国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　每個(gè)面對(duì)的相同問(wèn)題就是，如何準(zhǔn)確的衡量信息安全風(fēng)險(xiǎn)。在多數(shù)情況下，并沒(méi)有足夠的信息可以用于衡量風(fēng)險(xiǎn)，不過(guò)現(xiàn)在我們可以根據(jù)已知的數(shù)據(jù)泄漏事故來(lái)得出一些結(jié)論以及如何應(yīng)對(duì)信息安全的教訓(xùn)。

　　衡量風(fēng)險(xiǎn)

　　與某個(gè)事件相關(guān)的風(fēng)險(xiǎn)通常是指這個(gè)事件可能造成的平均損失，這也是預(yù)期年均損失(ALE)風(fēng)險(xiǎn)管理方法的基本依據(jù)。信息安全領(lǐng)域的人基本上都知道ALE方法，ALE甚至是CISSP CBK(信息系統(tǒng)安全認(rèn)證)的知識(shí)。但是，幾乎沒(méi)有人實(shí)際使用過(guò)這種方法。

　　ALE方法告訴我們可以通過(guò)將事故發(fā)生造成的損失與事件發(fā)生的可能性相乘來(lái)計(jì)算一個(gè)事件的風(fēng)險(xiǎn)。舉例來(lái)說(shuō)，某個(gè)事件可能造成1百萬(wàn)美元的損失，而每年發(fā)生的幾率是千分之一，那么這個(gè)事件的風(fēng)險(xiǎn)就是每年1000美元，將1百萬(wàn)乘以千分之一。

　　在信息安全領(lǐng)域使用ALE方法的最大問(wèn)題就是，我們通常都不知道具體事件將造成的損失以及事故發(fā)生的可能幾率。可能所有都存在可能被利用的漏洞(安全研究人員尚未發(fā)現(xiàn))，但是這些漏洞明年被發(fā)現(xiàn)的幾率是多少呢?如果發(fā)現(xiàn)了某個(gè)漏洞，那么如何準(zhǔn)確計(jì)算攻擊者利用這個(gè)漏洞所造成的損失呢?這些問(wèn)題都是很難解決的問(wèn)題，因此在信息安全領(lǐng)域，傳統(tǒng)的風(fēng)險(xiǎn)管理方法都是很有限的。

　　而在數(shù)據(jù)泄漏發(fā)明，卻存在很多可用的數(shù)據(jù)。開(kāi)放式軟件基金會(huì)(OSF)對(duì)2000多起數(shù)據(jù)泄漏事故進(jìn)行了追蹤調(diào)查，從他們的數(shù)據(jù)中，我們可以發(fā)現(xiàn)很多有趣的結(jié)論，下面就是自2006年1月起發(fā)生的數(shù)據(jù)泄漏圖示：

　　并不難看出圖中的數(shù)據(jù)泄漏事故發(fā)生次數(shù)的規(guī)律，但是如果我們?nèi)〕鲞@些數(shù)據(jù)的對(duì)數(shù)，會(huì)發(fā)現(xiàn)更有趣的現(xiàn)象，也就是正態(tài)曲線，我們有時(shí)也稱(chēng)為“鐘形曲線”。更有趣的是，數(shù)據(jù)泄漏事故的大小的對(duì)數(shù)也剛好形成正態(tài)分布，平均偏差為3.4，標(biāo)準(zhǔn)偏差為1.2。下圖將數(shù)據(jù)泄漏事故大小與正態(tài)分布圖進(jìn)行了對(duì)比：

　　這些數(shù)據(jù)泄漏事故確實(shí)存在某種規(guī)律，它符合所謂的對(duì)數(shù)正態(tài)分布，雖然數(shù)據(jù)泄漏次數(shù)本身不符合正態(tài)分布，但是數(shù)據(jù)的對(duì)數(shù)符合正態(tài)分布。

　　解析這些信息

　　知道數(shù)據(jù)泄漏事故的大小符合對(duì)數(shù)正態(tài)分布能夠告訴我們一些信息，但是不能告訴我們所有信息。

　　知道數(shù)據(jù)泄漏事故的大小符合對(duì)數(shù)正態(tài)分布并不能幫助我們預(yù)測(cè)下一次數(shù)據(jù)泄漏將要發(fā)生的時(shí)間，以及當(dāng)發(fā)生數(shù)據(jù)泄漏時(shí)將會(huì)有多少信息被泄漏，但是它能夠幫助我們預(yù)測(cè)幾周或者幾個(gè)月內(nèi)數(shù)據(jù)泄漏的發(fā)生幾率，能夠讓我們預(yù)測(cè)大約多久會(huì)發(fā)生一次泄漏1百萬(wàn)甚至更多數(shù)據(jù)的事故，或者讓我們預(yù)測(cè)明年至少會(huì)發(fā)生一次泄漏1百萬(wàn)多條數(shù)據(jù)的泄漏事故，這是非常重要的信息。

