返回
等级保护风险评估模型探究

等级保护风险评估模型探究

ID:6214241

大小:37.00 KB

页数:14页

时间:2018-01-06

等级保护风险评估模型探究_第1页
等级保护风险评估模型探究_第2页
等级保护风险评估模型探究_第3页
等级保护风险评估模型探究_第4页
等级保护风险评估模型探究_第5页
资源描述:

《等级保护风险评估模型探究》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、等级保护风险评估模型探究  【摘要】文章针对信息系统风险评估易受主观因素的影响,存在模糊性和不确定性等问题,提出了一个新的风险评估模型。通过建立基于等级保护的层次化评估体系,并运用基于层次分析法的评估方法处理评估中存在的模糊值,最终量化评估结果。实证结果表明,该模型能够减小风险评估中的模糊性和不确定性,可以较好地解决信息系统风险评估的实际困难和问题。【关键词】信息安全;等级保护;风险评估;层次分析法LevelProtectionRiskAssessmentModelforResearchZhaoYun(TheThirdResearchInstituteofMinistryofPublicS

2、ecurityShanghai200031)【Abstract】Thisarticleinviewoftheinformationsystemriskassessmentaresusceptibletotheinfluenceofsubjectivefactors,someproblemssuchasvaguenessanduncertainty,anewriskassessmentmodelisputforward.Byestablishinghierarchicalevaluationsystembasedonthelevel14ofprotection,andusingtheeval

3、uationmethodbasedonanalytichierarchyprocess(AHP)thatexistintheprocessevaluationfuzzyvalue,finallyquantitativeevaluationresults.Theempiricalresultsshowthatthemodelcanreducethefuzzinessanduncertaintyinriskassessmentcanbettersolvepracticaldifficultiesandproblemsofinformationsystemriskassessment.【Keyw

4、ords】informationsecurity;gradeprotection;riskevaluation;analytichierarchyprocess1引言14随着计算机网络的广泛使用和网络中承载的信息量的加速增长,系统安全重要性正在世界范围内不断地扩大。近些年来,我国改革开放和信息化建设步伐不断加快,各行业都建立了自己的信息系统以支持相关业务的开展,这些系统的运行状况在各个层面不同程度地影响着企业或行业乃至整个社会的发展。因此,对于信息系统的等级保护工作也变得越发重要。信息安全等级保护是指对国家安全、法人和其它组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统

5、分等级实行安全保护,对信息系统中使用信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置等,在系统的建设过程中,我们总是关心系统所面临的安全风险,基于上述原因,如何评价一个信息系统项目就成了非常重要的课题。目前的评价方法,国内不是很成熟。本文通过对信息系统评估方法的理论研究,对已有的评价方法进行了改进,最终得到一个优化的指标体系。2发展历程由于计算机信息网络安全的脆弱性和现实网络环境的复杂性,时刻给信息系统的正常运行带来威胁,为此国家公安部、保密局、国家密码管理局、国务院信息化领导小组于2007年联合颁布了861号文件《关于开展全国重要信息系统安全等级保护定级工作的通

6、知》和《信息安全等级保护管理办法》。根据文件精神和等级划分的原则,重要信息系统构筑需要达到三级或以上防护要求,以等级保护三级系统为例,其防护要求分类如图1所示。14从图1可以看出,目前等级保护风险评估主要分为技术要求和管理要求两大部分,技术要求从物理安全、网络安全、主机安全、应用安全和数据安全五个方面来评价;管理要求从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个角度进行分析。通过对目前多个测评机构测评方法的分析研究,发现传统的风险评估方法比较简单,各项指标和分项指标的实际情况仅由符合、部分符合和不符合三种评价结果构成。这种评价方法无法区分各个测评项对整个信息系统

7、影响的重要程度,另外,对整个信息系统的风险评估也仅仅由简单的统计不符合率来体现,无法客观有效地反应系统的真实情况。3信息系统风险评估信息安全风险评估规范中明确了信息系统风险评估的基本工作形式是自评估与检查评估。信息系统风险评估是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。根据国家有关管理规定,基础性、重要的信息系统采用等级保护标准进行建设和测评。信息系统使用单位应该结合自身单位信息系统的具体情况,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。