返回
基于业务流程状态分析的风险评估new

基于业务流程状态分析的风险评估new

ID:33484939

大小:301.09 KB

页数:5页

时间:2019-02-26

基于业务流程状态分析的风险评估new_第1页
基于业务流程状态分析的风险评估new_第2页
基于业务流程状态分析的风险评估new_第3页
基于业务流程状态分析的风险评估new_第4页
基于业务流程状态分析的风险评估new_第5页
资源描述:

《基于业务流程状态分析的风险评估new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、ISSN100020054清华大学学报(自然科学版)2009年第49卷第S2期12/25CN1122223/NJTsinghuaUniv(Sci&Tech),2009,Vol.49,No.S2214422148基于业务流程状态分析的风险评估2121李斌,王声远,鲍旭华,沙海亮(1.北京大学软件与微电子学院,信息安全实验室,北京100871;2.中国信息安全测评中心,北京100085)摘要:为精确计量信息安全风险,提出了一种基于业务流程状态分析的风险评估方法。该方法将风险影响的标度确定为业务流程的关键绩效指标———流程周期,计算流程周期的变化就是求取风险影响值;威胁

2、发生将影响信息系统的安全运行,最终导致信息系统所承载的业务流程/活动发生状态跃迁,通过分析状态跃迁可得到流程周期的即为风险影响值。于是,信息安全风险计算就转换为求解业务流程周期变化的问题。在实例中,使用本算法计算了信息系统所受威胁对业务系统的影响程度,从而证实了算法的精确性和有效性。关键词:信息安全;风险评估;业务流程;业务风险中图分类号:TP309.2文献标识码:A文章编号:100020054(2009)S222144205Businessprocessstatus2basedriskanalysisLIBing,WANGShengyuan,BAOXuhua,S

3、HAHailiang(1.SchoolofSoftwareandMicroelectrinics,PekingUniversity,Beijing100871,China;2.ChinaInformationTechnologySecurityEvaluationCenter,Beijing100085,China)Abstract:Aninformationsecurityriskassessmentmethodwasdevelopedtoaccuratelymeasureinformationsecurityrisksusingbusinessprocesss

4、tateanalysis.Themethoddefinesthekeyperformanceindicatorofthebusinessprocess(theprocessperiod)astheriskscale,sochangesintheprocessperiodindicatetherisk.Theoccurrenceofthreadsaffectstheoperationoftheinformationsystem,eventuallyresultinginstatetransitionsofbusinessprocess/activitieshoste

5、dbytheinformationsystem.Thechangesintheprocessperiod(i.e.,risk)areobtainedbyanalyzingthestatetransitions.Therefore,informationsecurityriskcalculationisconvertedintosolvingforchangesofthebusinessprocessperiod.Testusingthisalgorithmshowthattheinfluenceofthreatstotheinformationsystemonth

6、ebusinesssystemcanbecalculated,therebyconfirmingtheaccuracyandvalidityofthealgorithm.Keywords:informationsecurity;riskassessment;businessprocess(BP);businessrisk做好信息安全管理工作,必须准确度量信息系评判方法中,一般依赖专家主观评定各风险因素的[1]统面临的安全风险。权重。国内外专家已提出了很多种风险评估方法,大以上这些方法及其组合通常依据相对成熟的安致可分为基于知识(knowledge2based)的方

7、法、基于全标准建立评估模型及相应风险评估算法,如CC、概率论的方法、层次分析法(analytichierarchyGB/T18336、GB17859、BS7799、SSE2CMM、process,AHP)、基于模型(model2based)的方ISO/IECTR13335和ISO17799等建立。[2][3][4]法、模糊逻辑方法和综合评判法等。基于知识的方法主要依靠安全专家的经验估算风险;基于收稿日期:2009211215概率论的方法一般用在复杂的计算机网络环境中,基金项目:中国信息安全测评中心《关键系统工程生命周期的安全用概率表示事件发生的可能性,概率算法主要

8、由评风险分

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。