理论计算机科学电子笔记168(2007)207-220www.elsevier.com/locate/entcs增强风险分析*Giampaolo Bellaa,1 Stefano Bistarellib,c,2 PamelaPerettib,3 Salvatore Riccobenea,4aDipartimentoDiMatimbDiparti mentodiScienze,Universita`degliStudi“G. 我不知道你在说什么c意大利比萨CNR信息和电信研究所摘要风险分析是近年来兴起的一种结构化的、精确的方法论,可以帮助现代企业提前了解风险并制定相应的对策。它基于一个数字指标:量化关键概念的参数,企业在此基础上设计其安全和安保投资。 修正器是一个进一步修正现有指标的函数,一个指标。这里有人认为,风险分析可以从三个新的调节器中大大受益。 一种是临界时间内的暴露系数,表示损失或损害的百分比,攻击可以推断时间关键资产。另一个是报复下的暴露因子(EFR),它将攻击可以推断出的资产损失或损害的缓解形式化,当这种损失或损害可以报复到攻击者身上时。第三个是降低共谋风险(MRC),它正式说明了安全措施如何有效地对抗单个攻击者,但不一定能对抗为同一目标协作的大型攻击者团队。我们的模拟结果有力地支持了这种增强风险分析的好处,证实了它可以提供的新颖见解保留字:暴露因素,降低风险,时间紧迫,报复,勾结1介绍越来越多的证据表明,确保企业资产得到充分保护,免遭损失或损害的风险十分重要。存在着各种各样的风险:有些与企业经营的政治和社会环境有关(战略风险);另一些涉及货币市场和利率(金融风险);另一些仍然与企业的业务程序有关因此,证券已成为企业投资计划中的主要项目之一本文部分得到MIUR PRIN 2005-015491的支持。1 电子邮件地址:giamp@dmi.unict.it2 电子邮件地址:bista@sci.unich.it3 通讯作者。电子邮件地址:peretti@sci.unich.it4 电子邮件地址:sriccobene@dmi.unict.it1571-0661 © 2007 Elsevier B. V.在CC BY-NC-ND许可下开放访问。doi:10.1016/j.entcs.2006.12.006208G. Bella等人/理论计算机科学电子笔记168(2007)207风险管理是一个结构化的过程,规定了三个阶段:风险评估、风险分析和风险缓解。因为这是直观的,所以必须首先识别和描述可能的脆弱性。然后,应该用数学方法分析它们,最后应该减轻它们。缓解措施包括提高安全管理人员本文集中于风险分析,确切地说是安全风险分析[12]。重要的是要假设安全威胁不一定是成功的,也就是说,它不会绝对肯定地实现其预期的安全破坏。然而,风险分析通常是对成功威胁的后果的预期研究。因此,下文中提到的威胁总是被假定为以总概率成功,因此可以被认为是实际的违规行为。我们对风险分析的贡献是定义和证明了三个未发表的修正因子,它们与三个越来越严格的风险有关:时间关键性、报复和共谋。各种资产都具有时间紧迫性,因为使其面临损失或损坏风险可能会产生不同的后果,具体取决于其暴露的时间。例如,供暖系统或公共演示设备就是这种情况。有时候,对这种资产的成功威胁不会引起企业的太多关注。时间关键型资产的风险分析恰恰需要考虑时间关键性,我们将通过关键时间内的暴露提供。第二个修改器处理报复的微妙问题。任何攻击都有后果。社会工程学告诉我们,攻击引发的报复可能会阻止攻击的发生。任何理性的攻击者都会权衡收益与风险。因此,如果损害可以报复,那么它就不会像没有报复机会那样有问题。因此,在现实的风险分析中必须明确考虑这种机会,就像我们在报复下的暴露因子一样。最终修改器处理攻击者勾结的概念。企业核心资产的物理安全不能简单地假设攻击者是单个个体。一组攻击者对同一犯罪行为的共谋实际上是对目标资产的更高威胁。因此,对单个攻击者有效的安全措施不一定对串通的攻击者团队有效。我们的监管机构缓解合谋风险将正式将合谋纳入风险分析流程。