论文摘要:随着社会的持续发展和国家信息化步伐的加快,信息安全问题对国家安全的影响日益增加与突出。为了对安全性进行高效地评估,达到提高信息系统安全性的目的,文中提出了一种基于模糊综合评判理论的信息系统安全风险评估模型和方法。模型采用多层结构,引入了关系矩阵描述各个评价因素之间的相互影响关系,并提出了安全性评估指标体系,使用定性和定量的评估方法对安全性进行评估。对模糊综合得出的结果提出了分析方法来获得信息系统的综合风险评价,改变了传统将信息系统看成“黑盒”来评估的方法,是对以往安全性评估方法的补充。
论文关键词:信息安全;模糊综合;评估
0引言
信息和信息安全在人类社会的生存发展中变得越来越重要了,信息给人类社会创造了无限的财富,以至于信息和信息安全已经毫无争议地成为一个组织、一个国家资产的一部分,而且还是重要的资产;但是,如同人类历史上某些先进技术,它也是一把双刃剑,在造福于人类社会的同时,也给人类社会带来损失和危害。
不管是从通信保密到计算机网络安全,还是从信息安全到信息保障,人们越来越多地意识到信息和信息安全的重要性,正在逐步完善对信息和信息安全的全面认识。因此信息安全风格评估在这其中就占有举足轻重的地位。加强信息安全评估工作是当前信息安全工作的客观需要和紧迫要求。信息安全问题由于信息的应用环境、应用领域以及处理信息敏感度的不同,在安全需求上有很大差别。
信息安全评估具有如下作用:
(1)明确信息的安全现状:进行信息安全评估后可以准确地了解自身的网络、各种应用系统以及管理制度规范的安全现状,从而明晰安全需求。
(2)确定信息的主要安全风险:在对信息进行安全评估后,可以确定信息的主要安全风险,并选择合理的风险处置措施,如避免风险、降低风险或接受风险。
(3)指导信息安全技术体系与管理体系的建设:进行信息安全评估后,可以制定信息的安全策略及安全解决方案,从而指导信息安全技术体系(如部署防火墙、入侵检测与漏洞扫描系统、防病毒系统、数据备份系统等)与管理体系(安全管理制发、安全培训机制等)的建设。
1信息安全风险因素
信息安全系统开发过程是一个包括人、开发工具和应用背景等非常复杂且动态的过程。在一些信息安全关键系统中,一些安全性失效可能引起设计功能无法正常完成,甚至导致整个系统瘫痪。因此非常有必要进行信息系统安全性的影响因素分析,最终进行软件产品的安全性评估。
安全性因素对软件安全性的影响程度与信息系统的安全性水平关系密切J。一是因为这些因素取自于安全事件发生的本质原因,可以从不同方面反映安全性受其影响;二是因为这些因素对信息系统安全性的影响程度的轻重与否可以通过软件安全性的高低表现出来。因此,文中对安全性评估的影响因素作出了定义和分析,计算影响因素对信息系统安全性的综合影响程度,然后再评估信息系统的安全性。
2信息安全风险综合评估指标体系
2.1信息安全评估的概念
信息的安全风险,是指由于信息系统本身存在的脆弱性,人为或自然的威胁导致安全事件发生造成影响。信息安全风险评估,则是指依据国家有关信息安全技术标准,对信息及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息的脆弱性、信息面临的威胁以及脆弱性被威胁源利用后所产生的负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息的安全风险。
在已有的研究的基础上,构建了信息安全风险综合评估指标体系,如图l所示。