基于灰色理論的信息安全風(fēng)險(xiǎn)評(píng)估研究.pdf

1、隨著信息化的發(fā)展，生活中人們對(duì)信息技術(shù)的依賴程度越來越高，尤其是在享受信息網(wǎng)絡(luò)技術(shù)帶來便利的同時(shí)，越發(fā)感覺到有必要建立一個(gè)安全、有序、穩(wěn)定的環(huán)境。然而信息系統(tǒng)所暴露出來的問題越來越多，越來越嚴(yán)重，從而，受到的攻擊和破壞越發(fā)頻繁，所造成的損失和影響也越來越大。所以，對(duì)信息系統(tǒng)進(jìn)行必要的風(fēng)險(xiǎn)評(píng)估勢(shì)在必行。信息化的風(fēng)險(xiǎn)與風(fēng)險(xiǎn)管理問題己經(jīng)成為各個(gè)國家、國際組織所普遍關(guān)注的熱點(diǎn)問題之一。其中信息安全風(fēng)險(xiǎn)和保障網(wǎng)絡(luò)空間的安全已經(jīng)成為關(guān)系信息化能否健

2、康發(fā)展的重大問題。為了保證信息安全，建立信息安全管理體系已經(jīng)成為目前信息安全建設(shè)的首要任務(wù)。信息安全風(fēng)險(xiǎn)評(píng)估是信息安全管理的最根本依據(jù)，也是信息安全領(lǐng)域內(nèi)最重要的內(nèi)容之一。傳統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估大多是根據(jù)一定的評(píng)估指標(biāo)進(jìn)行定性、定量分析，或者將兩者結(jié)合進(jìn)行綜合分析;然而在量化各指標(biāo)要素的過程中簡(jiǎn)化了各要素的內(nèi)在含義。在信息系統(tǒng)日益復(fù)雜的情況下，如何對(duì)復(fù)雜信息系統(tǒng)進(jìn)行有效的風(fēng)險(xiǎn)評(píng)估是信息化過程中面臨的一個(gè)挑戰(zhàn)。因此，需要建立信息安全風(fēng)險(xiǎn)評(píng)

3、估模型，以方便確定和劃分信息網(wǎng)絡(luò)安全等級(jí)。信息安全風(fēng)險(xiǎn)評(píng)估是保障信息安全的一個(gè)重要方法，是風(fēng)險(xiǎn)管理理論和方法在信息化中的應(yīng)用，是正確確定所要保護(hù)的信息資產(chǎn)，合理分析信息資產(chǎn)的風(fēng)險(xiǎn)點(diǎn)，科學(xué)合理做出決策，以達(dá)到控制風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)的一個(gè)動(dòng)態(tài)過程。由于信息安全風(fēng)險(xiǎn)評(píng)估的自身特點(diǎn)，將灰色理論應(yīng)用于信息安全風(fēng)險(xiǎn)評(píng)估，結(jié)合《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》建立信息安全風(fēng)險(xiǎn)評(píng)估模型是一個(gè)有益的探討。 本文的主要工作在于: 第一，利用信息嫡來確

4、定風(fēng)險(xiǎn)因素的評(píng)估權(quán)系數(shù)，它可以有效克服權(quán)重選取的主觀性改進(jìn)現(xiàn)有風(fēng)險(xiǎn)評(píng)估方法中的不足;并利用集值統(tǒng)計(jì)方法來獲取評(píng)估因素的樣本觀測(cè)數(shù)據(jù)。第二、借鑒灰色建模理論，將灰色理論應(yīng)用到信息安全風(fēng)險(xiǎn)評(píng)估中;根據(jù)灰色理論的優(yōu)勢(shì)分析影響因素，建立信息安全風(fēng)險(xiǎn)評(píng)估模型。第三、利用信息嫡和灰色理論綜合建立風(fēng)險(xiǎn)評(píng)估模型，最后以某公司為實(shí)例驗(yàn)證模型的有效性、可操作性。 本文技術(shù)難點(diǎn)有以下兒個(gè)方面: 第一、信息安全風(fēng)險(xiǎn)評(píng)估涉及因素眾多，評(píng)估指標(biāo)值的提取有難