信息系統(tǒng)風(fēng)險分析與量化評估.pdf

1、在當今大規(guī)模開放系統(tǒng)互聯(lián)的網(wǎng)絡(luò)環(huán)境下，無論采用多么完善的安全保護措施，風(fēng)險總是存在的，因而適當?shù)姆椒ㄊ窃谡麄€網(wǎng)絡(luò)通信過程中應(yīng)用智能化的方法進行風(fēng)險管理，而周密的信息安全風(fēng)險分析是可靠、有效的風(fēng)險管理的必要前提，因此對信息系統(tǒng)進行風(fēng)險分析和評估已越來越受到人們的重視。 論文從信息體及其流動的全程保護角度將信息系統(tǒng)分為主體、客體和運行環(huán)境三大構(gòu)成部分，每部分包括不同的子部分，每個子部分又由不同的組件構(gòu)成，由此將信息系統(tǒng)的構(gòu)成要素以

2、相對獨立又相互關(guān)聯(lián)的層次結(jié)構(gòu)表示了出來。并將信息系統(tǒng)劃分為九個風(fēng)險區(qū)域，在不同的區(qū)域中考慮系統(tǒng)資源的風(fēng)險，據(jù)此將現(xiàn)有的通訊模式歸納概括為五種典型的通訊模式，為信息系統(tǒng)建立了一個普遍適用的系統(tǒng)資源數(shù)據(jù)庫，也為特定信息系統(tǒng)的資源分布提供了可裁減的元素集合，同時為將風(fēng)險分析的一般方法應(yīng)用到信息系統(tǒng)的安全分析中建立系統(tǒng)風(fēng)險評估體系提供了參考。 在信息系統(tǒng)資源分布模型的基礎(chǔ)之上，論文根據(jù)系統(tǒng)風(fēng)險的一般性定義，定義信息系統(tǒng)的風(fēng)險為信息系統(tǒng)及

3、其資源在達到其安全特性(機密性、完整性和可用性等)要求過程中的不確定性。從而信息系統(tǒng)的風(fēng)險評估就是根據(jù)相關(guān)技術(shù)標準，評估信息系統(tǒng)在不同安全特性下的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)不確定事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。論文通過詳細討論信息系統(tǒng)的脆弱性和針對系統(tǒng)為目標的威脅性，構(gòu)建了不確定事件發(fā)生概率及其造成損失的層次化結(jié)構(gòu)，為信息系統(tǒng)風(fēng)險的進一步度量和評估提供了理論依

4、據(jù)。 在信息系統(tǒng)風(fēng)險量化評估過程中，由于系統(tǒng)風(fēng)險的復(fù)雜性，存在著諸多不確定性的影響因素，很難通過有效的數(shù)據(jù)累計確定風(fēng)險事件發(fā)生的概率，也很難直接準確地判斷其發(fā)生后的嚴重程度。論文根據(jù)所構(gòu)建的風(fēng)險層次化結(jié)構(gòu)，利用定性與定量相結(jié)合的層次分析方法來確定層次結(jié)構(gòu)中各風(fēng)險影響因素的權(quán)重系數(shù)；運用Delphi法得到指標的隸屬度向量；通過比較討論常用的模糊合成算子，較為合理地實現(xiàn)了模糊合成運算；并通過討論評價結(jié)果的判斷原則，選取加權(quán)平均原則來

5、對評價結(jié)果做出正確有效的判斷；由此給出了信息系統(tǒng)風(fēng)險量化評估的多級模糊綜合評判模型，并通過示例說明了算法的應(yīng)用。 同時論文引入神經(jīng)網(wǎng)絡(luò)的自適應(yīng)算法，通過對已知樣本的學(xué)習(xí)，獲得評價專家經(jīng)驗、知識、主觀判斷以及各層指標的權(quán)重系數(shù)，從而降低評價過程中的人為因素，較好地保證評價結(jié)果的客觀性。在運用過程中，論文提出了對樣本數(shù)據(jù)的預(yù)處理方法，即定量數(shù)據(jù)的一致性處理和定性數(shù)據(jù)的量化；建議采用三種常用的神經(jīng)網(wǎng)絡(luò)改進算法以及隱含層節(jié)點的確定方法來

6、改進神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)算法和網(wǎng)絡(luò)結(jié)構(gòu)，采用初期終止的方法來提高網(wǎng)絡(luò)的泛化能力；在通過示例說明算法的應(yīng)用時，采用了線性回歸擬合的方法驗證了評價結(jié)果的有效性。 另外，在信息系統(tǒng)的風(fēng)險分析中，大量的風(fēng)險評估數(shù)據(jù)的背后往往隱藏著系統(tǒng)的風(fēng)險規(guī)律。論文利用可變精度粗糙集(VPRS)分析信息系統(tǒng)的風(fēng)險評估數(shù)據(jù)，采用VPRS模型中的β約簡簡化評估數(shù)據(jù)，通過支持數(shù)、可信度、覆蓋率以及專家經(jīng)驗來濾取風(fēng)險規(guī)則。這種通過定性和定量相結(jié)合的過濾風(fēng)險規(guī)則的

7、方法不但約簡了風(fēng)險規(guī)則的數(shù)量，而且提高了風(fēng)險規(guī)則的有效性。 最后，論文基于環(huán)Z<,n>上圓錐曲線公鑰密碼體系，通過綜合利用大數(shù)分解的困難性和環(huán)Z<,n>上圓錐曲線C<,n>(a b，)的離散對數(shù)問題，設(shè)計基于環(huán)Z<,n>上圓錐曲線的數(shù)字簽名方案，以用于驗證在線評估數(shù)據(jù)的完整性，同時驗證評估數(shù)據(jù)發(fā)送者的真實性。在此基礎(chǔ)上，將多個圓錐曲線數(shù)字簽名聯(lián)合起來生成對評估數(shù)據(jù)的簽名，設(shè)計實現(xiàn)了多人對同一文件的多重數(shù)字簽名。同時給出了多重