本文的结构很简单:在介绍了基本术语(§2)之后,介绍了我们的原创性贡献(§3),并得出了一些结论(§4)。这些定义伴随着模拟,支持新指标为任何通用企业可能希望在没有过度具体化的情况下进行的分析增加了相关见解的说法。G. Bella等人/理论计算机科学电子笔记168(2007)2072092预赛风险评估始于识别相关资产。资产可被视为对企业有一定价值因而需要保护的任何有形或无形项目。一旦明确定义了资产,此阶段将生成一份报告,描述可能损害系统的威胁和漏洞,并提出假定的对策。根据[7,12,5],威胁是威胁源行使(通过意外触发或故意利用)特定漏洞的可能性;漏洞是系统安全程序,设计,实现或内部控制中的漏洞或弱点,可以通过攻击行使(通过意外触发或故意利用)并导致安全漏洞或违反系统安全策略;对策是为了降低攻击者利用现有系统漏洞的能力而应实施风险分析应确定可接受的风险阈值,并确定实际总风险是否构成该阈值的基础。这些都不是简单的任务。这个过程没有标准的方法,安全管理人员经常不得不在太多的选择中做出决定通常,可以采取两种方法:一种是定性的,另一种是定量的定性方法是基于对风险的相对评估,而定量方法[10]则试图对风险进行精确和客观的衡量。它采用多项指标,从数学上计算企业当前的风险是否可以接受。指标是数学参数,它将企业打算设计其安全和安全投资的关键概念形式化。主要指标介绍如下。在风险缓解阶段,高级管理团队将优先考虑、评估和实施前几个阶段建议的对策根据风险评估报告中提出的风险水平,确定实施行动的优先次序。每一个备选解决方案都经过分析,计算分析阶段定义的指标,然后选择最合适和最具成本效益的解决方案进行实际实施。当反措施到位时,应对其进行实际评估。2.1风险分析有几个指标可以用来帮助评估证券投资的有效性。单次损失风险[9]给出了一个精确的衡量标准,衡量一个单一的威胁如何影响或损害资产。然而,由于并非所有威胁的发生可能性相同,因此将通过考虑给定威胁的频率对该值进行修改定义2.1(单一损失风险)单一损失风险(SLE)表示企业因单一威胁事件而遭受的损失的度量SLE=AV×EF210G. Bella等人/理论计算机科学电子笔记168(2007)207其中,资产价值(AV)[9]是资产的创建、开发、支持、更换和所有权价值的综合度量,而暴露因子(EF)[8]表示威胁事件对资产价值造成的损失或影响的程度,并表示为资产价值的百分比。年化损失预期[9]试图对资产造成的年度总损失或损害进行财务衡量。定义2.2(年化预期损失)年化预期损失是指企业因威胁而产生的年度预期财务损失,可使用以下公式计算ALE=SLE×ARO其中,年发生率(ARO)[9]是一个数字,表示威胁每年发生的估计数量重要的是要注意,估计ARO可能非常困难。它通常是根据事件的可能性和可能利用给定漏洞的攻击者数量创建的。例如,一颗损坏数据中心的陨石估计每10万年才发生一次,其ARO为0.000001。相比之下,如果有100名数据输入操作员试图进行未经授权的访问,估计每个操作员每年会发生6次,ARO为600。总结上述指标,SLE(和EF)给出了一个单一威胁损害的衡量标准; ARO给出了一年内发生威胁的可能性; ALE试图考虑每个威胁的可能性和危害。到目前为止看到的所有指标都没有考虑到这样一个事实,即企业可以尝试建立一些防御措施来降低攻击者利用漏洞的可能性(例如实施一些防火墙过滤),或者减少攻击的损害(例如应用一些备份策略)。下面的指标具有相反的性质。它的确切意思是考虑是否存在反措施。证券投资收益率[11]可以用来对企业的证券投资进行经济评价。它可以帮助比较替代投资策略,并评估投资是否在财务上合理。定义2.3(投资回报率投资回报率(ROI)指标可使用以下公式计算:ROI=(ALE×MR)−CSICSI其中MR是由对策减轻的风险,并且表示对策在减轻源自利用漏洞的损失风险方面的有效性(在[0,1]中表示为数值),CSI是企业为了实现给定对策而必须面对的安全投资成本如果ROI为正数,则投资成本在财务上是合理的。G. Bella等人/理论计算机科学电子笔记168(2007)207211否则,如果投资回报率为零或负数,则投资无法盈利。