基于知识库的信息安全风险评估方法Crisk及其工具实现.pdfVIP

第26卷第1期 V01．26 青岛大学学报(自然科学版) No．1 2。13年2月 OF 01 3 JOURNAL Science Feb．2 QINGDAOUNIVERSITY(NaturalEdition) 文章编号：1006—1037(2018)01—0066—05 doi：10．3969／1．issn．1006—1037．2013．02．14 基于知识库的信息安全风险评估 方法Crisk及其工具实现 官海滨1，谢宗晓2，王兴起1 (1．北京科技大学东凌经济管理学院，北京100083；2．南开大学商学院，天津300071) 摘要：在GB／T 的状况，提出了一种新的基于知识库的信息安全风险评估方法，即Crisk风险评估方法及其 辅助工具。Crisk利用知识库实现了对专家经验的利用，从而解决了评估过程主观化的问 题，利用软件开发过程，实现了评估自动化的问题。 关键词：信息安全；风险；风险评估 中图分类号：TN915．853 文献标志码：A 1问题背景 信息安全是一个动态的过程，而不是一劳永逸的状态。那么如何使组织在较长时间内保持较高的安全 水平?毫无疑问，信息安全风险评估是解决这个问题的方案之一[1]。信息安全风险评估需要定义良好的方 SP800—30、Mi— 法，比较通用的关于信息安全风险评估的标准主要有：GB／T20984—2007、0CTAVE、NIST 主的情况下，评估的执行人员对于效果的好坏起了很大的作用心]，因此如何设计合理的模型来利用专家经验 进行自动化评估并由此降低评估人员的主观性是很重要的问题[3’5]。 2 Crisk风险评估方法 2．1 安全模型 诺贝尔经济学奖获得者MiltonFriedman认为，一个模型应该从预测的功能的方面来评价，而不是模型 是否能有效的覆盖现实世界中的所有细节。换句话说，模型可以简单的，只有能够预测未来或者能提高做决 策过程的效率就是成功的，那么这个模型就是成功的。模型一般要简化复杂的结构，从而突出那些最重要的 因素。一个“好的”模型是那些可以帮助分析者从纷繁芜杂的背景中分离重要变量的模型[6]。 的过程提出了比较具体的要求，并指其出“为OECD指南中规定的风险评估原则提出了一个强健的模型”。 在这个模型中，资产的价值及重要度，威胁利用脆弱性的可能性和发生后的影响，控制措施的有效性等都是 评估中的重要因素，如图1所示。 上述安全风险模型用公式表示为： Risk—f(A，T，V，C) (1) 2．2 Crisk方法 Crisk方法的风险计算(或风险评价，risk (2)所示： 收稿日期：2012-06—20。修回日期：2012-10—20 作者简介：官海滨(1968一)，男，北京科技大学博士研究生，山东青岛人，研究方向：高等教育管理与信息安全管理。 第1期 官海滨，等：基于知识库的信息安全风险评估方法Crisk及其工具实现 67 occurrence Risk=Probabilityof ofsecurity occurrence breach breach×Consequenceof ofsecurity (2)