信息安全風(fēng)險(xiǎn)自評估方法的研究及其輔助工具的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息借助于網(wǎng)絡(luò)快速的傳播，信息系統(tǒng)的安全性也受到來自多方面的威脅，因而，如何保證信息系統(tǒng)安全也日益被提到日程。在幾十年的系統(tǒng)安全研究中，人們也深刻認(rèn)識到：信息系統(tǒng)安全問題單憑技術(shù)是無法得到徹底解決的，它的解決涉及到法規(guī)政策、管理、標(biāo)準(zhǔn)、技術(shù)等方方面面，任何單一層次上的安全措施都不可能提供真正的全方位的安全，信息系統(tǒng)安全問題的解決更應(yīng)該站在系統(tǒng)工程的角度來考慮。在這項(xiàng)工程中，信息系統(tǒng)安全風(fēng)險(xiǎn)評估占有重要的地位，它是

2、信息系統(tǒng)安全的基礎(chǔ)和前提。 信息安全風(fēng)險(xiǎn)評估分為自評估和他評估兩種類型，其中，自評估是組織為了定期了解自身安全狀態(tài)而進(jìn)行的一種評估活動(dòng)，在組織信息安全管理中有著重要的作用。為了使組織自我的風(fēng)險(xiǎn)評估工作更具科學(xué)性和合理性，有必要在進(jìn)行評估前確定一個(gè)評估實(shí)施的流程和方法；并且風(fēng)險(xiǎn)評估中需要采集大量的數(shù)據(jù)，評估過程相當(dāng)復(fù)雜，系統(tǒng)需要保留所有采集數(shù)據(jù)以備日后查詢、核對、檢驗(yàn)、分析，而且需要評估人員具有豐富的評估經(jīng)驗(yàn)。因此，開發(fā)設(shè)計(jì)有效的

3、評估輔助工具對于縮短評估周期、節(jié)省人力物力、保證評估實(shí)施的科學(xué)性和有效性都至關(guān)重要。 本文首先介紹了信息系統(tǒng)的安全以及信息系統(tǒng)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評估的背景知識，在研究了國內(nèi)外相關(guān)標(biāo)準(zhǔn)的前提下提出了一套自評估的方法，并對具體的實(shí)施進(jìn)行了分析，這些對具體的評估活動(dòng)有著重要的指導(dǎo)作用。在這個(gè)風(fēng)險(xiǎn)評估流程基礎(chǔ)上，給出了一個(gè)有效的風(fēng)險(xiǎn)評估輔助工具的設(shè)計(jì)方案。本方案中，根據(jù)風(fēng)險(xiǎn)評估涉及要素多、過程復(fù)雜、不易實(shí)施等特點(diǎn)設(shè)計(jì)了內(nèi)容豐富的信息庫，包括