资产关联研究.ppt_第1页
资产关联研究.ppt_第2页
资产关联研究.ppt_第3页
资产关联研究.ppt_第4页
资产关联研究.ppt_第5页
已阅读5页,还剩16页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信息安全风险评估资产关联性,Agenda,常规资产识别与赋值,资产 对组织具有价值的信息或资源,是安全策略保护的对象。 常见的资产分类是根据资产的表现形式,将资产分成数据、软件、硬件、服务、人员等类型。,常规资产识别与赋值,资产识别 风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。,常规资产识别与赋值,保密性赋值 根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。,常规资产识别与赋值,完整性赋值 根据资产在完整性上的不同要求,将其分为

2、五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。,常规资产识别与赋值,可用性赋值 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度。,常规资产识别与赋值,资产赋值 资产价值应依据资产在保密性、完整性和可用性上的赋值等级,经过综合评定得出。,综合评定方法 可以根据自身的特点,选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。,常规资产识别与赋值,资产加权赋值计算 资产的重要性最终赋值

3、可通过定性分析并确定的资产保密性、完整性和可用性的加权计算得到。 以V(t)表示资产的重要性,计算公式如下所示:,其中,t表示某资产; 令x(t) 0,5,表示资产的保密性; y(t) 0,5,表示资产的完整性; z(t) 0,5,表示资产的可用性; 则V(t) 0,5,且V(t) 越大,资产越重要。,资产关联性研究,资产关联性研究,相关定义,资产关联性研究,相关定义,资产关联性研究,相关定义,定义3 资产节点关联性(Asset Node Correlation,ANC),如果一个威胁入侵资产节点A,利用A上的某组件CAi对节点B上某组件CBj的访问关系,从而继续攻击资产节点B,那么这种可被利

4、用的访问关系被称为组件CAi到CBj的ANC,记为ANCAi:Bj。在不混淆的情况下,可简写为ANCAB。 ANCAi:Bj的风险信息可用一个有序六元组来描述,其中,i,j分别为A,B上的主体;P表示利用该ANC进行攻击的成功概率,也成为权值,P 0,1;W表示一个组件对另一个组件的影响程度,W 0,+),资产关联性研究,资产节点关联性,A,B,CAi,CBj,资产 A,资产 B,资产关联性研究,资产关联性分为7类,带ANC的风险分析,带ANC的风险分析原理,资产初值,关联性,资产终值,利用加权计算求得最终资产值,加入资产关联性概念得出关联资产,从各个资产出发,得到各资产值。,带ANC的风险分析,分析风险初值,带ANC的风险分析,资产关联,赋值计算,带ANC的风险分析,综合赋值 示例 指定资产A,及其关联资产B 对应关联关系为W5,权值P5=0.6 资产A原风险值RA,资产B原风险值RB 最终风险值 利用带ANC的风险分析方法可得资产A的真正风险为:,RA=RA+RB*P5=1.6*RA,小结,资产识别是信息安全风险评估的重要过程之一,上述过程对资产及资产组件进行了形式化概念描述,并把资产之间的关系性分为7类。 通过对资产节点关联性A

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论