基于故障樹(shù)分析法的信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型研究——以MAXIAN公司為例.pdf

1、隨著計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展，信息系統(tǒng)的開(kāi)發(fā)到運(yùn)行都存在系統(tǒng)威脅性和脆弱性風(fēng)險(xiǎn)。因此，在信息系統(tǒng)的構(gòu)建中風(fēng)險(xiǎn)評(píng)估是一個(gè)十分重要的課題。如果能夠科學(xué)地分析信息在保密性，完整性，可用性等方面所面臨的威脅，找出信息安全的主要問(wèn)題和隱患，就能夠很好的預(yù)防安全風(fēng)險(xiǎn)，或是做出相應(yīng)的補(bǔ)償，最大地減少這些風(fēng)險(xiǎn)威脅帶來(lái)的損失。本文詳細(xì)介紹了信息系統(tǒng)的基本概念及常用理論，以及國(guó)內(nèi)外一些風(fēng)險(xiǎn)評(píng)估的相關(guān)標(biāo)準(zhǔn)。根據(jù)系統(tǒng)成熟度的概念選取影響信息安全風(fēng)險(xiǎn)的因素，運(yùn)用故

2、障樹(shù)分析法對(duì)信息系統(tǒng)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估，并采取相應(yīng)的行之有效的安全控制，完成風(fēng)險(xiǎn)評(píng)估系統(tǒng)。 本文從風(fēng)險(xiǎn)評(píng)估開(kāi)始，分析影響因素，識(shí)別潛在風(fēng)險(xiǎn)、評(píng)估其發(fā)生的可能性和可能產(chǎn)生的影響，確定關(guān)鍵風(fēng)險(xiǎn)。在風(fēng)險(xiǎn)控制階段，根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，確定企業(yè)的風(fēng)險(xiǎn)應(yīng)對(duì)策略，提高了風(fēng)險(xiǎn)評(píng)估工作的效率，并驗(yàn)證了此風(fēng)險(xiǎn)評(píng)估系統(tǒng)的可信度和可行性。主要研究?jī)?nèi)容概括如下： 1.詳細(xì)介紹了系統(tǒng)安全工程能力成熟度模型(SSE-CMM)，并對(duì)此模型的每一個(gè)步驟進(jìn)行

3、分析。 2.對(duì)現(xiàn)有的幾種較常用風(fēng)險(xiǎn)評(píng)估方法進(jìn)行詳細(xì)的介紹，包括德?tīng)栰撤ü收蠘?shù)分析法，層次分析法，線性加權(quán)評(píng)估模型，模糊分析法。分析了各種方法的原理和適用領(lǐng)域，以及優(yōu)缺點(diǎn)。 3.分析MAXIAN公司管理信息系統(tǒng)的特點(diǎn)，在SSE-CMM模型中選擇風(fēng)險(xiǎn)識(shí)別，風(fēng)險(xiǎn)分析，安全控制三個(gè)步驟。主體部分是風(fēng)險(xiǎn)分析，風(fēng)險(xiǎn)分析的最終目的是為我們提供可選擇的安全防護(hù)策略以使計(jì)算機(jī)信息系統(tǒng)的風(fēng)險(xiǎn)降到我們可接受的程度。經(jīng)過(guò)分析比較各種風(fēng)險(xiǎn)分析方法

4、本模型選取故障樹(shù)分析法，分析量化威脅發(fā)生的可能性和可能產(chǎn)生的影響，確定關(guān)鍵風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)分析得出的風(fēng)險(xiǎn)信息制定安全保障需要采取恰當(dāng)?shù)姆雷o(hù)措施，持續(xù)的跟蹤的檢測(cè)機(jī)制，在發(fā)現(xiàn)問(wèn)題時(shí)還需要及時(shí)做出反應(yīng)，在信息系統(tǒng)遭到入侵引起破壞時(shí)要具備快速恢復(fù)的能力。 本文的意義在于通過(guò)信息安全、管理信息系統(tǒng)、離散數(shù)學(xué)等多學(xué)科交叉研究的方法，構(gòu)建了信息系統(tǒng)安全評(píng)估的理論框架，并對(duì)其關(guān)鍵技術(shù)進(jìn)行了深入研究。為信息系統(tǒng)安全評(píng)估研究引入新的思想，探索了提高