信息安全風險管理模型的研究與應用.pdf

1、隨著信息技術的發(fā)展和社會信息化進程的加快，國民經濟對信息和信息系統(tǒng)的依賴越來越大。因此，信息的安全性引起了人們的高度重視。信息安全管理的本質問題是風險管理，安全與風險是密不可分的，沒有絕對的安全也沒有徹底的風險。本文通過對風險管理相關技術和當前存在的風險管理模型的研究，提出了一個信息安全風險管理模型，該風險管理模型主要分兩個子系統(tǒng)分別為風險評估子系統(tǒng)和風險消減子系統(tǒng)，分別完成了系統(tǒng)的風險評估和風險處理措施。 風險評估子系統(tǒng)包括信

2、息收集庫和信息分析層，主要完成系統(tǒng)安全信息的收集，安全信息的評估。風險消減子系統(tǒng)包括風險消減層，主要針對安全評估結果采取響應的措施。消減層又分為預報模塊和處理模塊，預報模塊提供郵件通知措施；處理模塊根據風險評估模塊產生的風險評估報告對系統(tǒng)進行風險處理。 風險評估是風險管理的核心，它根據資產分析、漏洞掃描和威脅識別結果采用相應的風險評估方法對評估系統(tǒng)做出定性或定量的評估。本文提出了一種基于模糊數學的綜合風險評估模型，該模型首先利用