返回
信息系统风险量化评估指标体系

信息系统风险量化评估指标体系

ID:9215391

大小:399.70 KB

页数:5页

时间:2018-04-23

信息系统风险量化评估指标体系_第1页
信息系统风险量化评估指标体系_第2页
信息系统风险量化评估指标体系_第3页
信息系统风险量化评估指标体系_第4页
信息系统风险量化评估指标体系_第5页
资源描述:

《信息系统风险量化评估指标体系》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、2006年10月四川大学学报(自然科学版)Oct.2006第43卷第5期JournalofsichuanUniversity(NaturalscienceEdition)V61.‘No.5文章编号:0490一6756【2006)05一1048一05信息系统风险量化评估指标体系胡勇‘,漆刚“,陈麟‘,杨炜”(1.四川大学信息安全研究所,成都610064;2.四川省公安厅信息通信处,成都610041;3.四川省信息安全测评中心,成都610041).摘要:信息系统风险评估包括识别风险和量化风险.量化风险时,需要明确量化的因素和量化的方法.通过分析风险与安全事件的关系,提

2、出风险的影响因素指标体系框架,举例描述了风险大小的各种影响因素.关键词:信息系统风险评佑;影响因素;评佑指标体系;层次分析法;多级模糊综合评判中图分类号:TP393文献标识码:A1引言风险是潜在安全事件发生的可能性和发生后造成的损失与影响.在生产生活的各个领域中都存在风险.对风险的重视程度取决于风险的大小,因此需要量化风险.金融投资、自然灾害侧算、工程项目管理的风险量化评估研究比较多.常见的是提出风险评估指标体系,采用层次分析法(AHP)或多级模糊综合评判法等对风险的影响因素逐层进行量化评估.对信息系统安全风险的量化评估,也可以借鉴这些方法.首先要研究信息安全风险

3、的各种影响因素,建立信息安全风险评估指标体系.这是信息系统风险量化评估的基础.但风险的影响因素众多,如果不统一,评估结果会有很大差异,评估结论也不具有可比性.从国内外文献看,还没有构建信息系统风险评估指标体系的方法,也没有发现一个比较完整和系统的信息安全风险评估指标体系.文【1]从实体与环境安全、组织管理与安全制度、安全技术措施、网络通信安全和软件与信息安全等方面建立了网络与信息系统安全性评估指标体系,但实际上是安全评估指标体系,不是风险评估指标体系.文〔2,3〕对风险的影响因素有简略的阐述,但讨论不完整,更不深人,两篇文章对风险影响因素的理解也不同,在选择和处理

4、风险影响因素的方法上有很大差异,导致不同的评估结果.一个逻辑清楚、内容全面的风险评估指标体系将使风险评估具有全面性、一致性和客观性.2信息系统风险评估指标体系在分析信息系统风险时,往往将脆弱性、威胁或潜在的攻击都视作风险.这种理解将风险的外因、内因混在一起,逻辑不是很清晰,不利于认识风险的本质.另一方面,脆弱性、威胁诚然是风险的主要影响因素,但脆弱性和威胁都包含了很多内容.脆弱性有脆弱性曝露程度,利用脆弱性的难易程度等.而威胁暗示了潜在安全事件及其涉及的主体、客体和行为.这些因素又包含了许多影响因素.如就主体而言,就包括其意图、能力和资源等.因此,对主体直接进行评

5、估存在困难,对威胁直接进行评估就更加笼统和困难了.直接评估虽然表面上简化了评估的繁杂度,实际_匕掩盖了更深人和细致的影响因素评估,容易使评估产生很大的主观性.为了对风险的影响因素进行清晰的刻画,需要提出有层次的、更细的、更具体的风险影响因素集—风险评估指标体系.2.1风险与安全事件风险是潜在的安全事件发生的可能性和后果[’,5].潜在,说明了安全事件有发生的可能性,后果,说明收稿日期2006一06一15基金项目国家863高技术研究发展计划项目(863一104一01一03,2001AA142171)第5期胡勇等:信息系统风险量化评佑指标体系1049了安全事件发生后会

6、对信息系统造成损失和不利影响.因此,风险是与安全事件紧密相关的.从风险的定义来看,量化风险,实际上就是量化安全事件发生的可能性和后果.这为建立风险评估指标体系提供了思路,通过分析安全事件及其构成要素可以建立信息系统风险评估指标体系.2.2安全事件的影响因素安全事件构成要素应有主体、条件(途径)、客体、行为等.这里的条件(途径)是信息系统的脆弱性.由于互联网网络的时间连续性和空间分布的广泛性,一般不考虑安全事件的时间和地点要素(特殊的信息系统可以加上),而只考虑主体、脆弱性、客体和行为.很明显,潜在安全事件的主体、脆弱性、客体、行为都是集合.用5表示主体的集合,V表

7、示脆弱性的集合,0表示客体的集合,A表示主体对客体的行为集合.这些集合包含很多元素:5二}信息战军人,间谍,黑客,内部恶意操作人员,内部误操作人员,外部攻击者,自然灾害,⋯},v=}硬件缺陷,系统软件漏洞,应用软件漏洞,协议漏洞,管理漏洞,⋯},0={硬件设施,操作系统,应用软件,业务数据,业务文档,⋯{,A=}扫描系统,读取信息,删改数据,影响系统正常运行,破坏系统软件设施,摧毁系统硬件设施,⋯}.安全事件要素的某些属性影响安全事件发生的可能性和后果,而且安全事件的可能性和后果也必然与安全事件要素的某些属性密切相关.安全事件可能性的影响因素如表1所示.表1安全事

8、件的可能性

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。