返回
信息安全风险评估方案设计与应用

信息安全风险评估方案设计与应用

ID:32364072

大小:3.36 MB

页数:82页

时间:2019-02-03

信息安全风险评估方案设计与应用_第1页
信息安全风险评估方案设计与应用_第2页
信息安全风险评估方案设计与应用_第3页
信息安全风险评估方案设计与应用_第4页
信息安全风险评估方案设计与应用_第5页
资源描述:

《信息安全风险评估方案设计与应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、山东火学硕士学位论文1.1研究背景第1章绪论在信息系统安全n3方面,人们普遍关注的是如何对各种攻击心1和威胁进行全方位的防护,但是,在软件和网络环境的复杂性不断提高的情况下,怎样发现网络和信息系统中存在的风险口1、脆弱性和威胁,就成为一个迫切需要解决的重要问题。例如,对于企事业单位网络的管理员来说,需要日常管理的对象包括操作系统、应用程序、服务器、防火墙、入侵检测系统等等。依靠人工操作来检查所有系统的更新情况和配置情况,无论从实际操作还是理论上都是难以实现的。所以,如何进行及时的更新和安全加固,对于拥有混合系统的大系统

2、来说是一项繁杂冗长的任务。信息安全风险评估H1是解决如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大,加强信息安全保障工作应采取哪些控制措施睛1,要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级阳1进行安全建设和管理的依据等一系列具体问题的重要方法和基础性工作。只有正确、全面地了解理解安全风险后才能决定如何处理安全风险"1。从而在信息安全的投资,信息安全措施的选择,信息安全保障体系的建设做出合理的决策。1.2国内外研究现状国际上的发达国家也越来越重视信息

3、安全风险评估工作,提倡风险评估制度化。他们提出没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离。这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,如美国的《TrustedComputerSystemEvaluationCriteria;commonlycalledthe“OrangeBook’’》∞】,欧洲的《ITSEC:InformationTechnologySecurityEvaluationCriteria}嗍(信息技术安全评山东大学硕士学位论文估

4、标准)、还有英国的基于IT治理n们的风险管理n妇之道,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。20世纪70年代中期,美国启动的PA(ProtectionAnalysisProject)RISOS(ResearchinSecuredOperatingSystems)计划被公认为是计算机安全研究工作的起点。1980年,美国密执安大学的B.Hebbard小组使用“渗透分析”(PenetrationAnalysis)方法成功地发现了系统程序中的部分漏洞。1990年,美国伊利诺斯大学的Marick发表了关于软

5、件漏洞的调查报告,对软件漏洞的形成特点做了统计分析。1993年,美国海军研究实验室的Landwher等人收集了不同操作系统的安全缺陷,按照漏洞的来源、形成时间和分布位置建立了三种分类模型。普渡大学COAST实验室的Aslam和Krsul在前人成果的基础上,提出了更为完整的漏洞分类模型,并建立了专用漏洞数据库。MITRE公司从事的“公共漏洞列表"(CommonVulnerabilityEnumeration,CVE)工作,为每个漏洞建立了统一标识,方便了漏洞研究的信息共享及数据交换。我国自2006年3月,原国信办[200

6、6]5号文件要求开展信息安全风险评估工作已有近3年时间,“风险评估"已经成为信息安全工作中一个十分重要的工作环节。从今年“全球信息安全调查"的结果可以看出,有24%的中国企事业单位过去一年没有进行过风险评估,有44%的中国企事业单位只是由IT部门的普通员工进行风险评估。我国的信息化建设在关键技术、关键设备上还受制于人,通过开展风险评估工作,运用专门的技术和设备去检测、发现可能存在后门和漏洞,是十分必要的防范措施。目前评估工作仍然存在很多实际操作问题:1.对GB/T20984—2007《信息安全风险评估规范》n23各阶段

7、工作内容不明确;2.对各个阶段中的评价赋值,不好量化操作;3.对资产、脆弱性、威胁三方关联,没有一个可借鉴的模型n别,导致在风险分和计算时,缺乏量化数据支持;4.目前风险评估工作大部分基于人工分析,费时及成本高,许多信息系统建设单位希望有基于GB20984的评估工具,解决实际中的自评估问题。5.风险评估人才匮乏。目前国内受过信息安全水平考试培训n43及风险评估专业培训的技术人员非常少,在实施风险评估过程中,由于人员专业技术水平达不2山东大学硕士学位论文到要求,不能理解风险评估的意义,不了解风险评估常用标准,对风险评估专

8、用工具不熟悉,无法进行操作,使得在实施过程中总会遇到各种疑难问题。1.3本文的工作和贡献风险评估不仅仅关于一个IT系统的问题,而是指将IT系统的风险与业务风险建立联系,把影响IT系统的因素进行量化,然后确定这些因素对业务可能产生的影响。从业务的角度出发,建立风险的可能性与影响性的矩阵表,这样就可以看出各种IT设施和应对措施的优先级

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。