信息安全風(fēng)險(xiǎn)管理模型的研究與應(yīng)用.pdf

1、隨著信息技術(shù)的發(fā)展和社會信息化進(jìn)程的加快，國民經(jīng)濟(jì)對信息和信息系統(tǒng)的依賴越來越大。因此，信息的安全性引起了人們的高度重視。信息安全管理的本質(zhì)問題是風(fēng)險(xiǎn)管理，安全與風(fēng)險(xiǎn)是密不可分的，沒有絕對的安全也沒有徹底的風(fēng)險(xiǎn)。本文通過對風(fēng)險(xiǎn)管理相關(guān)技術(shù)和當(dāng)前存在的風(fēng)險(xiǎn)管理模型的研究，提出了一個(gè)信息安全風(fēng)險(xiǎn)管理模型，該風(fēng)險(xiǎn)管理模型主要分兩個(gè)子系統(tǒng)分別為風(fēng)險(xiǎn)評估子系統(tǒng)和風(fēng)險(xiǎn)消減子系統(tǒng)，分別完成了系統(tǒng)的風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處理措施。 風(fēng)險(xiǎn)評估子系統(tǒng)包括信

2、息收集庫和信息分析層，主要完成系統(tǒng)安全信息的收集，安全信息的評估。風(fēng)險(xiǎn)消減子系統(tǒng)包括風(fēng)險(xiǎn)消減層，主要針對安全評估結(jié)果采取響應(yīng)的措施。消減層又分為預(yù)報(bào)模塊和處理模塊，預(yù)報(bào)模塊提供郵件通知措施；處理模塊根據(jù)風(fēng)險(xiǎn)評估模塊產(chǎn)生的風(fēng)險(xiǎn)評估報(bào)告對系統(tǒng)進(jìn)行風(fēng)險(xiǎn)處理。 風(fēng)險(xiǎn)評估是風(fēng)險(xiǎn)管理的核心，它根據(jù)資產(chǎn)分析、漏洞掃描和威脅識別結(jié)果采用相應(yīng)的風(fēng)險(xiǎn)評估方法對評估系統(tǒng)做出定性或定量的評估。本文提出了一種基于模糊數(shù)學(xué)的綜合風(fēng)險(xiǎn)評估模型，該模型首先利用