信息技術(shù)安全系統(tǒng)的風(fēng)險(xiǎn)問題

1、1信息技術(shù)安全系統(tǒng)的風(fēng)險(xiǎn)評估問題信息技術(shù)安全系統(tǒng)的風(fēng)險(xiǎn)評估問題計(jì)算機(jī)：焦世斗計(jì)算機(jī)：焦世斗物理：宋世巍物理：宋世巍電子：張弘電子：張弘摘要本文把信息技術(shù)安全系統(tǒng)的風(fēng)險(xiǎn)評估問題歸為一類優(yōu)化問題。是學(xué)校在以用戶效率、機(jī)會成本為約束條件下，尋找能使總成本最小的措施的優(yōu)化組合模型。通過對數(shù)據(jù)的分析和題中所給條件，我們認(rèn)為、、影響機(jī)會成本，CIA并存在一個(gè)經(jīng)驗(yàn)初始值（均在0到1之間），每項(xiàng)措施會對、、000CIACIA產(chǎn)生影響，進(jìn)而會對機(jī)會成本（

2、和它發(fā)生的概率）、總成本產(chǎn)生影響，。在以用戶效率、機(jī)會成本為約束條件下，求總成本的最小值。因此我們建立這樣的模型：和1()1()(019)23()4kkkiiiiMMMklliiiiYfxpCostpgCIAkCostCostfxpxp?????????????????????????????????????????????????????????（）（）（）（）??k12M0C000000005C=1[arctan(CM)]2(6)1

3、[arctan()]2(7)1[arctan()]2(8)(01)(9)kkkkMIMAMmmmIIMAAMCIACIA???????????????????????????????????????????????????????????????（）通過對結(jié)果的分析，根據(jù)事件的獨(dú)立性，我們把公式（6）、（7）、（8）換成概率并聯(lián)公式并對用戶效率加一考慮0101011(1)1(1)1(1)kkkkMnnkMnnkMnnCCCIIIAAA?

4、??????????????????????????，得到一個(gè)優(yōu)化模型。11(1)kkMnnUU?????再進(jìn)一步分析，我們把各個(gè)小項(xiàng)獨(dú)立開來研究它們對系統(tǒng)的影響，首先通過程序剔除了一些明顯不符合要求的措施。然后，我們?yōu)槊恳粋€(gè)小項(xiàng)，按其對總成本影響的大小，賦予不同的優(yōu)先級，進(jìn)而通過優(yōu)先選擇的方法來求解最佳的組合。模型的公式概括如下：3，，分別為第n項(xiàng)措施的、、值；nCnInACIA第項(xiàng)措施的總費(fèi)用（包括維修費(fèi)，培訓(xùn)費(fèi)等）；lCostl所

5、采取的措施集；kM某一項(xiàng)措施。km各項(xiàng)措施明細(xì)表：（見下頁表（一））M1HostbasedFirewallM2wkbasedFirewallM3HostbasedAntiVirusM4wkbasedAntiVirusM5wkbasedIntrusionDetectionSystemM6wkbasedSPAMFilterM7wkbasedVulnerabilityScanningM8DataRedundancyM9ServiceRedun

6、dancyM10StrongPasswdsM11NoPasswdPolicyM12FmalSecurityAuditsM13DisallowWirelessM14AllowWirelessM15RestrictRemovableMediaM16UnmonitedPersonalUseM17RestrictedPersonalUseDetailedUserTrackingM18UserTrainingRequiredM19SysAdmiT

7、rainingRequired表（一）三、模型的建立（反正切模型）三、模型的建立（反正切模型）在未采取措施時(shí)，C、I、A對機(jī)會成本損失的概率有影響，此時(shí)C、I、A應(yīng)存在一個(gè)經(jīng)驗(yàn)初始值、、，從而產(chǎn)生初始的機(jī)會成本。每個(gè)大項(xiàng)措施0C0I0A中都包含幾個(gè)小項(xiàng)措施，每個(gè)小項(xiàng)措施的采用又都會對系統(tǒng)的C、I、A作用，使它們發(fā)生改變，進(jìn)而影響機(jī)會成本損失的發(fā)生概率Pi，改變機(jī)會成本值。同時(shí)，措施也將增加費(fèi)用，影響用戶的效率。把19大項(xiàng)看成是固定的，以