　　數(shù)據(jù)泄漏事故的大小符合對(duì)數(shù)正態(tài)分布甚至還可以告訴我們數(shù)據(jù)泄漏發(fā)生的方式。 當(dāng)我們觀察到的數(shù)據(jù)是擁有隨機(jī)分量的一個(gè)或者多個(gè)值相乘的結(jié)果時(shí)，我們就得到了對(duì)數(shù)正態(tài)分布圖。因?yàn)檫@是真實(shí)的，我們很自然就會(huì)想到數(shù)據(jù)泄漏是由于多個(gè)安全機(jī)制的一個(gè)機(jī)制發(fā)生的錯(cuò)誤而造成的，這些安全機(jī)制的影響結(jié)果相乘就得到了數(shù)據(jù)泄漏的總損失。

　　這確實(shí)是個(gè)合理的模型，但是對(duì)數(shù)正態(tài)分布在很多其他情況也會(huì)發(fā)生，有些也不能這樣解釋。特別是，以下列出的值符合對(duì)數(shù)正態(tài)分布，但是在這些情況下并不能肯定其中存在相乘的影響發(fā)生：

　　o 在礦石中提取金和鈾

　　o 細(xì)菌食物中毒的潛伏期

　　o Alzheimer疾病起始年齡

　　o 洛杉磯的大氣污染數(shù)量

　　o 魚(yú)種類(lèi)的數(shù)量

　　o 冰淇淋中冰晶的大小

　　o 電話談話中用詞的數(shù)量

　　因此，認(rèn)為數(shù)據(jù)泄漏是由于一個(gè)或者多個(gè)安全錯(cuò)誤的影響力相乘的結(jié)果實(shí)際上也許是個(gè)正確的觀點(diǎn)，也存在這樣的情況，出現(xiàn)的對(duì)數(shù)正態(tài)分布圖似乎與這種模型不存在有意義的關(guān)聯(lián)。

　　Benford定律

　　數(shù)據(jù)泄漏大小似乎也符合Bedford定律。

　　符合Benford定律的數(shù)據(jù)的起始數(shù)字并不太可能，較小起始數(shù)據(jù)比較大數(shù)據(jù)更據(jù)可能性。從1開(kāi)始是最普遍的，而且發(fā)生機(jī)率為30%。從9開(kāi)始是最少的，幾率為5%。

　　并不是所有數(shù)據(jù)都符合Benford定律，但是數(shù)據(jù)泄漏的大小確實(shí)符合，如下圖所示：

　　由重復(fù)相乘所得到的數(shù)據(jù)比較符合Benford定律。為了驗(yàn)證這個(gè)的正確性，可以嘗試追蹤每年增長(zhǎng)率為10%并且為期30年的投資。你會(huì)發(fā)現(xiàn)投資的值符合Benford定律。因?yàn)閿?shù)據(jù)泄漏事故的大小同樣符合Benford定于，這也讓我們?cè)俅未_定數(shù)據(jù)泄漏是由于一系列安全錯(cuò)誤的結(jié)果相乘造成的結(jié)果。

　　利用這個(gè)信息

　　既然我們知道有些方面的數(shù)據(jù)泄漏是可以預(yù)測(cè)的，那么我們應(yīng)該如何利用這些信息呢?其中一種方式就是衡量行業(yè)范圍內(nèi)為降低數(shù)據(jù)泄漏作出的改進(jìn)的有效性。我們也許會(huì)看到數(shù)據(jù)泄漏事故大小的對(duì)數(shù)的平均偏差將從3.4降到3.0，如果真的是這樣，那么我們就有證據(jù)證明作出的改進(jìn)是有效的。

　　事實(shí)上，我們并沒(méi)有太多關(guān)于安全事故(除數(shù)據(jù)泄漏外)的有效數(shù)據(jù)，但是也許其他事故的發(fā)生幾率也符合對(duì)數(shù)正態(tài)分布，這有待以后研究。

　　我們從這些信息中可以得到的是，我們目前還無(wú)法使用傳統(tǒng)的風(fēng)險(xiǎn)管理方法來(lái)管理現(xiàn)在數(shù)據(jù)泄漏問(wèn)題，但是這些信息讓我們得到了過(guò)去都沒(méi)有發(fā)現(xiàn)過(guò)的信息。了解數(shù)據(jù)泄漏的發(fā)生形式是很好的第一步。