-
风险可能性分析方法
【篇一:风险可能性分析方法】
文章编号
:1008-0570(2007)09-
0073-02
风险评估中威胁发生可能性
的定量分析方法<
/p>
qu titative meth thre ilityinris aiming
xiang
hong kang zhip ing
摘要
:
关键词
:
风险评估
;
定量分析
;
层次分析法
;
模糊综合评判
中图分类号
: tp393
文献标识码
: abstract:there
informationsystem, threatprobability
makesecurity policy
securitymeasures
more effective informationsystem risk
assessment threatprobability assessment
paperintroduces
threatprobability
firstly, quantitativeanalysis method
threatprobability using ahp
fuzzycomprehensive evaluation
informationsecurity risk assessment
papergives keywor ds:
risk assessment
quantitativeanalysis, ahp fuzzycompr
ehensive evaluation
险承受能力
,
威胁源受惩罚的可能性
,
资产对威
胁源的吸引力。
威胁源的行为动机每个威胁源
(
人
)
产
生威
人员才会变成潜在的
,
危险
的危胁源。
威胁源的攻击能力威胁源的技术等级越高
,
产生威胁的可能性越大。
主要包
括实施攻
近和逻辑上的接近
,
实施攻击者的组织能力。
威胁源拥有的资源攻击
人力资源
,
物质资源等。
威胁源的风险承受能力风险承受能力
,
是指攻击者愿意承受惩罚的程
度。
威胁源受惩罚的可能性攻击
上的罚款
等
,
这些惩罚对攻击者有一定的
的威慑
作用。
资产对威胁源的吸引力资产的价值越高
,
就越能引起攻击者的兴趣
,
受到威胁的可
能性就越大。
综上所述
,
威胁发生可能性的综合评价指标体系结构如图
所示。引言
随着信息技术在社会各个
领域的广泛运用
,
网络和信息系
统的基础性、
全局性作
突出
,
安全已成为系统中最重要的组成部分之一。为
给用户
提供信息
系统安全可靠的信心
,
各企事业单位正在积极进行信息系统
安
全风险评估并改进安全措施保障信息系统安全。信息安全风险
评
估一方面要评价风险发生的影响
,
另一方面要评估风险事件
发生可能<
/p>
性。风险事件发生可能性有三个决定因素
,
一是系统
的脆弱性
,
二是
威胁事件发生的可能性
,
三是系统的安全措施。
本文研究的
量分析方法。现有
方法
,
往往缺乏对威胁事件发生可能性
做具体的定量分析
,
只是
泛泛地比较各种资产的脆弱性
,
或各种威胁
的相对强弱等。本
文将综合运
权重的确定
2.1
威胁发生可能性的综
合评价指标项
建立科学合理的威胁评估指标体系
,
是威胁评估研究中
最
关键的一环。指标体系是威胁评估的基础
,
没有威胁评
估的指标
体
系
,
评估工作就无法进行。威胁事件发生的可能性受多种指标
的影响
,
根据文献
,
把威胁发生可能性的指标划分为
:
威胁源的
行为动机
,
威
胁源的攻击能力
,
威胁源拥有的资源
,
威胁源的风
硕士研究生基金项
目
:
国
邮局订阅号
:82-946 360
lc
技术应用
200 2.2
确定评
价指标集
权重的层次分析法
在这个过程中
,
关键是确定隶属函数。本文对
评
判矩阵指标集各评价项权重是至关重要的
,
反映了各个因素在综
的确
立
,
采用专家投票法
,
建立一个由人组成的评判组
,
每位专
合决策过程
< br>中所占有的地位或所起的作用
,
它直接影响到综合
家给每一个
评定
一个
决
策的结果。用层次分析法来对指标体系进行权重的分配是一
个等级。若
< br>
位专家上评定
为等级
中有
个人
,
20
世纪
70
年代中期提
出的。而
成对比较判断矩阵模型正是实现这一转化的关键
,
因而应用
该
3.3
模糊评判的综合结果分析
方法来确定
影响评估项的权重是具
有其科学性、合理性。其步
设由层次分析法求得的各因素权重模糊
向量
及模糊评判骤如下。
矩阵
采用
“
加权求和型
”
算法则有模糊合成运算得
到一个关于第一步
,
选择判断尺度量化规则。为了将两两比较的结果
最终等级的模糊子
集
数量化
,
需要有一个表示两个要素的相对重要性数量尺度
,
其中为
判断尺度。判断尺度有很多种
,
这里我们将采用层次分析法
中的最大
者。但是这种判定方法只适合于某第二步
