信息安全風(fēng)險(xiǎn)評(píng)估研究及應(yīng)用.pdf

1、隨著社會(huì)上各行各業(yè)與信息技術(shù)的整合程度日益加深,信息安全的問題也變得愈發(fā)突出。即使是一個(gè)已經(jīng)采取了很多信息安全防護(hù)手段的信息系統(tǒng)也會(huì)存在很多的安全隱患。這些安全隱患一旦被形形色色的攻擊者利用,可能會(huì)對(duì)業(yè)務(wù)的正常開展造成巨大的威脅。發(fā)現(xiàn)并對(duì)這些隱患進(jìn)行清除或防御,完善信息安全保障體系,從而實(shí)現(xiàn)對(duì)信息安全風(fēng)險(xiǎn)的有效管理和控制,就是信息安全風(fēng)險(xiǎn)評(píng)估所要做的工作和追求實(shí)現(xiàn)的目標(biāo)。
　　信息安全風(fēng)險(xiǎn)評(píng)估有很多標(biāo)準(zhǔn),但這些標(biāo)準(zhǔn)的內(nèi)容主要是一系

2、列概念的集合或體系,對(duì)某一個(gè)特定組織的安全風(fēng)險(xiǎn)評(píng)估工作究竟該如何具體開展,并沒有做出明確和細(xì)化的指導(dǎo)。每家單位、公司或部門的信息系統(tǒng)都有自己的特點(diǎn),現(xiàn)成的安全模型往往很難直接套用。因此信息安全風(fēng)險(xiǎn)評(píng)估在具體細(xì)化、實(shí)踐化方面仍然有很多工作可以深入研究。
　　本文首先對(duì)幾種經(jīng)典安全風(fēng)險(xiǎn)評(píng)估模型進(jìn)行分析,嘗試提出了一種新的安全模型。由該安全模型引申出的評(píng)估流程更符合處于運(yùn)行維護(hù)狀態(tài)下的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)際需求。然后對(duì)改進(jìn)的評(píng)估