改進(jìn)DS證據(jù)理論和BN的信息安全風(fēng)險(xiǎn)評(píng)估

信息安全風(fēng)險(xiǎn)評(píng)估及評(píng)估工具研究

針對(duì)系統(tǒng)風(fēng)險(xiǎn)評(píng)估過(guò)程中存在的如評(píng)估數(shù)據(jù)缺乏、知識(shí)不完備、系統(tǒng)建模不完整及風(fēng)險(xiǎn)識(shí)別不充分等不確定性因素,文章提出了一種將模糊數(shù)學(xué)理論與證據(jù)理論相結(jié)合的風(fēng)險(xiǎn)評(píng)估方法.首先,給出了信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的定義,討論了信息系統(tǒng)的風(fēng)險(xiǎn)分析與預(yù)測(cè)模型;然后,將傳統(tǒng)證據(jù)理論向模糊集推廣,利用模糊集的隸屬函數(shù)構(gòu)造證據(jù)理論中的基本概率賦值函數(shù),評(píng)估指標(biāo)的基本支持度的確定即為各項(xiàng)指標(biāo)對(duì)于評(píng)語(yǔ)集的隸屬程度,從而建立起一個(gè)從指標(biāo)集到評(píng)估標(biāo)準(zhǔn)的模糊關(guān)系,有效解決了證據(jù)理論中基本概率賦值函數(shù)不易確定的問(wèn)題;最后,給出了某辦公自動(dòng)化信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估實(shí)例,驗(yàn)證了文中所提方法的合理性.實(shí)例表明,該方法可行有效,能夠?yàn)樾畔⑾到y(tǒng)風(fēng)險(xiǎn)控制和安全防御提供有力的數(shù)據(jù)支撐.

簡(jiǎn)要介紹國(guó)內(nèi)外信息安全風(fēng)險(xiǎn)評(píng)估工作的發(fā)展過(guò)程,指出各應(yīng)用領(lǐng)域或各組織進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的重要性。闡述了信息安全風(fēng)險(xiǎn)評(píng)估需要解決的問(wèn)題,介紹目前在信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域所采取的主要方法,并對(duì)這些方法進(jìn)行分析和評(píng)價(jià)。探討信息安全風(fēng)險(xiǎn)評(píng)估工作的流程,并展望了信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展前景。

1 00 表1： 基本信息調(diào)查 1.單位基本情況 單位名稱單位地址 （公章） 聯(lián)系人聯(lián)系電話 email填表時(shí)間 信息安全主管領(lǐng)導(dǎo)（簽字）職務(wù) 檢查工作負(fù)責(zé)人（簽字）職務(wù) -2- 2.硬件資產(chǎn)情況 2.1.網(wǎng)絡(luò)設(shè)備情況 網(wǎng)絡(luò)設(shè)備名稱型號(hào)物理位置所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)系統(tǒng)軟件 及版本 端口類型 及數(shù)量 主要用途是否熱備重要程度 2.2.安全設(shè)備情況 安全設(shè)備名稱型號(hào)(軟件/ 硬件) 物理位 置 所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng) 關(guān) 系統(tǒng)及運(yùn)行 平臺(tái) 端口類型及 數(shù)量 主要用途是否熱備重要程 度 -3- 2.3.服務(wù)器設(shè)備情況 設(shè)備名稱型號(hào)物理位置所屬網(wǎng)絡(luò) 區(qū)域 ip地址/掩碼/網(wǎng)關(guān)操作系統(tǒng) 版本/補(bǔ)丁 安裝應(yīng)用系統(tǒng)軟 件名稱 主要業(yè)務(wù)應(yīng)

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

針對(duì)網(wǎng)絡(luò)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估問(wèn)題,提出了基于d-s證據(jù)理論的風(fēng)險(xiǎn)評(píng)估模型。證據(jù)理論是一種處理不確定性的推理方法。首先用\"折扣率\"對(duì)dempster合成法則進(jìn)行了改進(jìn),然后使用改進(jìn)后的dempser合成法則對(duì)網(wǎng)絡(luò)中存在的各種風(fēng)險(xiǎn)因素進(jìn)行合成,減少了風(fēng)險(xiǎn)因素中的不確定性,并以實(shí)例驗(yàn)證了該模型在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估中的應(yīng)用,仿真結(jié)果證明了該算法的正確性。最后,通過(guò)與模糊綜合評(píng)判法進(jìn)行比較驗(yàn)證了證據(jù)理論具有更高的準(zhǔn)確性。