3三个新指标本节以三个未发表的指标的形式介绍我们对风险分析的贡献,这些指标正是现有指标的修正者。很明显,可以定义和举例说明无数指标。但它们必须是有价值的,因为它们旨在提出从现代公司的立场来看值得考虑的细节。例如,人们可能希望定义一个指标,用于特定威胁将打破的铰链数量。虽然这对维护办公室来说可能有意义,但对企业来说可能并不总是完全值得的。人们可能天真地认为,一个有价值的指标一定不能解决一个微观的细节,如损坏的铰链的数量,只有宏观的细节是有价值的。但这根本不是一个定理。如果正在进行具体分析,例如确切地对铰链的阻力进行分析,则可能会发现微观指标是相关的相反的例子说,安装更强的铰链的成本包含在ROI中,ROI通常可以体现各种安全措施。因此,一个有价值的风险分析需要细节和易懂。我们的调节器解决了工业世界日益必须面对的三个主要问题。其中一个与时间关键型资产有关(第3.1节).在特定的关键时刻暴露这样的资产将产生与其他时间不同的损害。因此,曝光系数必须升级。第二个修改器处理报复的微妙问题(§3.2)。简而言之,如果一个损害可以被报复,那么它就不会像没有报复机会那样有问题。经典的曝光系数也在这种情况下升级。最后一个参数处理由一组串通的攻击者执行的攻击(§ 3.3)。对单个攻击者有效的安全措施不一定对一组攻击者有效。必须在此处升级缓解风险。每个调节器的定义后面都有一个模拟其使用的表格。资产AVEFAroSLEALE产品展示五千块百分之三十百分之五十五一千五百块825美元仿真基础设施三万块百分之四十百分之六十一万二7200元研究者三千块百分之十五百分之二十四百五十美元90元表1展示欧洲会议城镇联合会和相关指标。3.1关键时间我们在上面已经看到,EF与威胁和资产有关它表示威胁对资产造成的损害百分比然而,现代公司必须面对各种工作环境下的资产风险,212G. Bella等人/理论计算机科学电子笔记168(2007)207赶在截止日期前完成公开演讲。从这个意义上说,许多资产可能是时间关键的。在这里,简单的例子很容易提出,但我们只指出三个工作示例。对运行最新版本操作系统的第一次公开演示的计算机的特洛伊木马攻击肯定比在私人环境中的相同攻击更具资产“演示机器”是时间关键的。同样,一个需要几个月才能完成的实验,如果在实验结束时妥协,而不是在开始时妥协,后果会更糟。更严重的袭击可能会破坏几个月的工作。这里的资产一般可以被描述为“仿真基础设施”,它可以是一台计算机,也可以很容易从学术研究者的世界中得出另一个例子:一个人宁愿他的电脑在截止日期的后一天感染恶意软件,而我们认为EF不足以处理时间关键型资产,并提出了一个升级版本,该版本考虑了正在考虑的时间实例的关键性。这启发了以下定义。定义3.1(EFCT)关键时间内的暴露因子,简称EFCT,表示特定时间实例的关键性对EF的影响如下:EFCT=(EF+CTF)−(EF×CTF)CTF是表示特定时间实例的关键性百分比的关键时间因子欧洲会议城镇联合会的定义也许更容易用集合论来解释。让我们把+看作集合并运算符,把-看作集合差运算符,把×作为集合交集运算符。新的指示器采用两个分量集EF和CTF,将它们合并,然后减去它们的交集。直觉上,结果集不会大于两个组件集的并集,也不会小于较小组件的较大组件集。从数字上看,协商信托基金只能使欧洲会议成果信托基金的增加超过欧洲基金。同样,我们知道,最高的协商信托基金将把会议城镇联合会提高到最高水平,的EF。这些简单的观察构成了下面这个双重命题的基础。提案3.2• 如果CTF = 0,则EFCT = EF。• 如果CTF = 1,则EFCT = 1。同样的陈述可以简单地换用CFT和EF,如下面的命题。然而,即使EF为零,CTF的整体最终也会成为EFCT,这可能超出直觉。这意味着,即使是一个通常不感兴趣的资产,如果在关键时刻受到攻击,也会成为问题。似乎更直观的是,最高的EF产生最高的EFCT,而不考虑CTF。提案3.3G. Bella等人/理论计算机科学电子笔记168(2007)207213• 如果EF = 0,则EFCT = CTF。