信息系统安全评价系统设计及实现.docVIP

信息系统安全评价系统设计及实现 　　摘要：现代计算机技术和网络技术正在以实时性、便捷性改变着人们的生活方式和习惯，然而，信息系统在给人们带来便利的同时，也存在不可避免的安全漏洞和风险，为此，需要增强信息系统的安全性功能，并且随着现代不同功能、不同语言、不同架构的业务开发模式下，为了提升数据共享的安全性、便捷性和高效性，要关注信息系统集成之后的安全性能，可以基于层次分析法进行信息系统的风险评估，有效挖掘信息系统中的漏洞，准确定位信息系统中的安全风险隐患和脆弱部位，从而进行信息系统的安全评价系统的设计和开发实现。 　　关键词：信息系统；安全评价；设计；实现 　　现代网络信息时代背景下，信息系统的安全问题成为了首要的问题，而对信息系统的安全风险评估是信息安全管理中的重要构件，需要基于层次分析法建模理论，进行信息系统的安全评价设计和风险评估，从而最大程度地减少信息安全评估的主观因素，提升信息系统安全评价系统的准确性和高效性，要从工具的需求分析、软件设计、工具实现关键技术以及工具测试等方面进行描述和设计，为信息系统风险评估提供良好的研究价值和实用性意义。 　　一、信息系统安全评价系统概述 　　信息系统的安全问题与技术和管理有密切的关联，单纯依赖于安全技术是片面性的认识，还需要针对信息系统对象，依照一定的管理程序和方法，进行信息安全任务的实现，而信息系统的安全风险评估是信息安全管理的基础和关键内容，要有效地通过对信息系统安全风险的评估，分析信息系统的资产价值、潜在威胁和防护措施等，并对信息系统中存在的主要安全问题，进行分析，寻求对策，进行有效的管理。信息系统安全评价系统涉及各个层面，包括物理层、网络层、应用层和系统层，为了对复杂的信息系统进行安全评估，需要确立各指标之间的量化计算模型，考虑信息系统安全评价的基本要素，如：信息资产的脆弱性、信息资产面临的威胁、信息的安全防护措施等，要评估与这些资产价值和安全需求相契合的各种属性。其中，常用的信息系统安全评价系统方法主要有： 　　1、信息系统安全风险模式影响及危害性分析（RMECA）。这种模式主要是首先要对被分析系统进行定义，在明确系统功能的前提下，寻找出单点风险，根据单点风险发生的概率和严重程度，定位其危害性，并寻找出薄弱环节，加以适宜的控制。 　　2、风险评审技术（VERT）。这种模式以被分析系统为对象，采用随机网络仿真手段，对信息系统进行风险定量分析，建构对应的随机网络模型，根据不同任务的性质，利用输入和输出逻辑功能，全面表达出实际活动过程的逻辑关系和随机约束，从而根据各参数信息分析信息系统的风险状况。 　　3、德尔斐法。即定性预测方法，这是一种背对背的分析方法，是系统性的、独立性的判断方式，可以避免权威对分析的影响，提升预测的可靠性。 　　4、层次分析法（AHP法）。这是定性与定量分析相结合的分析方法，主要应用于没有统一度量标尺的复杂系统的分析，它基于层次分解法的思想，建构层次结构模型，进行分层次、拟定量和规范化的分析和处理。 　　5、模糊分析法（Fuzzy Analysis）。这是基于模糊集合汇总而成的一种预测分析方法，在与人们思维模式相吻合的前提下，运用程度语言对被分析系统进行描述和表达。 　　二、信息系统安全评价系统的设计与构建 　　信息系统的安全风险是一个多指标的综合评价集，需要兼顾安全风险的各个层面，面向复杂的信息系统，可以基于层次分析法和模糊综合评价法，进行定性和定量的分析。其安全评价系统设计的总体目标为：（1）为安全评价人员提供风险评估系统软件，包括对信息的采集、分类、资产权重等计算，并得出评判结果。（2）对组织的信息系统的安全状况进行评测，对于信息系统中存在的安全防护弱点进行改进和优化。（3）基于人机友好交互界面之下，进行数据的分布式访问，实现信息数据的集中统一管理。 　　1、信息系统安全评价系统的总体模块设计 　　在信息系统安全评价系统之中，可以设计为四大模块，即： 　　（1）数据安全模块。该模块主要用于对已有数据的备份和恢复，避免失误。 　　（2）数据提供模块。该模块涵盖有资产数据库和风险数据库，是评价系统的基础数据的载体形式，可以适用于不同的系统需求。 　　（3）资产评估模块。该模块用于计算资产的权重，依据层次分析法对系统进行一致性评估和检查。 　　（4）风险评估模块。该模块对信息数据进行风险评估，并进行完整性检查。 　　2、建构信息系统安全评价层次结构模型 　　在分解法的思想引领下，对被评价的信息系统对象，进行资产价值和风险层次结构模型的建构，建构层次分为：目标层、准则层和方案层，其中：（1）目标层。是指信息系统整体的安全，可以用A表示。（2）准则层。可以用B表示，涵盖信息安全、硬件安全、软件安全、管理安全和环境安