論文摘要:隨着的持續發展和國家信息化步伐的加快,信息安全問題對國家安全的影響日益增加與突出。爲了對安全性進行高效地評估,達到提高信息系統安全性的目的,文中提出了一種基於模糊綜合評判理論的信息系統安全風險評估模型和方法。模型採用多層結構,引入了關係矩陣描述各個評價因素之間的相互影響關係,並提出了安全性評估指標體系,使用定性和定量的評估方法對安全性進行評估。對模糊綜合得出的結果提出了分析方法來獲得信息系統的綜合風險評價,改變了傳統將信息系統看成“黑盒”來評估的方法,是對以往安全性評估方法的補充。
論文關鍵詞:信息安全;模糊綜合;評估
0引言
信息和信息安全在人類社會的生存發展中變得越來越重要了,信息給人類社會創造了無限的財富,以至於信息和信息安全已經毫無爭議地成爲一個組織、一個國家資產的一部分,而且還是重要的資產;但是,如同人類上某些先進技術,它也是一把雙刃劍,在造福於人類社會的同時,也給人類社會帶來損失和危害。
不管是從保密到網絡安全,還是從信息安全到信息保障,人們越來越多地意識到信息和信息安全的重要性,正在逐步完善對信息和信息安全的全面認識。因此信息安全風格評估在這其中就佔有舉足輕重的地位。加強信息安全評估工作是當前信息安全工作的客觀需要和緊迫要求。信息安全問題由於信息的應用、應用領域以及處理信息敏感度的不同,在安全需求上有很大差別。
信息安全評估具有如下作用:
(1)明確信息的安全現狀:進行信息安全評估後可以準確地瞭解自身的網絡、各種應用系統以及制度規範的安全現狀,從而明晰安全需求。
(2)確定信息的主要安全風險:在對信息進行安全評估後,可以確定信息的主要安全風險,並選擇合理的風險處置措施,如避免風險、降低風險或接受風險。
(3)信息安全技術體系與管理體系的建設:進行信息安全評估後,可以制定信息的安全策略及安全解決方案,從而指導信息安全技術體系(如部署防火牆、入侵檢測與漏洞掃描系統、防病毒系統、數據備份系統等)與管理體系(安全管理制發、安全培訓機制等)的建設。
1信息安全風險因素
信息安全系統開發過程是一個包括人、開發工具和應用背景等非常複雜且動態的過程。在一些信息安全關鍵系統中,一些安全性失效可能引起設計功能無法正常完成,甚至導致整個系統癱瘓。因此非常有必要進行信息系統安全性的影響因素分析,最終進行軟件產品的安全性評估。
安全性因素對軟件安全性的影響程度與信息系統的安全性水平關係密切J。一是因爲這些因素取自於安全事件發生的本質原因,可以從不同方面反映安全性受其影響;二是因爲這些因素對信息系統安全性的影響程度的輕重與否可以通過軟件安全性的高低表現出來。因此,文中對安全性評估的影響因素作出了定義和分析,計算影響因素對信息系統安全性的綜合影響程度,然後再評估信息系統的安全性。
2信息安全風險綜合評估指標體系
2.1信息安全評估的概念
信息的安全風險,是指由於信息系統本身存在的脆弱性,人爲或自然的威脅導致安全事件發生造成影響。信息安全風險評估,則是指依據國家有關信息安全技術標準,對信息及其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程,它要評估信息的'脆弱性、信息面臨的威脅以及脆弱性被威脅源利用後所產生的負面影響,並根據安全事件發生的可能性和負面影響的程度來識別信息的安全風險。
在已有的研究的基礎上,構建了信息安全風險綜合評估指標體系,如圖l所示。