论文部分内容阅读
随着网络信息技术的快速发展,网络和信息系统的应用逐渐渗透到人们生活的各个方面,信息成为了组织最重要的财富,而随着网络安全事件影响范围的扩大,信息的保密性和完整性,已经成为决策者最关注的问题。然而,由于目前技术的有限性和人们认知的时限性,网络和各种信息系统总会存在着这样那样的脆弱性,这也就给了病毒、木马、人为威胁等可乘之机,使得网络和信息系统面临着种种威胁。怎样保护信息系统的安全成为了目前急需解决的问题。而预防安全事件的发生,使组织免受损失,则是进行安全保护的最终目的。安全风险评估,是针对信息系统已有的安全保护措施,综合系统的价值、脆弱性等进行风险分析,明确系统的安全状况,为安全事件的预防提供了很好的保障。近年来,国家加大了海洋信息化建设力度,以数字海洋、海域动态监测监视管理系统等为目标的各类海洋信息化建设专项和项目在国家和地方海洋局展开。海洋信息化必然带来信息安全的问题。海洋数据是国家的保密数据,其中海洋长序列数据和大比例尺数据甚至是机密级的数据,因此,数据的安全成为信息化建设的同时必须重视的问题。鉴于此,国家各地海洋局的海洋网络(承载海洋业务的海洋局内部网络)都有针对不同业务的不同安全等级要求。相应地,针对这些特殊网络的信息安全评估也具有其他行业的安全评估代替不了的特点。信息安全风险评估,就是对信息系统和网络本身所具有的脆弱性以及系统面临的威胁进行系统的分析,对安全事件发生的可能性和安全事件一旦发生可能产生的影响进行预测,最后得到整个信息系统的安全等级,即安全状况,以此作为实施安全措施的参照,利用安全措施减少脆弱性,降低风险到可接受的程度,从而保障信息系统的安全[1]。目前国内已有不少专家学者针对网络安全风险评估提出不同的研究方法,并取得了较大的进展,如AHP法、攻击树法、攻击图法等[2]。但是这些方法大多都是从评估要素即资产、脆弱性、威胁、已有安全措施等几个方面来对网络进行评估的,目前还没有专门针对具有安全等级要求的网络的进行风险评估的研究。文章首先介绍了信息安全评估的概念和内涵,步骤、流程等,从整体上对安全评估有全局性的了解。介绍了信息安全评估的作用和意义,以及常见的风险处理方法。介绍了国内外几种安全评估标准,和常用的风险分析方法,阐述了风险处理的几种措施和风险评估的意义和作用。其次,介绍了模糊综合评估理论,该理论对具有模糊性和不确定性的因素评估效果较好,而信息系统安全风险在评估过程中充满了不确定性和模糊性,因此可将模糊理论用于评估过程当中。另外,还简单介绍了灰色系统理论,该理论研究的对象是部分未知部分可知的灰色系统,由于信息系统完全符合灰色系统的特征,因此,灰色理论可用在信息系统的风险评估中。最后,本文结合模糊理论和灰色系统理论的特征,建立了基于灰色理论的风险评估模型。第一步是建立评估指标体系,并确定其权重,此处采用的改良是德尔菲法,即在打分之后,通过求其相关系数,淘汰掉偏离太大的数值,确保了评估数据的一致性。然后,划分了系统的安全风险等级,确定了模糊评估集,确定白化权函数和灰色评估系数,最后确定评估矩阵,进行综合评估。在实例部分,运用模糊灰色模型对课题中的某地海洋局的网络进行了风险评估。依据《信息系统安全等级保护》第三级的要求,选取安全评估指标,建立评估指标体系;然后根据第三级等级保护的具体要求得到的评估样本,利用模糊灰色理论评估的步骤,建立评估指标集,建立白化权函数,计算灰色评估系数,最终得到灰色评估矩阵,进行综合评估。为了保证评估的准确性,对评估集进行了量化,并使求得的综合评估结果与之相乘,最后得到评估值。对比系统的安全等级划分表,最终得到系统的安全等级。在文章最后,设计了基于模糊灰色模型的安全风险评估系统,该系统可有效的提高安全评估的效率,同时避免了由于人为疏忽导致的错误。本文结合灰色系统理论和模糊理论,提出基于模糊灰色理论的风险评估方法;综合考虑了海洋网络的特殊性,建立了基于《信息安全等级保护要求》中第三级保护要求的评估指标,最后对海洋网络进行了安全风险评估,设计了结合模糊评估模型的风险评估系统。