有效的信息安全風(fēng)險(xiǎn)評(píng)估方法能準(zhǔn)確評(píng)估出信息系統(tǒng)風(fēng)險(xiǎn),使組織采取相應(yīng)的有效措施對(duì)風(fēng)險(xiǎn)進(jìn)行控制,使機(jī)構(gòu)風(fēng)險(xiǎn)被降低到一個(gè)可被接受的水平,主要比較幾種常用的信息安全風(fēng)險(xiǎn)評(píng)估方法的優(yōu)缺點(diǎn),并指出信息安全風(fēng)險(xiǎn)評(píng)估方法應(yīng)是幾種風(fēng)險(xiǎn)評(píng)估方法的結(jié)合,定性與定量評(píng)估評(píng)估系統(tǒng)風(fēng)險(xiǎn),使評(píng)估結(jié)果更準(zhǔn)確。

信息安全風(fēng)險(xiǎn)評(píng)估中,一般根據(jù)資產(chǎn)的表現(xiàn)形式給出分類的資產(chǎn)列表并孤立地為資產(chǎn)賦值,沒(méi)有考慮到資產(chǎn)對(duì)業(yè)務(wù)的支持和資產(chǎn)之間的關(guān)聯(lián)性。以業(yè)務(wù)過(guò)程建模方法idef0(integrationdefinitionmethod0)為基礎(chǔ),建立層次化的業(yè)務(wù)過(guò)程功能模型,并識(shí)別與每個(gè)過(guò)程功能實(shí)現(xiàn)有關(guān)的輸入、機(jī)制、控制三類支持性資產(chǎn),從而得到以業(yè)務(wù)過(guò)程為中心的層次化的資產(chǎn)關(guān)聯(lián)圖。圖中的業(yè)務(wù)過(guò)程構(gòu)成了一個(gè)典型的具有內(nèi)部依賴的遞階層次結(jié)構(gòu),利用網(wǎng)絡(luò)分析法可以評(píng)估業(yè)務(wù)過(guò)程針對(duì)系統(tǒng)總目標(biāo)的重要性排序,根據(jù)所支持的業(yè)務(wù)過(guò)程的重要性及其數(shù)量評(píng)估支持性資產(chǎn)的重要性。該方法實(shí)現(xiàn)了層次化的資產(chǎn)關(guān)聯(lián)、識(shí)別與評(píng)估,電子購(gòu)物網(wǎng)站的應(yīng)用實(shí)例證實(shí)了此方法的可行性。

信息安全的風(fēng)險(xiǎn)評(píng)估主要是建立在信息安全體系的基礎(chǔ)與前提之上,對(duì)信息的安全性進(jìn)行綜合性評(píng)價(jià).為了更加準(zhǔn)確的掌握信息安全風(fēng)險(xiǎn)評(píng)估技術(shù),本文對(duì)其進(jìn)行詳細(xì)分析.

提出以國(guó)家相關(guān)規(guī)范標(biāo)準(zhǔn)為依據(jù),以社會(huì)實(shí)踐內(nèi)容為基礎(chǔ),構(gòu)建符合社會(huì)踐行的課程結(jié)構(gòu)體系,分析依據(jù)結(jié)構(gòu)體系提出課程內(nèi)容的設(shè)計(jì)原則及基本教學(xué)內(nèi)容。

