1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 经济/贸易/财会
  5. 市场分析

10 - 风险分析风险管理课件.docxVIP

10 - 风险分析风险管理课件.docx

此“教育”领域文档为创作者个人分享资料,不作为权威性指导和指引,仅供参考
    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    第4章风险分析

    本章目录

    风险分析风险计算方法矩阵法相乘法风险计算与分析实例中中国国信信息息安安全全认认证证

    风险分析

    风险计算方法

    矩阵法

    相乘法

    风险计算与分析实例

    2 信信息息安安全全保保障障人人员员认认证证

    风险分析

    此阶段主要包含两个过程:风险分析、风险计算。

    风险分析

    风险分析

    中国信息安全认证中心信息安全保障人员认证PAGE

    中国信息安全认证中心信息安全保障人员认证

    PAGE10

    风险分析就是在确认已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产安全属性受到破坏后给业务带来的影响来得出资产的安全风险。

    风险分析过程的核心问题是如何计算风险。风险可以看成是一个函数,其参数包括资产的价值、威胁导致负面影响的可能性、脆弱性被利用的难易程度以及已有安全措施的有效性。

    风险分析可从两个方面入手,一是将评估对象中所有资产按资产风险值排序,分析风险等级高的资产;二是按脆弱性给系统引入的风险值排序,分析评估对象主要的脆弱性。

    一般说来,资产的脆弱点本身赋值越高,相应资产脆弱性风险值就越高;脆弱点所对应的资产数量越多,相应的脆弱性引入的风险值就越高。

    风险分析原理

    风险分析原理

    威胁识别脆弱性识别资产识别安全事件的可能性安全事件造成的损失资产价值风险值脆弱性的严重程度威胁出现的频率

    威胁识别

    脆弱性识别

    资产识别

    安全事件的可能性

    安全事件造成的损失

    资产价值

    风险值

    脆弱性的严重程度

    威胁出现的频率

    风险分析

    风险分析

    安全事件发生的可能性=L(威胁出现频率,脆弱性)=L(T,V)

    安全事件的损失=F(资产价值,脆弱性严重程度)=F(I,V)

    风险=G(安全事件发生的可能性,安全事件的损失)=G(L,F)

    风险计算范式

    风险计算范式

    风险分析

    风险分析

    确定风险数值的大小不是风险评估的最终目的,重要的

    是明确威胁对资产所产生风险的相对值,即要确定不同风险的优先次序或等级,对于风险级别高的资产应优先分配资源进行保护。

    3/9/2016

    风险分析

    考虑的因素

    a)风险的原因和来源

    b)所带来的正面和负面的影响及这些后果将会发生的可能性c)影响后果的因素和可能性

    d)现有的控制措施及其效果和效率

    风险分析

    风险分析

    4级

    4级

    6%

    1级

    43%

    3级

    24%

    2级

    27%

    该图表明被评估系统中具有

    1级风险的信息资产占43%

    4级

    3级

    2级

    1级

    风险分析

    脆弱性等级分析

    根据上述风险等级划分方法,可以得到被评估系统中所有脆弱性所引入风险的综合情况

    V21

    V4V45V25

    2% 12%

    3%2%

    4%

    7%

    10%

    11%

    19%

    14%

    16%

    V42V41V20V7V37V18

    其他

    图5-2:脆弱性给信息系统引入风险百分比

    3/9/2016

    风险计算

    很难有一种风险计算方法适用于所有的信息安全风险评估过程,这是因为在对风险评估结果的实际应用中,脆弱性严重程度、威胁发生可能性和影响程度等因素都不能用非常精确的数据进行表示,信息资产关键因素赋值的计算过程非常依赖于评估者的经验。不同的专家对同一资产进行风险评估和计算,往往也会得出不同的风险值。

    风险计算方法

    风险计算矩阵法

    矩阵法原理

    计算示例

    风险计算相乘法

    相乘法原理

    计算实例

    矩阵法概念

    yy1y2

    y

    y1

    y2

    yj

    yn

    x

    x1

    z11

    z12

    z1j

    z1n

    x2

    z21

    z22

    z2j

    z2n

    xi

    zi1

    zi2

    zij

    zin

    xm

    zm1

    zm1

    zmj

    zmn

    中国信息安全认证中心信息安全保障人员认证PAGE

    中国信息安全认证中心信息安全保障人员认证

    PAGE16

    矩阵法适用范围

    矩阵法主要适用于由两个要素值确定一个要素值的情形。

    在风险值计算中,通常需要对两个要素确定的另一个要素值进行计算,例如由威胁和脆弱性确定安全事件发生可能性值、由资产和脆弱性确定安全事件的损失值等,同时需要整体掌握风险值的确定,因此矩阵法在风险分析中得到广泛采用。

    矩阵法构造方式

    矩阵法构造方式

    首先需要确定二维计算矩阵,矩阵内各个要素的值根据具体情况和函数递增情况采用数学方法确定,然后将两个元素的值在矩阵中进行比对,行列交叉处即为所确定的计算结果。

    矩阵的计算需要根据实际情况确定,矩阵内值的计算不一定遵循统一的计算公式,但必须具有统一的增减趋势,即如果是递增函数,Z值应随着x与y的值递增,反之亦然。

    矩阵法特点

    矩阵法特点

    矩阵法的特点在于通过构造两两要素计算矩阵,可以清晰

    罗列要素的变化趋势,具备良好灵活性。

    矩阵法计算示例

    矩阵法

    您可能关注的文档

    最近下载

    文档评论(0)

    分享资料 + 关注
    实名认证
    文档贡献者

    所有文档来自网络,如有涉密,请私信删除

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >