毕业论文写作指导
毕业论文,泛指专科毕业论文、本科毕业论文(学士学位毕业论文)、硕士研究生毕业论文(硕士学位论文)、博士研究生毕业论文(博士学位论文)等,即需要在学业完成前写作并提交的论文,是教学或科研活动的重要组成部分之一。
摘要:信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。
关键词:安全风险、风险评估
1 引言
信息安全的至关重要性越来越受到更多人的关注,它牵涉的不只是技术问题,更多的是管理问题。信息安全所涉及的工作是识别、度量和减轻运作信息资产所面临的风险,或最低限度要记录这些风险。所以风险评估是信息安全管理中最核心的一环。
风险评估是在整个信息安全战略中有着“知己知彼”的作用,了解机构运作的薄弱环节所在;了解机构的信息是如何处理、存储和传送以及机构有何种资源可用;发现与评估机构运作的风险;同时确定怎样控制和减少那些风险。选择一种合适的风险评估方法是进行风险评估的关键,直接影响评估结果的优劣。
2 常用风险评估方法
2.1 定量分析方法
定量分析方法是根据一定的数据,建立数学模型,再去计算分析各项指标的一种方法。这种方法把整个风险评估的过程和结果量化,然后通过这些被量化的数值对信息系统进行评估判定。常见的定量分析方法有时序序列分析法、因子分析法、聚类分析法、决策树法等。定量分析方法由于在实际操作过程中要收集大量的数据,所需工作量太大而且有时数据保密而无法获得或成本过高,纯定量分析方法已经很少使用。
2.2 定性分析方法
定性分析方法不需要严格的数据来量化各个属性,它采用人为的判断、只关注威胁事件所带来的损失,而忽略事件发生的概率。利用一些非量化的指标对信息系统进行判断,最后,根据风险评估计算公式得出风险值。常用的定性分析方法有:德尔菲法、OCTAVE方法等。
定性分析方法由于是非量化的,主观性强,对评估者要求相对较高,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻,使用比较广范。
2.3 定量定性结合分析方法
定量定性结合的分析方法是把前两种方法结合起来,取长补短,发挥各自的优势,比如在现场调查阶段,针对系统关键资产进行定量的调查、分析,提供量化的参考依据,在风险分析阶段,可以采用定性的分析形成概念、观点、作出判断,得出结论。常用的方法有层次分析法(AHP)、故障树分析方法、模糊综合评价法等。定量定性结合的分析方法由于网络环境的多元化,信息安全风险评估的不确定性因素随之增加,采用这种评估方法,能更精确地对大型系统进行风险评估,是实际应用中最常使用的方法。
3 风险评估新方法的发展
近年来,国内外学者对信息安全风险评估做了大量研究,人们也在探索更科学的理论、技术和方法。本文对风险评估的新方法进行探讨,希望有助于新方法的论证和推广应用。
国内学者基于前面三类常用方法做出了一些研究,将更多的新技术应用到信息安全风险评估中,提出了一些新的评估方法。如基于模糊层次法的评估方法、基于模糊-小波神经网络的评估方法、基于逻辑渗透图模型的评估方法、基于离散动态贝叶斯网络的评估方法等。
3.1 基于模糊层次法的评估方法
通过对层次分析法和模糊评价法分别进行改进,将两者有机结合,分析和评估风险事件发生的概率和影响,以确定各风险因素的风险等级,并给出了信息系统的风险控制建议。该方法通过算例表明是一种有效且操作性强的方法。
3.2 基于模糊-小波神经网络的评估方法
此方法是将人工神经网络(ANN)理论应用到风险评估。首先将人工神经网络应用于信息系统风险因素评估,对神经网络的输入进行了预处理,将模糊系统的输出作为神经网络的输入。人工神经网络经过训练,可以实时地估算风险因素的级别。然后提出了一种信息安全风险评估的小波神经网络模型,该模型以非线性小波基为神经元函数,通过优化伸缩因子和平移因子确定对应各神经元的小波基函数,从而合成小波神经网络。该模型经过训练后可用于信息、安全风险因素的评估,精度更高。