信息安全风险评估模型及其算法研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全 风 险 管 理 手 段 莫 过 于 由 信 息 系 统 审 计 与 控 制 学 会 IAC (nomai S s ms A dt a d S A Ifr t n o yt u i e n C nrl ot o
② 国内的研究现状。 目前我 国信息与网络安全 的防 护能力 处于发展 的初级阶段 ,许多应用系统处于不设 防 状态。 我国信息安全标准化 工作起步较晚 , 在国家质量技 术监督 局领导下 ,全 国信息化标准制定委员会及其下属 的信息安全技术委员会在制订我 国信息安全标准方 面做 了大量 的工作 , 完成了许多安全技术标 准的制定 , G 如 B 189 G / 。3 6等 。国内 的评 估现状 与 国际社会 类 75 、 BT 1 3 8 似 ,我 国所建立 的信息安全测评认证体系关注于安全技 术和安 全产 品的认证 ,并没有提 出针对组织安全管理 的 评估 、 认证模型和方法。 如今 国内关于信息安全 管理方面 的研究也 明显滞后 于国际同行 。
配置 , 降低 组 织 的整 体 信 息 安 全 风 险 。
关 键 词 : 息安 全 ; 险 评 估 ;A 分 析 ; 理 统 计 信 风 VR 数 中 图 分 类 号 : P 0 T39 文献 标 识 码 : A 文 章编 号 :06 8 3 (0 11 — 09 0 10 — 9 7 2 1) 6 07 — 2
1 研究背景及现状
解 , O I40 C BT .为每个 I T流程进行了定义 ,对每个流程及
基木输入 / 输出及 与其他流程的关系进行了描述 ,确定 随着信息时代 的迅速到来 , 众多的组织机构将重要信 它从哪个流程来 , 哪个流程去 , 或是否有其它路径 。
.
息存放在信息系统 中,在业务上也越来越依赖信息系统 的安 全性 、 可用性 、 可恢 复性 。 越来越 多的组织机构 意识 到信 息安全的重要性 , 如金融 、 例 电力 、 通讯等相关涉及 公共利益的组织机构投入 巨资进行 了信息安全能力 的提 升。而我国以公安部牵头 的信息安全等级保护工作也 在 如火 如荼 的进行 , 对不 同行 业 , 同机构进 行分类保护 , 不 极大 的从制度和法规方面促进 了我 国信息安全保 护水平 的提升 ,从 国家宏 观层面上积极推进了信息安全工作 的 开展 。 针对于国家公安部开展的信息安全等级保护工作 , 不 同行业的信息安 全等级易 于测量 ,但对于某一行业具 体金融机构的信息安全能力定级上难 以定量化 ,不 同金 融机构所面对的信息安全风险大小不一 , 来源不 同 , 极具 差异化 。小 型银行在信息安全领域的花费将 和大银行完 全相 同,将 加大中小银行 的商业负担 ,造成 不必要 的浪 费 ,如何运用数量方法定量的而不是定性的去评估信息 安全风险成为信息安全领域一个急需解决 的学术问题。 ① 国外 的研究现状 。 目前在 国外 , 最为流行 的信息安
第3 O卷第 1 6期
V0 _ No.6 l 3O 1
企 业 技 术 开 发
TECHNOLOGI CAL DEVELOPMENT OF ENTERPRI E S
2 1 年 8月 01
Au .01 g2 1
ቤተ መጻሕፍቲ ባይዱ
信息安全风 险评估模 型及 其算法研 究
刘 建 武
( 中南财经政法大学 信息与安全工程学 院, 湖北 武汉 4 07 ) 30 3
摘 要 : 信 息科 技 日益 发 展 , 类社 会 对信 息 的依 赖 性 越 来 越 强 , 息 资产 的 安 全 性 受 到 空前 的 重视 , 当 在 人 信 而