• 如果EF = 1,则EFCT = 1。EF和CTF均未达到极限的中间情况可能更相关。它们在后面的表2中举例。然而,在说明该表之前,我们必须注意到,所有传统上以EF计算的指标都应按欧洲会议城镇联合会重新计算,从而产生对关键时间因素敏感的定义3.4(AROCT、SLECT、ALECT和ROICT)• 关键时间内的年发生率,简称AROCT,是每年特定CTF的攻击发生率• 关键时间内的单次损失暴露,简称SLECT,是在特定CTF下的单次攻击的成本:SLECT=AV×EFCT• 关键时间内的年化损失预期,简称ALECT,是特定CTF每年的攻击ALECT=SLECT×AROCT• 关键时间的投资回报率(ROICT),简称为ROICT,是针对特定CTF的攻击,企业投资的经济回报率:ROICT=(ALECT×MR)−CSICSI我们现在可以继续描述表2。它说明欧洲会议城镇联合会与欧洲增强家庭的比较以及对相关指标的影响。我们的三个工作示例是为了演示而考虑的。让我们考虑第一个资产。其经典EF约为30%,因为演示机在正常时间段内并不特别重要。 但它的EFCT上升到96.5%,因为这里考虑的CTF很高,例如,一场公众示威。因此,SLECT比SLE高得多,几乎达到AV。也可以看出,AROCT比ARO低得多,因为它假设公开示威可以依靠最大限度的预防措施使事情顺利进行。尽管如此,ALECT仍然比ALE高出约50%。第二个资产是通常用于进行长时间实验的大型仿真基础设施。高CTF指的是当一个非常长的实验即将结束它对SLECT的影响是净的。假设基础设施受到攻击,其发生率与CTF无关。这是从这样一个假设出发的,即随着时间的推移,总是采取同样的这一假设对ALECT有重大影响,它大约是ALE的2.5倍。类似的考虑适用于最后一项资产,尽管金额较小。该分析可以容易地继续以相对于ROI来研究ROICT214G. Bella等人/理论计算机科学电子笔记168(2007)207资产CTF城镇联合AROCTSLECTALECT产品展示百分之九十五96.5%百分之二十五4825美元1206.25美元仿真基础设施百分之九十八98.8%百分之六十29640美元17784美元研究者百分之九十91.5%百分之二十2745美元549美元表2展示欧洲会议城镇联合会和相关指标。3.2报复下的暴露因素最近对安全问题的分析观点是报复[4]。 虽然目前肯定会被社会拒绝,但报复可能会在数字安全方面开辟新的有趣的视角。这个概念最初是在安全协议的上下文中阐述的[3]。20年的研究成果已经花费在分析安全协议上。这样的分析要么找到协议漏洞,要么证明协议对攻击免疫。已经发表了许多论文来报告以前未知的协议错误,并且通常得出相同的结论:必须重新设计协议,因为它是错误的。现代安全经济学[1]告诉我们,在实践中,即使有严重的证据表明安全系统是令人敬畏的,也不可能该系统可能已经得到广泛部署,因此,全球更换该系统的费用将使任何企业望而却步。对目前激烈辩论的一个重要贡献是,如果发现攻击可能遭到报复,有机会继续使用一个令人敬畏的系统,而不必太担心攻击总是在执行攻击的风险和随之而来的好处之间进行平衡的决定的结果。从法律的角度来看,报复的机会可能会对平衡产生有利的影响。如果一个竞争对手感染一屋子电脑的可能性很大,那么谁会感染那个竞争对手的电脑呢?报复实际上可能被视为一种保持异质系统稳定的策略,不幸的是,在道德问题似乎令人厌倦的环境中。我们在这里的贡献是将报复的概念从安全协议的具体设置推广到广泛的安全设置。工业间谍,这是一个众所周知的,但几乎没有记录的现实,可以说是在这个非常范式的收益:间谍竞争对手,但永远不会允许他们利用这种间谍活动。因此,我们认为,经典的EF必须升级,以考虑对可以报复的资产的攻击。这启发了以下定义。定义3.5(EFR)报复下的暴露因子(Exposure Factor under Retaliation,简称EFR)表示对资产进行报复攻击的机会对EF的影响,如下所示:EFR=EF×(1−RF)RF是表示可以执行的报复百分比的报复因子同样在这种情况下,用集合论的解释可能有助于读者的理解G. Bella等人/理论计算机科学电子笔记168(2007)207215直觉−和×运算符通常可以解释为集差和集交。