信息安全風(fēng)險(xiǎn)評(píng)估量化方法研究.pdf

1、隨著信息技術(shù)的發(fā)展，信息系統(tǒng)在國(guó)家的政治、軍事和經(jīng)濟(jì)領(lǐng)域的廣泛應(yīng)用，整個(gè)社會(huì)對(duì)信息系統(tǒng)的依賴性越來(lái)越大，信息系統(tǒng)的安全問(wèn)題已成為關(guān)系經(jīng)濟(jì)穩(wěn)定發(fā)展和國(guó)家安全的社會(huì)問(wèn)題。對(duì)信息系統(tǒng)進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估，選擇有效的防范措施，主動(dòng)防御信息威脅是解決信息系統(tǒng)安全問(wèn)題的關(guān)鍵所在。 針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)際需求和現(xiàn)狀，在國(guó)家高技術(shù)發(fā)展研究計(jì)劃“863”系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估方法研究”(編號(hào)2002AAl42151)和河北省科技攻關(guān)計(jì)劃“信息網(wǎng)

2、絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估模型研究”(編號(hào)042135127)等項(xiàng)目的資助下，本文將層次分析法(AHP)、模糊數(shù)學(xué)、神經(jīng)網(wǎng)絡(luò)、小波分析等學(xué)科的最新研究成果進(jìn)行有機(jī)的結(jié)合，應(yīng)用于信息安全的風(fēng)險(xiǎn)評(píng)估。從解決信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中的關(guān)鍵問(wèn)題入手，研究了信息安全風(fēng)險(xiǎn)評(píng)估的量化方法，并通過(guò)案例分析對(duì)風(fēng)險(xiǎn)評(píng)估量化方法進(jìn)行了驗(yàn)證，為信息安全的風(fēng)險(xiǎn)評(píng)估提供理論算法依據(jù)和技術(shù)支撐。 本文的主要研究工作和創(chuàng)新點(diǎn)如下： 1.風(fēng)險(xiǎn)評(píng)估過(guò)程中的關(guān)鍵問(wèn)題

3、及解決辦法。對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程中的關(guān)鍵技術(shù)問(wèn)題進(jìn)行了分析，并提出了相應(yīng)的解決方法。即針對(duì)信息系統(tǒng)完整性問(wèn)題，建立了信息系統(tǒng)安全框架的模型；對(duì)于信息資產(chǎn)識(shí)別，提出以資產(chǎn)組為單位進(jìn)行識(shí)別的方法，使資產(chǎn)識(shí)別的工作量得以減少；對(duì)于資產(chǎn)的賦值，提出了不同資產(chǎn)的保密性、完整性和可用性(CIA)的權(quán)值不同、CIA本身的拆分賦值等方法；對(duì)于威脅識(shí)別，提出了威脅的獲取方法以及威脅發(fā)生的可能性的確定方法；對(duì)于脆弱性評(píng)估，分析了脆弱性評(píng)估過(guò)程中可能出現(xiàn)的新的風(fēng)險(xiǎn)

4、并提出了應(yīng)對(duì)措施。 2.基于模糊層次法的風(fēng)險(xiǎn)評(píng)估方法。針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的不確定性和當(dāng)前評(píng)估手段的主觀性，提出模糊層次分析法，以實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)因素的主、客觀評(píng)估的有機(jī)結(jié)合。通過(guò)對(duì)層次分析法和模糊評(píng)價(jià)法分別進(jìn)行改進(jìn)，將二者有機(jī)結(jié)合，分析和評(píng)估風(fēng)險(xiǎn)事件發(fā)生的概率和影響，以確定各風(fēng)險(xiǎn)因素的風(fēng)險(xiǎn)等級(jí)，并給出了信息系統(tǒng)的風(fēng)險(xiǎn)控制建議。算例表明：該算法結(jié)果符合實(shí)際，是一種有效且操作性強(qiáng)的方法。 3.基于信息熵的風(fēng)險(xiǎn)評(píng)估方法。針對(duì)當(dāng)前對(duì)

5、信息系統(tǒng)整體風(fēng)險(xiǎn)等級(jí)缺乏有效的評(píng)估手段這一現(xiàn)狀，將信息熵應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域。首先定義了風(fēng)險(xiǎn)度是風(fēng)險(xiǎn)概率和風(fēng)險(xiǎn)影響的似然估計(jì)，以風(fēng)險(xiǎn)度衡量整個(gè)信息系統(tǒng)的風(fēng)險(xiǎn)等級(jí)。針對(duì)風(fēng)險(xiǎn)事件發(fā)生的概率和所產(chǎn)生影響的估計(jì)具有一定的模糊性這一問(wèn)題，采用模糊綜合評(píng)判法來(lái)評(píng)價(jià)風(fēng)險(xiǎn)因素。在風(fēng)險(xiǎn)因素的模糊綜合評(píng)判中，對(duì)每個(gè)風(fēng)險(xiǎn)事件的權(quán)值采用熵權(quán)系數(shù)法獲得，克服了專(zhuān)家直接賦值的主觀性。將模糊綜合評(píng)價(jià)法和信息熵相結(jié)合，求出風(fēng)險(xiǎn)度，為信息系統(tǒng)劃分風(fēng)險(xiǎn)等級(jí)。示例說(shuō)明

6、了算法的應(yīng)用結(jié)果，表明該方法切合實(shí)際，實(shí)用可行。 4.基于模糊.小波神經(jīng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估方法。針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的不確定性和復(fù)雜性以及當(dāng)前手段的局限性，將人工神經(jīng)網(wǎng)絡(luò)(ANN)理論應(yīng)用到風(fēng)險(xiǎn)評(píng)估，提出了基于模糊神經(jīng)網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估方法。首先將人工神經(jīng)網(wǎng)絡(luò)應(yīng)用于信息系統(tǒng)風(fēng)險(xiǎn)因素評(píng)估，對(duì)神經(jīng)網(wǎng)絡(luò)的輸入進(jìn)行了預(yù)處理，將模糊系統(tǒng)的輸出作為神經(jīng)網(wǎng)絡(luò)的輸入。人工神經(jīng)網(wǎng)絡(luò)經(jīng)過(guò)訓(xùn)練，可以實(shí)時(shí)地估算風(fēng)險(xiǎn)因素的級(jí)別。然后提出了一種信息安全風(fēng)險(xiǎn)評(píng)估的小波神經(jīng)網(wǎng)