返回
信息系统安全评估综述.doc

信息系统安全评估综述.doc

ID:59227745

大小:43.00 KB

页数:3页

时间:2020-09-09

信息系统安全评估综述.doc_第1页
信息系统安全评估综述.doc_第2页
信息系统安全评估综述.doc_第3页
资源描述:

《信息系统安全评估综述.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息系统安全评估方法综述摘要分析安全风险评估的基本要素和常见的系统风险评估模式。关键词信息系统安全风险评估评估方法随着全球信息化步伐的加快和网络信息系统基础性作用的日益增强,以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式,中国的社会经济和快速发展对信息网络和系统等基础设施的依赖性越来越大。然而,由于信息网络和信息系统本身的已有缺陷以及与之密切相连的网络环境的复杂性,信息系统容易遭受病毒、木马、恶意代码、网络攻击、物理故障等多个方面的威胁,导致这些信息系统的整体瘫痪或信息泄露,从而给人类财产造成重大甚至是灾难性的

2、损失。针对信息系统安全性带来的巨大挑战,近年来人们加大了信息系统安全性研究的力度,并设计了众多安全性保障措施,以提高信息系统的安全性。然而,由于安全性是一个复杂的综合概念,信息系统的安全性度量和评估一直都未得到有效的解决。通过长时间社会实践探索,逐渐意识将基于安全风险(SecurityRisk)的系统评估方法引入到信息系统的重要性。通过采用安全风险评估方法,可以采用风险大小来分析信息系统在机密性、完整性、可用性等方面所面临的威胁,发现信息系统安全的主要问题和矛盾,从而为安全风险的预防、减少、转移、补偿和分散等决策提供依据,以

3、最大限度地控制和化解安全威胁。一、信息系统安全评估要素1.价值资产(ImportanceAsset)所有对单位或组织具有价值的东西,包括计算机、基础通信设施、建筑物、数据库系统、档案信息、信息系统、软硬件、和单位职工等,所有这些价值资产都需要妥善保护。2、信息威胁(InformationThreat)是可能对价值资产或单位造成严重损害的事件的潜在原因,即威胁源(ThreatSource)或威胁组织(ThreatAgent)成功利用信息系统存在的弱点对价值资产造成负面的、潜在的影响的一种可能性。3.潜在攻击点(Potentia

4、lVulnerability)称为漏洞或脆弱性,即价值资产中存在的可能被攻击者用于威胁信息系统的缺点。除此之外信息系统的风险评估要素还包括隐形风险、潜在可能性、系统影响、抗风险措施、存留风险等。如图1,各风险评估要素及相互关系。二、风险评估分析方法1、定性法:即是以被评估对象的描述性信息作为基本数据,依据信息系统的评估理论、历史经验数据和研究者对被研究者的感性认识进行系统性分析、逻辑推导、全面总结,最后做出研究结论。定性法一般只用于对安全风险进行识别,对导致风险的原因进行分析,对威胁所造成影响进行分析等几个方面。1、定量法:

5、即是研究者通过试验或实践方法,采取一定方法量化试验或实践所收集的数据,并以此作为研究被研究对象基础材料,依据相应数学方法进行计算、分析,最后得出定量的结论数据。定量法主要应用于计算信息系统安全威胁发生概率,预测信息系统安全风险发生概率和确立系统总体风险评价等几个方面。2、基于评估模型分析法:在风险评估理论的指导下,结合定量、定性分析方法,重点针对被评估信息系统的实际要素(包括价值资产、安全风险、安全措施防范性等)建立有科学的、合理的、有效性的安全风险评估模型,其目的是引导信息系统更好进行自主评估,发挥安全风险评估的指导作用。

6、3、动态评估方法:所谓动态评估的重要意义在于,当整个信息系统的局部发生变化之后,再评估工作能够快速而有效的评价出此变化对于系统中其它部分的影响关系,以及对整个信息系统的安全性影响。打破了传统静态评估的种种局限,突出体现了信息系统的安全性随时间变化而变化的特性。将信息系统概化为不同类型的组件组装,将对信息系统的使用概化为不同的访问路径,将对信息系统内部的有机联系概化为不同类型的关联关系。通过对系统局部的安全变化部分进行再评估,从而达到对整个系统安全的再评估。从实际应用的角度,既体现了局部的具体性,又体现了结构上的整体性。4、基

7、于整体评估和基于技术评估:基于整体评估是从信息系统整体进行评估分析,然后确定信息系统所属的等级,参考安全等级保护划分规则,基于系统的等级进行风险评估;基于技术评估是指对信息系统使用的技术进行评估,这些技术包括信息系统安全管理人员的技术水平、网络管理防护技术水平和信息系统对抗攻击技术等方面进行评估。5、基于模型分析和基于知识分析:基于模型分析的评估过程采用对信息系统进行建模的方法,详细分析信息系统内部和外部进行交互响应时可能导致风险产生的因素,从而完成资产、威胁和脆弱性的分析;基于知识分析的风险评估方法主要依靠参与评估的人员的

8、经验进行风险评估,根据以往专家评估信息系统安全的经验,对评估指标因素进行分析,评估信息系统安全。一、信息系统安全评估方法探讨信息系统安全评估过程中,本人对实践过程中的经验进行总结分析,一般来讲,信息安全评估主要采用以下几种典型的风险评估方法。1、事件树分析:是一种逻辑演绎法,它在给定的一个

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。