前 我 国的信 息 安 全 水 平普 遍 不 高 , 西 方 发 达 国家存 在 较 大 差距 。在 当前 信 息 安 全领 域 , 要 的 管 理 手段 是 与 主 奉行着“ 三分 技 术 , 分 管 理 ” 七 的原 则 。要 想 提 高整 体 的 信 息 安 全 水平 , 须 从 一 个 组 织 整体 的信 息安 全 管 理 必 水 平 着 手 , 不仅 是 依 赖 于防 火 墙 、 侵 检 测 、 洞 扫 描 等 传 统信 息安 全技 术 手 段 , 目前信 息安 全 管理 的 最 而 入 漏 而 起 始 的 工 作 主要 是 信 息安 全 风 险评 估 , 信 息 安 全 风 险评 估 的手 段 单 一 化 、 元化 、 以定 量 化 。 以往 的信 息 而 多 难 安 全 风 险评 估 多从 A HP层 析 分 析 法 、 糊 综 合 评 价 及 灰 色理 论 入 手 , 模 而较 少采 用 V K 风 险 定量 分 析 和 概 率 A 论 等 数 学 方 法 去 分析 和评 估 信 息安 全 的 风 险 。以 V R 风 险定 量 分 析 每 个 风 险 源 的损 失额 度 , A 以概 率 论 和数 理 统 计 的 方 法 去 评估 每 个风 险 源在 整 体 信 息 安 全 的 风 险 比 例 , 而便 于组 织 合 体 调 配 资 源 , 到 资 源 的 最 佳 从 达
一
能性和概率。 其二 , 一些 损失很难准确量化 , 如机密文 例 A sc tn 在 19 s i i ) 96年公布的控制框架 C BT 目前 已经 件或敏感丢失 的损失风 险量化评估就很难准确获得 。 o ao OI 其 更新至第四版 , 主要研究信息安全的风 险管理 。 这个框架 三 , 尽管安全控制措施本身 的代价( 如软硬件 的成本 等 )
2 研 究的 主 要 内容 和 意 义
①文章研究 的意义。 各大金融或国家保密机关在实施
的 自己的风险管理过程 ,一般都采取的都是传统意义上 的风险管理过程 。风险识别一风险评估一 风险消减一 风 险监控 , 但在实际操作过程 中, 往往存 在以下难点 : 其一 , 些风 险因素 的信息很难准确获取 ,黑客攻破 系统的可 。
② 国内的研究现状。 目前我 国信息与网络安全 的防 护能力 处于发展 的初级阶段 ,许多应用系统处于不设 防 状态。 我国信息安全标准化 工作起步较晚 , 在国家质量技 术监督 局领导下 ,全 国信息化标准制定委员会及其下属 的信息安全技术委员会在制订我 国信息安全标准方 面做 了大量 的工作 , 完成了许多安全技术标 准的制定 , G 如 B 189 G / 。3 6等 。国内 的评 估现状 与 国际社会 类 75 、 BT 1 3 8 似 ,我 国所建立 的信息安全测评认证体系关注于安全技 术和安 全产 品的认证 ,并没有提 出针对组织安全管理 的 评估 、 认证模型和方法。 如今 国内关于信息安全 管理方面 的研究也 明显滞后 于国际同行 。
配置 , 降低 组 织 的整 体 信 息 安 全 风 险 。
关 键 词 : 息安 全 ; 险 评 估 ;A 分 析 ; 理 统 计 信 风 VR 数 中 图 分 类 号 : P 0 T39 文献 标 识 码 : A 文 章编 号 :06 8 3 (0 11 — 09 0 10 — 9 7 2 1) 6 07 — 2
1 研究背景及现状
解 , O I40 C BT .为每个 I T流程进行了定义 ,对每个流程及
基木输入 / 输出及 与其他流程的关系进行了描述 ,确定 随着信息时代 的迅速到来 , 众多的组织机构将重要信 它从哪个流程来 , 哪个流程去 , 或是否有其它路径 。
.
