企業(yè)信息安全于風險評估方法的研究.pdf

1、“信息化促進工業(yè)化,工業(yè)化帶動信息化”,現(xiàn)代工業(yè)化的發(fā)展已經(jīng)完全離不開信息平臺的支撐。然而,作為企業(yè)的老總,在深知信息系統(tǒng)存在安全風險的同時,更想知道其中的主要風險是什么,怎樣做才能提高企業(yè)信息系統(tǒng)的安全水平。采用信息系統(tǒng)風險評估可以對企業(yè)信息系統(tǒng)的安全狀況作出一個客觀的評價,依據(jù)評估的結(jié)果進行建設,可以做到有的放矢,漸入佳境。在眾多的信息系統(tǒng)安全風險評估方法中,定性和定量是兩個主流方法。
　　 定量評估方法更能直觀地反映出信息

2、系統(tǒng)的安全水平,深受評估單位的歡迎。但由于企業(yè),尤其是大企業(yè)信息系統(tǒng)廣大,人員較多,網(wǎng)絡結(jié)構(gòu)和設備繁雜,采用普通的定量評估方法是不現(xiàn)實的,而采取簡單的抽樣性評估,結(jié)果也是不精確的。因而急需研究一套適用于企業(yè)的信息安全風險評估方法。即信息安全風險評估企業(yè)定量方法。
　　 信息安全風險評估企業(yè)定量方法,就是依據(jù)企業(yè),尤其是大型企業(yè)的特點,根據(jù)確定的評估內(nèi)容,評估流程,在眾多的信息系統(tǒng),眾多的人員與設備中,采用分類分別計算比例的方法,

3、合理的選定評估對象,采樣數(shù)量。同時,依據(jù)企業(yè)信息系統(tǒng)中資產(chǎn)價值,威脅性和脆弱性三者之間的函數(shù)關(guān)系,選取恰當?shù)倪m合企業(yè)的風險計算數(shù)學方法,合理的計算企業(yè)信息安全風險評估數(shù)值。這對于企業(yè),尤其是大型企業(yè)是很有用的,也是非常有意義的。
　　 本文在對信息安全風險評估企業(yè)定量方法研究的同時,給出了應用該方法開展的企業(yè)信息安全風險評估項目實例,即燕山石化公司最近實施的信息安全風險評估項目。在較為準確地確定了評估對象和采樣數(shù)量的基礎上,實施