關(guān)于信息系統(tǒng)安全風(fēng)險(xiǎn)量化模型的研究及實(shí)踐.pdf

1、信息安全風(fēng)險(xiǎn)評(píng)估，是依據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)進(jìn)行科學(xué)評(píng)價(jià)并為受評(píng)機(jī)構(gòu)提供具體安全措施建議的過(guò)程。沒(méi)有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估，機(jī)構(gòu)將無(wú)法對(duì)其信息安全的狀況做出準(zhǔn)確的判斷。當(dāng)今國(guó)內(nèi)風(fēng)險(xiǎn)評(píng)估面臨的最大挑戰(zhàn)，已經(jīng)不再是通用的理論方法和技術(shù)規(guī)范，而是評(píng)估方法的可操作性和有效性。論文以2005年頒布的國(guó)標(biāo)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》為主要指導(dǎo)，并參考了GB17859-1999、BS7799、GAO/AIMD-99-139和NIST SP

2、800-30的管理控制思想及評(píng)估方法以及文獻(xiàn)[6]關(guān)于威脅發(fā)生可能性的計(jì)算方法，給出了一套具有可操作性的信息安全風(fēng)險(xiǎn)評(píng)估量化模型。 論文的主要成果如下： 1、管理及控制類(lèi)風(fēng)險(xiǎn)量化模型:該模型的核心是建立管理控制評(píng)估的指標(biāo)體系以及評(píng)估計(jì)算方法。論文從“技術(shù)”“人員”“操作”三個(gè)控制方面給出了十個(gè)大的評(píng)估項(xiàng)以及其下需要達(dá)到的具體評(píng)估目標(biāo)。經(jīng)評(píng)估者分析評(píng)估最終能得到管理控制類(lèi)風(fēng)險(xiǎn)等級(jí)以及機(jī)構(gòu)管理控制薄弱環(huán)節(jié)。 2、威脅

3、類(lèi)的風(fēng)險(xiǎn)計(jì)算模型:論文綜合了影響威脅行為發(fā)生可能性因素，并基于從IDS獲取的事件數(shù)據(jù)分析和威脅對(duì)資產(chǎn)脆弱性的利用，設(shè)計(jì)出了外在威脅對(duì)資產(chǎn)脆弱性利用的風(fēng)險(xiǎn)值的定量計(jì)算模型。 3、風(fēng)險(xiǎn)綜合值計(jì)算子系統(tǒng):本文在融合內(nèi)在的管理控制類(lèi)風(fēng)險(xiǎn)分析和外在的威脅類(lèi)風(fēng)險(xiǎn)計(jì)算后，經(jīng)由二者決定的評(píng)估矩陣，最終獲取被評(píng)估系統(tǒng)風(fēng)險(xiǎn)綜合值。 4、基于成對(duì)比較判斷矩陣的資產(chǎn)賦值子系統(tǒng):該子系統(tǒng)首先以調(diào)查表的方式，從被評(píng)估機(jī)構(gòu)處獲取資產(chǎn)的相關(guān)資料，再由評(píng)