【導讀】businessprocess,dataflowdiagram,riskscenario.prisedoftechnology,people,processes,anddata.Therefore,an. Hallidayetal.,1996;.,GerberandvonSolms,2020.Thispaper

　　

【正文】 方法 ,其次是一個例子和該方法的好處。167。 5 描述了風險分析和評估標準以及如何使用于該方法。167。 6 建議未來的研究領(lǐng)域 ,緊接著是167。 7結(jié)論。 風險的定義為 :(a)損失或傷害的可能性 ,以及 (b)對發(fā)生 的損失或的賠償責任 (Merriam Webster 的公司 ,1996 年 )。風險分析 ,在信息安全中的內(nèi)容 ,“是一個檢驗一個系統(tǒng)及其業(yè)務范圍 ,以確定其可能會導致風險和潛在的傷害的過程” (Pfleeger 和 Pfleeger,2020)。風險管理涉及到使用以風險分析的輸出來確定選擇和控制實施 (保障措施 ),以降低風險 (嘉寶和馮蓮 ,2020)。 風險分析在傳統(tǒng)上一直用于商業(yè)分析、金融工具和保險產(chǎn)品 ., Baskerville,1991。Barrese and Scordis, 2020。 Gerber and von Solms, 2020 在這兩種情況下 ,風險分析是由資產(chǎn)價值的定量分析 ,以確定在金融工具投資或保產(chǎn)品的可行性。同樣 ,在信息安全 ,(阿爾貝茨和 Dorofee,2020 年 )風險分析經(jīng)常被用來確定在安全保障投資的可行性 ,降低信息安全 (巴斯克維爾 ,1991 年 )的風險。進行風險分析的另一個關(guān)鍵的原因是為了識別安全要求 ,這是本文的重點。(ISO /符合 IEC 17799)。 信息安全風險分析的傳統(tǒng)方法是技術(shù)驅(qū)動。 (例如 ,哈利迪等 ,1996?？暗热?,1998 年第 49。嘉 寶和馮蓮 ,2020)。因為它主要側(cè)重于對一個組織使用的計算資產(chǎn)類型的已知威脅。由于歷史淵源 ,這在很大程度上要廣泛使用的計算機安全準則 (NIST 的共同準則 ,蘭德公司 ,國際標準化組織 17799,SSE CMM 的 ),起初制定是為確保政府和軍隊的計算基礎(chǔ)設(shè)施的。鑒于這些領(lǐng)先的安全準則不是最初的信息系統(tǒng)內(nèi)發(fā)展的營商環(huán)境 ,缺乏用來確定有關(guān)的人 (內(nèi)部和外部的組織 )和業(yè)務流程風險的方法。 對于本文的目的 ,傳統(tǒng)這個詞是用來表示傳統(tǒng)的風險分析慣例 ,一般在文獻中提到 ,因為這是傳統(tǒng)的或習慣的方法 (如哈利迪等 ,1996。 Kolokotronis 等 ,2020。 Suh,漢族 ,2020 年 。譚 ,2020)。傳統(tǒng)的風險分析步驟 ,如圖 1 所示。 第一步是進行風險分析 ,以確定 IT 資產(chǎn)得到保護。 IT 資產(chǎn)一般包括硬件 ,軟件 ,數(shù)據(jù) ,人員 ,文檔和適用的設(shè)施 (Suh and Han,2020 年 )。請注意 ,雖然人們通常是作為 IT 資產(chǎn)的一種類型 ,傳統(tǒng)的風險分析對人通常是最小的重視 ,常常是關(guān)注于用戶識別和認證。不過人們在處理信息的程序中可能會招致風險。接下來 ,每一個確定的資產(chǎn) ,威脅 (可能發(fā)生的不良事 件 )和弱點 (現(xiàn)有弱點 )與保密性 ,完整性和可用性鑒定 ,這通常是通過使用標準的確定清單局 (NIST,2020 年 )和專業(yè)知識的安全分析師而決定的。然后 ,量化風險的可能性 (即概率 )即是一個安全事件的發(fā)生 (即一個漏洞會被利用 )乘以這類事件的預期金錢損失 (風險預期損失 *概率 )。此公式用于計算能降低風險到一個可接受水平的安全保障措施的成本效益分析 (例如 ,Pfleeger和 Pfleeger,2020。談 ,2020年 。 嘉寶和馮蓮 ,2020)。 傳統(tǒng)風險分析的優(yōu)勢 傳統(tǒng)的信息安全風險分析的方法有很多個。第一 ,該方法被廣泛認為事實上得到了標準教科書中的知名教授和業(yè)界公認的安全準則的認可 (例如 ,NIST的 ,2020 年 。 Pfleeger 和 Pfleeger,2020 年 )。 第二 ,由于傳統(tǒng)的風險分析主要側(cè)重于技術(shù) ,安全的這個方面已得到繁榮的發(fā)展。例如 ,已知威脅和各種技術(shù)資產(chǎn)漏洞的詳盡清單是公開的。 這些名單在進行風險分析時提供寶貴的指導。 第三 ,自動化的軟件包現(xiàn)已推出用以執(zhí)行詳細的計算和風險分析數(shù)據(jù)的管理。