- 1、本文档共4页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息系统安全风险评估模型研究.pdf
( )
中国人民公安大学学报 自然科学版
2007年第 4 期 No4 2007 Jou rnal of Ch ine se Peop les Pub lic Secu rity U n iversity ( Science and Technology) 总第 54 期 Sum 54
信息系统安全风险评估模型研究
陈 亮
(中国人民公安大学公安情报学系 , 北京 100038)
摘 要 保障信息系统安全是信息化社会的一项重要课题 , 在对信息系统安全风险生成机理的分
析基础上 , 设计了一个信息系统安全风险评估的计算模型 。该模型对资产发生安全事件后对组织
业务的影响 , 以及威胁利用资产的脆弱性造成安全事件发生的可能性这两个因素进行了综合评
估 , 科学地衡量和评价了组织的信息系统安全风险 , 在一定程度上实现了信息系统安全的预警和
控制 。
关键词 信息安全 ; 信息系统安全 ; 风险评估
中图分类号 G203
影响和后果来评价风险 。信息系统安全风险就是指
0 引言
引起信息系统安全问题 、事件可能或者实际带来的
以信息技术为核心的新技术革命的兴起使人类 消极威胁 。
社会步入新经济时代 , 然而 , 当我们从信息化 、网 闵京华等认为信息系统安全风险的构成分为五
络化的方便快捷中获得效率和利益的同时 , 信息安 个方面 : 起源 、方式 、途径 、受体和后果 。起源是
全问题呈现在我们的面前 。如何衡量和评价组织的 威胁的发起方 , 叫做威胁源 ; 方式是威胁源实施威
信息系统安全状况 , 如何预警基础设施 、重大行业 胁所采取的手段 , 叫做威胁行为 ; 途径是威胁源实
的信息系统安全 , 如何在突发事件发生时保护信息 施威胁所利用的薄弱环节 , 叫做脆弱性或漏洞 ; 受
系统安全 , 如何在事前预防、事中控制 、事后处理 体是威胁的承受方 , 即资产 ; 后果是威胁源实施威
信息系统安全 , 这些问题都是值得研究者思考的。 胁所造成的损失 , 叫做影响 。它们之间的相互关系
分析与解决上述问题需要构建一套科学合理 、行之 可表述为 , 风险的一个或多个起源 , 采用一种或多
有效的信息系统安全风险评估方法 。通过风险评 种方式 , 通过一种或多种途径 , 侵害一个或多个受
估 , 决策者可以清晰地知道组织的信息系统安全处 体 , 造成系统不良后果 。图 1描绘了信息系统安全
于何种状况 , 风险来 自何处 , 系统的脆弱点在哪 风险的生成机理 , 可表述为 , 威胁源利用脆弱性 ,
里 , 应采取何种处置措施 。本文通过对信息系统风 对资产实施威胁行为 , 造成负面影响 。
险生成机理的分析 , 提出风险评估因素论 , 并设计
了一个信息系统安全风险评估的计算模型 。
1 信息系统安全风险的生成机理
明确信息系统安全风险的生成机理 , 是研究信
息系统安全风险评估的前提 。一般而言 , 风险是指
行动或者事件的结果的不确定性 。无论其结果是积
极的机会还是消极的威胁 , 人们只能通过对这些不 图 1 信息系统安全风险生成机理
确定性发生的可能性 , 以及实际发生以后所产生的
(
文档评论(0)