基于风险权重的信息安全评估模型的研究.pdfVIP

第 25卷第2期 黑 龙 江 工 程 学 院 学 报 (自然科学版) Vo1．25№ ．2 2011年 6月 JournalofHeilongjiangInstituteofTechnology Jun．，2011 基于风险权重的信息安全评估模型的研究 吕 滨，关双城，刘晓红，杨泽雪，于燕飞，王亚东 (黑龙江工程学院 计算机科学与技术系，黑龙江 哈尔滨 150050) 摘 要：提出一种新的信息安全评估模型。该模型引入了风险权重概念 ，对潜在的风险因素进行分级量化 ，有效消 除主观评价和不确定性因素对评估结果的影响。相对于已有评估模型，该模型评价指标简明清晰、评价步骤简洁规 范、量化标准统一，具有 良好的操作性和实用性，便于对各种信息系统进行快速评估。 关键词：信息安全；评估模型；风险权重；风险分析 中图分类号：TP393．0 文献标志码 ：A 文章编号：1671—4679(2011)02—0055—04 Research ofinformationsecuityassessmentmodelbased onriskweights IV Bin，GUAN Shuang—cheng，LIU Xiao—hong，YANG Ze-xue， YU Yan-fei．W ANG Ya-dong (DepartmentofComputerScienceandTechnology，HeilongjiangInstituteofTechnology，Harbin150050，China) Abstract：A new informationsecurityassessmentmodelwasproposed．Byintroducingtheconceptofrisk weightsandcarryingonthegradequantification，themodeleliminatesthepotentialriskfactors．Theinflu— enceofsubjectiveestimationandtheuncertaintyfactortotheassessmentresultiseliminatedeffectivelyin themode1．Comparingwithothermodels，theassessmentparametersareconciseandclear；theassessment stepsaresuccinctandnormative；thequantificationstandardisunified．Theassessmentmode1hasgood operabilityandtheusabilityandisadvantageoustocarryonmorefasterassessmenttoinformationsystem． Keywords：informationsecurity；assessmentmodel；riskweights；riskanalysis 近年来网络上各种新业务快速兴起，如网络银 全的相关标准，采用科学有效的模型和方法进行全 行、电子商务和电子政务的普及应用，随之而来也产 面的风险评估，才能真正掌握信息系统的安全状况， 生了有组织、有 目的、有利益驱动的非法入侵。相对 实现信息安全管理的目标_1]。 于传统的文件型病毒和一般的网络入侵而言，针对 1 存在的问题和研究方向 敏感信息的新型恶意木马和病毒植入技术破坏性 强，传播快、更加隐蔽和善变，可以在很短的时间波 1．1 存在的问题 及大面积网络，容易给用户造成重大损失。因此，网 安全评估的意义在于了解主机或系统存在的安 络信息安全正面临严峻的挑战。 全风险。已有的研究成果给出了很多评估模型，比 随着对信息安全的重视，人们不再只关注单一