面向業(yè)務的信息安全風險評估量化模型研究.pdf

1、隨著國民經(jīng)濟和社會發(fā)展對基礎信息網(wǎng)絡和重要信息系統(tǒng)的依賴性越來越大,信息安全保障也越來越受到業(yè)內(nèi)人士的關注。而風險評估作為信息安全管理的一個重要環(huán)節(jié),對保障企事業(yè)的基礎信息系統(tǒng)安全有著非常重要的作用。目前國外的信息安全風險評估模型和標準,實施代價昂貴、評估周期長,難以在國內(nèi)推廣;而國內(nèi)對于風險評估才剛剛起步,缺乏系統(tǒng)的理論、方法和完善的工具軟件,尚無有效的風險量化模型算法和支撐軟件,對掃描工具和專家經(jīng)驗有太大的依賴性,評估結(jié)果偏重技術或

2、者管理層面,難以把兩者有效結(jié)合。為解決這個問題,本文以2005年國際草案《信息安全風險評估指南》為背景,參照其評估流程和計算思想,給出了一套具有可操作性的,面向業(yè)務的信息安全風險評估量化模型。論文的主要工作:通過對被評估系統(tǒng)進行層次化分解建立面向業(yè)務的系統(tǒng)特征描述模型,將系統(tǒng)中涉及的各種因素(信息環(huán)境、信息載體和信息)進行抽象化地描述,并根據(jù)系統(tǒng)具體的業(yè)務流程進行層次量化分析,結(jié)合信息資產(chǎn)價值量的評價實現(xiàn)對系統(tǒng)可能存在的種種風險的評估。