信息安全风险评估---矩阵法计算风险

                                                                                        矩阵法计算风险

假设：有以下信息系统中资产面临威胁利用脆弱性的情况：

共有两项重要财产：资产A1和资产A2；

资产A1面临一个主要威胁T1；

资产A2面临两个主要威胁T2,T3；

威胁T1可以利用资产A1存在的两个脆弱性，脆弱性V1和V2；

威胁T2可以利用资产A2存在的两个脆弱性，脆弱性V3和V4；

威胁T3可以利用资产A2存在的一个脆弱性V5；

资产价值分别为：资产A1=3 资产A2=4

威胁发生的频率分别是：威胁T1=3，威胁T2=2，威胁T3=4；

威胁性严重程度分别是：脆弱性V1=2，V2=3，V3=2，V4=5，V5=4。

1. 矩阵法计算示例

（1）计算重要资产的风险值。

以资产A2为例子使用矩阵法计算其风险值，其他资产计算方法类似。资产A2面临两个主要威胁T2和T3，威胁T2可以利用资产A2的两个脆弱性，威胁T3可以利用资产A2的一个脆弱性，因此资产A2存在风险值包括三个。这三个风险值计算过程类似。以资产A2面临的威胁T2可以利用A2的脆弱性V3为例子计算：

• 计算安全事件发生的可能性。

威胁发生频率：威胁T2=2；

脆弱性严重程度：脆弱性V3=2；

首先根据矩阵法原理，构建安全事件发生可能性的矩阵：

采用Z（ij）=a*X(i)+b*Y(j)公式

矩阵中的Z(ij)不一定遵循统一的计算公式，但必须具有统一的增减趋势。a和b根据具体情况和函数递增情况而定。

表1.安全事件发生可能性的矩阵

脆弱性严重程度  威胁发生频率	1	2	3	4	5
1	2	4	7	11	16
2	3	5	8	12	17
3	7	9	12	16	21
4	9	11	14	18	23
5	16	18	21	25	30

   由于威胁发生频率越大或者脆弱性严重程度越高，则计算安全事件发生的可能性就会越高（呈递增趋势）。

那么根据威胁发生频率为2和脆弱性严重程度为2，在矩阵对照中，可确定安全事件发生的可能性为5。

因为安全事件发生的可能性是风险计算函数的一个参数，所以在构建风险矩阵前，先对安全事件发生的可能性进行等级划分。

表2.划分安全事件可能性的等级

安全事件发生可能性的值	1~6	7~12	13~18	19~24	25~30
发生可能性的等级	1	2	3	4	5

此时可知安全事件发生可能性的等级为1。

• 计算安全事件的影响

资产价值：资产A2=4

脆弱性严重程度：脆弱性V3=2

根据矩阵阵法原理，构建安全事件影响的矩阵，如下表：

表3.安全事件影响的矩阵

脆弱性严重程度  资产价值	1	2	3	4	5
1	2	4	7	11	16
2	3	5	8	12	17
3	7	9	12	16	21
4	9	11	14	18	23
5	16	18	21	25	30

那么根据资产价值为4和脆弱性严重程度为2，在矩阵中对照，可确定安全时间的影响值为11。

因为安全事件的影响是风险计算函数的一个参赛，所以在构建风险矩阵前，还要对安全事件的影响进行等级划分，如下表。

表4.划分安全时间影响的等级

安全事件发生可能性的值	1~6	7~12	13~18	19~24	25~30
发生可能性的等级	1	2	3	4	5

       由此表可知安全事件影响的等级为2。

 

 

• 计算风险值

此时，已计算出：安全事件发生可能性=1，安全事件的影响=2。

同样，可根据矩阵法原理，构建风险矩阵，如下表

表5.风险矩阵

安全事件发生可能性 安全事件的影响	1	2	3	4	5
1	2	4	7	11	16
2	3	5	8	12	17
3	7	9	12	16	21
4	9	11	14	18	23
5	16	18	21	25	30

       那么根据安全事件发生可能性为1和安全事件的影响为2，在矩阵对照中，可以确认风险值为3。

按照同样的方法，可计算得出资产A1的其他风险值，以及资产A2的风险。

（2）结果判定。

先确定风险等级划分的标准，如下表

表6.划分风险的等级

风险值	1~6	7~12	13~18	19~24	25~30
风险等级	1	2	3	4	5

根据计算出的风险值，结合表6可知，资产A2面临的威胁T2可以利用资产A2的脆弱性V3的风险等级为1。

       以此类推，可计算出两个重要资产的其他风险值，并根据表6确定出各自的风险等级结果。如表7所示。

表7.风险结果

资产	威胁	脆弱性	风险值	风险等级
资产A1	T1	V1	5	2
		V2	5	2
资产A2	T2	V3	3	1
		V4	12	2
	T3	V5	12	2

---

学艺不精，安全小白第一次写，如果有错误敬请指出，私信。