信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與開(kāi)發(fā).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息借助于網(wǎng)絡(luò)快速的傳播，信息系統(tǒng)的安全性也受到來(lái)自多方面的威脅，因而，如何保證信息系統(tǒng)安全也日益被提到日程。在幾十年的系統(tǒng)安全研究中，人們也深刻認(rèn)識(shí)到：信息系統(tǒng)安全問(wèn)題單憑技術(shù)是無(wú)法得到徹底解決的，它的解決涉及到法規(guī)政策、管理、標(biāo)準(zhǔn)、技術(shù)等方方面面，任何單一層次上的安全措施都不可能提供真正的全方位的安全，信息系統(tǒng)安全問(wèn)題的解決更應(yīng)該站在系統(tǒng)工程的角度來(lái)考慮。在這項(xiàng)系統(tǒng)工程中，信息系統(tǒng)安全風(fēng)險(xiǎn)分析和評(píng)估占有重要的

2、地位，它是信息系統(tǒng)安全的基礎(chǔ)和前提。 信息系統(tǒng)安全風(fēng)險(xiǎn)分析是針對(duì)包括系統(tǒng)的體系結(jié)構(gòu)、指導(dǎo)策略、人員狀況以及各類(lèi)設(shè)備如工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象，根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高信息安全整體水平提供重要依據(jù)。風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，也是信息安全工程學(xué)的重要組成部分。其原理是對(duì)采用的安全策略和規(guī)章制度進(jìn)行評(píng)審，發(fā)現(xiàn)不合理的地方，同時(shí)采用模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安

3、全漏洞進(jìn)行逐項(xiàng)檢查，確定存在的安全隱患和風(fēng)險(xiǎn)級(jí)別。 本文首先對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)外發(fā)展和研究現(xiàn)狀進(jìn)行了深入分析，其中對(duì)風(fēng)險(xiǎn)評(píng)估相關(guān)國(guó)際國(guó)內(nèi)標(biāo)準(zhǔn)進(jìn)行了分類(lèi)收集和研究，對(duì)資產(chǎn)、威脅、脆弱點(diǎn)等風(fēng)險(xiǎn)要素和控制措施的分類(lèi)和賦值進(jìn)行了研究，并且總結(jié)了目前風(fēng)險(xiǎn)評(píng)估存在的問(wèn)題和進(jìn)一步的需求。然后對(duì)風(fēng)險(xiǎn)評(píng)估流程、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析方法等風(fēng)險(xiǎn)評(píng)估關(guān)鍵問(wèn)題又進(jìn)行了針對(duì)性的研究和設(shè)計(jì)，并對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估常用工具進(jìn)行了收集和研究。在此基礎(chǔ)上