亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　在風(fēng)險(xiǎn)評(píng)估過程中，可以采用多種操作方法，包括基于知識(shí)（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，無論何種方法，共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險(xiǎn)及其影響，以及目前安全水平與組織安全需求之間的差距。

　　基于知識(shí)的分析方法

　　在基線風(fēng)險(xiǎn)評(píng)估時(shí)，組織可以采用基于知識(shí)的分析方法來找出目前的安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。

　　基于知識(shí)的分析方法又稱作經(jīng)驗(yàn)方法，它牽涉到對(duì)來自類似組織（包括規(guī)模、商務(wù)目標(biāo)和市場等）的“最佳慣例”的重用，適合一般性的信息安全社團(tuán)。

　　采用基于知識(shí)的分析方法，組織不需要付出很多精力、時(shí)間和資源，只要通過多種途徑采集相關(guān)信息，識(shí)別組織的風(fēng)險(xiǎn)所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施，最終達(dá)到消減和控制風(fēng)險(xiǎn)的目的。

　　基于知識(shí)的分析方法，最重要的還在于評(píng)估信息的采集，信息源包括：

　　· 會(huì)議討論；

　　· 對(duì)當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查；

　　· 制作問卷，進(jìn)行調(diào)查；

　　· 對(duì)相關(guān)人員進(jìn)行訪談；

　　· 進(jìn)行實(shí)地考察。

　　為了簡化評(píng)估工作，組織可以采用一些輔助性的自動(dòng)化工具，這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問卷，然后對(duì)解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最終的推薦報(bào)告。市場上可選的此類工具有多種，Cobra 就是典型的一種。

基于模型的分析方法

　　2001 年1 月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)了一個(gè)名為CORAS 的項(xiàng)目，即Platform for Risk Analysis of Security Critical Systems。該項(xiàng)目的目的是開發(fā)一個(gè)基于面向?qū)ο蠼�模特別是UML 技術(shù)的風(fēng)險(xiǎn)評(píng)估框架，它的評(píng)估對(duì)象是對(duì)安全要求很高的一般性的系統(tǒng)，特別是99v 系統(tǒng)的安全。CORAS 考慮到技術(shù)、人員以及所有與組織安全相關(guān)的方面，通過CORAS 風(fēng)險(xiǎn)評(píng)估，組織可以定義、獲取并維護(hù)99v 系統(tǒng)的保密性、完整性、可用性、抗抵賴性、可追溯性、真實(shí)性和可靠性。

　　與傳統(tǒng)的定性和定量分析類似，CORAS 風(fēng)險(xiǎn)評(píng)估沿用了識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)并處理風(fēng)險(xiǎn)這樣的過程，但其度量風(fēng)險(xiǎn)的方法則完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)行的。CORAS 的優(yōu)點(diǎn)在于：提高了對(duì)安全相關(guān)特性描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加強(qiáng)了不同評(píng)估方法互操作的效率；等等。

　　目前CORAS 還處于實(shí)驗(yàn)階段，相關(guān)信息可以參見：
　　http://www.bitd.clrc.ac.uk/Activity/CORAS

　　定量分析

　　進(jìn)行詳細(xì)風(fēng)險(xiǎn)分析時(shí)，除了可以使用基于知識(shí)的評(píng)估方法外，最傳統(tǒng)的還是定量和定性分析的方法。
　　定量分析方法的思想很明確：對(duì)構(gòu)成風(fēng)險(xiǎn)的各個(gè)要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險(xiǎn)的所有要素（資產(chǎn)價(jià)值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險(xiǎn)評(píng)估的整個(gè)過程和結(jié)果就都可以被量化了。

　　簡單說，定量分析就是試圖從數(shù)字上對(duì)安全風(fēng)險(xiǎn)進(jìn)行分析評(píng)估的一種方法。

　　定量風(fēng)險(xiǎn)分析中有幾個(gè)重要的概念：
　　暴露因子（Exposure Factor，EF）—— 特定威脅對(duì)特定資產(chǎn)造成損失的百分比，或者說損失的程度。
　　單一損失期望（Single Loss Expectancy，SLE）—— 或者稱作SOC（Single OccuranceCosts），即特定威脅可能造成的潛在損失總量。

　　年度發(fā)生率（Annualized Rate of Occurrence，ARO）—— 即威脅在一年內(nèi)估計(jì)
　　會(huì)發(fā)生的頻率。

　　年度損失期望（Annualized Loss Expectancy，ALE）—— 或者稱作EAC（Estimated
　　Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。