信息安全风险评估及网络蠕虫传播模型.pdf

摘要 信息安全风险评估及网络蠕虫传播模型 摘要 信息安全风险评估是信息安全管理的一项重要工作，它是在安 全事件发生之前，通过有效的手段对组织面I临的信息安全风险进行 识别、分析，并在此基础上选取相应的安全措施，将组织面临的信 息安全风险控制在可接受的范围内，这是保障信息系统安全的有效 手段。 网络蠕虫是信息系统常见的威胁之一，也是风险评估必须考虑 的内容之一，蠕虫的主要特点是能够快速的自我繁殖，因而其传播 速度快、影响大，蠕虫传播规律也自然吸引了更多研究人员的注意 力。 本文对信息安全风险评估模型进行了深入研究，提出了综合的 风险评估模型、基于效用的安全风险度量和安全防护方案选取模型， 并进一步研究了网络蠕虫的传播规律，主要工作包括： 1)分析了当今世界有关信息安全风险管理的标准、技术、实施 方法，综合ISO／IEC13335、ISO／IEC17799、德国的IT基线保护手册、 4360、NIST AS／NZS SP800．30和我国的《信息安全风险评估指南》 提出了综合的风险评估模型，它包含基线评估与详细评估两个选项。 2)将效用理论引入信息安全风险管