信息安全風(fēng)險(xiǎn)自評(píng)估方法的研究及其輔助工具的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，信息借助于網(wǎng)絡(luò)快速的傳播，信息系統(tǒng)的安全性也受到來(lái)自多方面的威脅，因而，如何保證信息系統(tǒng)安全也日益被提到日程。在幾十年的系統(tǒng)安全研究中，人們也深刻認(rèn)識(shí)到：信息系統(tǒng)安全問(wèn)題單憑技術(shù)是無(wú)法得到徹底解決的，它的解決涉及到法規(guī)政策、管理、標(biāo)準(zhǔn)、技術(shù)等方方面面，任何單一層次上的安全措施都不可能提供真正的全方位的安全，信息系統(tǒng)安全問(wèn)題的解決更應(yīng)該站在系統(tǒng)工程的角度來(lái)考慮。在這項(xiàng)工程中，信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估占有重要的地位，它是

2、信息系統(tǒng)安全的基礎(chǔ)和前提。 信息安全風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和他評(píng)估兩種類型，其中，自評(píng)估是組織為了定期了解自身安全狀態(tài)而進(jìn)行的一種評(píng)估活動(dòng)，在組織信息安全管理中有著重要的作用。為了使組織自我的風(fēng)險(xiǎn)評(píng)估工作更具科學(xué)性和合理性，有必要在進(jìn)行評(píng)估前確定一個(gè)評(píng)估實(shí)施的流程和方法；并且風(fēng)險(xiǎn)評(píng)估中需要采集大量的數(shù)據(jù)，評(píng)估過(guò)程相當(dāng)復(fù)雜，系統(tǒng)需要保留所有采集數(shù)據(jù)以備日后查詢、核對(duì)、檢驗(yàn)、分析，而且需要評(píng)估人員具有豐富的評(píng)估經(jīng)驗(yàn)。因此，開(kāi)發(fā)設(shè)計(jì)有效的

3、評(píng)估輔助工具對(duì)于縮短評(píng)估周期、節(jié)省人力物力、保證評(píng)估實(shí)施的科學(xué)性和有效性都至關(guān)重要。 本文首先介紹了信息系統(tǒng)的安全以及信息系統(tǒng)風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)評(píng)估的背景知識(shí)，在研究了國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)的前提下提出了一套自評(píng)估的方法，并對(duì)具體的實(shí)施進(jìn)行了分析，這些對(duì)具體的評(píng)估活動(dòng)有著重要的指導(dǎo)作用。在這個(gè)風(fēng)險(xiǎn)評(píng)估流程基礎(chǔ)上，給出了一個(gè)有效的風(fēng)險(xiǎn)評(píng)估輔助工具的設(shè)計(jì)方案。本方案中，根據(jù)風(fēng)險(xiǎn)評(píng)估涉及要素多、過(guò)程復(fù)雜、不易實(shí)施等特點(diǎn)設(shè)計(jì)了內(nèi)容豐富的信息庫(kù)，包括