信息安全風(fēng)險量化方法研究.pdf

1、現(xiàn)實生活中，任何組織或個人都會面臨信息安全帶來的風(fēng)險，然而，僅僅依靠技術(shù)的手段并不能從根本上避免信息安全風(fēng)險的發(fā)生。一種高效科學(xué)的風(fēng)險量化方法，有助于強(qiáng)化決策者對風(fēng)險發(fā)生概率及其將會導(dǎo)致的損失的直觀認(rèn)識，從而正確有效地指導(dǎo)信息安全建設(shè)。根據(jù)風(fēng)險評估的基本理論方法:風(fēng)險(R)=發(fā)生概率(P)×損失（L），本文對這一公式中風(fēng)險發(fā)生概率和風(fēng)險物化所造成的損失分別進(jìn)行研究。
　　首先，本文從信息安全事件的概率分布規(guī)律出發(fā)，將信息安全事件發(fā)

2、生頻數(shù)看作離散隨機(jī)變量，通過統(tǒng)計推斷信息安全事件發(fā)生頻數(shù)服從泊松分布，并采用國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT/CC）統(tǒng)計數(shù)據(jù)驗證這一推斷結(jié)果。在此基礎(chǔ)上，基于貝葉斯定理，建立泊松分布下的信息安全事件概率計算模型。根據(jù)泊松分布的概率質(zhì)量函數(shù)，計算信息安全事件發(fā)生頻數(shù)的先驗概率分布;通過構(gòu)建似然函數(shù)調(diào)整先驗概率分布，計算信息安全事件發(fā)生頻數(shù)后驗概率分布。
　　其次，本文將VaR方法應(yīng)用于信息安全風(fēng)險損失度量，選用蒙特卡羅模擬法計算一定

3、置信度下的信息安全風(fēng)險最大損失(VaR)。并通過對該方法計算VaR進(jìn)行收斂性分析和準(zhǔn)確性檢驗驗證了該計算方法的有效性。為彌補(bǔ)VaR方法對尾部信息安全風(fēng)險的測量的不充分性，本文提出用CVaR方法來度量信息安全尾部風(fēng)險損失，分別描述收益率服從不同分布下來計算CVaR，并通過定義一個統(tǒng)計變量對CVaR計算結(jié)果進(jìn)行準(zhǔn)確性檢驗。
　　最后，本文選用CNCERT/CC數(shù)據(jù)來計算信息安全風(fēng)險發(fā)生概率，根據(jù)信息安全風(fēng)險損失模型計算得出的最大可能損

4、失(VaR)和平均超值損失(CVaR)，計算信息安全風(fēng)險值，驗證了該信息安全風(fēng)險量化方法的可行性，并可通過該方法有效指導(dǎo)信息安全建設(shè)。
　　本文研究成果為信息安全風(fēng)險量化方法提出了新思路，豐富了信息安全風(fēng)險度量方法，提供了風(fēng)險管理理論和技術(shù)支持。從管理方面來說，促進(jìn)資源優(yōu)化配置，合理安排信息安全資金投入，以更優(yōu)的費(fèi)效比進(jìn)行信息安全建設(shè)，減少因為信息安全事件帶來的損失;從技術(shù)方面來說，提供了一個信息安全風(fēng)險發(fā)生概率計算模型和一種信息