有趣的是,在数值上注意到,零RF使EFR不变为EF,而最高RF使EFR下降为零,而不管EF如何。这些简单的观察构成了下面这个双重命题的基础。提案3.6• 如果RF = 0,则EFR = EF。• 如果RF = 1,则EFR = 0。关注EF,很明显,空EF导致空EFR。而最高EF使EFR完全依赖于RF,如以下命题所述提案3.7• 如果EF = 0,则EFR = 0。• 如果EF = 1,则EFR = 1 −RF。这一命题的后果并非微不足道。它的第一个声明说,零损害意味着零报复,因为这是直观的。第二个亮点是,最高EF和最高RF一起使EFR降至零。一些思考可能会使人相信,这正是报复的精神。如果我们能完全报复,那么我们就能拿回被偷的东西所有指标通常都是常规百分比,因此范围在0和1之间。 然而,我们可以想象RF范围的右端是开放的。 这意味着报复甚至可以使最初引发它的行为的效果加倍或更多。有趣的是,EF为1和RF为2将产生EFR为-1,这实际上表示最初受到攻击但随后进行报复的实体的利益。正如前一节所做的那样,所有依赖于EF的指标都可以很容易地重新计算为依赖于EFR,如以下定义所述定义3.8(AROR、SLER、ALER和ROIR)• 报复年发生率(Annualized Rate of Occurrence with Retaliation,简称AROR)是每年发生的可以报复的攻击的发生• 单次损失暴露与报复,简称SLER,是可以报复的单次攻击的成本:SLER=AV×EFR• 有报复的年化损失预期,简称ALER,是可以报复的攻击每年的成本ALER=SLER×AROR• 报复性投资回报率(ROIR)是企业对可能遭到报复的攻击的投资的经济回报ROIR=(ALER×MR)−CSICSI216G. Bella等人/理论计算机科学电子笔记168(2007)207可以看出,一个非常小的ALER,即一个实际上表示受攻击企业受益的负数,将产生负的ROIR。这不仅表明安全投资是不方便的,而且还表达了一个悖论,即企业宁愿从受到攻击然后进行报复中受益。据我们所知,这是第一次在风险分析中考虑负面与正面结果。表3的描述很有意思。假设对第一个资产的攻击有很小的报复机会,25%。这适度地将EFR与EF区分开来。因此,SLE和SLER之间出现了类似的微小差异。只有15%的AROR被认为比ARO低得多,因为可以报复的攻击比不能报复的攻击要好,因此悲观地认为更罕见。这会产生比相应ALE小得多的ALER。这样的结论似乎是积极的,但事实并非如此。这仅仅是由于较小的AROR,而不是报复的好处。这些更好地反映了SLER。第二种资产的报复因子同样较低,但ARO和AROR之间没有变化有了这个非常静态的资产,可以合理地假设,可以报复的攻击与不能报复的攻击发生的速度相同。这与第一项资产形成对比。对第一项资产的考虑同样适用于SLER和AROR。第三项资产在此表中获得利息。假设当单个研究者的机器受到攻击时,研究者有足够的知识来学习并对攻击者做同样的事情。他甚至可能最现实地改进攻击方法,正如目前的统计数据所证实的那样。这里有一个130%的RF,产生一个负的EFR,精确地说是-4.5%。负SLER意味着最初被攻击的研究人员实际上将从攻击中获利135美元!负ALER也反映此设置。因为MR和CSI从不为负,所以负ALER产生负ROIR。这清楚地表明,任何防止攻击的安全投资在技术上都是不方便的:研究人员从被攻击然后反击中受益。资产RFEFRARORSLERALER产品展示百分之二十五百分之二十三百分之十五一千一百五十元172.5美元仿真基础设施百分之二十五百分之三十百分之六十九千块5400美元研究者百分之一百三十-4.5%百分之二十-135美元-27美元表3演示EFR和相关指标。3.3降低串通面对单个攻击者与面对一个为同一非法目的工作的攻击者团队通常是不同的自20世纪70年代以来,计算机安全研究人员一直认为这个问题是决定性的。