信息安全風(fēng)險(xiǎn)量化方法研究.pdf

1、現(xiàn)實(shí)生活中，任何組織或個(gè)人都會(huì)面臨信息安全帶來(lái)的風(fēng)險(xiǎn)，然而，僅僅依靠技術(shù)的手段并不能從根本上避免信息安全風(fēng)險(xiǎn)的發(fā)生。一種高效科學(xué)的風(fēng)險(xiǎn)量化方法，有助于強(qiáng)化決策者對(duì)風(fēng)險(xiǎn)發(fā)生概率及其將會(huì)導(dǎo)致的損失的直觀認(rèn)識(shí)，從而正確有效地指導(dǎo)信息安全建設(shè)。根據(jù)風(fēng)險(xiǎn)評(píng)估的基本理論方法:風(fēng)險(xiǎn)(R)=發(fā)生概率(P)×損失（L），本文對(duì)這一公式中風(fēng)險(xiǎn)發(fā)生概率和風(fēng)險(xiǎn)物化所造成的損失分別進(jìn)行研究。
　　首先，本文從信息安全事件的概率分布規(guī)律出發(fā)，將信息安全事件發(fā)

2、生頻數(shù)看作離散隨機(jī)變量，通過(guò)統(tǒng)計(jì)推斷信息安全事件發(fā)生頻數(shù)服從泊松分布，并采用國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）統(tǒng)計(jì)數(shù)據(jù)驗(yàn)證這一推斷結(jié)果。在此基礎(chǔ)上，基于貝葉斯定理，建立泊松分布下的信息安全事件概率計(jì)算模型。根據(jù)泊松分布的概率質(zhì)量函數(shù)，計(jì)算信息安全事件發(fā)生頻數(shù)的先驗(yàn)概率分布;通過(guò)構(gòu)建似然函數(shù)調(diào)整先驗(yàn)概率分布，計(jì)算信息安全事件發(fā)生頻數(shù)后驗(yàn)概率分布。
　　其次，本文將VaR方法應(yīng)用于信息安全風(fēng)險(xiǎn)損失度量，選用蒙特卡羅模擬法計(jì)算一定

3、置信度下的信息安全風(fēng)險(xiǎn)最大損失(VaR)。并通過(guò)對(duì)該方法計(jì)算VaR進(jìn)行收斂性分析和準(zhǔn)確性檢驗(yàn)驗(yàn)證了該計(jì)算方法的有效性。為彌補(bǔ)VaR方法對(duì)尾部信息安全風(fēng)險(xiǎn)的測(cè)量的不充分性，本文提出用CVaR方法來(lái)度量信息安全尾部風(fēng)險(xiǎn)損失，分別描述收益率服從不同分布下來(lái)計(jì)算CVaR，并通過(guò)定義一個(gè)統(tǒng)計(jì)變量對(duì)CVaR計(jì)算結(jié)果進(jìn)行準(zhǔn)確性檢驗(yàn)。
　　最后，本文選用CNCERT/CC數(shù)據(jù)來(lái)計(jì)算信息安全風(fēng)險(xiǎn)發(fā)生概率，根據(jù)信息安全風(fēng)險(xiǎn)損失模型計(jì)算得出的最大可能損

4、失(VaR)和平均超值損失(CVaR)，計(jì)算信息安全風(fēng)險(xiǎn)值，驗(yàn)證了該信息安全風(fēng)險(xiǎn)量化方法的可行性，并可通過(guò)該方法有效指導(dǎo)信息安全建設(shè)。
　　本文研究成果為信息安全風(fēng)險(xiǎn)量化方法提出了新思路，豐富了信息安全風(fēng)險(xiǎn)度量方法，提供了風(fēng)險(xiǎn)管理理論和技術(shù)支持。從管理方面來(lái)說(shuō)，促進(jìn)資源優(yōu)化配置，合理安排信息安全資金投入，以更優(yōu)的費(fèi)效比進(jìn)行信息安全建設(shè)，減少因?yàn)樾畔踩录?lái)的損失;從技術(shù)方面來(lái)說(shuō)，提供了一個(gè)信息安全風(fēng)險(xiǎn)發(fā)生概率計(jì)算模型和一種信息