信息安全风险评估标准附录介绍—风险计算和评估工具.pdf

信息安全风险评估 标准附录介绍 —风险计算和评估工具 标准起草组 2006年8月7 日 主要内容  附录A风险计算方法  附录B风险评估工具 附录A风险计算方法  风险计算矩阵法 矩阵法原理 计算示例  风险计算相乘法 相乘法原理 计算实例 风险计算矩阵法基本原理  矩阵法概念  矩阵法适用范围  矩阵法构造方式  矩阵法特点 矩阵法概念  Z=f(x,y) 。函数f采用矩阵形式表示。以要素x和要素y 的取值构建一个二维矩阵，矩阵内m*n个值即为要素Z 的取值 y y 1 y 2 … y j … y n x z z … z … z 1 11 12 1j 1n x z z … z … z 2 21 22 2j 2n x … … … … … … … x z z … z … z i i1 i2 ij in … … … … … … … x z z … z … z m m1 m1 mj mn 矩阵法适用范围  矩阵法主要适用于由两个要素值确定一个 要素值的情形。  在风险值计算中，通常需要对两个要素确 定的另一个要素值进行计算，例如由威胁 和脆弱性确定安全事件发生可能性值、由 资产和脆弱性确定安全事件的损失值等， 同时需要整体掌握风险值的确定，因此矩 阵法在风险分析中得到广泛采用。 矩阵法构造方式  首先需要确定二维计算矩阵，矩阵内各个 要素的值根据具体情况和函数递增情况采 用数学方法确定，然后将两个元素的值在 矩阵中进行比对，行列交叉处即为所确定 的计算结果。  矩阵的计算需要根据实际情况确定，矩阵 内值的计算不一定遵循统一的计算公式， 但必须具有统一的增减趋势，即如果是递 增函数，Z值应随着x与y 的值递增，反之亦 然。 矩阵法特点  矩阵法的特点在于通过构造两两要素计算 矩阵，可以清晰罗列要素的变化趋势，具 备良好灵活性。 矩阵法计算示例  资产：  共有三个重要资产，资产A1 、资产A2和资产A3 ；资产价值分别是： 资产A1=2 ，资产A2=3 ，资产A3=5 ；  威胁：  资产A1面临两个主要威胁，威胁T1和威胁T2 ；资产A2面临一个主要 威胁，威胁T3；资产A3面临两个主要威胁，威胁T4和T5；  威胁发生频率分别是：威胁T1=2，威胁T2=1，威胁T3=2，威胁