改進(jìn)DS證據(jù)理論和BN的信息安全風(fēng)險(xiǎn)評估

信息安全風(fēng)險(xiǎn)評估及評估工具研究

針對系統(tǒng)風(fēng)險(xiǎn)評估過程中存在的如評估數(shù)據(jù)缺乏、知識不完備、系統(tǒng)建模不完整及風(fēng)險(xiǎn)識別不充分等不確定性因素,文章提出了一種將模糊數(shù)學(xué)理論與證據(jù)理論相結(jié)合的風(fēng)險(xiǎn)評估方法.首先,給出了信息系統(tǒng)風(fēng)險(xiǎn)評估的定義,討論了信息系統(tǒng)的風(fēng)險(xiǎn)分析與預(yù)測模型;然后,將傳統(tǒng)證據(jù)理論向模糊集推廣,利用模糊集的隸屬函數(shù)構(gòu)造證據(jù)理論中的基本概率賦值函數(shù),評估指標(biāo)的基本支持度的確定即為各項(xiàng)指標(biāo)對于評語集的隸屬程度,從而建立起一個(gè)從指標(biāo)集到評估標(biāo)準(zhǔn)的模糊關(guān)系,有效解決了證據(jù)理論中基本概率賦值函數(shù)不易確定的問題;最后,給出了某辦公自動(dòng)化信息系統(tǒng)的風(fēng)險(xiǎn)評估實(shí)例,驗(yàn)證了文中所提方法的合理性.實(shí)例表明,該方法可行有效,能夠?yàn)樾畔⑾到y(tǒng)風(fēng)險(xiǎn)控制和安全防御提供有力的數(shù)據(jù)支撐.

簡要介紹國內(nèi)外信息安全風(fēng)險(xiǎn)評估工作的發(fā)展過程,指出各應(yīng)用領(lǐng)域或各組織進(jìn)行信息安全風(fēng)險(xiǎn)評估的重要性。闡述了信息安全風(fēng)險(xiǎn)評估需要解決的問題,介紹目前在信息安全風(fēng)險(xiǎn)評估領(lǐng)域所采取的主要方法,并對這些方法進(jìn)行分析和評價(jià)。探討信息安全風(fēng)險(xiǎn)評估工作的流程,并展望了信息安全風(fēng)險(xiǎn)評估的發(fā)展前景。

1 00 表1： 基本信息調(diào)查 1.單位基本情況 單位名稱單位地址 （公章） 聯(lián)系人聯(lián)系電話 email填表時(shí)間 信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù) 檢查工作負(fù)責(zé)人（簽字）職務(wù) -2- 2.硬件資產(chǎn)情況 2.1.網(wǎng)絡(luò)設(shè)備情況 網(wǎng)絡(luò)設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件 及版本 端口類型 及數(shù)量 主要用途是否熱備重要程度 2.2.安全設(shè)備情況 安全設(shè)備名稱型號(軟件/ 硬件) 物理位 置 所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng) 關(guān) 系統(tǒng)及運(yùn)行 平臺 端口類型及 數(shù)量 主要用途是否熱備重要程 度 -3- 2.3.服務(wù)器設(shè)備情況 設(shè)備名稱型號物理位置所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補(bǔ)丁 安裝應(yīng)用系統(tǒng)軟 件名稱 主要業(yè)務(wù)應(yīng)

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

針對網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)評估問題,提出了基于d-s證據(jù)理論的風(fēng)險(xiǎn)評估模型。證據(jù)理論是一種處理不確定性的推理方法。首先用\"折扣率\"對dempster合成法則進(jìn)行了改進(jìn),然后使用改進(jìn)后的dempser合成法則對網(wǎng)絡(luò)中存在的各種風(fēng)險(xiǎn)因素進(jìn)行合成,減少了風(fēng)險(xiǎn)因素中的不確定性,并以實(shí)例驗(yàn)證了該模型在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估中的應(yīng)用,仿真結(jié)果證明了該算法的正確性。最后,通過與模糊綜合評判法進(jìn)行比較驗(yàn)證了證據(jù)理論具有更高的準(zhǔn)確性。

有效的信息安全風(fēng)險(xiǎn)評估方法能準(zhǔn)確評估出信息系統(tǒng)風(fēng)險(xiǎn),使組織采取相應(yīng)的有效措施對風(fēng)險(xiǎn)進(jìn)行控制,使機(jī)構(gòu)風(fēng)險(xiǎn)被降低到一個(gè)可被接受的水平,主要比較幾種常用的信息安全風(fēng)險(xiǎn)評估方法的優(yōu)缺點(diǎn),并指出信息安全風(fēng)險(xiǎn)評估方法應(yīng)是幾種風(fēng)險(xiǎn)評估方法的結(jié)合,定性與定量評估評估系統(tǒng)風(fēng)險(xiǎn),使評估結(jié)果更準(zhǔn)確。