,
< br>构造比较判断矩阵。判断
矩阵元素的值反映了评
些粗糙的定
估人员对各个评估项对于
最终结
果的相对重要性的认识。矩阵些更细致的问题
,
文介绍一种方法
,
给
出各等级的权分数
,
则可
内由评估人员根据实际情况构造判断矩阵
断尺度量化规则中所标度的数字。估分为
满分为
100,
各个评语的评
价值
第三步
,
用
方根法计算最大特征根及其对应特征向量。
并公式来计算其综合值得分。
特征向量计算公式
:
件实例来说明威
胁发生可能性的定量分析方法具
体实施步骤。首先
其中表示矩阵
中的元素
,n
代表矩阵的阶数。
政府战略发展计划。
第四步
,
判断矩阵的一致性检验。为了检验判断矩阵的一
其次
需要
计算他的一致性指标
ci
和随机一致性指标
ri
以及
所示。一致性比率
cr
。
为矩
阵阶数。
ri
值如表
随机一致性指标
ri
即认为判断矩阵
具有满意
的一致性
,
各项权重
无逻辑错误
,
否则
就需要重新调整判断矩阵中的
判断元素
,
直到使
之具有满意的一致性为止。
求得的特征向量
即为评价项的权重分
威胁发生可能性
的模糊综合评
判方法其一致性比率为
cr=0.07
风险承受能力
,
胁源
受惩罚的可能性
,
资产对威胁源的吸引力
}
。
矩阵
的得票总数
,
分母表示专家总数。
最后
,
计算威胁
发生可能性的综合值。威胁发生可能性的等级模糊子
集计算
:
3.2
单因素模糊评判矩阵的确立
=(0.0481,0.1222,0.2373,0.3080,0.2844)
因素
ui
生可能性的综合值
计算为
=73
。至此
,
就完成了威
矩阵
胁发生可能性的定量计算。
biogr aphy:long aiyang (1978
),male,han,hunan, changsha,
graduate
student nationaluniversity defensetechnology,
research area:database;yang
shuqiang(1968 ),male,han, hu-
nan,
changsha, researcher nationaluniversity
defensetechnology, research area:
distributed computing
databaseinterface
equipment{ readonly attribute modeleq
model; readonly attribute nameeq name;
readonly attribute
localeq local;
attribute numeq number;
定义设备
(equipment)
对
象接口
:
module corba{ interface object implementationdef
get_implementation(); interfacedef
get_interface();
湖南长沙国
防科技大学计
算机学院
)
龙爱阳
杨树强
(410073 equipment
ment_type); equipmenttype,equip-
(national univer sity
defensetechnology
,changsha hunan410073) long aiyang yang
shuqiang
通讯
中队
)
龙爱阳
(
收稿日期
:2007.7.03)(
修稿日
期
:2007.8.05) module corba
typedefunsign long equipment
type;
interface equipment authonlyattribute equipment
type
equipment_type; typedefsequence
equipmentseq;
务管理
egmis
不同的数据库放在不同节点的机器上
,
其中的数据
对用户是
透明的
,
通过
corba
规范中的
orb
可以实现对象的
位置透明性和实
现方法的透明性。作为一个多任务的分布式数
据库管理系统
,
它面临
同一时刻可能有多个用户同时对数据库
中的数据进行读和写操作
,
因
而需要采用多版本的并发控制技
术和多数据
。利用
corba
公共对象
服务规范中的多进程的事务处理和并发控制
技术来加强系统的可靠
性。
(
上接第
74
以此类推
,
可以依次求得其它各威胁事件发生可能性的综<
/p>
安全措施奠定基础。结束语
照国际国内风险评估方法
,
提出综合运用
层次分析法和模糊综
合评判
的方法。该方法避免了
“
多数人说了算
”,
可以比较容易地计算
各威胁事件发生可能性的大小综合值。本
文最
后以一个实际的
例子来阐述该方法在实践中的应用。
参考文献
[1]
胡万兵,赵彬
.
