信息系统风险灰色评估的方法.docVIP

信息系统风险灰色评估的方法 　　摘 要：信息系统风险评估的数据不够充分，传统的风险评估方法难以采纳。为评估信息系统风险，通过分析风险与安全事件的关系，以安全事件的组成元素构建信息系统风险的评估指标，并依据标准进行风险的分级量化。在此基础上，运用灰色评估方法，建立信息系统风险多层灰色评估模型，描述了信息系统的风险灰色综合评估过程，并进行了实例计算。该方法是信息系统风险评估的一种有效方法。 　　关键词：信息系统风险评估；灰色聚类；白化函数 　　中图分类号：TP393 文献标志码：A 文章编号：1001-3695(2008)08-2477-03 　　 　　Multilevelgreycomprehensiveevaluationforinformationsystemrisk 　　HUYong??1a??， WUShao-hua??1a??， HU Chao-lang??1a,1b??，RENDe-bin??1a?? ,LIHuan-zhou??2 　　（1.a.Institute of Information Security, b.College of Mathematics， Sichuan University，Chengdu 610064, China; 2.Institute Computer Network of Communication Technology，Sichuan Normal University， Chengdu 610068, China) 　　Abstract:In the risk evaluation of information system, it was very difficult to effectively quantify the risk with only collecting and counting data, because lots of risk factors were very fuzzy and correlated. To solve the problem, at first, this paper built the evaluation index system for information system risk. And then,used the multilevel grey comprehensive evaluation method to quantify the risk. It gave an instance to show the usage of grey method to evaluate risk. Finally, it evaluates and leads the results to the conclusion that evaluating information risk by grey method is feasible and efficient. 　　Key words:information system risk evaluation; grey cluster; whiting function 　　 　　信息系统的风险是信息系统潜在安全事件发生的可能性和造成的后果。安全事件是威胁源利用信息系统的脆弱性，通过实施某些行为，对信息系统的资源和信息造成损害的事件。为了消除信息系统的不可接受风险，确保信息系统的适度安全，使其能顺利完成业务，必须对信息系统的风险进行评估。 　　信息系统的风险评估是项艰巨的工作，涉及资源识别、威胁识别、脆弱性识别、风险识别和风险大小的量化等。其中，对风险大小的量化是非常重要的环节，直接关系到对信息系统风险状况的正确认识，安全投入的多少和安全措施部署的优先顺序。信息系统风险的产生及其大小与资源的重要性、威胁源的动机和能力、脆弱性的暴露时间、脆弱性被利用的难易程度、行为被发现和追究的可能性以及处罚的严重程度等都有内在的联系。信息系统风险的多样性，相关联的影响因素众多，相应信息不完全，使得精确评估信息系统风险存在很大困难。目前，国内外有关学者都在探讨信息系统风险的综合评价方法，但尚未形成体系。 　　风险评估和安全等级保护也是国内近年来的研究热门。现有对风险的评级是以资源的重要性，威胁强度等建立评价矩阵，通过各等级的对应来确定风险等级。在我国的信息安全等级制度试点工作中，将安全等级包括信息安全等级和服务保证等级，由信息类型、信息系统类型决定信息安全等级，服务的范围和对服务的依赖程度决定服务保证等级；由这些因素的等级矩阵来确定信息系统的安全等级。但如何保证这种对应的合理性没有更多的说明。文献[1]提出用多级模糊综合评判方法进行风险评估，提到用加权和得到