信息安全風(fēng)險(xiǎn)評估中,一般根據(jù)資產(chǎn)的表現(xiàn)形式給出分類的資產(chǎn)列表并孤立地為資產(chǎn)賦值,沒有考慮到資產(chǎn)對業(yè)務(wù)的支持和資產(chǎn)之間的關(guān)聯(lián)性。以業(yè)務(wù)過程建模方法idef0(integrationdefinitionmethod0)為基礎(chǔ),建立層次化的業(yè)務(wù)過程功能模型,并識別與每個(gè)過程功能實(shí)現(xiàn)有關(guān)的輸入、機(jī)制、控制三類支持性資產(chǎn),從而得到以業(yè)務(wù)過程為中心的層次化的資產(chǎn)關(guān)聯(lián)圖。圖中的業(yè)務(wù)過程構(gòu)成了一個(gè)典型的具有內(nèi)部依賴的遞階層次結(jié)構(gòu),利用網(wǎng)絡(luò)分析法可以評估業(yè)務(wù)過程針對系統(tǒng)總目標(biāo)的重要性排序,根據(jù)所支持的業(yè)務(wù)過程的重要性及其數(shù)量評估支持性資產(chǎn)的重要性。該方法實(shí)現(xiàn)了層次化的資產(chǎn)關(guān)聯(lián)、識別與評估,電子購物網(wǎng)站的應(yīng)用實(shí)例證實(shí)了此方法的可行性。

信息安全的風(fēng)險(xiǎn)評估主要是建立在信息安全體系的基礎(chǔ)與前提之上,對信息的安全性進(jìn)行綜合性評價(jià).為了更加準(zhǔn)確的掌握信息安全風(fēng)險(xiǎn)評估技術(shù),本文對其進(jìn)行詳細(xì)分析.

提出以國家相關(guān)規(guī)范標(biāo)準(zhǔn)為依據(jù),以社會(huì)實(shí)踐內(nèi)容為基礎(chǔ),構(gòu)建符合社會(huì)踐行的課程結(jié)構(gòu)體系,分析依據(jù)結(jié)構(gòu)體系提出課程內(nèi)容的設(shè)計(jì)原則及基本教學(xué)內(nèi)容。

ｌｏｇｏ 密級：秘密 第1頁共9頁信息安全風(fēng)險(xiǎn)評估管理程序 ｘｘｘｘ網(wǎng)絡(luò)安全技術(shù)有限公司 編號：nn-pd17 版次：080501 程序文件 生效日期：2008.05.01 信息安全風(fēng)險(xiǎn)評估管理程序 編制：日期： 審核：日期： 批準(zhǔn)：日期： 本版修改記錄 修改狀態(tài)日期修改原因及內(nèi)容提要修改人審核人批準(zhǔn)人 ｌｏｇｏ 密級：秘密 第2頁共9頁信息安全風(fēng)險(xiǎn)評估管理程序 信息安全風(fēng)險(xiǎn)評估管理程序 1.0目的 在isms覆蓋范圍內(nèi)對信息安全現(xiàn)行狀況進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評估，形成評估報(bào)告，描述風(fēng)險(xiǎn) 等級，識別和評價(jià)供處理風(fēng)險(xiǎn)的可選措施，選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)。 2.0適用范圍 在isms覆蓋范圍內(nèi)主要信息資產(chǎn) 3.0定義（無） 4.0職責(zé) 4.1各部門負(fù)責(zé)部門內(nèi)部資產(chǎn)的識別，確定資產(chǎn)價(jià)值。 4.2信息安全部負(fù)責(zé)風(fēng)險(xiǎn)評估和制訂控制措施。 4.3ce

9 信 息 網(wǎng) 絡(luò) 安 全 netinfosecurity 國家開展信息安全風(fēng)險(xiǎn)評估工 作的概況 調(diào)查研究階段 國務(wù)院信息化工作辦 公室網(wǎng)絡(luò)與信息安全組 （以下簡稱國務(wù)院信息辦 安全組）為落實(shí)中辦發(fā) 2003[27]號文件的要求， 于2003年7月23日決定 委托國家信息中心組建成 立“信息安全風(fēng)險(xiǎn)評估課題 組”，對信息安全風(fēng)險(xiǎn)評估工作 的現(xiàn)狀進(jìn)行全面深入了解，提出我 國開展信息安全風(fēng)險(xiǎn)評估的對策和辦法， 為下一步信息安全的建設(shè)和管理做準(zhǔn)備。 根據(jù)國務(wù)院信息辦安全組的要求,國家信息中 心迅速成立了來自公安部、安全部、信息產(chǎn)業(yè)部、 國家認(rèn)監(jiān)委、國家標(biāo)準(zhǔn)化委、國家密碼管理局、國 家保密局、國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全中心、中國 信息安全產(chǎn)品測評認(rèn)證中心、北京市信息辦和中國 人民解放軍信息安全測評認(rèn)證中心等單位同志組成 的“信息安全風(fēng)險(xiǎn)評估課題組”,開展信息安全風(fēng)險(xiǎn) 調(diào)研工作。 2003年8月

