首页
>
知识点讲解
网络安全风险分析
知识路径: > 网络安全风险评估技术原理与应用 > 网络安全风险评估过程 > 网络安全风险计算与分析 >
被考次数:
1次
被考频率:
低频率
总体答错率:
73%
知识难度系数:
由 软考在线 用户真实做题大数据统计生成
相关知识点:6个
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算。网络安全风险分析的过程如下图所示。
网络安全风险分析示意图
网络安全风险分析步骤
网络安全风险分析的主要步骤如下:
步骤一,对资产进行识别,并对资产的价值进行赋值。
步骤二,对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
步骤三,对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
步骤四,根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性。
步骤五,根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件的损失。
步骤六,根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中,安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。一般情况下,其影响主要从以下几个方面来考虑:
. 违反了有关法律或规章制度;
. 对法律实施造成了负面影响;
. 违反社会公共准则,影响公共秩序;
. 危害公共安全;
. 侵犯商业机密;
. 影响业务运行;
. 信誉、声誉损失;
. 侵犯个人隐私;
. 人身伤害;
. 经济损失。
网络安全风险分析方法
网络安全风险值的计算方法主要有定性计算方法、定量计算方法、定性和定量综合计算方法。
定性计算方法
定性计算方法是将风险评估中的资产、威胁、脆弱性等各要素的相关属性进行主观评估,然后再给出风险计算结果。例如,资产的保密性赋值评估为:很高、高、中等、低、很低;威胁的出现频率赋值评估为:很高、高、中等、低、很低;脆弱性的严重程度赋值评估为:很高、高、中等、低、很低;定性计算方法给出的风险分析结果是:无关紧要、可接受、待观察、不可接受。
定量计算方法
定量计算方法是将资产、威胁、脆弱性等量化为数据,然后再进行风险的量化计算,通常以经济损失、影响范围大小等进行呈现。但是实际上资产、威胁、脆弱性、安全事件损失难以用数据准确地量化,因而完全的定量计算方法不可行。定量计算方法的输出结果是一个风险数值。
综合计算方法
综合计算方法结合定性和定量方法,将风险评估的资产、威胁、脆弱性、安全事件损失等各要素进行量化赋值,然后选用合适的计算方法进行风险计算。例如,脆弱性的严重程度量化赋值评估为:5(很高)、4(高)、3(中等)、2(低)、1(很低)。综合计算方法的输出结果是一个风险数值,同时给出相应的定性结论。
网络安全风险计算方法
风险计算一般有相乘法或矩阵法。
相乘法
相乘法是将安全事件发生的可能性与安全事件的损失进行相乘运算得到风险值。参照《信息安全技术信息安全风险评估规范》,以资产A1为例使用相乘法来计算出网络安全风险值。约定使用计算公式
,并对
z
的计算值进行四舍五入取整得到最终值。基于相乘法计算风险值的过程描述如下。
(1)假设资产A1的风险值计算输入信息,具体如下:
资产价值:A1=4。
威胁发生频率:T1=1。
脆弱性严重程度:脆弱性V1=3。
(2)使用相乘法计算的过程,具体如下:
步骤一,计算安全事件发生的可能性。
输入:威胁发生频率:T1=1,脆弱性严重程度:脆弱性V1=3。
输出:安全事件发生的可能性
。
步骤二,计算安全事件的损失。
输入:资产价值:A1=4,脆弱性严重程度:脆弱性V1=3。
输出:安全事件的损失
。
步骤三,计算安全风险值。
输入:安全事件发生的可能性
,安全事件的损失
。
输出:安全事件风险值
。
矩阵法
矩阵法是指通过构造一个二维矩阵,形成安全事件发生的可能性与安全事件的损失之间的二维关系。参照《信息安全技术信息安全风险评估规范》,以资产A1为例使用矩阵法来计算出网络安全风险值。基于矩阵法计算风险值的过程描述如下。
(1)假设资产A1的风险值计算输入信息,具体如下:
资产价值:A1=2。
威胁发生频率:T1=2。
脆弱性严重程度:脆弱性V1=2。
(2)使用矩阵法计算的过程,具体如下:
步骤一,计算安全事件发生的可能性。
构建安全事件发生可能性矩阵,如下表所示。
安全事件发生可能性矩阵
根据威胁发生频率值和脆弱性严重程度值在矩阵中进行对照,确定安全事件发生的可能性值=6。
步骤二,安全事件发生可能性等级划分。
建立安全事件发生可能性等级划分表,对计算得到的安全事件发生可能性进行等级划分,如下表所示,对照确定安全事件发生可能性等级值=2。
安全事件发生可能性等级划分
步骤三,计算安全事件的损失。
构建安全事件损失矩阵,如下表所示。
安全事件损失矩阵
根据资产价值和脆弱性严重程度值在矩阵中进行对照,确定安全事件损失值=5。
步骤四,划分安全事件损失等级。
建立安全事件损失等级划分表,对计算得到的安全事件损失值进行等级划分,如下表所示,对照确定安全事件损失等级值=1。
安全事件损失等级划分
步骤五,计算风险值。
首先构建风险矩阵,如下表所示。然后,根据上面已经计算出的结果,即安全事件发生可能性等级值=2,安全事件损失等级值=1,对照风险矩阵表查询,确定安全事件风险值=6。
风险矩阵
步骤六,结果判定。
首先建立风险等级划分表,如下表所示。然后,对照风险等级划分表查询,确定风险等级为2。
风险等级划分
步骤七,输出。
根据计算得出资产A1的风险值=6,风险等级为2。
本知识点历年真题:
隶属试卷
题号/题型
题干
难度系数/错误率
2017年上半年
信息安全工程师..
上午试卷
综合知识
第43题
选择题
以下不属于信息安全风险评估中需要识别的对象是()。
73%
相关知识点:
网络安全风险处置与管理
已有安全措施确认
网络安全风险评估准备
脆弱性识别
威胁识别
资产识别
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师
系统分析师
系统架构设计师
网络规划设计师
系统规划与管理师
初级资格科目
程序员
网络管理员
信息处理技术员
信息系统运行管理员
中级资格科目
系统集成项目管理工程师
网络工程师
软件设计师
信息系统监理师
信息系统管理工程师
数据库系统工程师
多媒体应用设计师
软件评测师
嵌入式系统设计师
电子商务设计师
信息安全工程师
本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。
工作时间:9:00-20:00
客服
商务合作
客服邮箱
service@rkpass.cn
京B2-20210865
|
京ICP备2020040059号-5
|
京公网安备 11010502032051号
|
营业执照
| Copyright ©2000-2023 All Rights Reserved 软考在线版权所有
