信息安全風險量化方法研究.pdf

1、現(xiàn)實生活中，任何組織或個人都會面臨信息安全帶來的風險，然而，僅僅依靠技術的手段并不能從根本上避免信息安全風險的發(fā)生。一種高效科學的風險量化方法，有助于強化決策者對風險發(fā)生概率及其將會導致的損失的直觀認識，從而正確有效地指導信息安全建設。根據(jù)風險評估的基本理論方法:風險(R)=發(fā)生概率(P)×損失（L），本文對這一公式中風險發(fā)生概率和風險物化所造成的損失分別進行研究。
　　首先，本文從信息安全事件的概率分布規(guī)律出發(fā)，將信息安全事件發(fā)

2、生頻數(shù)看作離散隨機變量，通過統(tǒng)計推斷信息安全事件發(fā)生頻數(shù)服從泊松分布，并采用國家互聯(lián)網(wǎng)應急中心（CNCERT/CC）統(tǒng)計數(shù)據(jù)驗證這一推斷結果。在此基礎上，基于貝葉斯定理，建立泊松分布下的信息安全事件概率計算模型。根據(jù)泊松分布的概率質量函數(shù)，計算信息安全事件發(fā)生頻數(shù)的先驗概率分布;通過構建似然函數(shù)調整先驗概率分布，計算信息安全事件發(fā)生頻數(shù)后驗概率分布。
　　其次，本文將VaR方法應用于信息安全風險損失度量，選用蒙特卡羅模擬法計算一定

3、置信度下的信息安全風險最大損失(VaR)。并通過對該方法計算VaR進行收斂性分析和準確性檢驗驗證了該計算方法的有效性。為彌補VaR方法對尾部信息安全風險的測量的不充分性，本文提出用CVaR方法來度量信息安全尾部風險損失，分別描述收益率服從不同分布下來計算CVaR，并通過定義一個統(tǒng)計變量對CVaR計算結果進行準確性檢驗。
　　最后，本文選用CNCERT/CC數(shù)據(jù)來計算信息安全風險發(fā)生概率，根據(jù)信息安全風險損失模型計算得出的最大可能損

4、失(VaR)和平均超值損失(CVaR)，計算信息安全風險值，驗證了該信息安全風險量化方法的可行性，并可通過該方法有效指導信息安全建設。
　　本文研究成果為信息安全風險量化方法提出了新思路，豐富了信息安全風險度量方法，提供了風險管理理論和技術支持。從管理方面來說，促進資源優(yōu)化配置，合理安排信息安全資金投入，以更優(yōu)的費效比進行信息安全建設，減少因為信息安全事件帶來的損失;從技術方面來說，提供了一個信息安全風險發(fā)生概率計算模型和一種信息