一个安全措施可以抵御一个攻击者,但无法抵御另一个。因此,任何安全声明都是G. Bella等人/理论计算机科学电子笔记168(2007)207217这取决于假设操作的攻击者的类型。这一研究领域的一个里程碑是Dolev和Yao的工作[6]。他们提出了一个正式的帐户对计算机安全的威胁,并得出了辉煌的结论,任何一组勾结的攻击者在功能上相当于一个超级强大的攻击者。这里的等价性意味着攻击者集合可以完成的任何非法操作,也意味着单个超级攻击者可以完成。值得注意的是,这种攻击者模型已经被计算机安全研究人员采用了大约二十年。然而,它的年龄开始显示[2],因为目前针对计算机安全的共谋并不总是必要或期望的。攻击性技能变得容易和便宜的获得,所以目前的设置看到大量的攻击者每个人都为自己的利益而工作。值得注意的是,我们这里的处理面向企业必须面对的任何安全问题,而不仅仅是计算机安全问题。如果说Dolev-Yao威胁模型对于当今的计算机安全来说是相当不现实的,这是有争议的,那么毫无疑问,它对于一般的安全来说是完全不合适的。最好的例子可能来自电影,这些电影讲述了一群串通好的劫匪对银行或赌场的袭击。很明显,一个单一的攻击者会在这样一个苛刻的目标上失败即使在一个宝藏周围放置了许多由视网膜扫描仪操作的坚固的防盗合金门,也无法保护宝藏免受同样数量的神风敢死队加上一名队长的攻击。如果这些示例再次证实了设置威胁模型的重要性,则还需要进行详细的风险分析,以说明一个和多个合谋攻击者之间的缓解的风险[5]很容易反映采取安全措施后安全攻击的适度百分比。此指标似乎过于静态,无法说明针对单个攻击者和攻击者团队的缓解措施。这一关注激发了以下定义。定义3.9(MRC)降低的共谋风险,简称MRC,表示攻击者共谋对MR的影响如下:MRC=MR×(MR−CF)CF是表示攻击者共谋百分比的共谋因子。与3.6和3.7相同的命题可以在这里陈述,用MRC替换EFR,用MR替换EF,用CF替换RF。类似的考虑也适用。如果CF为空,则MRC等于MR。此外,如果风险完全减轻,即MR为1,但CF也为1,则MRC下降到0。最高的CF表示理论上有无限数量的攻击者,可以想象他们会破坏任何安全措施。在MRC之后,ROI也可以很容易地增加,如下所示5请注意,攻击者合谋的百分比CF取决于我们考虑的应用程序、协议和系统的类型。218G. Bella等人/理论计算机科学电子笔记168(2007)207定义状态。定义3.10(ROIC)反共谋投资回报率(Return On Investment against,ROIC)是企业投资抵御一个或多个共谋攻击者发起的攻击的经济回报率ROIC=(ALE?MRC)−CSICSI表4举例说明了本节所界定的指标。可以看出,由于高CF,第一资产的MRC显著降低了MR,这是现实的,因为机器的重要性。因此,虽然ROI是中等积极的,但ROIC是显著消极的,表示针对单个攻击者或针对相当大的勾结攻击者团队(如CF=45%所示)采取相关安全措施之间的巨大差异这种差异准确地提醒企业防范分布在各种相关战线上的攻击。所考虑的安全措施对他们不会有效。作为横向观察,让我们考虑第四列。这表明,安全投资成本总是低于ALE,因为它是合理的。在第二种资产的情况下,它相对较低。在这里,MRC也比MR低得多,但差异小于第一种情况。因此,ROI和ROIC并不像第一个资产那样相距甚远,尽管它们仍然表明安全措施只能对单个攻击者有效。第三个资产显示出与其ALE相比较高的CSI。CF是低的,因为我们假设个人可以看出,MRC仅适度降低MR,具有ROI的ROIC也是如此。对单个攻击者有效的相关安全措施对相对较小的黑客团队仍然有效。资产CSICF先生MRCROIROIC产品展示六百块百分之四十五百分之八十五46.75%16.87%-35.71%仿真基础设施4500元百分之三十五百分之七十五百分之四十五百分之二十-22%研究者70美元百分之十百分之九十百分之八十一15.71%4.14%表4展示MRC和相关指标。