基于风险因子的信息安全.pptxVIP

基于风险因子的信息安全风险评估方法(RARF)研究风险评估方法1.定性法全面、深入，但是主观性太强，对于评估者的要求太高。2.定量法直观、明显、对比性强，但是简单化、模糊化、比较容易造成误解。3.综合法 集中了定性和定量的部分优点。 有概率风险评估、动态概率风险评估、层次分析法、 模糊综合等。基于风险因子的信息安全风险评估方法风险熵系数法、模糊综合法计算风险度并模糊化………….风险因子风险因子措施度容易度暴露度暴露度容易度措施度基于风险因子的评估模型风险评估模型的基本流程对基本要素赋值计算风险度提取风险因子二次模糊化构造隶属矩阵确定评判集各个标准权重熵系数法模糊综合法求风险值计算熵系数风险因子风险因子是RARF模型进行风险评估的核心问题该模型将系统风险分解为若干风险因子，如内部人员失误、数据错误等风险因子的基本要素暴露度、容易度和措施度风险因子的基本要素暴露度：风险因子对于资产的可能造成的损失。风险因子的暴露度符号等级赋值描述L1高5资产被完全损坏，或者十分严重L2较高4资产的损坏程度很大L3中等3资产的损坏程度中等L4较低2资产损坏程度很小L5低1资产几乎没有任何损坏风险因子的基本要素容易度：风险因子的威胁利用脆弱的程度。风险因子的容易度符号等级赋值描述C1高5发生容易度高C2较高4发生容易度较高C3中等3发生容易度中等C4较低2发生容易度较低C5低1发生容易度低风险因子的基本要素措施度：控制措施对风险因子起作用的程度。风险因子的措施度符号等级赋值描述W1高1表示控制措施十分有效W2较高2表示控制措施很大程度上有效W3中等3表示控制措施基本有效W4较低4表示控制措施有的一定作用W5低5表示控制措施几乎无效风险因子的风险度计算风险度：风险因子对于系统的安全的危害程度。计算风险度的公式为：ｒ＝ｆ（Ｌ，Ｃ，Ｗ）＝Ｌ⊙Ｉ（Ｃ，Ｗ）＝ Ｌ⊙Ｉ其中ｒ表示风险度的值，Ｌ为暴露度的值，C为容易度的值，Ｗ 为措施度的值，Ｉ为概率度。风险因子的风险度计算符号等级值范围描述r1高41-50表示风险因子对系统造成的危害高r2较高31-40表示风险因子对系统造成危害较高r3中等21-30表示风险因子对系统造成危害中等r4较低11-20表示风险因子对系统造成危害较低r5低0-10表示风险因子对系统造成危害低风险因子的风险度等级关于评判集评判集是某个因素所能选取的评审等级，组成评语的模糊集合。确定评判集中各个标准的权重风险因子的基本要素以及风险度和风险等级都有一个评判集。在实例中统一标记为 V= (ｖ１,ｖ２,ｖ３,ｖ４,ｖ５)。本实例中V=（低，较低，中等，较高，高）。本模型中需要对这5个元素赋予相应的权重。用评判集权重向量B向量来表示。B=(b1,b2,…,bn) n为评判集元素个数例：B=（1/10,1/10,1/5,1/5,2/5)1-1011-2021-3031-40低较低中好构建隶属矩阵?rij=vj/n1/52/51/50低较低较低专家评判集中4个元素vj---n个专家中给风险因子的基本要素打分后计算出风险度值属于此风险度的个数 n---专家的个数熵的定义??熵表示系统不确定性的度量假如系统可能出现n种不同状态下的概率为p1，p2，…，pn，0≤pi≤1，其中pi=1，则熵可以表述为 H=-k pilnpi熵的性质熵有如下性质：（1）非负性（2）可加性（3）确定性：当出现Pi=１时，有H (p1，p2，…，pn)=0并且系统的状态已经确定。(4)极值性：当Pi=1/n (ｉ=1，2，…ｎ）时，系统熵值最大，大小为H (p1，p2，…，pn)= lnn。当熵满足以下3个条件时：① H (p1，p2，…，pn)= ≤lnn；② H (p1，p2，…，pn)= H (p1，p2，…，pn,0)；③H(XY)=H(X)+H(Y/X)，则有唯一形式H (p1，p2，…，pn)=- pilnpi?熵系数对于每个风险因子而言，专家会给出不同的评价（低，较低，中，较高，高）。这些评价相当于系统不同的状态。可以利用求熵的方式得到该风险因子的不确定度。并可用其来衡量风险因子的权值。熵系数低较低中较高高00.20.40.4000.40.40.2000.60.40000.60.40000.60.40000.80.2000.40.40.200风险因子的隶属矩阵表现了该风险因子对各个评价集中的元素的隶属度。对于同一个风险因子，如果支持度Pij （隶属矩阵i行j列的元素）相差越大，则可以理解为这个风险因子在评价中的作用越大；但如果一个因子对评价集中的每个指标的支持度都相等，则信息熵最大，不确定度最大，则这个风险因子没有什么实质性作用。熵系数? 风险因子Ri的相对重要性： Hi=- pijlnPij熵系数??由熵的极值性可知，熵的最大