基于構(gòu)件的信息系統(tǒng)動(dòng)態(tài)安全評(píng)估模型研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展對(duì)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴性越來越大，信息安全問題日益突出，因此信息安全保障越來越受到全社會(huì)的廣泛關(guān)注。信息系統(tǒng)安全評(píng)估作為國(guó)家信息安全基本制度，對(duì)保障各種信息產(chǎn)業(yè)部門的基礎(chǔ)信息系統(tǒng)安全有著非常重要的作用。然而，信息系統(tǒng)安全評(píng)估還屬于比較嶄新的研究領(lǐng)域，已有的傳統(tǒng)評(píng)估算法模型在有效性和動(dòng)態(tài)性方面還存在許多不足。
　　 本文首先描述了信息安全的現(xiàn)狀和概念，闡述了風(fēng)險(xiǎn)評(píng)估與信息安全的關(guān)

2、系，介紹了國(guó)內(nèi)外風(fēng)險(xiǎn)評(píng)估的研究現(xiàn)狀；講述了信息安全風(fēng)險(xiǎn)評(píng)估的相關(guān)概念，分類介紹了幾種傳統(tǒng)的評(píng)估方法，羅列了幾種典型的傳統(tǒng)評(píng)估模型，并對(duì)其分析和評(píng)價(jià)，指出了傳統(tǒng)評(píng)估手段的若干不足之處，并在此基礎(chǔ)上提出了改進(jìn)的三個(gè)主要思路。
　　 其次提出針對(duì)不同類型的評(píng)估對(duì)象，按其屬性的不同，劃分為主觀因素評(píng)估對(duì)象和客觀因素評(píng)估對(duì)象。對(duì)這兩種類型的評(píng)估對(duì)象分別采用不同的方法加以評(píng)估。同時(shí)，從評(píng)估對(duì)象的機(jī)密性、完整性和可用性賦值出發(fā)，給出了評(píng)估對(duì)象

3、的權(quán)重計(jì)算模型。
　　 接著將模糊綜合分析方法引入到對(duì)主觀因素對(duì)象的評(píng)估中，通過模糊聚類法，將專家打出的分?jǐn)?shù)進(jìn)行分析處理，剝離出偏差較大的分?jǐn)?shù)，從而有效減少了評(píng)估者主觀性差異對(duì)評(píng)估結(jié)果客觀性的影響。
　　 最后，在對(duì)客觀因素對(duì)象評(píng)估的基礎(chǔ)上，針對(duì)傳統(tǒng)靜態(tài)評(píng)估手段只關(guān)注一次性評(píng)估結(jié)果的缺陷，提出了基于構(gòu)件的動(dòng)態(tài)評(píng)估模型。將信息系統(tǒng)概化為基于構(gòu)件的拓?fù)浣M合結(jié)構(gòu)；將用戶對(duì)信息系統(tǒng)的使用概化為訪問路徑的概念；將構(gòu)件間的關(guān)聯(lián)歸約為

4、獨(dú)立和協(xié)同兩種關(guān)系；將構(gòu)件間的組合關(guān)系歸約為串聯(lián)和并聯(lián)兩種類型。當(dāng)系統(tǒng)發(fā)生變化以后，圍繞變化的構(gòu)件進(jìn)行討論，確定其變化的方式和影響范圍，對(duì)其余構(gòu)件以及整個(gè)系統(tǒng)所受的影響進(jìn)行評(píng)估，從而實(shí)現(xiàn)了基于變化的動(dòng)態(tài)再評(píng)估。
　　 通過本文提出用不同方法對(duì)評(píng)估對(duì)象分類進(jìn)行評(píng)估的思想，使得評(píng)估手段更加靈活多樣，評(píng)估結(jié)果也更加科學(xué)有效并符合實(shí)際情況。同時(shí)，本文提出的模糊綜合分析方法，有效減少了評(píng)估過程中主觀差異性問題。此外，本文提出的動(dòng)態(tài)再評(píng)估模