用多级模糊综合方法进行信息安全风险评估

摘要

随着信息化的发展，信息安全问题日益重要，也引起人们广泛的重视，而信息安全风险评估则在信息安全建设中居于关键性的基础地位，它是按照规范的流程和方法，对系统存在的危险要素进行定性和定量分析，并做出综合评价，找出存在的问题，给出有效的安全措施。但是目前尚无有效、得到大家一致认可的风险量化模型算法和支撑软件，给我国正在高度重视的信息安全风险评估的实施设置了重大障碍，因此本文重点在风险评估量化模型和辅助系统设计方面进行了研究。 本文首先介绍了与信息安全风险评估有关的相关概念，调查和研究国内外风险评估的发展及研究现状，结合我国将于近期颁布实施的《信息安全技术信息安全风险评估规范》(报批稿)，总结了常用的信息安全风险评估标准。 在总结对比以往常用的风险评估方法和对风险深刻认识的基础上，基于模糊评价法，采用多级模糊综合评价方法，对系统的风险进行分析、计算。在评价的过程中，对系统的风险因素进行分级评价，通过构造成对比较矩阵确定风险因素权重，通过一致性检验后，可以得到较为精确的权重值；通过模糊贴近度建立模糊关系矩阵，有助于表示出专家对所确定因素隶属等级的确信程度；合成运算时采用了乘与有界和算子M(□,⊕)，保证单因素评价矩阵信息的充分利用，具有较大程度的综合性。这些使得评价结果更全面、客观和科学化。采用该方法对某电信公司的一个服务器系统进行评估，并对评估结果进行分析。 结合多级模糊评价的模型，设计用于安全评估的系统，对系统的总体结构、功能需求、各个功能模块等都进行了的阐述。 本文的风险量化模型及计算过程中采用的处理方法对信息安全风险评估具有一定的借鉴作用，评估系统框架的设计对建立评估辅助系统具有一定的参考价值。

目录

文摘

英文文摘

声明

第一章引言

第一节信息安全风险评估研究的背景和意义

1.1.1信息安全风险评估研究的背景和意义

1.1.2信息安全风险评估解决的问题

第二节本文的主要工作

第三节章节的安排

第二章信息安全风险评估的基本概念与评估标准

第一节基本概念

2.1.1信息系统、信息安全及风险评估的定义

2.1.2信息系统安全风险评估的要素

2.1.3要素间的关系模型

2.1.4信息安全风险评估的流程

第二节国内外风险评估研究的发展及现状

2.2.1国外信息安全风险评估的发展历史

2.2.2国内信息安全风险评估发展历史

2.2.3目前我国的安全风险评估中存在的问题

第三节国内外风险评估的标准和实践介绍

2.3.1国外常用的信息安全风险评估标准

2.3.2我国的风险评估标准

2.3.3常用标准的风险要素定义对比

2.3.4国内外常见的评估工具

第三章信息安全风险评估常用的方法和模型

第一节风险评估的方法分类

第二节定性方法和定量方法

第三节风险评估常用的模型

3.3.1故障树分析

3.3.2层次分析法

3.3.3线性加权评估

3.3.4德尔菲法

3.3.5常用方法的比较

第四章多级模糊综合评价

第一节概述

第二节模糊综合评判的一般步骤

4.2.1模糊评价的必要性

4.2.2模糊综合评判的数学模型

4.2.3初级模糊综合评判的基本步骤

第三节多级模糊综合评价

4.3.1多级模糊综合评价的应用范围

4.3.2多级模糊评价方法

4.3.3隶属函数的确定

4.3.4权重矩阵的确定

4.3.5合成算子的选取

第四节用多级的模糊综合方法评估示例

4.4.1风险因素分析

4.4.2风险因素等级赋值

4.4.3风险事件发生的可能性评估

4.4.4计算风险事件发生后果的影响的程度评估

4.4.5风险评判等级量化

第五节方法的优缺点

4.5.1 方法的优点

4.5.2方法的缺点

第六节案例测评

4.6.1公司概况

4.6.2本文评估的基本信息

4.6.3威胁性评估

4.6.4脆弱性评估

4.6.5发生后果的影响程度

4.6.6综合评估结果

4.6.7结果分析

第五章风险评估系统与框架结构设计

第一节评价系统目标

第二节系统需求分析

第三节系统总体结构

第四节主要功能模块描述

5.4.1脆弱性分析模块

5.4.2威胁类风险模块

5.4.3风险影响计算模块

5.4.4风险计算模块

第六章总结与展望

第一节全文总结

第二节不足之处

第三节进一步工作

参考文献

致谢