基于Fuzzy-ANC的信息安全風險評估方法研究.pdf

1、隨著信息時代的飛速發(fā)展,網絡與信息系統(tǒng)構成的虛擬空間日益重要,信息安全成為社會與國家安全的重要組成部分。通過信息安全風險評估,識別信息系統(tǒng)中風險的性質及危害程度,并制定有針對性的解決方案,采取適當的控制目標和控制方式對風險實施管理,盡最大可能避免風險的發(fā)生,或將風險降到最低水平。因此,信息安全風險評估在當今時代占有了舉足輕重的地位。
　　 本文對信息安全風險評估的過程進行研究,主要工作如下:
　　 1)細致研究了國內外信

2、息安全風險評估相關標準。標準中通常給出一定的評估目標和指導方向,并沒有闡述詳細的評估方法,得出的結論也較為模糊。比較常用的幾種信息安全風險評估方法,可知評估中存在一定的不確定性,控制這些不確定性對有效的風險評估具有重要意義[1]。本文以GB/T20984《信息安全技術信息安全風險評估規(guī)范》為基礎,對風險評估的實施過程進行修改和優(yōu)化。采用模糊邏輯(FuzzyLogic)原理解決評估過程中專家打分語言的模糊性問題。
　　 2)在評估

3、過程中,資產、威脅和脆弱性三要素是密不可分的,資產是威脅和脆弱性作用的主體。本文以資產(Asset)為切入點,給出資產關聯性(ANC)的定義描述,將信息安全風險評估中存在的關聯問題歸類到資產關聯性問題中。通過資產關聯性分析得到綜合風險值,進一步提高評估結果的準確性。
　　 3)GB/T20984中,未明確區(qū)分脆弱性的可利用程度和脆弱性的嚴重程度兩個指標,這使得系統(tǒng)面臨的風險大小出現一定的偏差。因為即使資產存在非常嚴重的脆弱性問題

4、,但如果該脆弱性被利用的可能很小甚或為零,那么它對系統(tǒng)安全風險的影響將非常小,所以嚴格區(qū)分脆弱性的可利用程度和脆弱性的嚴重程度對有效的評估具有重要意義。
　　 4)由上述工作得到基于Fuzzy-ANC的信息安全風險評估方法,并采用形式化語言對該評估過程進行描述,為實現自動化評估等后續(xù)工作的展開奠定基礎。
　　 5)在基于Fuzzy-ANC的信息安全風險評估方法之上,構建信息安全風險評估知識庫(RAKD),采用經典的寬度優(yōu)