信息安全風(fēng)險(xiǎn)評(píng)估方法及關(guān)鍵技術(shù)研究.pdf

1、隨著信息技術(shù)的迅猛發(fā)展，信息系統(tǒng)被廣泛應(yīng)用，它正成為國家建設(shè)的關(guān)鍵基礎(chǔ)設(shè)施。與此同時(shí)，信息安全問題變得日益突出，關(guān)于安全問題的研究已成為信息技術(shù)發(fā)展迫在眉睫、亟待解決的重要前沿研究課題。而對(duì)于信息系統(tǒng)的安全狀況進(jìn)行科學(xué)系統(tǒng)的評(píng)估，有助于用戶了解系統(tǒng)的風(fēng)險(xiǎn)狀況以及安全態(tài)勢(shì)，從而采取相應(yīng)的安全控制措施。信息安全風(fēng)險(xiǎn)評(píng)估方法是最常用的信息系統(tǒng)安全評(píng)估方法之一，開展安全風(fēng)險(xiǎn)評(píng)估方法及其關(guān)鍵技術(shù)的研究具有極其重要的理論意義和實(shí)用價(jià)值。 本

2、文在對(duì)國內(nèi)外評(píng)估標(biāo)準(zhǔn)及方法進(jìn)行研究的基礎(chǔ)上，給出了一個(gè)安全風(fēng)險(xiǎn)評(píng)估研究的概念框架，并在該框架的指導(dǎo)下，采用定量與定性相結(jié)合的方法，對(duì)安全風(fēng)險(xiǎn)評(píng)估方法及其關(guān)鍵技術(shù)進(jìn)行了研究。具體工作包括： (1)通過對(duì)安全風(fēng)險(xiǎn)評(píng)估理論和方法的深入研究，本文提出了信息安全風(fēng)險(xiǎn)評(píng)估方法ISRAM(Information Security Risk AssessMent)，與同類方法相比，該方法具有操作性強(qiáng)、實(shí)用、結(jié)果直觀性好等特點(diǎn)。在此基礎(chǔ)上，本文設(shè)

3、計(jì)并實(shí)現(xiàn)了基于ISRAM方法的安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)，為用戶提供了一個(gè)簡單易用的評(píng)估工具，簡化了安全風(fēng)險(xiǎn)評(píng)估的工作量。 (2)本文基于安全風(fēng)險(xiǎn)評(píng)估的特點(diǎn)，給出了基于多層模型的資產(chǎn)分類方法以及分類列表：分別對(duì)威脅和脆弱性提出了基于威脅作用過程和基于脆弱性生命周期的多屬性分類模型；根據(jù)ISO17799中的安全控制措施集給出了安全防護(hù)措施的分類列表。 (3)針對(duì)安全風(fēng)險(xiǎn)評(píng)估中安全問題的相關(guān)性和復(fù)雜性，本文將層次分析、多屬性決策和群決

4、策的理論和方法引入安全風(fēng)險(xiǎn)評(píng)估的安全決策問題中，這有助于進(jìn)一步提高安全風(fēng)險(xiǎn)評(píng)估結(jié)果的準(zhǔn)確性。 (4)針對(duì)信息系統(tǒng)自身的特點(diǎn)，基于數(shù)據(jù)融合技術(shù)和貝葉斯網(wǎng)絡(luò)模型，本文提出了一種動(dòng)態(tài)安全事件概率預(yù)測(cè)模型，可以有效的提高安全事件概率預(yù)測(cè)以及安全風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性與準(zhǔn)確性。 (5)本文提出了基于安全風(fēng)險(xiǎn)評(píng)估結(jié)果和模糊理論的信息系統(tǒng)整體安全態(tài)勢(shì)評(píng)估方法，并對(duì)多屬性安全態(tài)勢(shì)評(píng)估的模型和方法進(jìn)行了研究，提出了一種基于多屬性的信息系統(tǒng)整