ｌｏｇｏ 密級(jí)：秘密 第1頁(yè)共9頁(yè)信息安全風(fēng)險(xiǎn)評(píng)估管理程序 ｘｘｘｘ網(wǎng)絡(luò)安全技術(shù)有限公司 編號(hào)：nn-pd17 版次：080501 程序文件 生效日期：2008.05.01 信息安全風(fēng)險(xiǎn)評(píng)估管理程序 編制：日期： 審核：日期： 批準(zhǔn)：日期： 本版修改記錄 修改狀態(tài)日期修改原因及內(nèi)容提要修改人審核人批準(zhǔn)人 ｌｏｇｏ 密級(jí)：秘密 第2頁(yè)共9頁(yè)信息安全風(fēng)險(xiǎn)評(píng)估管理程序 信息安全風(fēng)險(xiǎn)評(píng)估管理程序 1.0目的 在isms覆蓋范圍內(nèi)對(duì)信息安全現(xiàn)行狀況進(jìn)行系統(tǒng)風(fēng)險(xiǎn)評(píng)估，形成評(píng)估報(bào)告，描述風(fēng)險(xiǎn) 等級(jí)，識(shí)別和評(píng)價(jià)供處理風(fēng)險(xiǎn)的可選措施，選擇控制目標(biāo)和控制措施處理風(fēng)險(xiǎn)。 2.0適用范圍 在isms覆蓋范圍內(nèi)主要信息資產(chǎn) 3.0定義（無(wú)） 4.0職責(zé) 4.1各部門(mén)負(fù)責(zé)部門(mén)內(nèi)部資產(chǎn)的識(shí)別，確定資產(chǎn)價(jià)值。 4.2信息安全部負(fù)責(zé)風(fēng)險(xiǎn)評(píng)估和制訂控制措施。 4.3ce

9 信 息 網(wǎng) 絡(luò) 安 全 netinfosecurity 國(guó)家開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工 作的概況 調(diào)查研究階段 國(guó)務(wù)院信息化工作辦 公室網(wǎng)絡(luò)與信息安全組 （以下簡(jiǎn)稱國(guó)務(wù)院信息辦 安全組）為落實(shí)中辦發(fā) 2003[27]號(hào)文件的要求， 于2003年7月23日決定 委托國(guó)家信息中心組建成 立“信息安全風(fēng)險(xiǎn)評(píng)估課題 組”，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作 的現(xiàn)狀進(jìn)行全面深入了解，提出我 國(guó)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法， 為下一步信息安全的建設(shè)和管理做準(zhǔn)備。 根據(jù)國(guó)務(wù)院信息辦安全組的要求,國(guó)家信息中 心迅速成立了來(lái)自公安部、安全部、信息產(chǎn)業(yè)部、 國(guó)家認(rèn)監(jiān)委、國(guó)家標(biāo)準(zhǔn)化委、國(guó)家密碼管理局、國(guó) 家保密局、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全中心、中國(guó) 信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心、北京市信息辦和中國(guó) 人民解放軍信息安全測(cè)評(píng)認(rèn)證中心等單位同志組成 的“信息安全風(fēng)險(xiǎn)評(píng)估課題組”,開(kāi)展信息安全風(fēng)險(xiǎn) 調(diào)研工作。 2003年8月

信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)手段綜述(轉(zhuǎn)) 摘要：信息安全成為國(guó)家安全的重要組成部分，因此為保證信息安全，建立 信息安全管理體系已成為目前安全建設(shè)的首要任務(wù)。風(fēng)險(xiǎn)評(píng)估作為信息安全管理 體系建設(shè)的基礎(chǔ)，在體系建設(shè)的各個(gè)階段發(fā)揮著重要的作用。風(fēng)險(xiǎn)評(píng)估的進(jìn)行離 不開(kāi)風(fēng)險(xiǎn)評(píng)估工具，本文在對(duì)風(fēng)險(xiǎn)評(píng)估工具進(jìn)行分類的基礎(chǔ)上，探討了目前主要 的風(fēng)險(xiǎn)評(píng)估工具的研究現(xiàn)狀及發(fā)展方向。 關(guān)鍵詞：風(fēng)險(xiǎn)評(píng)估綜合風(fēng)險(xiǎn)評(píng)估信息基礎(chǔ)設(shè)施工具 引言 當(dāng)今時(shí)代，信息是一個(gè)國(guó)家最重要的資源之一，信息與網(wǎng)絡(luò)的運(yùn)用亦是二十一世 紀(jì)國(guó)力的象征，以網(wǎng)絡(luò)為載體、信息資源為核心的新經(jīng)濟(jì)改變了傳統(tǒng)的資產(chǎn)運(yùn)營(yíng) 模式，沒(méi)有各種信息的支持，企業(yè)的生存和發(fā)展空間就會(huì)受到限制。信息的重要 性使得他不但面臨著來(lái)自各方面的層出不窮的挑戰(zhàn)，因此，需要對(duì)信息資產(chǎn)加以 妥善保護(hù)。正如中國(guó)工程院院長(zhǎng)徐匡迪所說(shuō)：“沒(méi)有安全的工程就是豆腐渣工程

