱性,脆弱性V1和V2;
威胁T2可以利用资产A2存在的两个脆弱性,脆弱性V3和V4;
威胁T3可以利用资产A2存在的一个脆弱性V5;
资产价值分别为:资产A1=3 资产A2=4
威胁发生的频率分别是:威胁T1=3,威胁T2=2,威胁T3=4;
威胁性严重程度分别是:脆弱性V1=2,V2=3,V3=2,V4=5,V5=4。
- 矩阵法计算示例
(1)计算重要资产的风险值。
以资产A2为例子使用矩阵法计算其风险值,其他资产计算方法类似。资产A2面临两个主要威胁T2和T3,威胁T2可以利用资产A2的两个脆弱性,威胁T3可以利用资产A2的一个脆弱性,因此资产A2存在风险值包括三个。这三个风险值计算过程类似。以资产A2面临的威胁T2可以利用A2的脆弱性V3为例子计算:
- 计算安全事件发生的可能性。
威胁发生频率:威胁T2=2;
脆弱性严重程度:脆弱性V3=2;
首先根据矩阵法原理,构建安全事件发生可能性的矩阵:
采用Z(ij)=a*X(i)+b*Y(j)公式
矩阵中的Z(ij)不一定遵循统一的计算公式,但必须具有统一的增减趋势。a和b根据具体情况和函数递增情况而定。
表1.安全事件发生可能性的矩阵
|
脆弱性严重程度 威胁发生频率 |
1 |
2 |
3 |
4 |
5 |
|
1 |
2 |
4 |
7 |
11 |
16 |
|
2 |
3 |
5 |
8 |
12 |
17 |
|
3 |
7 |
9 |
12 |
16 |
21 |
|
4 |
9 |
11 |
14 |
18 |
23 |
|
5 |
16 |
18 |
21 |
25 |
30 |
由于威胁发生频率越大或者脆弱性严重程度越高,则计算安全事件发生的可能性就会越高(呈递增趋势)。
那么根据威胁发生频率为2和脆弱性严重程度为2,在矩阵对照中,可确定安全事件发生的可能性为5。
因为安全事件发生的可能性是风险计算函数的一个参数,所以在构建风险矩阵前,先对安全事件发生的可能性进行等级划分。
表2.划分安全事件可能性的等级
|
安全事件发生可能性的值 |
1~6 |
7~12 |
13~18 |
19~24 |
25~30 |
|
发生可能性的等级 |
1 |
2 |
3 |
4 |
5 |
此时可知安全事件发生可能性的等级为1。
- 计算安全事件的影响
资产价值:资产A2=4
脆弱性严重程度:脆弱性V3=2
根据矩阵阵法原理,构建安全事件影响的矩阵,如下表:
表3.安全事件影响的矩阵
|
脆弱性严重程度 资产价值 |
1 |
2 |
3 |
4 |
5 |
|
1 |
2 |
4 |
7 |
11 |
16 |
|
2 |
3 |
5 |
8 |
12 |
17 |
|
3 |
7 |
9 |
12 |
16 |
21 |
|
4 |
9 |
11 |
14 |
18 |
23 |
|
5 |
16 |
18 |
21 |
25 |
30 |
那么根据资产价值为4和脆弱性严重程度为2,在矩阵中对照,可确定安全时间的影响值为11。
因为安全事件的影响是风险计算函数的一个参赛,所以在构建风险矩阵前,还要对安全事件的影响进行等级划分,如下表。
表4.划分安全时间影响的等级
|
安全事件发生可能性的值 |
1~6 |
7~12 |
13~18 |
19~24 |
25~30 |
|
发生可能性的等级 |
1 |
2 |
3 |
4 |
5 |
由此表可知安全事件影响的等级为2。
- 计算风险值
此时,已计算出:安全事件发生可能性=1,安全事件的影响=2。
同样,可根据矩阵法原理,构建风险矩阵,如下表
表5.风险矩阵
|
安全事件发生可能性 安全事件的影响 |
1 |
2 |
3 |
4 |
5 |
|
1 |
2 |
4 |
7 |
11 |
16 |
|
2 |
3 |
5 |
8 |
12 |
17 |
|
3 |
7 |
9 |
12 |
16 |
21 |
|
4 |
9 |
11 |
14 |
18 |
23 |
|
5 |
16 |
18 |
21 |
25 |
30 |
那么根据安全事件发生可能性为1和安全事件的影响为2,在矩阵对照中,可以确认风险值为3。
按照同样的方法,可计算得出资产A1的其他风险值,以及资产A2的风险。
(2)结果判定。
先确定风险等级划分的标准,如下表
表6.划分风险的等级
|
风险值 |
1~6 |
7~12 |
13~18 |
19~24 |
25~30 |
|
风险等级 |
1 |
2 |
3 |
4 |
5 |
根据计算出的风险值,结合表6可知,资产A2面临的威胁T2可以利用资产A2的脆弱性V3的风险等级为1。
以此类推,可计算出两个重要资产的其他风险值,并根据表6确定出各自的风险等级结果。如表7所示。
表7.风险结果
|
资产 |
威胁 |
脆弱性 |
风险值 |
风险等级 |
|
资产A1 |
T1 |
V1 |
5 |
2 |
|
V2 |
5 |
2 |
||
|
资产A2 |
T2 |
V3 |
3 |
1 |
|
V4 |
12 |
2 |
||
|
T3 |
V5 |
12 |
2 |
学艺不精,安全小白第一次写,如果有错误敬请指出,私信。
信息安全风险评估---矩阵法计算风险相关推荐
- 动力学矩阵法计算石墨烯声子谱
上个学期,学习固体物理,老师让写一个程序来计算石墨烯的声子谱和振动的态密度进行画图.大二的假期里自学了Python但是没有实际自己写过,决定用Python代码来实现这个任务(最重要的是自己能力不行,c ...
- 基于层次分析法的信息安全风险评估量化法研究报告
信息安全管理课的作业,最后弄了一篇完整的论文和做出来的模型,还有写点一点java代码,嫌麻烦后面就没完成. 这篇就简单讲一下层次分析法(Analytic Hierarchy Process,简称 AH ...
- 计算机网络信息安全风险评估准则,计算机网络信息安全风险评估标准与方法研究...
摘要: 随着计算机多媒体技术.互联网技术的快速发展和改进,其已经在电子政务.电子商务.金融证券.通信运营等领域得到了广泛的应用,取得了显著的成效.在计算机网络为人们工作.生活和学习带来极大便利的同时, ...
- 乘幂法计算矩阵主特征值和特征向量-Matlab实现
文章目录 1.前言 2.方法介绍 3.算法步骤 4.数值实验 5.总结 6.Matlab代码 1.前言 乘幂法主要用于求实矩阵按模最大的特征值(主特征值)和相应特征向量.本文通过Matlab解决实际例 ...
- Python与Ansys apdl有限元系列二:矩阵位移法计算桁架结构
矩阵位移法计算三种桁架(静定,一次,二次超静定) 1 为 了 便 于 计 算 , 桁 架 弹 性 模 量 与 截 面 积 乘 积 E A = 1 , 所 有 杆 件 均 为 二 力 杆 \qquad为 ...
- 乘幂法计算矩阵绝对值最大特征值
//乘幂法计算矩阵绝对值最大特征值 #include <iostream> #include <math.h> #include <process.h> using ...
- 计算机风险评估管理程序,第5章 信息安全风险评估实施流程
<第5章 信息安全风险评估实施流程>由会员分享,可在线阅读,更多相关<第5章 信息安全风险评估实施流程(25页珍藏版)>请在人人文库网上搜索. 1.第第5章章 信息安全风险信息 ...
- 信息安全风险评估实施
风险评估的实施过程包括信息安全风险评估准备.资产识 别.威胁识别.脆弱性识别.已有安全措施确认和风险分析六个 阶段. 风险评估准备,随后进行资产识别,威胁识别,脆弱性识别.三个识别通过后进行已有安全措 ...
- 【信息安全】信息安全风险评估-实践指南
自从上一次的文章后,有三个月的时候没有对工作总结了:对,三个月的事件正好遇上了互联网的大裁员......一直忙于找工作,现在总算安稳下来,根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指 ...
最新文章
- git 比较两个版本之间的区别
- php基础标签大全,HTML基础之HTML常用标签
- 存储过程内基础语法---补充while循环
- java不规则算法_分布式id生成算法 snowflake 详解
- easyui label显示不全_easyui 元素遍历问题
- Webrtc服务器搭建转
- 如何学习PMP才算是成功?
- Presenting view controllers on detached view controllers 警告根由
- python中%是什么意思_在python中%是什么意思
- excel将一个工作表根据条件拆分成多个工作表,并将多个工作表怎么拆分成独立表格
- 【考研英语-基础-长难句】复合句_定语从句【先行词 关系词】【限定_非限定性定语从句】层层递进关系
- ganglia监控hadoop集群配置
- 展锐android r kernel 快速编译
- 为什么需要选择服务器托管?
- 如何选择企业即时通讯软件?
- DeepRMethylSite:一种基于深度学习的蛋白质精氨酸甲基化位点预测方法
- 文章自曝出轨马伊琍真原谅了?
- oracle 10g oci.dll 下载,oci.dll oracle 下载
- 005. 虚拟机的快照与克隆
- GitLab——接受合并请求