基于知識(shí)庫(kù)的信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)研究與軟件實(shí)現(xiàn).pdf

1、信息領(lǐng)域的安全問(wèn)題隨著信息化的發(fā)展而日趨嚴(yán)重，引起了國(guó)內(nèi)外的廣泛重視。但研究發(fā)現(xiàn)：信息系統(tǒng)中沒(méi)有絕對(duì)的安全，也沒(méi)有徹底的危險(xiǎn)，只是當(dāng)存在的安全風(fēng)險(xiǎn)超出安全措施的控制范圍時(shí)才可能引發(fā)安全事件的發(fā)生。因此對(duì)信息系統(tǒng)的安全管理實(shí)質(zhì)上也就轉(zhuǎn)化為對(duì)信息系統(tǒng)本身存在的風(fēng)險(xiǎn)和采取的安全措施進(jìn)行管理和控制，通過(guò)分析存在的風(fēng)險(xiǎn)及采取的風(fēng)險(xiǎn)控制措施，權(quán)衡輕重，把風(fēng)險(xiǎn)降低到一個(gè)可按受的程度，這個(gè)過(guò)程的組織與實(shí)施工作就由信息安全風(fēng)險(xiǎn)評(píng)估這門學(xué)科來(lái)完成。實(shí)際上，

2、對(duì)某信息系統(tǒng)進(jìn)行評(píng)估就是在安全與風(fēng)險(xiǎn)之間尋求一個(gè)平衡，既要保證信息系統(tǒng)的安全運(yùn)行，又要防止因風(fēng)險(xiǎn)控制措施的實(shí)施而產(chǎn)生成本過(guò)高問(wèn)題。因此風(fēng)險(xiǎn)評(píng)估過(guò)程是一個(gè)動(dòng)態(tài)的、循環(huán)往復(fù)的平衡過(guò)程，是一個(gè)不斷降低安全風(fēng)險(xiǎn)的過(guò)程，也是一個(gè)在信息資產(chǎn)的風(fēng)險(xiǎn)與采用安全措施的成本代價(jià)之間尋求平衡的過(guò)程。 本文在充分學(xué)習(xí)信息安全風(fēng)險(xiǎn)評(píng)估理論的基礎(chǔ)上，介紹了信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展歷程及研究現(xiàn)狀，闡述了信息安全風(fēng)險(xiǎn)評(píng)估的基本概念和理論，分析了傳統(tǒng)的風(fēng)險(xiǎn)因素分析

3、方法、模型及評(píng)估輔助工具，指出了故障樹(shù)分析法在風(fēng)險(xiǎn)分析時(shí)存在的不足并進(jìn)行改進(jìn)，并把用于解決“部分信息明確，部分信息不明確”的灰色系統(tǒng)理論引入了風(fēng)險(xiǎn)評(píng)估以期來(lái)提高評(píng)估結(jié)果的準(zhǔn)確性。同時(shí)針對(duì)當(dāng)前評(píng)估輔助工具在評(píng)估時(shí)應(yīng)用不力的情況進(jìn)行了分析，提出了一種能夠快速、準(zhǔn)確進(jìn)行風(fēng)險(xiǎn)評(píng)估的基于知識(shí)庫(kù)的風(fēng)險(xiǎn)評(píng)估系統(tǒng)。隨后，將產(chǎn)生的研究成果與實(shí)踐需要相結(jié)合，研究開(kāi)發(fā)了一套基于知識(shí)庫(kù)的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估輔助工具，并建立了評(píng)估用的知識(shí)庫(kù)與信息庫(kù)。這些研究成果