信息系統(tǒng)風(fēng)險(xiǎn)分析與量化評(píng)估.pdf

1、在當(dāng)今大規(guī)模開(kāi)放系統(tǒng)互聯(lián)的網(wǎng)絡(luò)環(huán)境下，無(wú)論采用多么完善的安全保護(hù)措施，風(fēng)險(xiǎn)總是存在的，因而適當(dāng)?shù)姆椒ㄊ窃谡麄€(gè)網(wǎng)絡(luò)通信過(guò)程中應(yīng)用智能化的方法進(jìn)行風(fēng)險(xiǎn)管理，而周密的信息安全風(fēng)險(xiǎn)分析是可靠、有效的風(fēng)險(xiǎn)管理的必要前提，因此對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析和評(píng)估已越來(lái)越受到人們的重視。 論文從信息體及其流動(dòng)的全程保護(hù)角度將信息系統(tǒng)分為主體、客體和運(yùn)行環(huán)境三大構(gòu)成部分，每部分包括不同的子部分，每個(gè)子部分又由不同的組件構(gòu)成，由此將信息系統(tǒng)的構(gòu)成要素以

2、相對(duì)獨(dú)立又相互關(guān)聯(lián)的層次結(jié)構(gòu)表示了出來(lái)。并將信息系統(tǒng)劃分為九個(gè)風(fēng)險(xiǎn)區(qū)域，在不同的區(qū)域中考慮系統(tǒng)資源的風(fēng)險(xiǎn)，據(jù)此將現(xiàn)有的通訊模式歸納概括為五種典型的通訊模式，為信息系統(tǒng)建立了一個(gè)普遍適用的系統(tǒng)資源數(shù)據(jù)庫(kù)，也為特定信息系統(tǒng)的資源分布提供了可裁減的元素集合，同時(shí)為將風(fēng)險(xiǎn)分析的一般方法應(yīng)用到信息系統(tǒng)的安全分析中建立系統(tǒng)風(fēng)險(xiǎn)評(píng)估體系提供了參考。 在信息系統(tǒng)資源分布模型的基礎(chǔ)之上，論文根據(jù)系統(tǒng)風(fēng)險(xiǎn)的一般性定義，定義信息系統(tǒng)的風(fēng)險(xiǎn)為信息系統(tǒng)及

3、其資源在達(dá)到其安全特性(機(jī)密性、完整性和可用性等)要求過(guò)程中的不確定性。從而信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估就是根據(jù)相關(guān)技術(shù)標(biāo)準(zhǔn)，評(píng)估信息系統(tǒng)在不同安全特性下的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)不確定事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。論文通過(guò)詳細(xì)討論信息系統(tǒng)的脆弱性和針對(duì)系統(tǒng)為目標(biāo)的威脅性，構(gòu)建了不確定事件發(fā)生概率及其造成損失的層次化結(jié)構(gòu)，為信息系統(tǒng)風(fēng)險(xiǎn)的進(jìn)一步度量和評(píng)估提供了理論依

4、據(jù)。 在信息系統(tǒng)風(fēng)險(xiǎn)量化評(píng)估過(guò)程中，由于系統(tǒng)風(fēng)險(xiǎn)的復(fù)雜性，存在著諸多不確定性的影響因素，很難通過(guò)有效的數(shù)據(jù)累計(jì)確定風(fēng)險(xiǎn)事件發(fā)生的概率，也很難直接準(zhǔn)確地判斷其發(fā)生后的嚴(yán)重程度。論文根據(jù)所構(gòu)建的風(fēng)險(xiǎn)層次化結(jié)構(gòu)，利用定性與定量相結(jié)合的層次分析方法來(lái)確定層次結(jié)構(gòu)中各風(fēng)險(xiǎn)影響因素的權(quán)重系數(shù)；運(yùn)用Delphi法得到指標(biāo)的隸屬度向量；通過(guò)比較討論常用的模糊合成算子，較為合理地實(shí)現(xiàn)了模糊合成運(yùn)算；并通過(guò)討論評(píng)價(jià)結(jié)果的判斷原則，選取加權(quán)平均原則來(lái)

5、對(duì)評(píng)價(jià)結(jié)果做出正確有效的判斷；由此給出了信息系統(tǒng)風(fēng)險(xiǎn)量化評(píng)估的多級(jí)模糊綜合評(píng)判模型，并通過(guò)示例說(shuō)明了算法的應(yīng)用。 同時(shí)論文引入神經(jīng)網(wǎng)絡(luò)的自適應(yīng)算法，通過(guò)對(duì)已知樣本的學(xué)習(xí)，獲得評(píng)價(jià)專家經(jīng)驗(yàn)、知識(shí)、主觀判斷以及各層指標(biāo)的權(quán)重系數(shù)，從而降低評(píng)價(jià)過(guò)程中的人為因素，較好地保證評(píng)價(jià)結(jié)果的客觀性。在運(yùn)用過(guò)程中，論文提出了對(duì)樣本數(shù)據(jù)的預(yù)處理方法，即定量數(shù)據(jù)的一致性處理和定性數(shù)據(jù)的量化；建議采用三種常用的神經(jīng)網(wǎng)絡(luò)改進(jìn)算法以及隱含層節(jié)點(diǎn)的確定方法來(lái)

6、改進(jìn)神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)算法和網(wǎng)絡(luò)結(jié)構(gòu)，采用初期終止的方法來(lái)提高網(wǎng)絡(luò)的泛化能力；在通過(guò)示例說(shuō)明算法的應(yīng)用時(shí)，采用了線性回歸擬合的方法驗(yàn)證了評(píng)價(jià)結(jié)果的有效性。 另外，在信息系統(tǒng)的風(fēng)險(xiǎn)分析中，大量的風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)的背后往往隱藏著系統(tǒng)的風(fēng)險(xiǎn)規(guī)律。論文利用可變精度粗糙集(VPRS)分析信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)，采用VPRS模型中的β約簡(jiǎn)簡(jiǎn)化評(píng)估數(shù)據(jù)，通過(guò)支持?jǐn)?shù)、可信度、覆蓋率以及專家經(jīng)驗(yàn)來(lái)濾取風(fēng)險(xiǎn)規(guī)則。這種通過(guò)定性和定量相結(jié)合的過(guò)濾風(fēng)險(xiǎn)規(guī)則的

7、方法不但約簡(jiǎn)了風(fēng)險(xiǎn)規(guī)則的數(shù)量，而且提高了風(fēng)險(xiǎn)規(guī)則的有效性。 最后，論文基于環(huán)Z<,n>上圓錐曲線公鑰密碼體系，通過(guò)綜合利用大數(shù)分解的困難性和環(huán)Z<,n>上圓錐曲線C<,n>(a b，)的離散對(duì)數(shù)問(wèn)題，設(shè)計(jì)基于環(huán)Z<,n>上圓錐曲線的數(shù)字簽名方案，以用于驗(yàn)證在線評(píng)估數(shù)據(jù)的完整性，同時(shí)驗(yàn)證評(píng)估數(shù)據(jù)發(fā)送者的真實(shí)性。在此基礎(chǔ)上，將多個(gè)圓錐曲線數(shù)字簽名聯(lián)合起來(lái)生成對(duì)評(píng)估數(shù)據(jù)的簽名，設(shè)計(jì)實(shí)現(xiàn)了多人對(duì)同一文件的多重?cái)?shù)字簽名。同時(shí)給出了多重