信息安全风险评估方法综述

信息安全风险评估方法综述LOGO信息安全风险评估方法综述信息安全风险评估的概念1信息安全风险评估方法综述2小结3LOGO一、风险评估的概念信息安全风险评估：对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。LOGO二、风险评估的方法综述传统的信息安全风险评估方法都包括那些？？？LOGO二、风险评估的方法综述相关方法深入学习解决问题定性评估方法定量评估方法综合评估方法•因素分析法、逻辑分析法、历史比较、德尔斐法•因子分析法、聚类分析法、时序模型、回归模型、决策树法等•基于模糊综合评价的风险评估方法、基于灰色理论的风险评估方法模糊综合评价法对三类方法的优缺点进行比较分析三个方面LOGO二、风险评估的方法综述定性评估方法定量评估方法综合评估方法LOGO二、定性的风险评估方法典型的定性评估方法：因素分析法、逻辑分析法、历史比较法、德尔斐法。定性评估：依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对风险做出判断采用文字形式或叙述性数值范围描述风险的影响程度和可能性的大小（如高、中、低等）LOGO二、定性的风险评估方法风险分析矩阵—风险程度可能性后果可以忽略1较小2中等3较大4灾难性5A（几乎肯定）HHEEEB（很可能）MHHEEC(可能）LMHEED（不太可能）LLMHEE（罕见）LLMHHE：极度风险H：高风险M：中等风险L:低风险LOGO二、定性的风险评估方法E：极度风险---要求立即采取措施H：高风险-----需要高级管理部门的注意M：中等风险---必须规定管理责任L:低风险-----用日常程序处理风险的处理措施（示例）LOGO二、定量的风险评估方法定量评估：运用数量指标来对风险进行评估采用量化的数值描述后果（估计出可能损失的金额）和可能性（概率或频率）定量的评估方法：因子分析法、聚类分析法、时序模型、回归模型、风险图法、决策树法等LOGO二、定量的风险评估方法年度化损失运算表（频率）不可能0.0300年一次1/3000.00333200年一次1/2000.003100年一次1/1000.0150年一次1/500.0225年一次1/250.045年一次1/50.20LOGO二、定性评估与定量评估的比较优点缺点定性评估挖掘一些蕴藏很深的思想，使评估结论更全面、更深刻主观性很强，对评估者本身的要求很高定量评估用直观的数据表述评估结果，使研究结果更科学，更严密，更深刻使原本复杂的事物简单化、模糊化，风险因素被量化后可能被误解和曲解LOGO二、综合评估方法综合评估方法：定量分析是定性分析的基础和前提定性分析则是灵魂，是形成概念，做出判断，得出结论的依靠应该将这两种方法融合起来，得到综合的评估方法典型的综合评估方法：层次分析法(Theanalytichierarchyprocess,简称AHP)（20世纪70年代，美国著名的运筹学专家，萨蒂提出）冯登国LOGO二、基于层次分析法的风险评估方法的基本步骤：第一步：系统分解，建立层次结构模型第二步：构造判断矩阵第三步：层次单排序及其一致性检验第四步：层次总排序，完成综合判断LOGO二、层次分析法的不足：判断矩阵建立的主观性问题判断矩阵不一致性问题时常发生不能对系统进行整体定量评价LOGO二、改进的风险综合评估方法基于模糊综合评价的风险评估方法基于灰色理论的风险评估方法基于D-S证据理论的风险评估方法基于机器学习的风险评估方法LOGO二、改进的风险综合评估方法基于模糊综合评价的风险评估方法：概念：一种以模糊推理为主的分析评价方法结果清晰、系统性强特点：处理人们在评价过程中的主观性以及客观所遇到的模糊现象和难以量化的问题LOGO二、改进的风险综合评估方法寻找元素间接比较信息，综合比较与初始判断矩阵的逻辑相关联程度，修正初始判断矩阵判断矩阵选取n-1个元素，衍生新的完全一致矩阵，找出与判断矩阵最接近的矩阵，即为修正矩阵层次分析法标度过渡到模糊层次分析法标度，确定一族模糊层次分析法权重的方法熊立等和王国华等华中生等兰继斌等LOGO二、改进的风险综合评估方法AHP方法与模糊逻辑法相结合，网络安全和无线网络安全一种基于模糊综合评判理论的信息系统安全风险评估模型和方法一种模糊风险评估模型，给出系统的综合评估结果赵冬梅黄松等汪楚娇等LOGO二、改进的风险综合评估方法基于灰色理论的风险评估方法：概念：一门基于数学理论的系统工程学科（20世纪80年代，华中理工大学，邓聚龙教授首提并创立）层次分析法与模糊逻辑方法相结合特点：能反映参数的模糊性与不确定性并能对系统进行整体的评估LOGO二、改进的风险综合评估方法灰色评估模型与算法，评估军方信息系统安全有效性灰色评估方法与层次分析法相结合，评估水质风险参数评估值不确定性问题，信息系统看作决策，一种基于灰色关联决策算法的信息安全风险评估方法。张磊等张春荣等高阳等LOGO二、改进的风险综合评估方法基于D-S证据理论的风险评估方法：概念：一种不确定性推理方法，1967年Dempster最早提出，Shafer在1976年整理、完善形成的一种数学推理理论特点：消除专家评判中存在的不确定因素LOGO二、改进的风险综合评估方法D-S证据理论对AHP的判断矩阵改造，电信网的网络改进的D-S证据合成法则，各因素可信度函数的合成，消除不确定因素，可信度较高的风险评判值方阳顾孟钧等LOGO二、改进的风险综合评估方法基于机器学习的风险评估方法：概念：机器学习(machinelearning，ML)是人工智能的主要核心研究领域之一，无需进行矩阵的一致性检验Foroughi，Bayes学习技术应用：党德鹏等，支持向量机(SVM)张利将，决策树LOGO二、改进的风险综合评估方法四种改进综合风险评估方法的优势：方法优势基于模糊综合评价的风险评估方法处理人们在评价过程中的主观性以及客观所遇到的模糊现象和难以量化的问题基于灰色理论的风险评估方法能反映参数的模糊性与不确定性基于D-S证据理论的风险评估方法消除专家评判中存在的不确定因素基于机器学习的风险评估方法无需进行矩阵的一致性检验LOGO三、小结从定性、定量、综合三个方面对信息安全评估方法进行介绍，综合各方法的优缺点，得出综合评估法中基于模糊综合评价的评估法对于大数据背景下的信息安全风险评估可能适用。相关评估方法模糊综合评价法解决大数据背景下的信息安全风险评估问题请批评指正！