网络安全漏洞研究与风险评估(7)
定量的评估方法是指运用数量指标来对风险进行评估。一般使用潜伏在事件中的分布状态函数,并将风险定义为分布状态函数的某一函数。定量的评估方法的优点是用直观的数据来表述评估的结果,看起来一目了然,而且比较客观, 采用定量分析方法,可以使研究结果更科学、严密。有时,一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的,但常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。
定性的评估方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,然后通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。而且,定性的评估方法不需要知道以前的事件的概率值,可以从零开始建立一个合理的决策模型。定性评估方法只适用于简单情况下的模糊指标风险评估,不适用于信息安全风险管理。而且定性评估结果的不精确使得风险评估缺乏一致性。
6.4网络安全风险评估模型及算法
风险评估的过程包括风险评估准备、风险因素识别、风险程度分析和风险等级评价四个阶段。用定量的方法进行级别划分,对应不同的级别赋以不同的数值,并进行综合的分析,得出风险的总体评估值。风险计算模型和算法如下:
1)对信息资产进行识别,并对信息资产价值赋值。
2)对威胁进行识别,并对威胁出现的频率赋值。
3)对信息资产的脆弱性进行识别,并对脆弱性的严重程度赋值。
4)根据威胁和脆弱性的识别结果计算安全事件发生的可能性。
5)根据安全事件发生的可能性以及安全事件作用的资产的价值计算指标体系中每一项的风险值。
6)根据指标体系中每项指标的风险值通过定量、定性的方法进行综合分析,得出风险的总体评估值。
根据我国颁布的《信息安全风险评估指南》,风险的计算公式为
R=ƒ (A, V, T) = ƒ (Ia ,L (Va, T))
其中:R表示风险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发生安全事件后对组织业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性;L表示威胁利用资产的脆弱性造成安全事件发生的可能性。
风险计算模型如图所示:
图5 风险计算模型
7总结
随着我国信息化与信息安全建设的快速和深入发展,漏洞分析和风险评估成为我国信息安全保障体系建设的基础性环节,在中国信息安全测评中心的推动与社会各界的共同努力下,相关技术研究与应用实践取得了较大进展。
本文阐述了我通过网络安全的研究现状,从网络安全漏洞入手论述了网络安全所造成的风险,针对漏洞进行相应的风险评估,然后采取有效的防护措施来增强网络的安全性。