基于《信息安全風(fēng)險(xiǎn)評(píng)估指南》的風(fēng)險(xiǎn)量化模型研究及實(shí)踐.pdf

1、隨著我國(guó)社會(huì)信息化進(jìn)程的全面加快,國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴性越來(lái)越大,因此信息安全保障越來(lái)越受到業(yè)內(nèi)人士的關(guān)注。而風(fēng)險(xiǎn)評(píng)估作為信息安全管理的一個(gè)重要環(huán)節(jié),對(duì)保障企事業(yè)的基礎(chǔ)信息系統(tǒng)安全有著非常重要的作用。然而,信息安全風(fēng)險(xiǎn)評(píng)估在國(guó)內(nèi)才剛剛起步,尚無(wú)有效的風(fēng)險(xiǎn)量化模型算法和支撐軟件。論文以2005年頒布的國(guó)標(biāo)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》為背景,參照其評(píng)估流程和計(jì)算思想,給出了一套具有可操作性的信息安全風(fēng)險(xiǎn)評(píng)估量

2、化模型。論文的主要進(jìn)展如下:1、風(fēng)險(xiǎn)綜合值計(jì)算模型子系統(tǒng)構(gòu)建首先針對(duì)國(guó)標(biāo)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》風(fēng)險(xiǎn)計(jì)算模型比較宏觀、可實(shí)施性有待細(xì)化等特點(diǎn),給出了風(fēng)險(xiǎn)綜合值計(jì)算模型總體框架。目前國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估大都以定性為主,論文在要素分析上則盡可能的采用定量方法,使得結(jié)果更加直觀、更有說(shuō)服力。2、給出了基于模糊綜合評(píng)判決策模型的風(fēng)險(xiǎn)事件發(fā)生可能性計(jì)算方法論文把風(fēng)險(xiǎn)評(píng)估要素威脅行為發(fā)生可能性、資產(chǎn)的脆弱程度、資產(chǎn)現(xiàn)有的安全措施三要素有機(jī)融合在一起,采

3、用模糊綜合評(píng)判方法,給出了風(fēng)險(xiǎn)事件發(fā)生可能性計(jì)算模型。3、基于成對(duì)比較判斷矩陣模型的風(fēng)險(xiǎn)影響定量分析方法研究根據(jù)被評(píng)估機(jī)構(gòu)的類型與職能選擇適當(dāng)?shù)挠绊懺u(píng)估項(xiàng),通過(guò)建立風(fēng)險(xiǎn)影響評(píng)估標(biāo)準(zhǔn)等手段,給出了一種基于成對(duì)比較判斷矩陣模型的風(fēng)險(xiǎn)影響定量分析方法。4、風(fēng)險(xiǎn)評(píng)估系統(tǒng)軟件的設(shè)計(jì)與實(shí)現(xiàn)根據(jù)該風(fēng)險(xiǎn)量化模型采用軟件工程方法設(shè)計(jì)出風(fēng)險(xiǎn)評(píng)估工具軟件,并選擇一個(gè)機(jī)構(gòu)作為該評(píng)估量化模型的案例研究。論文是省部級(jí)項(xiàng)目“重慶市電子政務(wù)外網(wǎng)安全綜合性能測(cè)評(píng)”(合同