文档介绍:信息系统安全风险评估技术研究缦掌拦涝砗推拦拦姜东兴墩胁,以及威胁事件一旦发生可能遭受的危害程度,有摘要:,包括风险评估原理、风险评估过程、风险评估方法和工具,指出了当前信息安全风险评估需要解决的问题,展望了信息安全风险评估的发展前景.,在现代社会,信息产业已经成为世界经济的重要支柱产业,信息产业的发达程度已成为一个国家的综合国力和国际竞争力强弱的重要标志。与此同时,网络与信息系统自身存在的缺陷、脆弱性以及面临的威胁,使信息系统的运行客观上存在潜在的风险,阻碍了信息产业的发展。因此,如何保证信息系统和网络安全的有效运行,成为当今急需解决的问题。本文对目前国际和国内流行的风险评估的基本原理、风险评估过程进行了研究,并对风险评估方法和工具进行了分类和比较。所谓的信息安全风险评估,是从风险管理角度,运用定性、定量的科学分析方法和手段,系统地分析信息和信息系统等资产所面临的人为的和自然的威针对性地提出了抵御威胁的安全等级防护对策和整改措施,从而最大限度地减少经济损失和负面影响。风险分析的基本要素包括:要保护的信息资产、信息资产的脆弱性、信息资产面临的威胁、存在的可能风险、安全防护措施等。风险计算模型示意图如下:第六届中国测试学术会议论文集泄戏省月戏使ひ荡笱Ъ扑慊胄畔⒀г安徽合肥关键宇信息安全;风险评估;风险评估方法中图法分类号琾,;;图缦占扑隳P褪疽馔琘琀,.硒第,.;
。∑瑚二:五镭±:::ā缦掌拦婪椒酝步惺侗穑枋鐾驳氖粜裕⒍酝生的可能性;发生对组织产生的影响,即风险值。评估方法三大类。等。常用的时间序列分析法有算术平均法。算术平均法。它主要依据研究者的知识、经验、历史教训、政①匿名性。在整个调查过程中被调查的专家互不②反馈性。德尔菲法是逐步进行的,要经过几次迭代即几轮询问,每一轮都把收集到的意见经统计处理后反馈给群体中的成员,经过这种信息反馈。使成③收敛性。对专家的回答进行统计处理,形成群体的意见,这种意见中包括了每位成员的意见。德尔如图荆缦辗治鲋饕9淌牵宰什惺侗穑⒍宰什闹匾P越懈持担出现的频率赋值:宰什拇嗳跣越惺侗穑⒍跃咛遄什拇弱性的严重程度赋值;萃埠痛嗳跣缘氖侗鸾峁卸习踩录荽嗳跣缘难现爻潭燃鞍踩录米什的重要性计算安全事件的损失;莅踩录⑸目赡苄约八鹗В扑阋坏评估方法的选择直接影响到评估过程中的每个环节,甚至可以左右最终的结果,所以需要根据系统的具体情况,选择合适的风险评估方法。现有的风险评估方法有很多中,可大致分为定量的风险评估方法、定性的风险评估方法和定量、定性相集合综合的风险定量的评估方法定量的评估方法的优点是用直观的数据来表达评估的结果,看起来结果很清晰,而且客观,定量分析的采用,可以使研究结果更直观、更科学、更深刻。有时,一个数据所能说明的问题可能是一大段文字也不能阐述清楚的。它的缺点是,为了结果的量化,使本来比较复杂的事物简单化、模糊化。有的风险因素被量化了以后还可能被误解和所曲解。典型的定量分析法有时间序列分析法。所谓时间序列是指观察和记录下来的一组按时间顺序排列起来的数字序列。在对系统进行风险评估时,有许多数量指标要进行评估。这里的数量指标一般指有实际数值表示的指标,如网络流量、网络访问次数法就是和用预测对象的历史数据的算术平均数,进行预测的方法,