企業(yè)信息安全于風(fēng)險(xiǎn)評估方法的研究.pdf

1、“信息化促進(jìn)工業(yè)化,工業(yè)化帶動(dòng)信息化”,現(xiàn)代工業(yè)化的發(fā)展已經(jīng)完全離不開信息平臺(tái)的支撐。然而,作為企業(yè)的老總,在深知信息系統(tǒng)存在安全風(fēng)險(xiǎn)的同時(shí),更想知道其中的主要風(fēng)險(xiǎn)是什么,怎樣做才能提高企業(yè)信息系統(tǒng)的安全水平。采用信息系統(tǒng)風(fēng)險(xiǎn)評估可以對企業(yè)信息系統(tǒng)的安全狀況作出一個(gè)客觀的評價(jià),依據(jù)評估的結(jié)果進(jìn)行建設(shè),可以做到有的放矢,漸入佳境。在眾多的信息系統(tǒng)安全風(fēng)險(xiǎn)評估方法中,定性和定量是兩個(gè)主流方法。
　　 定量評估方法更能直觀地反映出信息

2、系統(tǒng)的安全水平,深受評估單位的歡迎。但由于企業(yè),尤其是大企業(yè)信息系統(tǒng)廣大,人員較多,網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備繁雜,采用普通的定量評估方法是不現(xiàn)實(shí)的,而采取簡單的抽樣性評估,結(jié)果也是不精確的。因而急需研究一套適用于企業(yè)的信息安全風(fēng)險(xiǎn)評估方法。即信息安全風(fēng)險(xiǎn)評估企業(yè)定量方法。
　　 信息安全風(fēng)險(xiǎn)評估企業(yè)定量方法,就是依據(jù)企業(yè),尤其是大型企業(yè)的特點(diǎn),根據(jù)確定的評估內(nèi)容,評估流程,在眾多的信息系統(tǒng),眾多的人員與設(shè)備中,采用分類分別計(jì)算比例的方法,

3、合理的選定評估對象,采樣數(shù)量。同時(shí),依據(jù)企業(yè)信息系統(tǒng)中資產(chǎn)價(jià)值,威脅性和脆弱性三者之間的函數(shù)關(guān)系,選取恰當(dāng)?shù)倪m合企業(yè)的風(fēng)險(xiǎn)計(jì)算數(shù)學(xué)方法,合理的計(jì)算企業(yè)信息安全風(fēng)險(xiǎn)評估數(shù)值。這對于企業(yè),尤其是大型企業(yè)是很有用的,也是非常有意義的。
　　 本文在對信息安全風(fēng)險(xiǎn)評估企業(yè)定量方法研究的同時(shí),給出了應(yīng)用該方法開展的企業(yè)信息安全風(fēng)險(xiǎn)評估項(xiàng)目實(shí)例,即燕山石化公司最近實(shí)施的信息安全風(fēng)險(xiǎn)評估項(xiàng)目。在較為準(zhǔn)確地確定了評估對象和采樣數(shù)量的基礎(chǔ)上,實(shí)施