信息安全风险评估模型及其算法研究

摘要

在信息科技日益发展,人类社会对信息的依赖性越来越强,信息资产的安全性受到空前的重视,而当前我国的信息安全水平普遍不高,与西方发达国家存在较大差距。在当前信息安全领域,主要的管理手段是奉行着"三分技术,七分管理"的原则。要想提高整体的信息安全水平,必须从一个组织整体的信息安全管理水平着手,而不仅是依赖于防火墙、入侵检测、漏洞扫描等传统信息安全技术手段,而目前信息安全管理的最起始的工作主要是信息安全风险评估,而信息安全风险评估的手段单一化、多元化、难以定量化。以往的信息安全风险评估多从AHP层析分析法、模糊综合评价及灰色理论入手,而较少采用VAR风险定量分析和概率论等数学方法去分析和评估信息安全的风险。以VAR风险定量分析每个风险源的损失额度,以概率论和数理统计的方法去评估每个风险源在整体信息安全的风险比例,从而便于组织合体调配资源,达到资源的最佳配置,降低组织的整体信息安全风险。