信息系统安全风险评估方法和技术研究

【摘要】： 随着网络全球化和经济全球化的发展,对网络环境的依赖日益加深,我国的信息化已进入以电子政务、电子商务、新闻文化传播、教育娱乐应用、多媒体个人通信和金融电力等信息网络化为主导的发展阶段。人们在享受信息化带来的众多好处的同时,也面临着日益突出的信息安全与保密的问题。由于信息技术固有的敏感性和特殊性,信息产品是否安全,专用的信息安全产品以及由这些产品构成的网络系统是否可靠,都成为国家、企业、社会各方面需要科学证实的问题。如何全面、科学地评估一个信息系统的安全状态,从而有效地采取各种安全措施,已成为一个现实而有意义的研究课题。 本文的研究工作主要包括以下方面: 1.对安全评估标准进行了研究,介绍了国际上安全评估标准的发展历程,对可信计算机系统安全评估准则(简称为TCSEC)、信息技术安全评估标准(简称ITSEC)、信息技术安全性通用评估准则(简称CC)的特点及评估等级作了介绍,介绍了我国信息安全测评标准的现状,同时对国内外主要的安全评估标准进行了对比。 2.研究了网络安全的含义及特征,分析了网络安全的主要技术和安全策略,对威胁网络安全的因素、网络安全的分类和解决方案进行了研究。 3.对风险评估的要素及各要素之间的关系、风险分析的原理、评估的实施流程进行了研究。指出了对资产、威胁、脆弱性及已有安全措施的识别和确认,是进行风险评估的重要步骤,而风险分析是整个评估过程的关键所在。 4.研究了风险分析模型和常用的两种风险计算的方法:定性计算和定量计算。对两种计算方法进行了分析研究,并对两者的优缺点进行了对比。 5.实例说明风险评估的整个过程。