文档介绍:信息技术系统工程安全管理研究-- 原版的摘要: 近年来, 由于信息系统安全问题所产生的损失、影响不断加剧, 信息系统的安全问题越来越受到人们的普遍关注, 它己经成为影响信息技术发展的重要因素。然而, 传统的事后、被动、单一、针对出现的问题采用一些安全防护措施、并以某个问题的暂时解决为过程结束标志的信息系统安全建设己经不能适应信息系统安全防护的发展要求。这种模式往往缺少系统的考虑, 就事论事, 带有很大盲目性, 经常是花费不少、收效甚微, 造成资金、人员的巨大浪费。信息系统安全问题单凭技术是无法得到彻底解决的, 它的解决涉及到政策法规、管理、标准、技术等方方面面, 任何单一层次上的安全措施都不可能提供真正的全方位的安全, 信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中, 信息系统安全风险度量占有重要的地位, 它是信息系统安全的基础和前提。关键词: 信息技术; 系统工程; 安全风险 1 信息系统安全度量安全度量分为技术性安全度量、组织性安全度量以及操作性安全度量。技术性安全度量用于描述、比较技术方面的对象, 如算法、规格说明书、体系结构、设计、产品以及实施的系统等; 组织性安全度量用于描述组织过程、规程的有效性: 操作性安全度量用于描述操作环境方面的风险. 目前人们在使用安全度量这个词时存在很多模糊和不同的含义, 有研究指出, 《信息技术安全评估通用准则》虽然是指导安全度量的一个非常好的标准, 但它也没有全面解决安全度量的问题, 尤其是针对网络系统的安全度量, 目前仍有待于进一步的研究。对于什么是信息系统安全度量(Security Metrics), 有人认为, 它是以科学法则为基础进行测量的结果, 有人认为它还应包括在主观判断基础上做出的度量结论。目前这方面还存在争议, 有人还使用了具有类似含义的其他词,如:measure, score, rating, rank, essment result 等,.n 。在对这些词做出区别前, 它们统一作了如下定义: 信息系统安全度量(Security Metrics) 是通过度量过程从一个偏序集中选择的一个值, 它表示了信息系统的信息安全相关的质量, 它提供或用于产生一种关于信任程度的描述、预言或比较。 2 信息系统安全管理度量方法在度量过程中使用何种方法对度量的有效性有着举足轻重的影响。度量方法的选择直接影响到度量过程中的每个环节, 甚至可以左右最终的度量结果, 所以需要根据系统的具体情况, 选择合适的风险度量方法。风险度量的方法有很多种, 概括起来可分为三大类: 定量的风险度量方法、定性的风险度量方法、定性与定量相结合的度量方法。(1) 定量度量方法: 定量的度量方法是指运用数量指标来对风险进行度量。典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、风险图法、决策树法等。定量的度量方法的优点是用直观的数据来表述度量的结果, 看起来一目了然, 而且比较客观。定量分析方法的采用, 可以使研究结果更科学、更严密、更深刻。有时一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的。但常常为了量化, 使本来比较复杂的事物简单化、模糊化了, 有的风险因素被量化以后还可能被误解和曲解。(2) 定性度量方法: 定性的度量方法主要依据研究者的知识、经验、历史教训、政策走向及特殊变例等