信息安全風(fēng)險(xiǎn)評(píng)估模型的研究及其應(yīng)用.pdf

1、當(dāng)前，隨著信息技術(shù)發(fā)展和社會(huì)信息化進(jìn)程的全面加快，國(guó)民經(jīng)濟(jì)對(duì)信息和信息系統(tǒng)的依賴越來(lái)越大。由此而產(chǎn)生的信息安全問(wèn)題也日益突出，必須高度重視，并有充分的對(duì)策。信息安全管理的本質(zhì)是風(fēng)險(xiǎn)管理，這是因?yàn)闆](méi)有絕對(duì)的安全也沒(méi)有徹底的風(fēng)險(xiǎn)，安全和風(fēng)險(xiǎn)密不可分。所謂的安全信息系統(tǒng)，就是通過(guò)最優(yōu)的風(fēng)險(xiǎn)管理策略，把信息系統(tǒng)上客觀存在的風(fēng)險(xiǎn)，逐步降低到一個(gè)可以接受的程度。而風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的第一步工作，是保障信息安全的重要手段，其作用被越來(lái)越多的人所認(rèn)可。

2、 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)際上就是根據(jù)有關(guān)的信息安全測(cè)評(píng)標(biāo)準(zhǔn)，對(duì)信息資產(chǎn)存在的脆弱性、面臨的威脅以及脆弱性被威脅利用會(huì)產(chǎn)生的負(fù)面影響和危害事件發(fā)生的可能性，進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。對(duì)信息安全風(fēng)險(xiǎn)而言，脆弱性和威脅是原因，負(fù)面影響和可能性是結(jié)果。 本文以有關(guān)信息安全的國(guó)際標(biāo)準(zhǔn)為理論基礎(chǔ)，提出了以風(fēng)險(xiǎn)管理為核心理念的信息安全風(fēng)險(xiǎn)評(píng)估模型，詳細(xì)論述了以該模型為主導(dǎo)的風(fēng)險(xiǎn)評(píng)估方法，并在實(shí)際的信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目中加以實(shí)施和驗(yàn)證。在本文中包

3、括以下工作： 首先，針對(duì)越來(lái)越多的信息安全需求，介紹了信息安全風(fēng)險(xiǎn)評(píng)估的概念、工作模式，以及國(guó)內(nèi)外開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的情況，并從管理、技術(shù)和工程三個(gè)方面，介紹了業(yè)內(nèi)最流行的測(cè)評(píng)標(biāo)準(zhǔn)，這些為風(fēng)險(xiǎn)評(píng)估模型提供了豐富的理論基礎(chǔ)。 第二，根據(jù)風(fēng)險(xiǎn)評(píng)估的幾個(gè)關(guān)鍵因素如資產(chǎn)、脆弱性、威脅、安全策略、風(fēng)險(xiǎn)的相互關(guān)系，提出了相應(yīng)的信息安全風(fēng)險(xiǎn)評(píng)估模型，充分體現(xiàn)了風(fēng)險(xiǎn)管理的核心理念。同時(shí)還論述了PDCA過(guò)程方法如何指導(dǎo)風(fēng)險(xiǎn)評(píng)估的各個(gè)