bs统一标准分析.doc
《bs统一标准分析.doc》由会员分享,可在线阅读,更多相关《bs统一标准分析.doc(9页珍藏版)》请在咨信网上搜索。
1、一种基于BS7799原则风险分析办法* 基金项目:国家高技术研究发展筹划(863筹划)项目(课题编号:AA142151) 国家计算机网络与信息安全管理中心项目(课题编号:-研1-A-007) 作者简介: 聂晓伟,(1980),男,研究生研究生,重要研究方向:数字信号解决、网络安全。张玉清,男,副研究员,重要研究领域为网络与信息安全。杨鼎才,男,副专家,重要研究领域为数字信号解决 韩全印,男,研究生,重要研究领域为网络与信息安全聂晓伟1 2,张玉清1,杨鼎才2,韩权印13(1中科院研究生院国家计算机网络入侵防范中心,北京 100043)(2 燕山大学信息科学与工程学院,河北秦皇岛 066004)
2、(3西安电子科技大学计算机学院,陕西西安 710071)摘要:英国信息安全管理原则BS7799是国际上有代表性风险评估原则。本文一方面分析了BS7799页:1“它”改为“BS7799”较好构造特点,进而研究了当前重要风险评估分析办法,旨在探讨一套可以对BS7799原则进行改进、定性和定量相结合风险分析办法,以克服单一分析办法局限性。在详细设计风险分析办法时,采用故障树和风险模式影响分析相结合方式对BS7799进行了实行与应用。并将该套办法在实际风险评估工具设计中进行实现,收到了较好效果,从而验证了办法科学性和可行性。核心词:风险评估;BS7799;风险分析办法; 页:1这两个核心词需要考虑1
3、引言 随着信息系统发展,系统规模不断扩大。单一依托技术手段老式网络安全暴露出了很大局限性。人们逐渐结识到,信息系统安全应从系统工程角度来看待。风险评估在信息安全系统工程中占有很重要地位,它是信息系统安全基本和前提。当前信息安全对风险科学定义1是:特定威胁运用资产一种或一组薄弱点,导致资产丢失或损害潜在也许性。即特定威胁事件发生也许性与后果结合。风险评估就是对系统所有安全要素各种评测数据进行分析、记录、以拟定系统存在安全隐患和风险级别。依照评估成果向系统管理员提供周密可靠安全性分析报告,为提高系统安全整体水平提供重要根据。当前风险评估研究重点在于原则制定和评估工具开发与应用。当前关于风险评估原则
4、诸多,如CC2、SSE-CMM3、BS77994等,其中英国原则机构(BSI)制定BS7799是当前国际上具备代表性信息安全管理原则。BS7799环绕风险评估从管理和技术两方面建立了一整套信息安全评估体系。国外已针对该原则开发出相应风险评估工具,比较知名有Cobra、Panach等。但国内当前还没有开发出类似评估工具,针对该原则评估工作还是采用手工进行。风险评估工具一方面要完整、有效体现BS7799原则,然后根据原则对评估系统进行行之有效风险分析。这些都需要一套科学、可行风险分析办法。它是评价一种评估工具质量重要方面6。本文环绕BS7799原则设计了一套定性、定量相结合风险分析办法,并将其应用
5、到评估工具设计中,力求实现对BS7799原则科学、有效应用。2 BS7799原则BS7799原则涉及两某些:BS7799-1:1999信息安全管理实行细则;BS7799-2:信息安全管理体系规范。其中BS7799-1:1999于12月通过国际原则化组织(ISO)认证正式成为国际原则,即ISO/IEC 17799:。它是被ISO承认速度最快一种原则,由此也可看出风险评估是信息安全一种重要发展方向页:2是“趋势”还是“方向”。在BS7799原则两某些内容中,第二某些明确提出了安全控制规定,第一某些则相应给出了通用控制办法。可以说,BS7799第一某些为第二某些详细实行提供了指南。由于第二某些重要在
