返回
信息安全风险评估指标体系研究

信息安全风险评估指标体系研究

ID:12945533

大小:33.50 KB

页数:11页

时间:2018-07-19

信息安全风险评估指标体系研究_第1页
信息安全风险评估指标体系研究_第2页
信息安全风险评估指标体系研究_第3页
信息安全风险评估指标体系研究_第4页
信息安全风险评估指标体系研究_第5页
资源描述:

《信息安全风险评估指标体系研究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全风险评估指标体系研究栏且编辑:胡欣E-mail:huxin@cesi.ac.cn售患安全首都经济贸易大学信息学院郭宁摘要简要介绍了风险评估指标体系,分析了体系中的指标特征,提出了风险评估的指标采集技术与评估方法.关键词信息安全风险评估指标体系Abstract:Inthispaper,basedonthestudyandanalysisoftheinJormationsecurityriskassessment'sconcept,Itexplainedthemethodandtechniqueaboutt

2、argetsystem.Keywords:informationsecurity;riskassessment,"targetsystem1引言随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源,信息系统的安全是国民经济发展和信息化建设的需要信息安全的目标主要体现在机密性,完整性,可用性等方面.风险评估是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过2006年第5期对用户关心

3、的重要信息资产(如数据,软件,硬件,服务,文档,人员等)的分级,安全威胁发生的可能性及严重性分析,对系统物理环境,硬件设备,安全管理等方面的安全脆弱性或薄弱环节进行分析,并通过对已有安全控制措施的确认,借助定曼,定性分析的方法,推断出用户关心的重要资产当酌的安全风险,并根据风险的严重级别制定风险处理计划,从而建立一套完整的,健壮的安全风险防御体系,为进一步制定安全风险投资预算计划,安全风险投资回报分析,人员组织计划和建立安全体系,制定安全政策,引八安全控制措施而提供基础数据;辅助最高管理层对安全风险管理的计划与

4、实践做出正确决策.然而要在一个广泛的范围内对复杂的系统进行全面的风险评估,就需要建立完善的评估指标体系,只有对各项指标有一个清醒的认识,才能够为有效实施风险评估奠定坚实的基础.有了这样的体系才能及时发现问题,利用先进的信息技术有针对性地解决信息系统运作过程中的效率,成本,服务,管理等方面的问题.2信息安全风险评估指标体系概述指标是评估的工具,是反映评估对象属性的指示标志.指标体系则是根据评估目标和评估内容的要求构建的一组相关指标,据以搜集评估对象的有关信息资料,反映评估对象的基本面貌,特征和水平.信息安全风险的

5、评估体系http://www.its.cesi.cnTraCkStOrtanclarcl&lecnnology是一系列指标的构成体,这些指标之间存在有机的联系并相互作用.指标体系通过揭示这种联系和相互作用的规律来反映信息系统的安全状况,考察系统结构的稳定性和抵御风险的能力,辨明安全风险及风险演变的动向和发展趋势,最终达到对风险进行有效控制的目的.在信息安全的标准化进程中,主要的风险评估模型有以下几类:国际标准ISO15408将风险要素定义为:属主,资产,攻击者,威胁,漏洞,风险,措施等7个方面,该标准对

6、于系统中人所带来的风险比较强调,将属主从资产中分离出来,将攻击者从威胁分离出来.国际标准lS013335则将风险要素定义为:资产,资产价值,威胁,脆弱性,风险,防护需求,防护措施等7个方面,该标准是将资产价值从资产中提炼出来,将防护需求从防护措施中提炼出来,这是对于系统中要素属性的强调.我国国务院信息化工作办公室推出的《信息安全风险评估指南》,将风险要素定义为;使命,资产,资产价值,威胁,脆弱性,事件,风险,残余风险,防护需求,防护措施等10个方面,它Lblso13335扩展了三个要素:使命,残余风险和事件.引

7、入使命要素是将工作本身之外的原因纳入到模型中,强调了整个风险管理工作是被机构的高层推动的.残余风险是风险的一个部分,主要是强调安全不可能做到百分之盟f1j}}jl,,,威呐?=丫业务战略l依赖苎塑,木被满越增)J【{/t赢]壁.风险LL——I戏眦,L,JfII成本——』,安全需求满足.!盟//L—一图1各个要素之间的关系图在对这些要素的评估过程中需要充分考虑业务战略,资产价值,安全需求,安全事件,残余风险等与这些基本要素相关的各类属性从各个模型风险要素的差异中可以看出,由于评估风险的方法,对象,条件等因

8、素的不同,对风险因素的规定有所区别,但其核心要素是一致的.在对风险进行管理的实践中我们认为,资产/业务,保障措施与威胁是三个根本的风险要素.上述标准指明了安全风险评估指标体系的框架,根据这个框架我们可以结合本单位的实际需求和安全状况,建立适合本单位的指标体系.例如,表1是某企业的技术脆亩".各个要素之间的关系如图1所示.弱性的三级指标体系.表1某企业的技术脆弱性的三级指标体系.粤哺鬃一

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。