亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　在風(fēng)險評估過程中，可以采用多種操作方法，包括基于知識（Knowledge-based）的分析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量（Quantitative）分析，無論何種方法，共同的目標(biāo)都是找出組織信息資產(chǎn)面臨的風(fēng)險及其影響，以及目前安全水平與組織安全需求之間的差距。

　　基于知識的分析方法

　　在基線風(fēng)險評估時，組織可以采用基于知識的分析方法來找出目前的安全狀況和基線安全標(biāo)準(zhǔn)之間的差距。

　　基于知識的分析方法又稱作經(jīng)驗方法，它牽涉到對來自類似組織（包括規(guī)模、商務(wù)目標(biāo)和市場等）的“最佳慣例”的重用，適合一般性的信息安全社團(tuán)。

　　采用基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關(guān)信息，識別組織的風(fēng)險所在和當(dāng)前的安全措施，與特定的標(biāo)準(zhǔn)或最佳慣例進(jìn)行比較，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最佳慣例的推薦選擇安全措施，最終達(dá)到消減和控制風(fēng)險的目的。

　　基于知識的分析方法，最重要的還在于評估信息的采集，信息源包括：

　　· 會議討論；

　　· 對當(dāng)前的信息安全策略和相關(guān)文檔進(jìn)行復(fù)查；

　　· 制作問卷，進(jìn)行調(diào)查；

　　· 對相關(guān)人員進(jìn)行訪談；

　　· 進(jìn)行實地考察。

　　為了簡化評估工作，組織可以采用一些輔助性的自動化工具，這些工具可以幫助組織擬訂符合特定標(biāo)準(zhǔn)要求的問卷，然后對解答結(jié)果進(jìn)行綜合分析，在與特定標(biāo)準(zhǔn)比較之后給出最終的推薦報告。市場上可選的此類工具有多種，Cobra 就是典型的一種。

基于模型的分析方法

　　2001 年1 月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)了一個名為CORAS 的項目，即Platform for Risk Analysis of Security Critical Systems。該項目的目的是開發(fā)一個基于面向?qū)ο蠼�模特別是UML 技術(shù)的風(fēng)險評估框架，它的評估對象是對安全要求很高的一般性的系統(tǒng)，特別是99v 系統(tǒng)的安全。CORAS 考慮到技術(shù)、人員以及所有與組織安全相關(guān)的方面，通過CORAS 風(fēng)險評估，組織可以定義、獲取并維護(hù)99v 系統(tǒng)的保密性、完整性、可用性、抗抵賴性、可追溯性、真實性和可靠性。

　　與傳統(tǒng)的定性和定量分析類似，CORAS 風(fēng)險評估沿用了識別風(fēng)險、分析風(fēng)險、評價并處理風(fēng)險這樣的過程，但其度量風(fēng)險的方法則完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)行的。CORAS 的優(yōu)點(diǎn)在于：提高了對安全相關(guān)特性描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加強(qiáng)了不同評估方法互操作的效率；等等。

　　目前CORAS 還處于實驗階段，相關(guān)信息可以參見：
　　http://www.bitd.clrc.ac.uk/Activity/CORAS

　　定量分析

　　進(jìn)行詳細(xì)風(fēng)險分析時，除了可以使用基于知識的評估方法外，最傳統(tǒng)的還是定量和定性分析的方法。
　　定量分析方法的思想很明確：對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)度量風(fēng)險的所有要素（資產(chǎn)價值、威脅頻率、弱點(diǎn)利用程度、安全措施的效率和成本等）都被賦值，風(fēng)險評估的整個過程和結(jié)果就都可以被量化了。

　　簡單說，定量分析就是試圖從數(shù)字上對安全風(fēng)險進(jìn)行分析評估的一種方法。

　　定量風(fēng)險分析中有幾個重要的概念：
　　暴露因子（Exposure Factor，EF）—— 特定威脅對特定資產(chǎn)造成損失的百分比，或者說損失的程度。
　　單一損失期望（Single Loss Expectancy，SLE）—— 或者稱作SOC（Single OccuranceCosts），即特定威脅可能造成的潛在損失總量。

　　年度發(fā)生率（Annualized Rate of Occurrence，ARO）—— 即威脅在一年內(nèi)估計
　　會發(fā)生的頻率。

　　年度損失期望（Annualized Loss Expectancy，ALE）—— 或者稱作EAC（Estimated
　　Annual Cost），表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。