论文部分内容阅读
随着信息网络技术的不断发展,人类在享受互联网技术的同时,也在日益受到来自互联网的安全威胁。特别是政府、企业、科研等单位和组织对信息网络系统的依赖程度逐渐增强,面临来自网络的安全问题尤为突出。风险评估作为信息安全管理工作中的重要组成部分和基础性工作,是掌握信息系统安全状况,合理建立信息安全保障措施的重要手段。
针对当前信息安全风险评估领域中评估方法与评估工具存在的主要问题,结合国家风险评估试行标准,进行理论与技术方面的有益探索,推动信息安全风险评估的发展,是一项重要而紧迫的工作。特别是着眼解决风险评估中定性与定量相结合的评估方法,利用层次模型来进行决策研究,正确刻画系统安全状况的本质,反映资产、威胁、弱点、影响之间的关系,为风险管理和措施的实施提供量化、可信的依据,是风险评估理论的重要研究方向。
本文主要做了三个方面的工作,首先是对信息安全和风险评估相关概念、发展和现状进行简要介绍,对风险评估常用模型及其特点进行分析。其次是以层次分析法(AHP)对建立威胁可能性评估模型进行认真地研究分析,是本文的重点部分;在系统介绍AHP模型的基础上,结合最新国家评估标准,对模型进行相应改进应用到风险评估中,建立以定量和定性相结合层次结构评估模型,以一个示例的形式对其应用进行了说明,并对模型的应用范围及优劣进行了简要分析。第三部分,主要是结合AHP评估模型给出了一个辅助风险评估综合系统的设计思路,对功能需求、结构设计进行阐述,并对其关键技术给予重点分析。
论文对风险评估中的数据采集系统、弱点扫描系统、风险评估主系统的功能要求进行详细分析,并给出实现的技术性描述。确立了分布式数据采集,集中式数据处理的思路,利用了B/S+数据库的数据采集模式,系统实现涉及Windows和Linux两种操作系统。
本文的研究与分析对信息安全风险评估模型与评估辅助工具设计具有一定的参考价值。