附件： 國(guó)家電子政務(wù)工程建設(shè)項(xiàng)目非涉密信息系統(tǒng) 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告格式 項(xiàng)目名稱： 項(xiàng)目建設(shè)單位： 風(fēng)險(xiǎn)評(píng)估單位： 年月日 目錄 一、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述.........................................................................................................................................1 1.1工程項(xiàng)目概況................................................................................................................................................1 1.1.1建設(shè)項(xiàng)目基本信息......

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

信息安全風(fēng)險(xiǎn)評(píng)估需求方案 一、項(xiàng)目背景 多年來(lái)，天津市財(cái)政局（地方稅務(wù)局）在加快信息化建設(shè)和 信息系統(tǒng)開(kāi)發(fā)應(yīng)用的同時(shí)，高度重視信息安全工作，采取了很多 防范措施，取得了較好的工作效果，但同新形勢(shì)、新任務(wù)的要求 相比，還存在有許多不相適應(yīng)的地方。2009年，國(guó)家稅務(wù)總局 和市政府分別對(duì)我局信息系統(tǒng)安全情況進(jìn)行了抽查，在充分肯定 成績(jī)的同時(shí)，也指出了我局在信息安全方面存在的問(wèn)題。通過(guò)抽 查所暴露的這些問(wèn)題，給我們敲響了警鐘，也對(duì)我局信息安全工 作提出了新的更高的要求。 因此，天津市財(cái)政局（地方稅務(wù)局）在對(duì)現(xiàn)有信息安全資源 進(jìn)行整合、整改的同時(shí)，按照國(guó)家稅務(wù)總局信息安全管理規(guī)定， 結(jié)合本單位實(shí)際情況確定實(shí)施信息安全評(píng)估、安全加固、應(yīng)急響 應(yīng)、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓(xùn)、 應(yīng)急演練服務(wù)等工作內(nèi)容（以下簡(jiǎn)稱“安全風(fēng)險(xiǎn)評(píng)估”），形成 安全規(guī)劃、實(shí)施

xxx公司信息安全風(fēng)險(xiǎn)評(píng)估 實(shí)施細(xì)則 二〇〇八年五月 編制說(shuō)明 根據(jù)《xxx公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》和《xxx公司信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則》 （試行），近年來(lái)公司組織開(kāi)展了風(fēng)險(xiǎn)評(píng)估常態(tài)化推廣，通過(guò)多年對(duì)實(shí)施細(xì)則的應(yīng)用、實(shí)踐 與總結(jié)，需要進(jìn)一步對(duì)實(shí)施細(xì)則的內(nèi)容進(jìn)行調(diào)整和完善。另一方面，隨著國(guó)家對(duì)信息系統(tǒng)安 全等級(jí)保護(hù)等相關(guān)政策、標(biāo)準(zhǔn)和基本要求，和公司信息化“sg186”工程安全防護(hù)總體方案 和公司網(wǎng)絡(luò)與信息系統(tǒng)安全隔離實(shí)施指導(dǎo)意見(jiàn)要求，也需要進(jìn)一步對(duì)實(shí)施細(xì)則內(nèi)容進(jìn)行修 訂。 本細(xì)則主要修訂了原有試行細(xì)則第四章脆弱性評(píng)估部分的具體內(nèi)容。主要包括： 1、在原有基礎(chǔ)上，增加或修改了信息安全管理評(píng)估、信息安全運(yùn)行維護(hù)評(píng)估、信息安 全技術(shù)評(píng)估的具體要求。為保持本實(shí)施細(xì)則的可操作性，針對(duì)新增的具體要求，按原細(xì)則格 式添加了標(biāo)準(zhǔn)分值、評(píng)分標(biāo)準(zhǔn)和與資產(chǎn)的安全屬性（c、i、a）的對(duì)應(yīng)

