● 摘要
近些年以来,随着计算机网络和信息技术的广泛研究与应用,信息之间的交流与共享迅速成为现代科技和经济发展的重要前提。在各个国家以及各个行业几乎都在进行大规模全方位的信息化建设。政治的稳固、经济的发展、军事的迈进等社会领域内信息系统的应用也在不断普及深入,直至越来越广泛。与此同时,信息系统是否可以安全运营,或者在运营过程中其安全状态具体如何也逐渐变得纷繁复杂,扑朔迷离。保护信息系统、保护系统当中的信息安全在瞬间上升为炙手可热的讨论问题,对信息系统安全状况深入、全面的研究比信息系统自发展以来的任何时候都显得更为迫切,更为重要。然而,传统的信息安全防护措施已不能满足发展的实际需要,迫切需要新的研究理论和研究方法。
信息系统安全研究的一个重要理论基础是安全评价。在目前看来,实施安全评价的工作对大部分信息系统而言主要是采用不同安全评估标准对信息系统安全属性进行定性分析,做出更多的定性评价。但是这种分析方法主观判断色彩较浓,对信息系统安全性的认识失真度较大。因此在对信息系统安全性做出定性分析的基础上,还应加大量化分析,以客观的数量值来判断信息系统的安全性,提升判断结果的可信度和确切度。
针对上述论述结合“熵”的概念及应用原理,本文创新性的提出信息系统“风险熵”这一概念。根据研究角度的不同分别构建基于“系统状态丰富程度”的信息系统“风险熵”模型和基于“系统损失分析数量度量”的信息系统“风险熵”模型,并且取得如下研究成果:
1, 简要概述了信息安全风险评估的相关概念,重点介绍了风险分析方法及风险值的计算等要点,为后续构建的两种模型在分析、计算过程提供可供参考和实用的分析过程。
2,介绍了“熵”从产生到目前的发展及取得的泛化研究成果。在熵理论的研究基础上,通过分析关于信息系统安全基本知识点,引入信息系统安全与信息系统“风险熵”数值变化关系。
3,在定义信息系统“风险熵”概念的基础上,从两种模型各自需要的判断依据出发构建两种用以计算不同风险状况的信息系统风险熵模型,同时给出考察不同风险状况的信息系统“风险熵”值计算过程,从理论上说明基于“系统状态丰富程度”的信息系统“风险熵”模型旨在用来计算信息系统面对的风险态的数量结果;基于“系统损失分析数量度量”的信息系统“风险熵”模型旨在获得信息系统遭遇风险后损失有个数量度量。同时详细分析了两种模型的内涵和意义。
4,在前述对两种模型给出理论分析的基础上,分别选取“多媒体信息系统”和“个人电脑—一个微型信息系统”对所构建的不同信息系统“风险熵”模型做实际分析计算,从所求得的数量化结果来解释说明两种模型的实际应用。
5,对本文的研究进行了总结,提出了下一步的研究工作和计划。
相关内容
相关标签