物联网的风险预测现状
发布时间:2022-07-22 09:40:49 所属栏目:安全 来源:互联网
导读:互联网的安全风险评估方法在最近的十年里发展迅速。这些风险评估方法为政府和企业机 构提供了一个可以防范相关安全风险的平台。随着网络系统复杂度以及自动化程度的提高,尤其在物联网系统领域,我们急需一种新的方法来评估网络风险以及建立信任体系。如果只
|
互联网的安全风险评估方法在最近的十年里发展迅速。这些风险评估方法为政府和企业机 构提供了一个可以防范相关安全风险的平台。随着网络系统复杂度以及自动化程度的提高,尤其在物联网系统领域,我们急需一种新的方法来评估网络风险以及建立信任体系。如果只是单纯的对现有网络风险评估方法进行简单的扩展,那么我们将不能很好的应对物联网系统特有的安全风险项。这些物联网特有的安全风险具有很高的联通性、数值连接性。现提出了一种充分考虑了物联网的特殊性的安全风险评估方法,并对该方法进行了严格的实践。 NIST方法是其中之一,因此,其第一步是识别威胁源和事件。在此之后,它主张在确定风险之前确定可能被利用的漏洞以及威胁事件的相应可能性和影响。然而,诸如OCTAVE之类的其他方法强调首先识别关键资产,然后根据这些资产如何受到威胁以及威胁的结果向外构建风险评估模型,通过这个过程,可以了解风险。以资产为导向的方法的好处是,它确保评估过程是以关键资产为中心,而非短暂威胁为指导的,而面向威胁的方法往往更好地迎合当前的威胁形势。 定性的衡量风险的方式也是一个有争议的领域。关于威胁的可能性和影响的评级,定性测量- 例如高、中、低的变化可以在大多数流行的定性的衡量方法中找到(例如,NIST SP800-30, ISO/ IEC 27001, OCTAVE)。其好处在于直观性,包括设定风险偏好,衡量风险(通过威胁可能性和影响评级的组合),以及将风险信息逐级传递。然而,定性方法的缺点是其主观性和缺乏精确性。例如,一个人对威胁的看法可能不符合他人的观点。 因此,人们提出了许多定量的风险评估方法来解决这一问题,这些方法的特点是引入概率来衡量风险值。虽然这些方法能够部分解决这一问题,但它们往往会引发其他重要问题。其中最常见的是分析的复杂性(容易出错并且难以与他人沟通),以及准确估计威胁事件发生概率和影响价值的准确性(缺乏足够的数据)。这些方面限制了定量分析技术的应用,并且在复杂且高度互连的系统中很少有已知的实用或成功案例。 除了上面提到的区别因素之外,还有一些其他领域有助于衡量风险值的评估方法,并且适用于我们的物联网环境。文献[2]的方法适用于风险传播或依赖的程度以及如何评估组织基础设施中的各种资源以及从何种角度进行评估;并且该方法优先考虑降低已知系统风险,或将分析扩展到未来情景并根据过去的经验进行假设。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号