信息安全風(fēng)險評估系統(tǒng)的研究與開發(fā).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息借助于網(wǎng)絡(luò)快速的傳播，信息系統(tǒng)的安全性也受到來自多方面的威脅，因而，如何保證信息系統(tǒng)安全也日益被提到日程。在幾十年的系統(tǒng)安全研究中，人們也深刻認(rèn)識到：信息系統(tǒng)安全問題單憑技術(shù)是無法得到徹底解決的，它的解決涉及到法規(guī)政策、管理、標(biāo)準(zhǔn)、技術(shù)等方方面面，任何單一層次上的安全措施都不可能提供真正的全方位的安全，信息系統(tǒng)安全問題的解決更應(yīng)該站在系統(tǒng)工程的角度來考慮。在這項(xiàng)系統(tǒng)工程中，信息系統(tǒng)安全風(fēng)險分析和評估占有重要的

2、地位，它是信息系統(tǒng)安全的基礎(chǔ)和前提。 信息系統(tǒng)安全風(fēng)險分析是針對包括系統(tǒng)的體系結(jié)構(gòu)、指導(dǎo)策略、人員狀況以及各類設(shè)備如工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對象，根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高信息安全整體水平提供重要依據(jù)。風(fēng)險評估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，也是信息安全工程學(xué)的重要組成部分。其原理是對采用的安全策略和規(guī)章制度進(jìn)行評審，發(fā)現(xiàn)不合理的地方，同時采用模擬攻擊的形式對目標(biāo)可能存在的已知安

3、全漏洞進(jìn)行逐項(xiàng)檢查，確定存在的安全隱患和風(fēng)險級別。 本文首先對信息系統(tǒng)安全風(fēng)險評估的國內(nèi)外發(fā)展和研究現(xiàn)狀進(jìn)行了深入分析，其中對風(fēng)險評估相關(guān)國際國內(nèi)標(biāo)準(zhǔn)進(jìn)行了分類收集和研究，對資產(chǎn)、威脅、脆弱點(diǎn)等風(fēng)險要素和控制措施的分類和賦值進(jìn)行了研究，并且總結(jié)了目前風(fēng)險評估存在的問題和進(jìn)一步的需求。然后對風(fēng)險評估流程、風(fēng)險識別、風(fēng)險分析方法等風(fēng)險評估關(guān)鍵問題又進(jìn)行了針對性的研究和設(shè)計(jì)，并對信息系統(tǒng)安全風(fēng)險評估常用工具進(jìn)行了收集和研究。在此基礎(chǔ)上