基于構(gòu)件的信息系統(tǒng)動態(tài)安全評估模型研究.pdf

1、隨著計算機網(wǎng)絡(luò)的發(fā)展，國民經(jīng)濟和社會發(fā)展對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴性越來越大，信息安全問題日益突出，因此信息安全保障越來越受到全社會的廣泛關(guān)注。信息系統(tǒng)安全評估作為國家信息安全基本制度，對保障各種信息產(chǎn)業(yè)部門的基礎(chǔ)信息系統(tǒng)安全有著非常重要的作用。然而，信息系統(tǒng)安全評估還屬于比較嶄新的研究領(lǐng)域，已有的傳統(tǒng)評估算法模型在有效性和動態(tài)性方面還存在許多不足。
　　 本文首先描述了信息安全的現(xiàn)狀和概念，闡述了風(fēng)險評估與信息安全的關(guān)

2、系，介紹了國內(nèi)外風(fēng)險評估的研究現(xiàn)狀；講述了信息安全風(fēng)險評估的相關(guān)概念，分類介紹了幾種傳統(tǒng)的評估方法，羅列了幾種典型的傳統(tǒng)評估模型，并對其分析和評價，指出了傳統(tǒng)評估手段的若干不足之處，并在此基礎(chǔ)上提出了改進的三個主要思路。
　　 其次提出針對不同類型的評估對象，按其屬性的不同，劃分為主觀因素評估對象和客觀因素評估對象。對這兩種類型的評估對象分別采用不同的方法加以評估。同時，從評估對象的機密性、完整性和可用性賦值出發(fā)，給出了評估對象

3、的權(quán)重計算模型。
　　 接著將模糊綜合分析方法引入到對主觀因素對象的評估中，通過模糊聚類法，將專家打出的分數(shù)進行分析處理，剝離出偏差較大的分數(shù)，從而有效減少了評估者主觀性差異對評估結(jié)果客觀性的影響。
　　 最后，在對客觀因素對象評估的基礎(chǔ)上，針對傳統(tǒng)靜態(tài)評估手段只關(guān)注一次性評估結(jié)果的缺陷，提出了基于構(gòu)件的動態(tài)評估模型。將信息系統(tǒng)概化為基于構(gòu)件的拓撲組合結(jié)構(gòu)；將用戶對信息系統(tǒng)的使用概化為訪問路徑的概念；將構(gòu)件間的關(guān)聯(lián)歸約為

4、獨立和協(xié)同兩種關(guān)系；將構(gòu)件間的組合關(guān)系歸約為串聯(lián)和并聯(lián)兩種類型。當系統(tǒng)發(fā)生變化以后，圍繞變化的構(gòu)件進行討論，確定其變化的方式和影響范圍，對其余構(gòu)件以及整個系統(tǒng)所受的影響進行評估，從而實現(xiàn)了基于變化的動態(tài)再評估。
　　 通過本文提出用不同方法對評估對象分類進行評估的思想，使得評估手段更加靈活多樣，評估結(jié)果也更加科學(xué)有效并符合實際情況。同時，本文提出的模糊綜合分析方法，有效減少了評估過程中主觀差異性問題。此外，本文提出的動態(tài)再評估模