信息安全風(fēng)險(xiǎn)評估技術(shù)手段綜述(轉(zhuǎn)) 摘要：信息安全成為國家安全的重要組成部分，因此為保證信息安全，建立 信息安全管理體系已成為目前安全建設(shè)的首要任務(wù)。風(fēng)險(xiǎn)評估作為信息安全管理 體系建設(shè)的基礎(chǔ)，在體系建設(shè)的各個(gè)階段發(fā)揮著重要的作用。風(fēng)險(xiǎn)評估的進(jìn)行離 不開風(fēng)險(xiǎn)評估工具，本文在對風(fēng)險(xiǎn)評估工具進(jìn)行分類的基礎(chǔ)上，探討了目前主要 的風(fēng)險(xiǎn)評估工具的研究現(xiàn)狀及發(fā)展方向。 關(guān)鍵詞：風(fēng)險(xiǎn)評估綜合風(fēng)險(xiǎn)評估信息基礎(chǔ)設(shè)施工具 引言 當(dāng)今時(shí)代，信息是一個(gè)國家最重要的資源之一，信息與網(wǎng)絡(luò)的運(yùn)用亦是二十一世 紀(jì)國力的象征，以網(wǎng)絡(luò)為載體、信息資源為核心的新經(jīng)濟(jì)改變了傳統(tǒng)的資產(chǎn)運(yùn)營 模式，沒有各種信息的支持，企業(yè)的生存和發(fā)展空間就會(huì)受到限制。信息的重要 性使得他不但面臨著來自各方面的層出不窮的挑戰(zhàn)，因此，需要對信息資產(chǎn)加以 妥善保護(hù)。正如中國工程院院長徐匡迪所說：“沒有安全的工程就是豆腐渣工程

附件： 國家電子政務(wù)工程建設(shè)項(xiàng)目非涉密信息系統(tǒng) 信息安全風(fēng)險(xiǎn)評估報(bào)告格式 項(xiàng)目名稱： 項(xiàng)目建設(shè)單位： 風(fēng)險(xiǎn)評估單位： 年月日 目錄 一、風(fēng)險(xiǎn)評估項(xiàng)目概述.........................................................................................................................................1 1.1工程項(xiàng)目概況................................................................................................................................................1 1.1.1建設(shè)項(xiàng)目基本信息......

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

信息安全風(fēng)險(xiǎn)評估需求方案 一、項(xiàng)目背景 多年來，天津市財(cái)政局（地方稅務(wù)局）在加快信息化建設(shè)和 信息系統(tǒng)開發(fā)應(yīng)用的同時(shí)，高度重視信息安全工作，采取了很多 防范措施，取得了較好的工作效果，但同新形勢、新任務(wù)的要求 相比，還存在有許多不相適應(yīng)的地方。2009年，國家稅務(wù)總局 和市政府分別對我局信息系統(tǒng)安全情況進(jìn)行了抽查，在充分肯定 成績的同時(shí)，也指出了我局在信息安全方面存在的問題。通過抽 查所暴露的這些問題，給我們敲響了警鐘，也對我局信息安全工 作提出了新的更高的要求。 因此，天津市財(cái)政局（地方稅務(wù)局）在對現(xiàn)有信息安全資源 進(jìn)行整合、整改的同時(shí)，按照國家稅務(wù)總局信息安全管理規(guī)定， 結(jié)合本單位實(shí)際情況確定實(shí)施信息安全評估、安全加固、應(yīng)急響 應(yīng)、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓(xùn)、 應(yīng)急演練服務(wù)等工作內(nèi)容（以下簡稱“安全風(fēng)險(xiǎn)評估”），形成 安全規(guī)劃、實(shí)施