這些軟件包是基于風險分析的傳統(tǒng)方法的。 第四 ,傳統(tǒng)的方法中的量化措施的使用可以用來支持在安全 保障下的投資成本效益分析 ,當然 ,這里提供的計算是相當準確。 最后 ,傳統(tǒng)的信息安全風險分析方法 ,與金融和保險部門就業(yè)中的風險分析技術(shù)也密切相關(guān)。在這一點上 ,隨著該方法的數(shù)學基礎(chǔ) ,可信度將越來越大。 傳統(tǒng)風險分析的局限性 傳統(tǒng)的信息安全風險分析的方法有幾個主要的局限。首先 ,這個技術(shù)驅(qū)動的方法 ,對人員和信息系統(tǒng)流程的各個方面都只有非常有限的作用。這是一個重大的監(jiān)督 ,由于人員和流程被廣泛認為是安全隱患的主要原因 (如 Siponen,2020年 。 Dhillon,2020。韋德 ,2020 年 )。此外 ,有沒有共同的方法來確定哪些 IT 資產(chǎn)將被納入分析 ,IT 專業(yè)人士開發(fā)的技術(shù)資產(chǎn)清單可能并不重要 ,用戶開發(fā)的電子表格和應用程序包含重大的安全隱患。具體的機密信息 ,保證維護也可以被忽略掉的。 第二 ,基于資產(chǎn)價值的預期損失估計 ,普遍是由于不確定的原因。確定的無形資產(chǎn) ,如信息、價值 ,就算不是不可能的 ,估計也是困難的 (嘉寶和馮蓮 ,2020)。然而 ,信息是一個組織的最重要的資產(chǎn)之一 ,是信息安全的焦點。關(guān)于有形資產(chǎn)的價值估計可能不準確 ,因為只有考慮重置成本 ,其中不包括由于操作中斷等許多案件的經(jīng)濟損失 .(Suh,Han,2020 年 )在那里的業(yè)務運作成本 ,包括在資產(chǎn)價值的情況下 ,估計是非常主觀的。最后 ,以資產(chǎn)價值為基礎(chǔ)的預期經(jīng)濟損失通常不包括一個可能的違約行為 ,如客戶的信任缺失所帶來的社會影響 (Bent 和Kailay,1992 年 )。 第三 ,經(jīng)認定的漏洞被利用的可能性的概率估計 ,通常被認為是胡亂猜測。原因之一是這是由過去的歷史決定的安全漏洞的可能性。這在很大程度上是低報的。 (例如 ,斯特朗 ,2020 年 。 Yazar,2020?；岬?,2020)。另一個原因就是發(fā)生的可能性估計是不準確的 ,因為作出更準確的估計需要專業(yè)知 識的估計 (如Gerber 和馮蓮 ,2020 年 ),一個組織可能不具備較高的水平。見巴斯克維爾 (1991)在傳統(tǒng)的弱勢數(shù)量估計的固有風險分析 ,這有待進一步的討論。 傳統(tǒng)風險分析方法的第四個限制是時間和進行這種分析所涉及的費用。傳統(tǒng)方法中自下而上的性質(zhì) (即從微觀 ,技術(shù)資產(chǎn)的角度驅(qū)動 )往往很費時 ,尤其是在中、大型組織中 (如哈利迪等。 1996)。大量的時間花在分析關(guān)鍵業(yè)務流程中不是那么重要的資產(chǎn)部分。 對以技術(shù)為重點的分析的第五個限制是 ,它常常只能由專業(yè)人士進行。這個問題因為不涉及商務用戶 ,所以只是導致整 個組織缺乏安全性認識。同樣重要的是 ,業(yè)務流程中的風險可能未被 IT 專業(yè)人士發(fā)現(xiàn)而是被商業(yè)用戶識別。 總之 ,開展信息安全風險分析的傳統(tǒng)方法的使用在很大程度上以猜測來估計概率和安全漏洞的經(jīng)濟損失的計算。其次 ,其技術(shù)重點是考慮對人員和安全分析的重要來源的進程所造成的損害。最后 ,IT 中心的安全風險分析方法在一定程度上不涉及商業(yè)用戶 ,以確定一套全面的風險 ,或促進整個組織的安全意識。 本文定義的一個全面的風險分析是一個嘗試專注于全面識別同一套技術(shù)中的風險、信息、人員和流 程。該方法也由整體性質(zhì)接收來自組織內(nèi)各種參與者的投入 ,再加上從 (安全 )行業(yè)公認的準則輸入。這種全面的方法重點是對關(guān)鍵業(yè)務流程中的信息安全風險識別。該方法的主要包括用戶分析 ,業(yè)務驅(qū)動的分析 ,系統(tǒng)圖參與等方法提取相關(guān)的科技資產(chǎn)資訊并進行定性分析。 識別風險影響的業(yè)務流程提供了一個自上而下重點分析方法 ,包括定義、范圍以及相關(guān)的分析。該方法的提出 ,就其本質(zhì)來說 ,需要各種高級管理人員的參與 ,業(yè)務用戶和 IT 專業(yè)人士。一旦 IT 資產(chǎn)與會者確定和分析 ,該方法將使用公開可用的安全檢查表和指導方針 (例如 ,證書 ,NIST)以捕獲已知威脅和漏洞。用于定性估計確定的風險的影響。這些功能計數(shù)器對以傳統(tǒng)方法進行風險分析的局限性在167。 3 中已經(jīng)討論過了。