高校信息安全风险评估论文

《高校信息安全风险评估论文》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、高校信息安全风险评估论文1信息安全风险评估的含义、方法及模型1.1信息安全风险评估的含义信息安全风险评估是从风险管理角度出发，构建风险评估模型，建立风险评估体系，运用风险评估方法，系统地分析信息系统所面临的风险威胁及系统的脆弱性/漏洞，评估风险发生带来的危害程度，提出应对风险的安全控制措施，规避和控制信息安全风险，降低风险发生的概率，将风险控制在可承受的范围，为信息安全风险评估提供科学依据。1.2信息安全风险评估的方法第7页共7页随着信息安全风险评估研究工作的不断深入，形成了多种不同的信息安全风险

2、评估方法，这些方法的出现大大缩短了信息安全风险评估的时间，节省了大量的资源，提高了信息安全风险评估的效率和准确性，为防范信息安全中出现的风险提供了理论依据[3]。目前，常用的信息安全风险评估的方法有定量评估方法、定性评估方法和定性与定量相结合的综合评估方法。其中，定量评估方法是根据信息系统中风险相关数据，利用具体的评估算法计算出评估结果，并对结果进行分析，它能够直观地反应评估结果，更容易被人们接受。但是该方法主要依赖于数学模型来描述风险，在量化的过程中将原本复杂的事物理想化，一般适用于风险评估材料

3、齐全且数学理论基础较好的情况，常见的定量评估方法有Markov分析法、聚类分析方法、决策树分析方法、风险审计技术等。定性评估方法是评估者利用自己拥有的专业知识和积累的经验对信息系统存在的风险进行识别和评价，并提出应对风险的安全控制措施。它对评估者知识和经验的要求较高，一般适用于风险评估数据不全或者数学理论基础较为薄弱的情况，常见的定性评估方法有故障树分析法（FTA）、故障模式影响及危害性分析方法（RMECA）、德尔菲法（Delphi）等。在风险评估的实际过程中，采用较多的是定性与定量相结合的综合风

4、险评估方法，该方法可以将复杂问题按照层次化结构分解成多个简单的问题进行分析，大大节省了评估时间、人力和费用，提高了风险评估的准确性和效率，常见的定性与定量相结合的综合评估方法有层次分析法。1.3信息安全风险评估的模型第7页共7页[4]信息安全风险评估模型是信息安全风险评估的理论基础，是提高信息安全风险评估准确性和效率的重要前提。信息安全风险评估模型如图1所示，造成信息安全风险的主要因素有威胁、信息资产、信息系统的脆弱性及漏洞和未被控制的残余风险，信息系统的威胁越大、脆弱性越暴露、漏洞越多、信息资产

5、的价值越大、未被控制的风险越多，则信息系统面临的风险也越多，风险越多，信息系统的安全性越低。业务系统主要依赖于服务器和软件