定性分析方法不需要严格的数据来量化各个属性,它采用人为的判断、只关注威胁事件所带来的损失,而忽略事件发生的概率。利用一些非量化的指标对信息系统进行判断,最后,根据风险评估计算公式得出风险值。常用的定性分析方法有:德尔菲法、OCTAVE方法等。
定性分析方法由于是非量化的,主观性强,对评估者要求相对较高,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻,使用比较广范。
2.3 定量定性结合分析方法
定量定性结合的分析方法是把前两种方法结合起来,取长补短,发挥各自的优势,比如在现场调查阶段,针对系统关键资产进行定量的调查、分析,提供量化的参考依据,在风险分析阶段,可以采用定性的分析形成概念、观点、作出判断,得出结论。常用的方法有层次分析法(AHP)、故障树分析方法、模糊综合评价法等。定量定性结合的分析方法由于网络环境的多元化,信息安全风险评估的不确定性因素随之增加,采用这种评估方法,能更精确地对大型系统进行风险评估,是实际应用中最常使用的方法。
3 风险评估新方法的发展
近年来,国内外学者对信息安全风险评估做了大量研究,人们也在探索更科学的理论、技术和方法。本文对风险评估的新方法进行探讨,希望有助于新方法的论证和推广应用。
国内学者基于前面三类常用方法做出了一些研究,将更多的新技术应用到信息安全风险评估中,提出了一些新的评估方法。如基于模糊层次法的评估方法、基于模糊-小波神经网络的评估方法、基于逻辑渗透图模型的评估方法、基于离散动态贝叶斯网络的评估方法等。
3.1 基于模糊层次法的评估方法
通过对层次分析法和模糊评价法分别进行改进,将两者有机结合,分析和评估风险事件发生的概率和影响,以确定各风险因素的风险等级,并给出了信息系统的风险控制建议。该方法通过算例表明是一种有效且操作性强的方法。
3.2 基于模糊-小波神经网络的评估方法
此方法是将人工神经网络(ANN)理论应用到风险评估。首先将人工神经网络应用于信息系统风险因素评估,对神经网络的输入进行了预处理,将模糊系统的输出作为神经网络的输入。人工神经网络经过训练,可以实时地估算风险因素的级别。然后提出了一种信息安全风险评估的小波神经网络模型,该模型以非线性小波基为神经元函数,通过优化伸缩因子和平移因子确定对应各神经元的小波基函数,从而合成小波神经网络。该模型经过训练后可用于信息、安全风险因素的评估,精度更高。3.3 基于逻辑渗透图模型的评估方法
这是一种基于逻辑渗透图模型的网络安全风险评估方法)(LEG-SRA),该方法建立了一套识别网络系统需要受保护的安全目标的方法,该方法可将安全目标与网络系统的关信息资产及其安全需求关联起来。基于这种关联关系,能够在真实的业务背景下识别与分析各种风险因素,使风险评估结果和安全改进活动更具有现实意义;基于威胁主体的行为特征对安全风险的形成过程进行建模,确定威胁主体利用脆弱性制造风险的过程及其蕴含的时序逻辑,并在此基础上计算安全风险的最大成功概率;采用客观数据、主观数据和缺失数据相结合方法进行风险量化评估,通过对原子渗透敏感度和风险概率可信度来调整不确定数据对评估结果的影响,不断地进行数据采集和计算反馈,从而使得评估结果趋于更加精确和可信;评估结果可以直接支持科学的安全改进活动;针对不同的网络系统可以对评估方法进行定制,根据网络系统实际情况和评估者的意愿对评估流程进行动态调整,合理配置资源,突出安全管理的重点;能够监测风险的变化情况,这几个方面因素中任何因素的变化都可能触发新一轮评估周期,以产生新的适应于新形势的安全方案。
手机版
欢迎光临汇博在线http://www.paper188.com