信息安全風險評估及評估工具研究

針對系統風險評估過程中存在的如評估數據缺乏、知識不完備、系統建模不完整及風險識別不充分等不確定性因素,文章提出了一種將模糊數學理論與證據理論相結合的風險評估方法.首先,給出了信息系統風險評估的定義,討論了信息系統的風險分析與預測模型;然后,將傳統證據理論向模糊集推廣,利用模糊集的隸屬函數構造證據理論中的基本概率賦值函數,評估指標的基本支持度的確定即為各項指標對于評語集的隸屬程度,從而建立起一個從指標集到評估標準的模糊關系,有效解決了證據理論中基本概率賦值函數不易確定的問題;最后,給出了某辦公自動化信息系統的風險評估實例,驗證了文中所提方法的合理性.實例表明,該方法可行有效,能夠為信息系統風險控制和安全防御提供有力的數據支撐.

簡要介紹國內外信息安全風險評估工作的發展過程,指出各應用領域或各組織進行信息安全風險評估的重要性。闡述了信息安全風險評估需要解決的問題,介紹目前在信息安全風險評估領域所采取的主要方法,并對這些方法進行分析和評價。探討信息安全風險評估工作的流程,并展望了信息安全風險評估的發展前景。

1 00 表1： 基本信息調查 1.單位基本情況 單位名稱單位地址 （公章） 聯系人聯系電話 email填表時間 信息安全主管領導（簽字）職務 檢查工作負責人（簽字）職務 -2- 2.硬件資產情況 2.1.網絡設備情況 網絡設備名稱型號物理位置所屬網絡 區域 ip地址/掩碼/網關系統軟件 及版本 端口類型 及數量 主要用途是否熱備重要程度 2.2.安全設備情況 安全設備名稱型號(軟件/ 硬件) 物理位 置 所屬網絡 區域 ip地址/掩碼/網 關 系統及運行 平臺 端口類型及 數量 主要用途是否熱備重要程 度 -3- 2.3.服務器設備情況 設備名稱型號物理位置所屬網絡 區域 ip地址/掩碼/網關操作系統 版本/補丁 安裝應用系統軟 件名稱 主要業務應

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

針對網絡信息系統的安全風險評估問題,提出了基于d-s證據理論的風險評估模型。證據理論是一種處理不確定性的推理方法。首先用\"折扣率\"對dempster合成法則進行了改進,然后使用改進后的dempser合成法則對網絡中存在的各種風險因素進行合成,減少了風險因素中的不確定性,并以實例驗證了該模型在網絡安全風險評估中的應用,仿真結果證明了該算法的正確性。最后,通過與模糊綜合評判法進行比較驗證了證據理論具有更高的準確性。

有效的信息安全風險評估方法能準確評估出信息系統風險,使組織采取相應的有效措施對風險進行控制,使機構風險被降低到一個可被接受的水平,主要比較幾種常用的信息安全風險評估方法的優缺點,并指出信息安全風險評估方法應是幾種風險評估方法的結合,定性與定量評估評估系統風險,使評估結果更準確。

信息安全風險評估中,一般根據資產的表現形式給出分類的資產列表并孤立地為資產賦值,沒有考慮到資產對業務的支持和資產之間的關聯性。以業務過程建模方法idef0(integrationdefinitionmethod0)為基礎,建立層次化的業務過程功能模型,并識別與每個過程功能實現有關的輸入、機制、控制三類支持性資產,從而得到以業務過程為中心的層次化的資產關聯圖。圖中的業務過程構成了一個典型的具有內部依賴的遞階層次結構,利用網絡分析法可以評估業務過程針對系統總目標的重要性排序,根據所支持的業務過程的重要性及其數量評估支持性資產的重要性。該方法實現了層次化的資產關聯、識別與評估,電子購物網站的應用實例證實了此方法的可行性。

信息安全的風險評估主要是建立在信息安全體系的基礎與前提之上,對信息的安全性進行綜合性評價.為了更加準確的掌握信息安全風險評估技術,本文對其進行詳細分析.