4结论风险分析可能是风险管理过程的主要阶段,因为它提供了评估风险和决定后续安全投资的数学方法近年来,它变得越来越重要,最近任何中型或大型企业都在这一过程中进行了一些投资。风险分析的定量方法中定义了各种指标。一个重要的因素,暴露因素,表达了一个成功G. Bella等人/理论计算机科学电子笔记168(2007)207219对企业造成的威胁。另一个重要指标,即缓解风险,正式证明安全措施在抵御威胁方面的成功。本文提出了三个新的指标,其中两个是暴露因子的修正因子,另一个是缓解风险的修正因子我们的关键时间暴露因子(EFCT)表达了时间关键性对EF的影响。报复暴露因子(Exposure Factor against Retaliation,EFR)表示报复的机会如何影响报复暴露因子.降低共谋风险我们已经看到了模拟结果,以证明这三个调制器可以带来的新见解。所有用EF定义的基本指标,如SLE和ALE,或用MR定义的基本指标,如ROI,都必须用EFCT、EFR和MRC重新定义,如果我们包括经典指标,就会产生四组兄弟指标。因此,企业可以先计算经典集合,然后计算我们的三个增广集合。对相关指标(如SLE和SLECT或ALE和ALER)之间的最终差异进行评估,将证实必须注意增强指标所考虑的方面,如时间关键性或报复。作为未来的工作,我们计划调查我们引入的新指标的可接受阈值,我们计划为指标(ARO,EF,CFT,RF和CF)使用值的区间(而不仅仅是一个)。使用区间,我们可以考虑到与上述指标的估计有关的不确定性。然后,我们计划通过在相同的真实案例中测试来研究我们的新指标的有效性。我们目前的研究证实,风险分析的研究受到强烈的推动,并稳步推进。引用[1] 安德森河,“Security Engineering: A Guide to Building Dependable Distributed Systems,” Wiley,[2] Bella,G.和S.李文,等.安全协议分析中的软约束问题.北京:计算机科学出版社,1999.程序. 4(2004),pp. 545-572[3] 贝拉,G.,S. Bistarelli和F. Massacci,A protocol3比18[4] 贝 拉, G., S. Bistarelli和 F. 《 报 复 : 我 们能 与 缺陷 共 存吗 ? 》 ( Retaliation: Can We Live withFlaws?,in:M. Essaidi和J. Thomas,编辑,《北约信息安全保障与安全集》(2005年)。[5] Bistarelli,S.,F. Fioravanti和P. Peretti,安全投资经济评估的防御树,在:第一届可用性,可靠性和安全性国际会议(ARES416-423.[6] Dolev,D.和A. Yao,关于公钥协议的安全性,IEEE Transactions on Information Theory2(1983),pp.198-208.[7] 詹金斯湾D、安全风险分析和管理,白皮书,Norman Data Defense Systems,Inc. (1998年)。[8] 克劳斯,M。和H. F.信息安全管理手册,奥尔巴赫出版社,1999年220G. Bella等人/理论计算机科学电子笔记168(2007)207[9] 克鲁茨河L.,R. D. Vines和E. M. Stroz,[10] Meritt,J.W.,一种定量风险分析的方法,见:第22届全国信息系统安全会议论文集,1999。[11]Sonnenreich , W. , J. Albanese 和 B. 证 券 投 资 收 益 率 ( ROSI ) : 一 个 实 用 的 量 化 模 型 , 载 于 : E.Fern'andez-Me dina,J. C. 他在我身边。 J. 《信息系统科学》杂志,2000年。第三届国际信息系统安全讲习班(WOSIS与ICEIS239-252.[12] Stoneburner,G.,A. Goguen和A. Feringa,信息技术系统风险管理指南,NIST特别出版物800
我的内容管理
展开
