论文部分内容阅读
信息资源是社会发展的重要战略资源,随着国民经济以及社会信息化的全面加速发展,信息化正在深入到我国政治、军事、经济、社会、企业、生活各个领域,涌现出了大量的数字化业务,如电子商务、电子政务、电子银行、数字图书馆、网络媒体等。随着对信息化程度依赖程度的增加,由此产生的信息安全问题就凸现出来,甚至于对国家安全的影响日益增加、日益突出。如何确定信息系统面临的风险的大小,采取的安全控制措施是否有效,系统的安全程度是什么样的,还有哪些风险未进行控制,对于信息系统的安全投入与系统风险之间的平衡如何兼顾等等,一些系列的问题需要进行回答。通过风险评估是解决上述问题的有效方法之一,风险评估工作是个极复杂又具有挑战性的工作,需要大量细致的分析和专业知识的支撑,项目管理也比较复杂,为更好的完成信息安全风险评估工作需要借助信息安全风险评估管理工具。专家系统等技术的引入使风险评估工具不再是单纯的按照定制的评估模式为用户提供风险评估的解决方案,而是根据专家的经验,进行推理分析后给出最佳的控制措施。智能化的风险评估工具具有学习能力,能够在不断的使用过程中产生新的知识,具有解决新问题的能力。基于专家系统的信息安全风险评估工具是风险评估工具发展的一个重要方向。本文主要研究信息系统风险评估方法和技术的应用,设计和实现了一种综合信息系统风险评估工具。同时还对风险评估的概念、标准、方法进行了介绍,对风险评估的流程进行了梳理,并对目前主流的风险评估工具进行了分析和介绍。在总结国内外学者相关领域研究成果的基础上,使用了对信息系统风险动态变化的风险评估的方法,即在静态评估的基础上,对单资源差异进行对比分析,识别每个资产受到的威胁,然后借助综合分析系统,从而实现对整个系统动态的综合风险分析。本文根据这种风险评估方法,设计了一种综合信息系统风险评估及管理工具,用于风险评估项目的管理以及系统风险的综合评估,并进行了初步的系统验证,证明的评估方法和系统的可用性。