監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 簽約案例 | 購(gòu)買價(jià)格 | 在線試用 | 手機(jī)APP | 產(chǎn)品資料
X 關(guān)閉

概率損失模型成風(fēng)險(xiǎn)評(píng)估新趨勢(shì)

申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114

文章來源:泛普軟件

近來安全業(yè)界對(duì)于最新的概率損失模型給予了前所未有的重視。當(dāng)企業(yè)試圖確定向安全技術(shù)投入多少資金和哪些資產(chǎn)需要保護(hù)時(shí),它們依靠的是一種將損失影響乘以損失概率的風(fēng)險(xiǎn)評(píng)估模型。

重新思考風(fēng)險(xiǎn)

長(zhǎng)期以來,用戶在進(jìn)行各種形式的風(fēng)險(xiǎn)評(píng)估工作時(shí),都會(huì)把精力放在企業(yè)的“核心資產(chǎn)的核心層上”,希望能夠?qū)⑵淞袨殚_支和防御預(yù)算的重中之重。這樣的思路屬于人之常情,但反過頭來想,這樣的評(píng)估是否就代表了企業(yè)的風(fēng)險(xiǎn)需求呢?或者說,這樣評(píng)估產(chǎn)生的結(jié)果是否最有價(jià)值呢?

目前國(guó)內(nèi)外主流安全論壇中流行一種說法,即將至關(guān)重要的公司信息資產(chǎn)比作是“女王王冠”。這種比喻在很多方面是恰當(dāng)?shù)?。顧名思義,價(jià)值連城的王冠當(dāng)然要受到多重安全措施的保護(hù),但事實(shí)是,它對(duì)于竊賊來說是非常糟糕的目標(biāo)。因?yàn)樗c眾不同了,因而也難以銷贓。若想賣掉這類物品,竊賊必須冒巨大的風(fēng)險(xiǎn)和忍受大出血的殺價(jià)。對(duì)竊賊來說,相比王冠他們更加青睞鈔票。

事實(shí)上,對(duì)于此類物品,不管它們是像王冠這樣的有形之物,還是像公司某些核心信息的無形資產(chǎn),都只值買家開出的價(jià)格。如果這種物品的市場(chǎng)太小或洗錢的風(fēng)險(xiǎn)太高,這個(gè)物品的價(jià)值必然大打折扣。但是,在使用傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估方法時(shí),大都只是此類物品遭竊的損失,而忽視竊賊潛在的收益。

新模型出爐

有意思的是,在近期舉行的中國(guó)首屆“IT治理與信息安全大會(huì)”上,以ISSA、ISACA為代表的一些安全組織提出了一種新的評(píng)估方法:概率損失模型。

這種模型的思路很簡(jiǎn)單:損失的影響是風(fēng)險(xiǎn)評(píng)估的非常重要的組成部分,它使企業(yè)可以比較保護(hù)某種資產(chǎn)安全的成本和收益。有意思的是,一些計(jì)算機(jī)罪犯也在通過類似的模型考慮信息盜竊所帶來的成本與收益。在選擇攻擊目標(biāo)時(shí),犯罪分子必須根據(jù)某種資產(chǎn)變現(xiàn)的難易程度考慮這種資產(chǎn)的折現(xiàn)價(jià)值。

舉例來看,企業(yè)最核心的信息資產(chǎn),如某些專利設(shè)計(jì)等,這些信息只有很少的買家,并會(huì)留下痕跡,因?yàn)樗膩碓春苋菀状_定。因此,很多攻擊者并不青睞這些信息。在大多數(shù)公司中,頻繁遭遇信息竊取的主要是與現(xiàn)金和金融工具有關(guān)的信息,比如保存在不同數(shù)據(jù)庫(kù)中的身份信息。根據(jù)IDC的統(tǒng)計(jì),全球身份偷竊市場(chǎng)規(guī)模龐大而且發(fā)展非??臁I矸菪畔⒃诤谑猩系钠骄鶅r(jià)格高達(dá)14~18美元,并可以匿名銷售,而且有大量的買主。

不難看出,傳統(tǒng)上很多企業(yè)花大價(jià)錢保護(hù)的信息資產(chǎn)基本無人問津。因此不少專業(yè)人士建議,企業(yè)應(yīng)當(dāng)利用概率損失模型,從新的思路考慮信息安全。當(dāng)公司試圖確定向安全技術(shù)投入多少資金和哪些資產(chǎn)需要保護(hù)時(shí),他們依靠一種將損失影響乘以損失概率的風(fēng)險(xiǎn)評(píng)估。反過來,損失的概率取決于攻擊率和資產(chǎn)的脆弱性。

概率損失模型的好處是,不僅可以計(jì)算出企業(yè)相關(guān)資產(chǎn)的脆弱性,而且可以確定被攻擊的概率。傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估模型都是采用根據(jù)大量攻擊報(bào)告得出的統(tǒng)計(jì)數(shù)據(jù)。然而,概率損失模型可以憑借攻擊的成功率與損失變現(xiàn)率對(duì)企業(yè)的信息資產(chǎn)進(jìn)行排序。換句話說,企業(yè)的核心信息雖然被關(guān)注,但企業(yè)的HR數(shù)據(jù)庫(kù)就像是一堆現(xiàn)金,誘人而且易于交易。因此,考慮這些因素的概率損失模型將會(huì)成為未來風(fēng)險(xiǎn)評(píng)估的新趨勢(shì)。(ccw-cnw)

 

發(fā)布:2007-04-22 09:20    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
西安OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普西安OA快博其他應(yīng)用

西安OA軟件 西安OA新聞動(dòng)態(tài) 西安OA信息化 西安OA快博 西安OA行業(yè)資訊 西安軟件開發(fā)公司 西安門禁系統(tǒng) 西安物業(yè)管理軟件 西安倉(cāng)庫(kù)管理軟件 西安餐飲管理軟件 西安網(wǎng)站建設(shè)公司