基于組合評估法的風險評估模型研究及其系統(tǒng)實現(xiàn).pdf

1、風險評估是信息系統(tǒng)安全工程的重要組成部分，它從風險管理角度著眼，運用定性、定量的科學分析方法和手段，系統(tǒng)地分析信息和信息系統(tǒng)等資產所面臨的人為的和自然的威脅，以及威脅事件一旦發(fā)生可能遭受的危害程度，有針對性地提出抵御威脅的安全等級防護對策和整改措施，從而最大限度地減少經濟損失和負面影響。
　　本文對風險評估的國內外現(xiàn)狀進行了研究，同時分析了國際流行的風險評估標準。在此基礎上，本文針對單一風險評估方法導致風險評估結果片面和局限的缺點

2、，提出了一種基于層次細分風險評估要素的組合風險評估方法，通過組合評估來消除多方法評估結論非一致性問題，總結并建立了評價風險評估方法評估效果的指標體系；在評估系統(tǒng)風險值的過程中，建立了將單風險事件按指標進行分類，在此基礎上通過指標組合得到系統(tǒng)風險值的體系模型，有效的避免了多方法評估造成的結論不一致性問題；將信息資產進行數(shù)據(jù)化和規(guī)范化；本文建立了方法篩選模型，用于自動地篩選針對不同應用系統(tǒng)的風險評估方法；最后，可以運用模糊層次分析法對系統(tǒng)風

3、險進行組合評估，得到符合實際情況的風險評估結論。論文的主要工作如下：
　?。?）提出了基于組合評估法的風險評估框架。該框架在定義風險要素的識別模式規(guī)范和提出資產、脆弱性與威脅的統(tǒng)一數(shù)據(jù)格式的基礎上，定義了單風險事件風險值到系統(tǒng)風險值的計算流程。最后，該框架建立了合理的評估層次指標結構，采用模糊層次分析法對系統(tǒng)風險進行組合評估，得到系統(tǒng)的評估結果，并輸出評估報告。
　　（2）提出篩選評估方法的有效算法。在信息安全評估中，方法的