6、认证时使用,因而重要基于BS7799 页:2去掉更清晰-1:1999信息安全管理实行细则来设计风险评估工具。BS7799-1:1999(ISO/IEC 17799) 是一种非常详尽、复杂信息安全管理原则层次体系,共分为四层内容:一方面按照信息安全十个核心领域组织为十个管理要项,其中既包括偏重于管理信息安全方针、安全组织、人员安全、业务持续性等方面,也有偏重于技术通信和操作管理、系统访问控制、系统开发和维护等内容,每一某些都针对不同主题或范畴。在这十大管理要项中,BS7799又细分了36个管理目的、127个控制办法,若干个控制要点。从而涵盖了当前信息安全应当考虑各个重要方面。BS7799科学性和
7、有效性在详细风险评估中得到了充分验证,但还存在某些局限性之处。其中一种重要局限性就是对原则中每个安全要素风险事件发生危害限度分析局限性,没有建立对系统整体风险贡献限度系数,容易让人误解各个安全要素同等重要,而事实并非如此。此外尽管BS7799完整覆盖了当前信息安全中所有内容,提供了统一规范和规定。但原则中并没有如何对该原则进行实行阐明,同步原则自身也具备很鲜明特点,因此很有必要针对该原则设计一套分析办法和评估工具,从而做到对其有效、灵活应用与实行。3 风险分析办法风险分析办法普通可分为定性分析、定量分析办法。定性分析办法是一种典型模糊分析办法。其重要根据研究者知识及经验、历史教训、政策走向以及
8、特殊变例等非量化资料对系统风险状况做出判断。定性分析办法长处是使评估结论更全面、更深刻。缺陷是:主观性很强,对评估者自身规定更高。典型定性分析办法有:因素分析法、逻辑分析法、历史比较法、德尔斐法等6。 定量分析办法运用数量指标来对风险进行评估。它分析风险发生概率、风险危害限度所形成量化值,大大增长了与运营机制和各项规范、制度等紧密结合可操作性。分析目的和采用办法更加详细、明确、可靠。定量分析办法长处是用直观数据来表述评估成果,看起来一目了然,并且比较客观。缺陷是量化过程中容易使本来比较复杂事物简朴化、模糊化。典型定量分析办法有:聚类分析法、时序模型、回归模型等6。4 基于BS7799风险分析办
9、法设计4.1 风险分析办法建立定性分析办法和定量分析办法各自存在着局限性,同步风险评估又是一种复杂过程。因此不能把定性和定量分析办法简朴分割开来,而是应当将这两种办法有机结合起来,做到彼此之间取长补短。本文在设计风险分析办法时采用了定性、定量办法相结合分析办法,从而使评估成果更加客观、公正。如图1所示,对风险辨认、风险产生因素以及威胁影响限度分析是采用定性办法;而对于风险概率预测、威胁发生概率、最后风险评价则采用定量办法。图1 风险评估定性和定量办法 在设计详细风险分析办法时,还应结合BS7799自身特点,力求实现对BS7799科学、有效应用。一方面,BS77991:1999是一种四层构造体系
10、。从风险评估角度来看,各层之间是一种因与果关系。即系统整体风险状况是总体成果,下面各层安全要素即是上一层因素又是下一层成果。依照这个特点,本文以为适合采用故障树分析法对其各层安全要素之间风险逻辑关系进行分析,以实现对原则中安全要素完整、有效提取与实行。另一方面,针对BS7799中对安全要素风险危害限度分析局限性。本文在这里引入了风险模式影响及危害性分析法对每个安全要素所导致危害限度进行分析解决以弥补该缺陷,力求得到一种合理、公正风险评估成果。综上,采用故障树和风险模式影响及危害性相结合分析办法来设计基于BS7799风险分析办法是对BS7799进行实行一种有效途径。下面将分别讨论这两种办法。4.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- bs 统一标准 分析
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。