提出以國家相關規范標準為依據,以社會實踐內容為基礎,構建符合社會踐行的課程結構體系,分析依據結構體系提出課程內容的設計原則及基本教學內容。

ｌｏｇｏ 密級：秘密 第1頁共9頁信息安全風險評估管理程序 ｘｘｘｘ網絡安全技術有限公司 編號：nn-pd17 版次：080501 程序文件 生效日期：2008.05.01 信息安全風險評估管理程序 編制：日期： 審核：日期： 批準：日期： 本版修改記錄 修改狀態日期修改原因及內容提要修改人審核人批準人 ｌｏｇｏ 密級：秘密 第2頁共9頁信息安全風險評估管理程序 信息安全風險評估管理程序 1.0目的 在isms覆蓋范圍內對信息安全現行狀況進行系統風險評估，形成評估報告，描述風險 等級，識別和評價供處理風險的可選措施，選擇控制目標和控制措施處理風險。 2.0適用范圍 在isms覆蓋范圍內主要信息資產 3.0定義（無） 4.0職責 4.1各部門負責部門內部資產的識別，確定資產價值。 4.2信息安全部負責風險評估和制訂控制措施。 4.3ce

9 信 息 網 絡 安 全 netinfosecurity 國家開展信息安全風險評估工 作的概況 調查研究階段 國務院信息化工作辦 公室網絡與信息安全組 （以下簡稱國務院信息辦 安全組）為落實中辦發 2003[27]號文件的要求， 于2003年7月23日決定 委托國家信息中心組建成 立“信息安全風險評估課題 組”，對信息安全風險評估工作 的現狀進行全面深入了解，提出我 國開展信息安全風險評估的對策和辦法， 為下一步信息安全的建設和管理做準備。 根據國務院信息辦安全組的要求,國家信息中 心迅速成立了來自公安部、安全部、信息產業部、 國家認監委、國家標準化委、國家密碼管理局、國 家保密局、國家計算機網絡與信息安全中心、中國 信息安全產品測評認證中心、北京市信息辦和中國 人民解放軍信息安全測評認證中心等單位同志組成 的“信息安全風險評估課題組”,開展信息安全風險 調研工作。 2003年8月

信息安全風險評估技術手段綜述(轉) 摘要：信息安全成為國家安全的重要組成部分，因此為保證信息安全，建立 信息安全管理體系已成為目前安全建設的首要任務。風險評估作為信息安全管理 體系建設的基礎，在體系建設的各個階段發揮著重要的作用。風險評估的進行離 不開風險評估工具，本文在對風險評估工具進行分類的基礎上，探討了目前主要 的風險評估工具的研究現狀及發展方向。 關鍵詞：風險評估綜合風險評估信息基礎設施工具 引言 當今時代，信息是一個國家最重要的資源之一，信息與網絡的運用亦是二十一世 紀國力的象征，以網絡為載體、信息資源為核心的新經濟改變了傳統的資產運營 模式，沒有各種信息的支持，企業的生存和發展空間就會受到限制。信息的重要 性使得他不但面臨著來自各方面的層出不窮的挑戰，因此，需要對信息資產加以 妥善保護。正如中國工程院院長徐匡迪所說：“沒有安全的工程就是豆腐渣工程

附件： 國家電子政務工程建設項目非涉密信息系統 信息安全風險評估報告格式 項目名稱： 項目建設單位： 風險評估單位： 年月日 目錄 一、風險評估項目概述.........................................................................................................................................1 1.1工程項目概況................................................................................................................................................1 1.1.1建設項目基本信息......

