信息安全风险评估理论和工具
2006-11-21 11:02
435 查看
当前,国际上提出了一些广义的、传统的风险评估理论(并非特别针对信息系统安全)。从计算方法区分,有定性的方法、定量的方法和部分定量的方法。从实施手段区分,有基于“树”的技术、动态系统的技术等。各类方法举例如下。
l 定性的方法包括:
初步的风险分析 (Preliminary Risk Analysis)
危险和可操作性研究(Hazard and Operability studies (HAZOP))
失效模式及影响分析(Failure Mode and Effects Analysis (FMEA/FMECA))
l 基于“树”的技术 (Tree Based Techniques )包括:
故障树分析(Fault tree analysis)
事件树分析(Event tree analysis)
因果分析 (Cause-Consequence Analysis)
管理失败风险树( Management Oversight Risk Tree)
安全管理组织检查技术(Safety Management Organization Review Technique)
l 动态系统的技术 (Techniques for Dynamic system)包括:
尝试方法 ( Go Method)
有向图/故障图 (Digraph/Fault Graph)
马尔可夫建模(Markov Modeling)
动态事件逻辑分析方法学 (Dynamic Event Logic Analytical Methodology)
动态事件树分析方法 (Dynamic Event Tree Analysis Method)
目前存在的信息安全评估工具大体可以分成以下几类:
l 扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;
l 入侵检测系统(IDS):用于收集与统计威胁数据;
l 渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;
l 主机安全性审计工具:用于分析主机系统配置的安全性;
l 安全管理评价系统:用于安全访谈,评价安全管理措施;
l 风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、TOP N查询以及报表输出功能;
l 评估支撑环境工具: 评估指标库、知识库、漏洞库、算法库、模型库。
综观这些理论和工具的现状,存在的问题是:尚缺乏模型化、形式化描述和证明的深度;一般化的广义的理论如何用于风险评估;定性,定量的理论方法如何更加有效;工具运用的结果如何能够反映实质,有效测度,准确无误;工具的使用如何能够综合协调。
l 定性的方法包括:
初步的风险分析 (Preliminary Risk Analysis)
危险和可操作性研究(Hazard and Operability studies (HAZOP))
失效模式及影响分析(Failure Mode and Effects Analysis (FMEA/FMECA))
l 基于“树”的技术 (Tree Based Techniques )包括:
故障树分析(Fault tree analysis)
事件树分析(Event tree analysis)
因果分析 (Cause-Consequence Analysis)
管理失败风险树( Management Oversight Risk Tree)
安全管理组织检查技术(Safety Management Organization Review Technique)
l 动态系统的技术 (Techniques for Dynamic system)包括:
尝试方法 ( Go Method)
有向图/故障图 (Digraph/Fault Graph)
马尔可夫建模(Markov Modeling)
动态事件逻辑分析方法学 (Dynamic Event Logic Analytical Methodology)
动态事件树分析方法 (Dynamic Event Tree Analysis Method)
目前存在的信息安全评估工具大体可以分成以下几类:
l 扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;
l 入侵检测系统(IDS):用于收集与统计威胁数据;
l 渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;
l 主机安全性审计工具:用于分析主机系统配置的安全性;
l 安全管理评价系统:用于安全访谈,评价安全管理措施;
l 风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、TOP N查询以及报表输出功能;
l 评估支撑环境工具: 评估指标库、知识库、漏洞库、算法库、模型库。
综观这些理论和工具的现状,存在的问题是:尚缺乏模型化、形式化描述和证明的深度;一般化的广义的理论如何用于风险评估;定性,定量的理论方法如何更加有效;工具运用的结果如何能够反映实质,有效测度,准确无误;工具的使用如何能够综合协调。
相关文章推荐
- 常用的信息安全风险评估自动化工具介绍
- 信息安全风险评估数据获取与收集方法
- ISMS信息安全风险评估与等保测评的主要活动内容
- 基于层次分析法的信息安全风险评估量化法的研究报告
- 信息安全等级保护与网络安全风险评估的区别
- 信息安全风险评估之我见 ZT
- 美国信息安全风险评估工作流程详述
- 保密安全风险自评估单机版检查工具V1.0
- 信息安全风险评估流程
- 信息安全风险分析理论模型概述
- ITIL安全风险评估
- 国内网络安全风险评估市场与技术操作
- iPhone狂潮!警惕智能手机带来的企业信息安全风险
- 信息安全工具
- 信息安全等级保护测评工具
- 信息安全与风险管理
- 2016年4月26日作业(项目整体绩效评估、信息安全相关知识、信息工程监理知识)
- 《Android攻防实战》读书笔记——Android安全评估工具——Drozer (日后学习)
- 2017年全国职业技能大赛“网络信息安全与评估”
- Drozer – Android APP安全评估工具(附测试案例)