基于AHP與FOEM的信息安全風(fēng)險評估研究.pdf

1、進入21世紀(jì),信息資源已是國家的重要戰(zhàn)略資產(chǎn)，信息安全問題對經(jīng)濟發(fā)展、國家安全和社會穩(wěn)定的重大影響正日益突顯，各種越來越高技術(shù)化的計算機犯罪及網(wǎng)絡(luò)攻擊事件頻繁出現(xiàn)，為此，人們對信息安全的需求也越來越高，網(wǎng)絡(luò)與信息安全已成為現(xiàn)在急需解決的問題。從系統(tǒng)工程的角度來看，風(fēng)險評估在信息安全中占有舉足輕重的地位，是信息系統(tǒng)安全的基礎(chǔ)和前提。
　　 信息系統(tǒng)安全風(fēng)險分析是針對包括系統(tǒng)的體系結(jié)構(gòu)、指導(dǎo)策略、人員狀況以及各類設(shè)備如工作站、服務(wù)器

2、、交換機、數(shù)據(jù)庫應(yīng)用等各種對象，根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高信息安全整體水平提供重要依據(jù)。風(fēng)險評估是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，也是信息安全工程學(xué)的重要組成部分。其原理是對采用的安全策略和規(guī)章制度進行評審，發(fā)現(xiàn)不合理的因素，同時采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進行逐項檢查，確定存在的安全隱患和風(fēng)險級別。
　　 本文首先對信息系統(tǒng)安全風(fēng)險評估的國內(nèi)外研究現(xiàn)狀進行了深入分析，其中對風(fēng)險

3、評估相關(guān)國際國內(nèi)標(biāo)準(zhǔn)進行了分類收集和研究，并對風(fēng)險評估的方法進行了介紹。重點研究了風(fēng)險評估標(biāo)準(zhǔn)GB/T20984，并對信息安全風(fēng)險評估方法中的層次分析法(AHP)、模糊綜合評價方法(FOEM)和貝葉斯網(wǎng)絡(luò)方法進行介紹和比較分析，設(shè)計了基于層次分析法和模糊綜合評價方法的信息安全風(fēng)險評估模型，并通過實例驗證了該模型的有效性。通過風(fēng)險評估，可以發(fā)現(xiàn)系統(tǒng)目前存在的風(fēng)險，并評定系統(tǒng)的風(fēng)險級別，然后針對安全風(fēng)險制定相應(yīng)的安全策略將風(fēng)險控制在可接受的