《信息安全管理与风险评估》_第6章 基于风险因子的信息安全风险评估模型.pptxVIP

6.1风险因子概述;我们将威胁-脆弱性结合起来定义为风险因子，而风险因子都有一个值，我们将这个值定义为安全关注（SecurityConcern），简称SC，它代表脆弱性被威胁利用后所带来的安全影响。

我们将威胁定义为可以利用脆弱性对资产造成损害的活动代理。它包含主要代理和次要代理、动机、资源和结果。主要代理即能够利用脆弱性而发起攻击的代理，它可以包含很多种因素，例如自然因素（洪水、地震、台风等），环境因素（电力波动、化学污染等）以及人为因素，这些因素都可以成为直接利用脆弱性的代理。而次要代理即能够被主要代理利用的代理，它也可以是很多类型，比如人、硬件、网络等。

威胁含有动机，即代理想要达到的目的，或代理实现攻击后的意义。而实现威胁需要资源，资源含有多种类型，如人员、专业知识、财政资源等。威胁利用脆弱性可造成多种后果，如资产损失、资料完整性被破坏、信息泄露、拒绝服务等。

脆弱性评估同样作为风险评估量化中的相当重要的一环，也需要经过仔细的分析与深入研究。随着脆弱性评估技术的发展，技术越来越多样化，目前有人工进行的问卷调查法、人员问询法，还有在工具的辅助下进行的渗透测试，都是可以进行脆弱性识别的相对比较科学的方法，但这些方法都需要由相关专家以及专业人员来完成。;6.2基于风险因子的信息安全评估方法计算;6.2.1风险度及因子的基本要素

1.风险度（安全关注）

安全关注将由其脆弱性的严重程度（Sev）和该风险因子的可破坏性（Breachability）计算得到。其中可破坏性定义了威胁能够利用脆弱性的潜力，以下简称BT，BT的计算公式如公式（6-1）。

其中，α+β+γ+δ=1，α≥0，β≥0，γ≥0，δ≥0。上式中的RoundOff代表向小取整，LoC（t）是威胁t发生的可能性，Mvn（t）表明威胁t的动机是否存在，Res（t）表明威胁t的资源是否可利用，Exp（v）代表脆弱性v的可利用程度。其中Mvn（t）的取值为0或1，0代表动机不存在，1代表存在；Res（t）的取值为0或1，0代表资源不能使用，1代表资源可以使用。而α，β，γ，δ分别代表这四个组成元素的权重，由企业来制定。我们可以根据简??的计算得到BT（t，v）的最大值与最小值。;从而我们可以得到，风险因子的可破坏性的取值范围，BT（t，v）∈{0，1，2，3}。

最后我们给出安全关注的计算公式：

2.脆弱性

在脆弱性这个元素上，我们提出脆弱性的严重程度（Severity）以及脆弱性的可利用程度（Exploitability）。

表6-1列出了脆弱性的严重程度的赋值方法。;而对于脆弱性的可利用程度（Exp）我们通过以下三个因素的赋值来确定：

（1）访问向量（AR）：代表可能利用此脆弱性的代理（攻击者）对邻近度的要求，它的赋值方式如表6-2所示。

（2）攻击复杂性（AC）：表明发起成功的攻击所遇到的难度。赋值范围为{1，2，3}，参数值越大代表难度越高。

（3）认证级别（AL）：表明要获得对目标资产的访问权限所需的认证的数量，其赋值参考如表6-3所示。;3.威胁

我们使用威胁发生的可能性（LikelihoodofOccurrence）来对威胁赋值，以下简称LoC。

对于tp，我们使用近五个周期内威胁事件发生的频率来衡量。离当前最近的一个周期分配权重5，当在该周期内该威胁引发的事件没有发生，则分配0；发生了1次，则分配1；发生了2次，则分配2，以此类推，直至发生5次或以上，则分配5；而往前推一个周期分配权重4，按照与前面所述的相同的方式记录发生频率，以此类推直至到往前的第五个周期。周期既可以被看做是“月份”，也可以按照“年份”来看，这个根据具体情况或威胁的具体类型来确定。tp的计算公式如下：

注意上式中的RoundOff代表四舍五入，count（t）代表该周期内发生的事件的频率，count（t）∈{0，1，2，3，4，5}，而weight（period）代表该周期的权重，weight（period）∈{1，2，3，4，5}。n代表周期的数目，这里我们为了方便都定为5。当这五个周期内的每个周期事件均发生五次或五次以上时，我们可以得到tp的最大值即：;而当每个周期内的事件均发生零次时，我们为tp分配值为1，表明发生频率最低，则我们可以得到tp的取值范围，tp∈{1，2，3}。

对于at，我们按照表6-5来赋值，注意表中的资产均为含有脆弱性的资产。;6.2.2熵系数法

首先我们对熵进行解释。

假设有n个基本事件在样本空间中，我们把基本事件的概率记做pi，其中i=1，2，…，n。我们将这样一种情况记为（X；p1，p2，…，pn）。可以得到一个公式：

pi≥０,i＝１,２,...,n

我们定义一个函数H来表示定义域为它