為了電子政務(wù)系統(tǒng)安全信息評(píng)估精度,依據(jù)資產(chǎn)、脆弱性、威脅等風(fēng)險(xiǎn)評(píng)估基本要素,提出一種基于危險(xiǎn)理論的電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方法.該方法以威脅為核心,通過(guò)威脅分析、梯形模糊數(shù)、層次分析法,結(jié)合多屬性決策理論得到威脅發(fā)生的概率、后果屬性以及屬性值,得到電子政務(wù)系統(tǒng)信息安全威脅指數(shù),最后利用威脅指數(shù)對(duì)風(fēng)險(xiǎn)進(jìn)行排序,得到系統(tǒng)信息安全的風(fēng)險(xiǎn)等級(jí).仿真結(jié)果表明,該方法能夠很好地量化電子政務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)指標(biāo),有效地提高了風(fēng)險(xiǎn)評(píng)估準(zhǔn)確性,是一種有效的電子政務(wù)系統(tǒng)信息安全評(píng)估方法.

信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全的前提和基礎(chǔ)。該文對(duì)風(fēng)險(xiǎn)評(píng)估方法進(jìn)行了概括描述,在分析以層次分析法為代表的綜合評(píng)估方法不足的基礎(chǔ)上,對(duì)4種改進(jìn)型的綜合評(píng)估方法進(jìn)行了歸納,得出了4種有代表性的改進(jìn)方法,并對(duì)這4種方法的優(yōu)點(diǎn)進(jìn)行了比較分析。

信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)需要處理眾多模糊信息的過(guò)程,為提高信息處理的準(zhǔn)確性,提出一種信息熵與三參數(shù)區(qū)間數(shù)相結(jié)合的信息安全風(fēng)險(xiǎn)評(píng)估方法。通過(guò)對(duì)信息系統(tǒng)進(jìn)行分析,建立三參數(shù)區(qū)間形式的風(fēng)險(xiǎn)指標(biāo)評(píng)價(jià)矩陣,采用信息熵理論確定指標(biāo)權(quán)重。根據(jù)三參數(shù)區(qū)間的區(qū)間距離和區(qū)間排序理論求得評(píng)價(jià)專家權(quán)重,分析匯總?cè)叩玫阶罱K的評(píng)估結(jié)果,并通過(guò)實(shí)例進(jìn)行評(píng)估得到三參數(shù)區(qū)間數(shù)形式的風(fēng)險(xiǎn)值。實(shí)驗(yàn)結(jié)果表明,與采用二區(qū)間形式的方法相比,該方法能夠較準(zhǔn)確地預(yù)測(cè)風(fēng)險(xiǎn)等級(jí)。

復(fù)雜工程安全風(fēng)險(xiǎn)評(píng)估是近年來(lái)迅速發(fā)展的一種系統(tǒng)化方法,本文介紹了安全風(fēng)險(xiǎn)評(píng)估的基本概念,并討論了風(fēng)險(xiǎn)評(píng)估的過(guò)程及方法,最后敘述了海洋工程安全風(fēng)險(xiǎn)評(píng)估的研究現(xiàn)狀及目前研究的熱點(diǎn),為海洋工程的安全評(píng)估提供了參考依據(jù)。

近年來(lái),隨著信息技術(shù)的飛速發(fā)展,信息系統(tǒng)管理中的信息安全問(wèn)題較為突出,成為社會(huì)上關(guān)注的焦點(diǎn)問(wèn)題。對(duì)信息系統(tǒng)管理中的信息安全的風(fēng)險(xiǎn)因素進(jìn)行評(píng)估,是對(duì)信息系統(tǒng)安全的重要性保護(hù)措施。本文通過(guò)對(duì)信息系統(tǒng)管理中信息安全的風(fēng)險(xiǎn)管理的概況進(jìn)行分析,對(duì)信息安全的風(fēng)險(xiǎn)性和脆弱性進(jìn)行詳細(xì)分析,進(jìn)而提出信息安全風(fēng)險(xiǎn)評(píng)估方法,為信息系統(tǒng)管理中信息安全風(fēng)險(xiǎn)的決策提供有力的科學(xué)依據(jù)。