**資訊http://www.***.*** **資訊http://www.***.*** **資訊http://www.***.***

信息安全風險評估需求方案 一、項目背景 多年來，天津市財政局（地方稅務局）在加快信息化建設和 信息系統開發應用的同時，高度重視信息安全工作，采取了很多 防范措施，取得了較好的工作效果，但同新形勢、新任務的要求 相比，還存在有許多不相適應的地方。2009年，國家稅務總局 和市政府分別對我局信息系統安全情況進行了抽查，在充分肯定 成績的同時，也指出了我局在信息安全方面存在的問題。通過抽 查所暴露的這些問題，給我們敲響了警鐘，也對我局信息安全工 作提出了新的更高的要求。 因此，天津市財政局（地方稅務局）在對現有信息安全資源 進行整合、整改的同時，按照國家稅務總局信息安全管理規定， 結合本單位實際情況確定實施信息安全評估、安全加固、應急響 應、安全咨詢、安全事件通告、安全巡檢、安全值守、安全培訓、 應急演練服務等工作內容（以下簡稱“安全風險評估”），形成 安全規劃、實施

xxx公司信息安全風險評估 實施細則 二〇〇八年五月 編制說明 根據《xxx公司信息安全風險評估實施指南》和《xxx公司信息安全風險評估實施細則》 （試行），近年來公司組織開展了風險評估常態化推廣，通過多年對實施細則的應用、實踐 與總結，需要進一步對實施細則的內容進行調整和完善。另一方面，隨著國家對信息系統安 全等級保護等相關政策、標準和基本要求，和公司信息化“sg186”工程安全防護總體方案 和公司網絡與信息系統安全隔離實施指導意見要求，也需要進一步對實施細則內容進行修 訂。 本細則主要修訂了原有試行細則第四章脆弱性評估部分的具體內容。主要包括： 1、在原有基礎上，增加或修改了信息安全管理評估、信息安全運行維護評估、信息安 全技術評估的具體要求。為保持本實施細則的可操作性，針對新增的具體要求，按原細則格 式添加了標準分值、評分標準和與資產的安全屬性（c、i、a）的對應

為了電子政務系統安全信息評估精度,依據資產、脆弱性、威脅等風險評估基本要素,提出一種基于危險理論的電子政務系統信息安全風險評估方法.該方法以威脅為核心,通過威脅分析、梯形模糊數、層次分析法,結合多屬性決策理論得到威脅發生的概率、后果屬性以及屬性值,得到電子政務系統信息安全威脅指數,最后利用威脅指數對風險進行排序,得到系統信息安全的風險等級.仿真結果表明,該方法能夠很好地量化電子政務系統信息安全風險指標,有效地提高了風險評估準確性,是一種有效的電子政務系統信息安全評估方法.

信息安全風險評估是信息系統安全的前提和基礎。該文對風險評估方法進行了概括描述,在分析以層次分析法為代表的綜合評估方法不足的基礎上,對4種改進型的綜合評估方法進行了歸納,得出了4種有代表性的改進方法,并對這4種方法的優點進行了比較分析。

信息安全風險評估是一個需要處理眾多模糊信息的過程,為提高信息處理的準確性,提出一種信息熵與三參數區間數相結合的信息安全風險評估方法。通過對信息系統進行分析,建立三參數區間形式的風險指標評價矩陣,采用信息熵理論確定指標權重。根據三參數區間的區間距離和區間排序理論求得評價專家權重,分析匯總三者得到最終的評估結果,并通過實例進行評估得到三參數區間數形式的風險值。實驗結果表明,與采用二區間形式的方法相比,該方法能夠較準確地預測風險等級。

復雜工程安全風險評估是近年來迅速發展的一種系統化方法,本文介紹了安全風險評估的基本概念,并討論了風險評估的過程及方法,最后敘述了海洋工程安全風險評估的研究現狀及目前研究的熱點,為海洋工程的安全評估提供了參考依據。

近年來,隨著信息技術的飛速發展,信息系統管理中的信息安全問題較為突出,成為社會上關注的焦點問題。對信息系統管理中的信息安全的風險因素進行評估,是對信息系統安全的重要性保護措施。本文通過對信息系統管理中信息安全的風險管理的概況進行分析,對信息安全的風險性和脆弱性進行詳細分析,進而提出信息安全風險評估方法,為信息系統管理中信息安全風險的決策提供有力的科學依據。