一种基于模型的信息安全风险评估方法new.docVIP

一种基于模型的信息安全风险评估方法 李嵩 孟亚平 孙铁 刘海峰 [摘要] 基于模型的评估方法对信息安全风险评估具有重要的意义。该文提出一种基于统一建模语言、攻击树分析事件树分析模型的信息安全风险评估方法，运用面向对象的、半形式化的方法分析和描述安全风险相关要素，基于ATA模型深入分析评估关键信息资产的安全风险，基于ETA分析安全事件对业务的影响，提高风险评估的精确性和客观性。基于模型的方法还有利于风险评估相关要素模式的抽象和复用，以及评估工具的开发和应用，提高风险评估的生产率。 [关键词] 信息安全风险评估 基于模型 统一建模语言 攻击树分析 事件树分析 A Model Driven Information Security Risk Assessment Approach Li Song Memg Yaping Sun Tie Liu Haifeng Beijing Information Security Test and Evaluation Center [Abstract] Model-driven assessment approach has significant meaning for information security assessment. This paper presents an information s