一种面向业务的风险评估模型

被引：18

作者：

李斌 ^{[1
]}

谢丰 ^{[1
]}

陈钟 ^{[2
]}

机构：

[1] 中国信息安全测评中心

[2] 北京大学信息科学技术学院

来源：

计算机研究与发展 | 2011年 / 48卷 / 09期

关键词：

风险评估; 业务需求; 业务过程; 属性归纳; Markov模型;

D O I：

暂无

中图分类号：

TP309 [安全保密];

学科分类号：

081206 [计算机网络与安全];

摘要：

当前主流的信息安全风险评估关注于资产损失,而忽视了对业务的影响.提出了一种面向业务的风险评估模型.该模型从业务安全需求出发,将机密性、完整性和可用性等安全属性引入风险评估过程中,通过评估对业务过程的影响来量化风险.将传统风险评估的资产要素视为业务的支撑,采用层次化方法依次分析资产风险、业务过程风险和业务风险.各风险要素采用面向属性归纳和聚类方法进行概化分析,并采用Markov模型描述业务过程的风险传导.最后以某网上银行交易系统风险进行模型验证.理论分析和实验结果表明,该模型能够将传统的资产风险转化为业务风险,从机密性、完整性和可用性3个安全属性进行度量,从而体现业务安全需求.

引用

页码：1634 / 1642

页数：9