信息安全风险评量化方法研究.pdf

摘要 随着信息技术的发展，信息系统在国家的政治、军事和经济领域的广泛应用， 整个社会对信息系统的依赖性越来越大，信息系统的安全问题己成为关系经济稳 定发展和国家安全的社会问题。对信息系统进行有效的风险评估，选择有效的防 范措施，主动防御信息威胁是解决信息系统安全问题的关键所在。 ． 针对信息安全风险评估的实际需求和现状，在国家高技术发展研究计划“863” 划‘‘{言息网络系统的安全风险评估模型研究’’(编号042135127)等项目的资助下， 本文将层次分析法(趾珀)、模糊数学、神经网络、小波分析等学科的最新研究成果 进行有机的结合，应用于信息安全的风险评估。从解决信息安全风险评估过程中 的关键问题入手，研究了信息安全风险评估的量化方法，并通过案例分析对风险 评估量化方法进行了验证，为信息安全的风险评估提供理论算法依据和技术支撑。 本文的主要研究工作和创新点如下： 1．风险评估过程中的关键问题及解决办法。对风险评估过程中的关键技术问 题进行了分析，并提出了相应的解决方法。即针对信息系统完整性问题，建立了 信息系统安全框架的模型；对于信息资产识别，提出以资产组为单位进行识别的 方法，使资产识别的工作量得以减少；对于资产的赋值，提出了不同资产的保密 性、完整性和可用性(CIA)的权值不同、CIA本身的拆分赋值等方法；对于威胁 识别，提出了威胁的获取方法以及威胁发生的可能性的确定方法；对于脆弱性评 估，分析了脆弱性评估过程中可能出现的新的风险并提出了应对措施。 2．基于模糊层次法的风险评估方法。针对信息安全风险评估的不确定性和当 前评估手段的主观性，提出模糊层次分析法，以实现对风险因素的主、客观评估 的有机结合。通过对层次分析法和模糊评价法分别进行改进，将二者有机结合， 分析和评估风险事件发生的概率和影响，以确定各风险因素的风险等级，并给出 了信息系统的风险控制建议。算例表明：该算法结果符合实际，是一种有效且操 作性强的方法。 3．基于信息熵的风险评估方法。针对当前对信息系统整体风险等级缺乏有效 的评估手段这一现状，将信息熵应用于信息安全风险评估领域。首先定义了风险 度是风险概率和风险影响的似然估计，以风险度衡量整个信息系统的风险等级。 针对风险事件发生的概率和所产生影响的估计具有一定的模糊性这一问题，采用 模糊综合评判法来评价风险因素。在风险因素的模糊综合评判中，对每个风险事 件的权值采用熵权系数法获得，克服了专家直接赋值的主观性。将模糊综合评价 法和信息熵相结合，求出风险度，为信息系统划分风险等级。示例说明了算法的 应用结果，表明该方法切合实际，实用可行。 4．基于模糊．小波神经网络的风险评估方法。针对信息安全风险评估的不确定 性和复杂性以及当前手段的局限性，将人工神经网络fANN)理论应用到风险评估， 提出了基于模糊神经网络的风险评估方法。首先将人工神经网络应用于信息系统 风险因素评估，对神经网络的输入迸行了预处理，将模糊系统的输出作为神经网 络的输入。人工神经网络经过训练，可以实时地估算风险因素的级别。然后提出 了一种信息安全风险评估的小波神经网络模型，该模型以非线性小波基为神经元 函数，通过优化伸缩因子和平移因子确定对应各神经元的小波基函数，从而合成 小波神经网络。该模型经过训练后可用于信息安全风险因素的评估。实验结果表 明，模糊．小波神经网络比人工神经网络具有更强的学习能力，精度更高。 5．评估案例。通过案例分析，描述了风险评估方法在实际问题中的应用，并 在实践过程中得到了认证，对各种评估方法的结果进行了比较。案例分析表明， 本文研究的各种方法符合实际评价结果。 关键词：信息安全风险评估模糊层次法熵小波神经网络 ofinformation informationhas Wi血rapiddevelopment technology,thesystem been in defence andeconomic ctc．，and widelyapplyinggovernment,national sphere 也e hasbeen ofth