一种量化的信息安全风险评估模型研究与应用

摘要

随着计算机网络应用的日益普及，计算机网络信息系统的安全性成为大家关注的热点问题。2010年发生在伊朗的“震网”僵尸网络事件，去年发生在我国的网站“拖库”事件，在社会上都造成的不小的震动。如何保障信息系统安全，维护相关机构和个人用户的权益，成为大家普遍关心的话题。因此，信息系统的安全建设就显得尤为重要。信息安全风险评估工作作为信息系统安全建设的重要组成部分，能查找发现信息系统存在的安全隐患，指导安全建设有针对性的进行，加强风险评估工作的研究，对信息安全建设有现实意义。
　　 本文给出了一种改进的量化风险评估模型。该模型以《信息安全技术信息安全风险评估规范》中的风险计算原理为指导，以遵循等级保护和安全事件发生造成的实际影响为原则，将风险评估三要素进行细化。模型按照风险事件的不同，让评估成员分别对各个影响因素量化评分，得到风险事件影响值和风险事件发生概率，并最终计算得到风险综合值。
　　 量化风险评估计算的风险值来源于专家评分。由于评估要素的复杂性和人为评分的不确定性，使得专家评分结果成为盲信息;另外如何确定每个评估成员评分质量，给出合理的专家评估效度，就成了风险量化值准确与否的重要标准。本文定义了一种BVPA方法，该方法用专家评分向量的相似度和差异度，解决了专家评分效度的问题，用盲数处理量化评估过程中的盲信息，使得专家组评分结果客观可信，为风险计算奠定了基础。最后，利用量化模型实际场景进行评估，并结合真实数据对模型加以分析。
　　 风险评估需要提取大量的评估数据，由其对于大中型信息系统，其中的设备很多，故使用相应工具采集极为必要。本文工作中也包含了针对Windows操作系统的终端和服务器的相关评估信息采集的软件工具开发，并附有相应测试结果。

目录

声明

摘要

政策法规简称

第一章 绪论

1．1 信息安全与风险评估

1．1．1 信息安全的目标

1．1．2 风险评估是信息安全建设的指导

1．2 国内外风险评估的发展

1．2．1 国外风险评估发展

1．2．2 我国风险评估发展

1．3 信息安全风险评估模型研究现状

1．4 课题项目背景与意义

1．5 论文主要研究内容和结构安排

第二章 风险评估理论

2．1 风险评估概述与意义

2．2 风险评估基本要素和相互关系

2．3 风险评估方法

2．3．1 定性评估方法

2．3．2 定量评估方法

2．3．3 典型的风险评估方法

2．4 风险评估实施流程

2．5 本章小结

第三章 评估数据采集工具开发

3．1 基础功能类开发

3．2 信息资产模块

3．3 资源共享模块

3．4 杀毒软件、防火墙检测模块

3．5 本章小结

第四章 风险评估中的盲信息与评判效度处理

4．1 风险评估中的盲信息与盲数处理

4．1．1 盲信息概述

4．1．2 信息安全风险评估中的盲信息

4．1．3 盲数概述

4．1．4 盲数用于风险评估的可行性分析

4．2 专家评判效度分析

4．3 处理专家评判环节的BVPA方法

4．4 BVPA方法性能分析

4．5 BVPA方法的必要性与局限性

4．6 本章小结

第五章 一种改进的信息安全风险评估量化模型

5．1 风险评估模型介绍

5．1．1 现有风险评估模型介绍

5．1．2 改进的风险评估量化模型

5．1．3 改进模型适用范围

5．1．4 改进量化模型方案分析

5．1．5 改进模型的合理性与实际可操作性

5．2 风险评估要素分析与评判标准

5．3 改进模型的风险评估流程

5．3．1 资产受损价值计算流程

5．3．2 安全事件影响值计算流程

5．3．3 风险事件发生概率计算流程

5．3．4 风险综合值计算

5．4 本章小结

第六章 风险量化模型场景应用

6．1 评估环境描述

6．2 风险评估实施方案

6．3 风险评估实例分析

6．3．1 典型的信息系统安全事件

6．3．2 量化评估计算

6．4 风险评估结果分析

6．4．1 量化风险评估结果分析

6．4．2 评估结果验证

6．4．3 安全整改建议

6．4．4 改进模型实际应用价值与优越性

6．5 本章小结

第七章 总结与展望

7．1 全文工作总结

7．2 未来工作展望

致谢

参考文献

附录A

附录B