息存放在信息系统 中,在业务上也越来越依赖信息系统 的安 全性 、 可用性 、 可恢 复性 。 越来越 多的组织机构 意识 到信 息安全的重要性 , 如金融 、 例 电力 、 通讯等相关涉及 公共利益的组织机构投入 巨资进行 了信息安全能力 的提 升。而我国以公安部牵头 的信息安全等级保护工作也 在 如火 如荼 的进行 , 对不 同行 业 , 同机构进 行分类保护 , 不 极大 的从制度和法规方面促进 了我 国信息安全保 护水平 的提升 ,从 国家宏 观层面上积极推进了信息安全工作 的 开展 。 针对于国家公安部开展的信息安全等级保护工作 , 不 同行业的信息安 全等级易 于测量 ,但对于某一行业具 体金融机构的信息安全能力定级上难 以定量化 ,不 同金 融机构所面对的信息安全风险大小不一 , 来源不 同 , 极具 差异化 。小 型银行在信息安全领域的花费将 和大银行完 全相 同,将 加大中小银行 的商业负担 ,造成 不必要 的浪 费 ,如何运用数量方法定量的而不是定性的去评估信息 安全风险成为信息安全领域一个急需解决 的学术问题。 ① 国外 的研究现状 。 目前在 国外 , 最为流行 的信息安
第3 O卷第 1 6期
V0 _ No.6 l 3O 1
企 业 技 术 开 发
TECHNOLOGI CAL DEVELOPMENT OF ENTERPRI E S
2 1 年 8月 01
Au .01 g2 1
ቤተ መጻሕፍቲ ባይዱ
信息安全风 险评估模 型及 其算法研 究
刘 建 武
( 中南财经政法大学 信息与安全工程学 院, 湖北 武汉 4 07 ) 30 3
摘 要 : 信 息科 技 日益 发 展 , 类社 会 对信 息 的依 赖 性 越 来 越 强 , 息 资产 的 安 全 性 受 到 空前 的 重视 , 当 在 人 信 而
前 我 国的信 息 安 全 水 平普 遍 不 高 , 西 方 发 达 国家存 在 较 大 差距 。在 当前 信 息 安 全领 域 , 要 的 管 理 手段 是 与 主 奉行着“ 三分 技 术 , 分 管 理 ” 七 的原 则 。要 想 提 高整 体 的 信 息 安 全 水平 , 须 从 一 个 组 织 整体 的信 息安 全 管 理 必 水 平 着 手 , 不仅 是 依 赖 于防 火 墙 、 侵 检 测 、 洞 扫 描 等 传 统信 息安 全技 术 手 段 , 目前信 息安 全 管理 的 最 而 入 漏 而 起 始 的 工 作 主要 是 信 息安 全 风 险评 估 , 信 息 安 全 风 险评 估 的手 段 单 一 化 、 元化 、 以定 量 化 。 以往 的信 息 而 多 难 安 全 风 险评 估 多从 A HP层 析 分 析 法 、 糊 综 合 评 价 及 灰 色理 论 入 手 , 模 而较 少采 用 V K 风 险 定量 分 析 和 概 率 A 论 等 数 学 方 法 去 分析 和评 估 信 息安 全 的 风 险 。以 V R 风 险定 量 分 析 每 个 风 险 源 的损 失额 度 , A 以概 率 论 和数 理 统 计 的 方 法 去 评估 每 个风 险 源在 整 体 信 息 安 全 的 风 险 比 例 , 而便 于组 织 合 体 调 配 资 源 , 到 资 源 的 最 佳 从 达
一
能性和概率。 其二 , 一些 损失很难准确量化 , 如机密文 例 A sc tn 在 19 s i i ) 96年公布的控制框架 C BT 目前 已经 件或敏感丢失 的损失风 险量化评估就很难准确获得 。 o ao OI 其 更新至第四版 , 主要研究信息安全的风 险管理 。 这个框架 三 , 尽管安全控制措施本身 的代价( 如软硬件 的成本 等 )
2 研 究的 主 要 内容 和 意 义
①文章研究 的意义。 各大金融或国家保密机关在实施
的 自己的风险管理过程 ,一般都采取的都是传统意义上 的风险管理过程 。风险识别一风险评估一 风险消减一 风 险监控 , 但在实际操作过程 中, 往往存 在以下难点 : 其一 , 些风 险因素 的信息很难准确获取 ,黑客攻破 系统的可 。