關(guān)于信息系統(tǒng)安全風險量化模型的研究及實踐.pdf

1、信息安全風險評估，是依據(jù)國家有關(guān)信息安全技術(shù)標準，對信息系統(tǒng)進行科學評價并為受評機構(gòu)提供具體安全措施建議的過程。沒有準確及時的風險評估，機構(gòu)將無法對其信息安全的狀況做出準確的判斷。當今國內(nèi)風險評估面臨的最大挑戰(zhàn)，已經(jīng)不再是通用的理論方法和技術(shù)規(guī)范，而是評估方法的可操作性和有效性。論文以2005年頒布的國標草案《信息安全風險評估指南》為主要指導，并參考了GB17859-1999、BS7799、GAO/AIMD-99-139和NIST SP

2、800-30的管理控制思想及評估方法以及文獻[6]關(guān)于威脅發(fā)生可能性的計算方法，給出了一套具有可操作性的信息安全風險評估量化模型。 論文的主要成果如下： 1、管理及控制類風險量化模型:該模型的核心是建立管理控制評估的指標體系以及評估計算方法。論文從“技術(shù)”“人員”“操作”三個控制方面給出了十個大的評估項以及其下需要達到的具體評估目標。經(jīng)評估者分析評估最終能得到管理控制類風險等級以及機構(gòu)管理控制薄弱環(huán)節(jié)。 2、威脅

3、類的風險計算模型:論文綜合了影響威脅行為發(fā)生可能性因素，并基于從IDS獲取的事件數(shù)據(jù)分析和威脅對資產(chǎn)脆弱性的利用，設(shè)計出了外在威脅對資產(chǎn)脆弱性利用的風險值的定量計算模型。 3、風險綜合值計算子系統(tǒng):本文在融合內(nèi)在的管理控制類風險分析和外在的威脅類風險計算后，經(jīng)由二者決定的評估矩陣，最終獲取被評估系統(tǒng)風險綜合值。 4、基于成對比較判斷矩陣的資產(chǎn)賦值子系統(tǒng):該子系統(tǒng)首先以調(diào)查表的方式，從被評估機構(gòu)處獲取資產(chǎn)的相關(guān)資料，再由評