基于可能性计算模型的信息系统风险评估
系
统
设计
[j]
微计算机信息,
2006,22(1- 3)80-
82
。
[2]
国务院信息化工
作办公室
.
信息安全风险评估指南
< br>.2005
。
层次分析法引论
(m)
,北京:中国人民大学出版社
,
1990
。
作者简介
:
汉族
,
重庆铜梁人
,
硕士研究生
,
要研究方向
:
网络安全
教授
,
主要研究方向
:
网
络安全
,
软件工程。康治平
(
1981-
汉族
,
重庆巴南人
,
硕士研究生
,
主要研究方向
:
网络安全。
biogr aphy:ai ming (1975
tongliang,
结语
随着计算
机技术和网络
技术的不断发展
,
设备保
障信息化
也在不断深入
,
的需求。针对目前
企业设备保障信息资源表现出异构性、分布性、松散性
的特点
,
充分
利用现今
体系结构、分布式处理技术、
corba
技术规范构造综合集
成的设备保障信息平台。企业
信息系统的集
真正成为企业的战略支
撑
,
为企业的发展注入新的活力。
本文作者创新点
:
对应用
datex
、
corba
xml
三种技
术进行了研究
,
提出了应用的
cobra
技术规范解决企业设备
系统集成的信
息孤岛、
信息资源分散、系统应用关联性差、组织
实施快速保障服务困难等
问题
,
给出了设备对象的
idl
语言描
设计了一个基于
corba
的分布式
企业设备保障信息系统。
参考文献
[1]
赵彪等
.
供电企业生产信息管理系统关键技术的
探讨
[j]
微计
算机信息
,2004,20(1):40- 41
chongqing,master, main research
area:network - anghong (1964
chengdu,sichuanprovince,
doctor
,professor, main research area:network security,
software iping (1981
banan,chongqing,
master, main research area:network security.
重庆
重庆
重庆邮电大学计算机科学与
技术学院
)
艾明
(400065 (400044
重庆大学软件学院
)
向宏
(40
0030
大厦三楼
)
艾明
邮局订阅号
:82-946
《现场总线技术应用
200
【篇二:风险可能性分析方法】
[]
风险分析的程序
风险分析:认识项目可能存在的潜在风险因素,估
计这些因素发生的可能性及由
此造成的影响,分析为防止或减少不
利影响而采取对策的一系列。
它包括风险识别、风险估计、风险评价与对策研究四个基
本阶段。
项目决策分析中的风险分析应遵循以下程序:
首先从认识风险特征入手去识别风险因素
;
然后选择适当的方法估计
风险发生的可能性及其影响
;
其次,评价
风险程度,包括单个风险因素风险程度估计和对项目整
体风险程度估计
< br>;
最后,提出针对性的风险
对策,将进行归纳,提出风险分析结论。
[]
风险分析的基础<
/p>
1.
风险函数
描述风险有两个。一是事件发生的概率或可能性
(probability)
,二
是事件发生后对项
目目标的影响
(impact)
。风险可以用一个二元函数
描述:
其中:
p
为发生的
;i
为风险事件对项目目标的影响。
风险的大小或高低既与风险事件发生的概率成正比,也与风险事件
对项目目标的影响程度
成正比。
2.
风险影响
按照风险发生后对项目的影响大小,可以划分为五个影响等级。如
下表
13-4
所示:
3.
风险概率
按照风险因素发生的可能性,可以将风险概率划分为五个档次如下
表
13-5
所示:
4.
风险评价矩阵
(pim)
风险的大小可以用风险评价矩阵,也称概率
< br>-
影响矩阵来表示。它以
风险因素发生的概率为横坐标,
以风险因素发生后对项目的影响大
小为纵坐标,如图
13-5<
/p>
。
5.
风险等级
[]
风险分析的主要方法
一、
风险
综合评价的方法中,最常用、最简单的分析方法是通过调查专
家的意见,获得风险因素的
和发生概率,进而获得项目的整体风险
程度。其步骤主要包括:
1.
建立风险调查表。在风险识别完成后,建立投资项目主要
,将该
投资项目可能遇到的所有重要风险全部列入表中。
2.
判断风险权重。
3.
确定每个风险发生概率。可以采用
1-5
标度,分别表示可能性很
小、较小、中等、较大、很大
,代表
5
种程度。
4.
计算每个风险因素的等级。