xxx公司信息安全風(fēng)險(xiǎn)評估 實(shí)施細(xì)則 二〇〇八年五月 編制說明 根據(jù)《xxx公司信息安全風(fēng)險(xiǎn)評估實(shí)施指南》和《xxx公司信息安全風(fēng)險(xiǎn)評估實(shí)施細(xì)則》 （試行），近年來公司組織開展了風(fēng)險(xiǎn)評估常態(tài)化推廣，通過多年對實(shí)施細(xì)則的應(yīng)用、實(shí)踐 與總結(jié)，需要進(jìn)一步對實(shí)施細(xì)則的內(nèi)容進(jìn)行調(diào)整和完善。另一方面，隨著國家對信息系統(tǒng)安 全等級保護(hù)等相關(guān)政策、標(biāo)準(zhǔn)和基本要求，和公司信息化“sg186”工程安全防護(hù)總體方案 和公司網(wǎng)絡(luò)與信息系統(tǒng)安全隔離實(shí)施指導(dǎo)意見要求，也需要進(jìn)一步對實(shí)施細(xì)則內(nèi)容進(jìn)行修 訂。 本細(xì)則主要修訂了原有試行細(xì)則第四章脆弱性評估部分的具體內(nèi)容。主要包括： 1、在原有基礎(chǔ)上，增加或修改了信息安全管理評估、信息安全運(yùn)行維護(hù)評估、信息安 全技術(shù)評估的具體要求。為保持本實(shí)施細(xì)則的可操作性，針對新增的具體要求，按原細(xì)則格 式添加了標(biāo)準(zhǔn)分值、評分標(biāo)準(zhǔn)和與資產(chǎn)的安全屬性（c、i、a）的對應(yīng)

為了電子政務(wù)系統(tǒng)安全信息評估精度,依據(jù)資產(chǎn)、脆弱性、威脅等風(fēng)險(xiǎn)評估基本要素,提出一種基于危險(xiǎn)理論的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評估方法.該方法以威脅為核心,通過威脅分析、梯形模糊數(shù)、層次分析法,結(jié)合多屬性決策理論得到威脅發(fā)生的概率、后果屬性以及屬性值,得到電子政務(wù)系統(tǒng)信息安全威脅指數(shù),最后利用威脅指數(shù)對風(fēng)險(xiǎn)進(jìn)行排序,得到系統(tǒng)信息安全的風(fēng)險(xiǎn)等級.仿真結(jié)果表明,該方法能夠很好地量化電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)指標(biāo),有效地提高了風(fēng)險(xiǎn)評估準(zhǔn)確性,是一種有效的電子政務(wù)系統(tǒng)信息安全評估方法.

信息安全風(fēng)險(xiǎn)評估是信息系統(tǒng)安全的前提和基礎(chǔ)。該文對風(fēng)險(xiǎn)評估方法進(jìn)行了概括描述,在分析以層次分析法為代表的綜合評估方法不足的基礎(chǔ)上,對4種改進(jìn)型的綜合評估方法進(jìn)行了歸納,得出了4種有代表性的改進(jìn)方法,并對這4種方法的優(yōu)點(diǎn)進(jìn)行了比較分析。

信息安全風(fēng)險(xiǎn)評估是一個(gè)需要處理眾多模糊信息的過程,為提高信息處理的準(zhǔn)確性,提出一種信息熵與三參數(shù)區(qū)間數(shù)相結(jié)合的信息安全風(fēng)險(xiǎn)評估方法。通過對信息系統(tǒng)進(jìn)行分析,建立三參數(shù)區(qū)間形式的風(fēng)險(xiǎn)指標(biāo)評價(jià)矩陣,采用信息熵理論確定指標(biāo)權(quán)重。根據(jù)三參數(shù)區(qū)間的區(qū)間距離和區(qū)間排序理論求得評價(jià)專家權(quán)重,分析匯總?cè)叩玫阶罱K的評估結(jié)果,并通過實(shí)例進(jìn)行評估得到三參數(shù)區(qū)間數(shù)形式的風(fēng)險(xiǎn)值。實(shí)驗(yàn)結(jié)果表明,與采用二區(qū)間形式的方法相比,該方法能夠較準(zhǔn)確地預(yù)測風(fēng)險(xiǎn)等級。

復(fù)雜工程安全風(fēng)險(xiǎn)評估是近年來迅速發(fā)展的一種系統(tǒng)化方法,本文介紹了安全風(fēng)險(xiǎn)評估的基本概念,并討論了風(fēng)險(xiǎn)評估的過程及方法,最后敘述了海洋工程安全風(fēng)險(xiǎn)評估的研究現(xiàn)狀及目前研究的熱點(diǎn),為海洋工程的安全評估提供了參考依據(jù)。

近年來,隨著信息技術(shù)的飛速發(fā)展,信息系統(tǒng)管理中的信息安全問題較為突出,成為社會(huì)上關(guān)注的焦點(diǎn)問題。對信息系統(tǒng)管理中的信息安全的風(fēng)險(xiǎn)因素進(jìn)行評估,是對信息系統(tǒng)安全的重要性保護(hù)措施。本文通過對信息系統(tǒng)管理中信息安全的風(fēng)險(xiǎn)管理的概況進(jìn)行分析,對信息安全的風(fēng)險(xiǎn)性和脆弱性進(jìn)行詳細(xì)分析,進(jìn)而提出信息安全風(fēng)險(xiǎn)評估方法,為信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)的決策提供有力的科學(xué)依據(jù)。