一种信息安全评估方法在OA系统中的应用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
一种信息安全评估方法在OA系统中的应用摘要:针对信息系统安全风险的特征,把模糊理论和灰色理论结合起来建立信息系统安全风险的灰色模糊综合评估模型,应用灰色模糊综合评估模型评估某局的OA系统安全风险,并和OA系统应用模糊综合评判法的结果做了对比,验证了灰色模糊综合评估方法的可行性。
关键词:信息系统安全风险评估指标体系模糊综合评判灰色模糊综合评判法
21世纪是信息时代,信息已成为社会发展的重要战略资源,信息技术改变着人们的生活和工作方式,信息的获取、处理和信息安全保障能力成为综合国力和经济竞争力的重要组成部分,信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素。互联网的盛行与企业信息管理系统的发展正在逐渐成为新的商业发展方向,伴随而来的信息系统安全风险的问题,也同时成了高度重视的方面。有效的信息安全风险评估方法能准确评估出信息系统风险,使组织采取相应的有效措施对风险进行控制,使机构风险被降低到一个可被接受的水平。
由于信息系统风险评估中存在许多模糊不确定性因素,信息系统安全风险评估需要专家参与评判,因评判者的能力和偏好不同,使得风险评价信息带有灰色性,以往的信息安全风险评估方法未同时考虑到系统风险的模糊性和灰色性,因此评估结果不够准确。本文将灰色系统理论中的灰色统计评估法、模糊综合评判法、层次分析法,通过建
立反映风险本质的信息系统安全风险评估体系,构建信息系统安全风险的多级灰色模糊综合评判模型,定性与定量结合评估信息系统安全风险,使评估结果更准确。最后,利用所建立的灰色模糊综合评估模型对某办公自动化系统进行了评估验证,评估结果基本符合该办公自动化系统的实际状况,证明所建立的模型优于原有模型。
1 信息系统安全风险的灰色模糊综合评估模型
信息系统安全风险的灰色模糊综合评估框架,如下所示:“信息安全风险因素识别与分析→分别构建安全事件发生可能性和安全事件发生后影响的评估指标体系→建立评估指标集→确定评价指标权重→划分信息系统风险评价等级→评价样本矩阵及评价灰类的确定→计算灰色评价系数→计算灰色评价权值及模糊权矩阵→计算模糊综合评价结果”。
2 OA系统评估实例
深圳市A局的OA系统是一个基于B/S架构的办公自动化系统,系统建设目标是将传统手工,纸面,封闭的运作方式转换成自动、电子、开放的方式,提高行政管理及相关业务的工作质量和效率,并为全面信息化建设做好准备工作。深圳市A局的OA系统是一个基于B/S架构的办公自动化系统,系统建设目标是将传统手工,纸面,封闭的运作方式转换成自动、电子、开放的方式,提高行政管理及相关业务的工
作质量和效率,并为全面信息化建设做好准备工作。该系统主要功能包括各部门协同办公系统,主要功能包括非涉密电子公文交换、公文流转、通知公告、资料交换、事务呈签等日常办公功能;综合资料管理系统,实现文档的一体化管理,各种类型的信息按分类和分级管理,提供完善的查询检索功能;若干辅助办公系统,主要包括请示报告处理系统、简易发文系统、短信、电子邮件、局领导日程安排、个人日程安排等。OA系统的资产分为:硬件资产、软件和数据资产,人力资源等。硬件资产主要有OA数据库服务器、OA应用服务器、文件服务器、路由器CISCO 7206、CISCO 4506交换机、Net Screen FW防火墙、CISCO 6506交换机、Quid Way NE20路由器。软件和数据资产主要包括:各种应用软件和OA相关的电子数据,档案资料等。物理环境是主要设备的机房。人力管理资源主要是网络系统管理员。
2.1 OA系统安全风险的灰色模糊综合评估
根据信息系统安全风险的灰色模糊综合评估框架,运用灰色模糊综合评估方法,(由于计算过程复杂,具体过程在此忽略),综合OA系统资产风险的分析结果,可以得到关于OA系统各项资产的风险等级值,灰色模糊综合评估法的评估结果基本符合OA系统资产的实际状况。OA系统资产风险统计图,如图1所示。
2.2 应用模糊综合评判法评估OA系统资产,风险等级统计如图2所示
2.3 信息安全模糊评估方法和灰色模糊综合评估法的对比结果,如表1所示
3 结语
应用模糊综合评判法评估系统资产风险没有灰色模糊综合评估法有效,灰色模糊综合评判法的评估结果更接近于系统资产实际风险状况。其主要原因在于专家的主观性在模糊综合评判法中没有减少,在灰色模糊综合评判法中利用灰色理论建立的白化函数在一定程度上减少了专家在评估过程中的主观性,对OA系统资产的风险评估值更接近于系统实际情况,从而对信息系统风险管理决策提供了有效的依据,加强了对信息系统风险的有效控制。
参考文献
[1] 刘彦波.企业信息安全风险评估方法的研究[D].复旦大学,2008.
[3] 蔡亮.基于故障树的信息安全风险评估方法研究[D].华中科技大学,2008.