资源描述:
《信息系统安全风险评估模型与方法[1]》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息系统安全风险评估模型与方法[1]的,已经成为国家和军队的关键基础设施.但是,这些信息系统由于设计、研制、开发和应用管理上的问题,经常有失密和泄密现象的发生,系统安全面临着严峻的挑战与考验[1].由于核心器件、软硬件关键技术等大多依赖进口和管理相对滞后等原因,信息系统存在着各种各样的安全隐患或漏洞,例如物理隐患、通信隐患、软件隐患和电磁泄漏等,再加上黑客攻击、病毒侵袭和窃听等无时无刻不在威胁着军事信息系统的安全.面对着各种隐患和威胁,不能仅利用安全保密检查来解决这些问题,传统的安全管理模式已经变得力不从心,需要构建一种技术管理与制度法规管理相
2、匹配的新管理模式,上升到信息系统安全风险评估高度来解决这些问题.1 军事信息系统的安全分级 为了对军事信息系统的安全风险进行评估,必须对这类系统根据其所处理的信息重要性的不同,将其分为相应的等级,在分级的基础上再对其进行安全风险评估,这样易实现评估的可操作性和可信性.根据处理信息的密级和遭受攻击破坏后给军队安全与利益造成损害的不同程度将该类系统划分为5个等级.经过仔系统处理机密信息;Ⅴ级系统处理绝密信息.的,已经成为国家和军队的关键基础设施.但是,这些信息系统由于设计、研制、开发和应用管理上的问题,经常有失密和泄密现象的发生,系统安全面临着严
3、峻的挑战与考验[1].由于核心器件、软硬件关键技术等大多依赖进口和管理相对滞后等原因,信息系统存在着各种各样的安全隐患或漏洞,例如物理隐患、通信隐患、软件隐患和电磁泄漏等,再加上黑客攻击、病毒侵袭和窃听等无时无刻不在威胁着军事信息系统的安全.面对着各种隐患和威胁,不能仅利用安全保密检查来解决这些问题,传统的安全管理模式已经变得力不从心,需要构建一种技术管理与制度法规管理相匹配的新管理模式,上升到信息系统安全风险评估高度来解决这些问题.1 军事信息系统的安全分级 为了对军事信息系统的安全风险进行评估,必须对这类系统根据其所处理的信息重要性的不同
4、,将其分为相应的等级,在分级的基础上再对其进行安全风险评估,这样易实现评估的可操作性和可信性.根据处理信息的密级和遭受攻击破坏后给军队安全与利益造成损害的不同程度将该类系统划分为5个等级.经过仔细研究,我们认为军事信息系统可划分成Ⅰ~Ⅴ级系统[2].Ⅰ级系统处理公开信息;Ⅱ级系统处理内部信息;Ⅲ级系统处理秘密信息;Ⅳ级系统处理机密信息;Ⅴ级系统处理绝密信息.第30卷 第3期四川兵工学报2009年3月军事信息系统安全风险评估模型与方法X冯 杰1,姜 宁1,王志勇1,王喜东2,董京春2(1.大连舰艇学院作战指挥系,辽宁大连 116018;2.海军装
5、备部,北京 100841)摘要:阐述了军事信息系统安全所面临的风险.根据信息的重要程度将该类系统分为5级,在此基础上建立了军事信息系统安全风险评估模型,并给出风险评估的程序和步骤,运用该模型和方法对某军事信息系统进行了风险评估,获得了改善系统安全的措施,为该类及相关系统的安全风险评估提供参考.关键词:军事信息系统;安全风险;评估模型;评估实例中图分类号:F224.9文献标识码:A文章编号:1006-0707(2009)03-0001-04 随着军队信息化建设的飞速发展,各种军事信息系统已经开发成功并投入使用,极大地提高了作战指挥、教育训练、部
6、队管理和科学研究的水平和效益,这是有目共睹2 军事信息系统安全风险评估模型和方法 所谓军事信息系统安全风险评估是按照国家和军队有 X 收稿日期:2008-11-07关技术标准,对信息系统的完整性、保密性和可靠性等安全保障性能进行科学、公正的综合评估活动.风险评估是对信息及信息处理系统的威胁、影响和脆弱性,以及三者发生可能性的评估[3-4].它是确定安全风险大小的过程,即利用适当的安全风险评估工具,包括定性和定量的模型和方法,确定信息资产的风险等级、风险出现的概率和风险控制的优先次序,以采取适当的安全措施减少损失.安全风险评估是信息系统安全风险
7、管理的一个不可或缺的部分.如上所述,根据军事信息系统所处理的信息密级的不同,将其划分成Ⅰ~Ⅴ级系统.在此基础上,运用下面的方法和模型对军事信息系统进行安全风险评估是可行的.2.1 安全风险综合评价的模型和方法信息系统安全风险评估的综合评价模型和方法很多,例如层次分析模型(AHP)、模糊综合评价模型、灰色系统方法、威胁树分析模型和反馈风险控制模型等[5-6].按照AHP模型的要求,需要将安全风险分为多个层次,然后进行多级的综合评价.分类方法可以采用ISO17799国际标准作为风险的分类标准.由于安全因素众多,相互关系复杂,可以将复杂关系分解为由局
8、部简单关系构成的多层次结构.由于ISO17799的分类比较繁杂,本文中提出一种基于分级的军事信息系统安全风险评估方法,将安全风险评估指标确定为7个主题
![信息系统安全风险评估模型与方法[1]_第1页](https://f25.wenku365.com/file-convert/2021/05/22/00/52/cfebba302406c3ef81ecb31a9e946fd3/img/1.jpg)
![信息系统安全风险评估模型与方法[1]_第2页](https://f25.wenku365.com/file-convert/2021/05/22/00/52/cfebba302406c3ef81ecb31a9e946fd3/img/2.jpg)
![信息系统安全风险评估模型与方法[1]_第3页](https://f25.wenku365.com/file-convert/2021/05/22/00/52/cfebba302406c3ef81ecb31a9e946fd3/img/3.jpg)
![信息系统安全风险评估模型与方法[1]_第4页](https://f25.wenku365.com/file-convert/2021/05/22/00/52/cfebba302406c3ef81ecb31a9e946fd3/img/4.jpg)
![信息系统安全风险评估模型与方法[1]_第5页](https://f25.wenku365.com/file-convert/2021/05/22/00/52/cfebba302406c3ef81ecb31a9e946fd3/img/5.jpg)
