基于多标准模型的信息安全量化测评工具的研究.PDFVIP

栏目编辑：胡 欣 信息技术与应用 Information Technology Application 编者按 3月27～28日，在北京召开了全国电子政务标准化研讨会，其中的一个重要议题就是 信息安全标准。在这次研讨会上，专家组成员一致认为统一的信息安全模型是亟待解决的问题，并将 这一提议上交总体组讨论。为配合电子政务标准化工作的推进，本期刊出上海三零卫士信息安全有限 公司魏忠博士等的论文 《基于多标准模型的信息安全量化测评工具的研究》，供读者参考。 基于多标准模型的信息安全 量化测评工具的研究 Based on Model and Multi-criteria 上海三零卫士信息安全有限公司 魏 忠 叶 铭 摘 要 研究了多种信息安全标准，在模型的基础 1.测评基础理论选择 上提出了一种基于多标准体系的风险评估方法与量化的 一般来讲，对计算机信息系统安全性的测评包括对系 思路，同时提出了基于工具对信息安全进行风险评估的 统的机密性、完整性、可用性等的测评。具体到不同系统， 构想。 其安全性与系统应用的属性紧密相关，本研究内容就是在 基于多标准信息安全测评的基础上，提出测评模型以及研 关键词 信息安全 风险评估 标准 制测评工具和测评软件。从理论上讲，每一个成体系的信 息安全标准都可以成为某种风险或安全状况评估或测评细 则的基准，对一个特定有边界的系统进行测评与评估。本 Abstract: This paper has researched the main 研究的重点在于从总体上系统化地研究测评与评估，因此 security, and gives a risk evaluation method and automatic 有必要对多种标准加以提炼和综合，下面我们对各种标准 及每一种标准的测评实践进行分析。 tools based on model and multi-criteria ● 基于CC的系统性测评 Keywords: information security; risk evaluation; 优点：基于技术底层，应用面广。 criteria 缺点：复杂、难操作、成本高，难以将CC的语言转 1 6信息技术与标准化http: ///its 2003年第4期 信息技术与应用 为应用语言。 中的关键技术和管理以及在实际测评体系过程中技术性测 建议应用场所：大型整体性系统底层技术开发、国家 评与管理问询的关系，总结出一套相互关系并将这种关系 和关键系统的开发。 考虑到测评工具中去： ● 基于BS7799的系统性测评 ● 管理与技术界限的模糊：往往是管理里面有技术， 优点：基于管理控制措施，应用简单、容易控制。 技术里面有管理的部分。 缺点：建