信息系統(tǒng)安全風險的自動識別和量化方法研究.pdf

1、我國目前正在加速各領域的信息化建設，在此過程中，信息安全保障的需求日益顯現(xiàn)出來。目前大部分組織對信息安全的理解還只停留在技術層面上，認為外部網(wǎng)建立了防火墻能防黑客，內(nèi)部網(wǎng)能殺病毒就達到安全要求了。但事實上，這些安全設施的投資并沒有取得預期的效果，主要原因就是多數(shù)組織的安全管理缺少風險管理的思想和必要環(huán)節(jié)。
　　風險管理包括風險評估、風險消減、結果評價三個過程。風險評估是其中的基礎環(huán)節(jié)，它包括資產(chǎn)識別、威脅和弱點識別、風險的量化等過

2、程，是風險管理中最復雜和難以實現(xiàn)的方法。信息系統(tǒng)安全風險評估就是運用科學的方法和手段，系統(tǒng)地分析網(wǎng)絡與信息系統(tǒng)所面臨的威脅以及存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度，提出有針對性的抵御威脅的防護對策和整改措施，并為防范和化解信息安全風險、最大限度地保障網(wǎng)絡和信息安全提供科學依據(jù)。
　　目前的信息安全風險評估體系中，對評估流程和評估內(nèi)容都有了比較完善的規(guī)范，但在具體的評估方法方面缺少科學的、可操作的工具和方法，因此評估

3、的具體實施過程中仍存在著較多的問題。傳統(tǒng)的信息安全風險評估往往是一次性的，一般在項目實施之初進行安全風險的評估，用來指導安全設備的配備。而事實上，信息系統(tǒng)所面臨的風險是高度動態(tài)化，其動態(tài)性和復雜來源于網(wǎng)絡環(huán)境、人員、資源等各方面因素的動態(tài)性和復雜性，因此，把風險評估過程相對人為的靜態(tài)化是不科學的，一次的評估結果的時效很短，不具備長期的指導意義。另外，信息安全風險的量化模型和方法還很不規(guī)范，缺乏系統(tǒng)性和客觀性。
　　針對以上不足，本

4、文提出風險的周期性評估模型，在威脅和弱點的識別中采用了機器學習的方法進行自動識別，提出復雜風險量化模型和基于VaR的風險度量方法。本文的主要工作及創(chuàng)新如下:
　　(1)提出信息系統(tǒng)風險的周期性評估模型。一個評估周期包括觀察期和評估期。觀察期主要完成數(shù)據(jù)的采集任務；評估期完成資產(chǎn)識別、威脅和弱點識別、復雜風險量化等任務。評估結果作為風險控制和風險消減的依據(jù)。
　　(2)利用統(tǒng)計學習理論進行風險的自動識別和分類。根據(jù)風險評估指標

5、體系，確定風險分析時需要使用的特征，如:事件類別、發(fā)生頻率、利用哪些脆弱性、危害程度等等，形成符合要求的數(shù)據(jù)格式；以評估對象實際環(huán)境中的IDS、系統(tǒng)日志以及國際安全機構發(fā)布的信息等作為數(shù)據(jù)源，形成訓練樣本、驗證樣本和預測樣本等數(shù)據(jù)集。利用SVM進行風險識別，可以對大量的訪問數(shù)據(jù)實現(xiàn)自動地分類和識別，改善風險評估過程的自動化程度，有效地降低成本。
　　(3)提出復雜風險量化模型，并引入基于VaR的風險度量方法。該風險量化模型考慮到多