論文摘要:隨著的持續發展和國家資訊化步伐的加快,資訊保安問題對國家安全的影響日益增加與突出。為了對安全性進行高效地評估,達到提高資訊系統安全性的目的,文中提出了一種基於模糊綜合評判理論的資訊系統安全風險評估模型和方法。模型採用多層結構,引入了關係矩陣描述各個評價因素之間的相互影響關係,並提出了安全性評估指標體系,使用定性和定量的評估方法對安全性進行評估。對模糊綜合得出的結果提出了分析方法來獲得資訊系統的綜合風險評價,改變了傳統將資訊系統看成“黑盒”來評估的方法,是對以往安全性評估方法的補充。
論文關鍵詞:資訊保安;模糊綜合;評估
0引言
資訊和資訊保安在人類社會的生存發展中變得越來越重要了,資訊給人類社會創造了無限的財富,以至於資訊和資訊保安已經毫無爭議地成為一個組織、一個國家資產的一部分,而且還是重要的資產;但是,如同人類上某些先進技術,它也是一把雙刃劍,在造福於人類社會的同時,也給人類社會帶來損失和危害。
不管是從保密到網路安全,還是從資訊保安到資訊保障,人們越來越多地意識到資訊和資訊保安的重要性,正在逐步完善對資訊和資訊保安的全面認識。因此資訊保安風格評估在這其中就佔有舉足輕重的地位。加強資訊保安評估工作是當前資訊保安工作的客觀需要和緊迫要求。資訊保安問題由於資訊的應用、應用領域以及處理資訊敏感度的不同,在安全需求上有很大差別。
資訊保安評估具有如下作用:
(1)明確資訊的安全現狀:進行資訊保安評估後可以準確地瞭解自身的網路、各種應用系統以及制度規範的安全現狀,從而明晰安全需求。
(2)確定資訊的主要安全風險:在對資訊進行安全評估後,可以確定資訊的主要安全風險,並選擇合理的風險處置措施,如避免風險、降低風險或接受風險。
(3)資訊保安技術體系與管理體系的建設:進行資訊保安評估後,可以制定資訊的安全策略及安全解決方案,從而指導資訊保安技術體系(如部署防火牆、入侵檢測與漏洞掃描系統、防病毒系統、資料備份系統等)與管理體系(安全管理制發、安全培訓機制等)的建設。
1資訊保安風險因素
資訊安全系統開發過程是一個包括人、開發工具和應用背景等非常複雜且動態的過程。在一些資訊保安關鍵系統中,一些安全性失效可能引起設計功能無法正常完成,甚至導致整個系統癱瘓。因此非常有必要進行資訊系統安全性的影響因素分析,最終進行軟體產品的安全性評估。
安全性因素對軟體安全性的影響程度與資訊系統的安全性水平關係密切J。一是因為這些因素取自於安全事件發生的本質原因,可以從不同方面反映安全性受其影響;二是因為這些因素對資訊系統安全性的影響程度的輕重與否可以通過軟體安全性的高低表現出來。因此,文中對安全性評估的影響因素作出了定義和分析,計算影響因素對資訊系統安全性的綜合影響程度,然後再評估資訊系統的安全性。
2資訊保安風險綜合評估指標體系
2.1資訊保安評估的概念
資訊的安全風險,是指由於資訊系統本身存在的脆弱性,人為或自然的威脅導致安全事件發生造成影響。資訊保安風險評估,則是指依據國家有關資訊保安技術標準,對資訊及其處理、傳輸和儲存的資訊的保密性、完整性和可用性等安全屬性進行科學評價的過程,它要評估資訊的'脆弱性、資訊面臨的威脅以及脆弱性被威脅源利用後所產生的負面影響,並根據安全事件發生的可能性和負面影響的程度來識別資訊的安全風險。
在已有的研究的基礎上,構建了資訊保安風險綜合評估指標體系,如圖l所示。