信息安全風險自評估方法的研究及其輔助工具的設計與實現.pdf

1、隨著網絡技術的飛速發(fā)展，信息借助于網絡快速的傳播，信息系統(tǒng)的安全性也受到來自多方面的威脅，因而，如何保證信息系統(tǒng)安全也日益被提到日程。在幾十年的系統(tǒng)安全研究中，人們也深刻認識到：信息系統(tǒng)安全問題單憑技術是無法得到徹底解決的，它的解決涉及到法規(guī)政策、管理、標準、技術等方方面面，任何單一層次上的安全措施都不可能提供真正的全方位的安全，信息系統(tǒng)安全問題的解決更應該站在系統(tǒng)工程的角度來考慮。在這項工程中，信息系統(tǒng)安全風險評估占有重要的地位，它是

2、信息系統(tǒng)安全的基礎和前提。 信息安全風險評估分為自評估和他評估兩種類型，其中，自評估是組織為了定期了解自身安全狀態(tài)而進行的一種評估活動，在組織信息安全管理中有著重要的作用。為了使組織自我的風險評估工作更具科學性和合理性，有必要在進行評估前確定一個評估實施的流程和方法；并且風險評估中需要采集大量的數據，評估過程相當復雜，系統(tǒng)需要保留所有采集數據以備日后查詢、核對、檢驗、分析，而且需要評估人員具有豐富的評估經驗。因此，開發(fā)設計有效的

3、評估輔助工具對于縮短評估周期、節(jié)省人力物力、保證評估實施的科學性和有效性都至關重要。 本文首先介紹了信息系統(tǒng)的安全以及信息系統(tǒng)風險管理和風險評估的背景知識，在研究了國內外相關標準的前提下提出了一套自評估的方法，并對具體的實施進行了分析，這些對具體的評估活動有著重要的指導作用。在這個風險評估流程基礎上，給出了一個有效的風險評估輔助工具的設計方案。本方案中，根據風險評估涉及要素多、過程復雜、不易實施等特點設計了內容豐富的信息庫，包括